A NIS2 már nem jövőbeli kihívás, hanem jelen idejű megfelelési kötelezettség. Az SZTFH szeptemberi bejelentésével élesbe fordult a kiberbiztonsági auditok ellenőrzése: a határidők elmulasztása mostantól azonnali bírságkockázatot jelent. Akár több tízmillió forint is múlhat azon, hogy a vállalat időben szerződött-e auditorral, és ténylegesen megkezdte-e a felkészülést.
Fontos NIS2 határidők és következmények
A 2025. január 1-je előtt már működő, NIS2 hatálya alá tartozó szervezeteknek 2025. augusztus 31-ig kellett SZTFH-nyilvántartott auditorral szerződniük, és legkésőbb két éven belül elvégeztetni az első kiberbiztonsági auditot. Ha a szerződéskötés elmaradt vagy késik, az már önmagában bírságalap.
A mulasztásokat az SZTFH ellenőrzései során vizsgálja, és a bírságok akár több tízmillió forintig is terjedhetnek.
Mekkora NIS2 bírságra számíthatnak a vállalkozások?
A NIS2 bírságtételeket a 418/2024. (XII. 23.) Korm. rendelet határozza meg: a sávok a jogsértés súlyától, ismétlődésétől, az árbevételtől és más körülményektől függően alkalmazhatók.
Jogszabálysértés | Bírság mértéke | Jogszabályi hivatkozás |
|---|---|---|
| Auditorral nem köt szerződést határidőre | 1 000 000 – 15 000 000 Ft | 3. melléklet, 7. sor |
| Audit elmarad vagy késik | 1 000 000 Ft-tól az árbevétel 2%-áig, max. 150 000 000 Ft | 3. melléklet, 8. sor |
| Kiberincidens bejelentése elmarad | 500 000 – 5 000 000 Ft | 3. melléklet, 9. sor |
| Felügyeleti díj nem fizetése | min. 500 000 Ft, max. az éves díj tízszerese (Az éves felügyeleti díj legfeljebb az előző évi árbevétel 0,015%-a, de max. 10 millió Ft, vállalatcsoporti plafon 50 millió Ft.) | 3. melléklet, 4. sor |
| Hatósági együttműködés hiánya (pl. információbiztonsági felügyelő, CSIRT) | több tízmillió Ft-os (akár 40–50 millió Ft-os) sávok | több tétel |
Fontos: ismételt jogsértés esetén a hatóság köteles bírságot kiszabni – nincs lehetőség méltányos elbírálásra.
Mit ellenőriz az SZTFH a NIS2 audit során?
Az SZTFH közlése alapján a fókusz az audit-kötelezettek tényleges előrehaladásán van. A vizsgálat többek között az alábbi elemekre terjed ki:
- szerződés megléte nyilvántartott auditorral,
- az audit előkészítésének dokumentált nyomai,
- kockázatmenedzsment és incidenskezelési folyamatok,
- együttműködés a kijelölt szervekkel (NKI, SZTFH).
A hatósági kommunikáció üzenete egyértelmű: a NIS2 megfelelés immár nem elmélet, hanem gyakorlati követelmény.
NIS2 megfelelési ellenőrzőlista- Compliance checklist
A NIS2 érintett vállalatoknak érdemes az alábbi listát követve ellenőrizniük, hogy hol tartanak a NIS2 felkészülésben, ezzel elkerülve az az esetleges kiberbiztonsági bírságokat:
- Kiberbiztonsági auditorral való szerződéskötés — határidő: 2025. augusztus 31. – A NIS2-kötelezett cégeknek eddig kellett SZTFH-nyilvántartott auditorral írásban szerződniük, hogy az auditor 2026-ra le tudja bonyolítani az első teljes körű auditot.
- Első kiberbiztonsági audit — határidő: 2026. június 30. – Az első auditnak eddig meg kell történnie, a biztonsági osztály szerinti követelmények teljesülésének vizsgálatával.
- Nyilvántartási adatszolgáltatás és változás – Az azonosítás/nyilvántartás adatait határidőre be kell adni, a változásokat 15 napon belül jelenteni.
- Felügyeleti díj tervezése és megfizetése – Be kell építeni a költségtervbe az éves kiberbiztonsági felügyeleti díjat; az SZTFH a mértékről és fizetésről tájékoztat.
- Biztonsági osztályba sorolás, követelmények, dokumentumok – Az EIR-ek osztályba sorolása (alap/jelentős/magas), a hozzá tartozó védelmi intézkedések és a szabályzatok (pl. IBSZ, hozzáférés-, incidens-, naplózási rend) legyenek naprakészek. Kiberbiztonsági audit után 90 napon belül intézkedési terv kell.
- Incidenskezelés és bejelentés működésben – Elérhető, kidolgozott incidensfolyamat, határidős bejelentés és együttműködés az NKI/SZTFH felé.
- Képzések és tudatosság - Vezetői és dolgozói képzések évente, igazolások megőrzése.
A legdrágább megoldás a halogatás
A 2025. augusztus 31. utáni „majd ráér” hozzáállás ma már közvetlen bírságkockázat: az audit elmaradása az árbevétel akár 2%-áig, max. 150 millió Ft-ig szankcionálható, míg az auditorral való szerződés hiánya 1–15 millió forintba kerülhet.
Az SZTFH ellenőrzések elindultak — most van itt az idő lezárni a hiányzó lépéseket és bizonyítható megfelelésre átállni.
NIS2 megfelelés RSM szakértői támogatással
Az RSM IT auditor szakértői komplex, lépésről lépésre történő támogatást nyújtanak a NIS2 megfelelés során:
- gap-felmérés és helyzetértékelés,
- priorizált ütemterv és audit-felkészítés,
- kötelező szabályzat- és bizonyítékcsomag összeállítása,
- hatósági egyeztetésekre való felkészítés.
Célunk: ügyfeleink bírságkitettségének gyors csökkentése,
és a NIS2 kiberbiztonsági követelmények maradéktalan teljesítése.
