
A 2024. évi LXIX. törvény 2025. május 31-én hatályba lépett módosításai fontos változásokat hoztak, NIS2 irányelv szerinti megfelelési kötelezettségek terén. A módosítás célja, hogy a NIS2 érintett szervezetek számára egyértelmű és teljesíthető ütemezést adjon a NIS2 irányelv alapján bevezetett kiberbiztonsági követelmények teljesítésére.
NIS2 határidők, amelyeket minden cégnek ismernie kell
Kiberbiztonsági auditorral való szerződéskötés - 2025. augusztus 31.
Minden NIS2 kötelezett szervezetnek legkésőbb eddig kell írásban szerződnie egy, az SZTFH által nyilvántartott kiberbiztonsági auditorral. A szerződés célja az, hogy a kijelölt auditor 2026-ra el tudja végezni a teljes körű kiberbiztonsági auditot.
Miért fontos? Ez nem adminisztratív lépés – ez a felkészülés hivatalos kezdete. Aki lemarad, az nemcsak szabálysértést kockáztat, hanem azt is, hogy nem talál szabad auditort időben.
Első kiberbiztonsági audit - 2026. június 30.
Eddig kell a szerződött auditorral elvégeztetni az első auditot. A kiberbiztonsági audit célja annak megállapítása, hogy a szervezet megfelel-e a biztonsági osztályba sorolása szerinti követelményeknek.
Az audit magában foglalja:
- az informatikai és szervezeti intézkedések ellenőrzését,
- a szabályzatok, eljárások, naplók és jelentések felülvizsgálatát,
az incidenskezelési és sérülékenység-kezelési mechanizmusok vizsgálatát.
NIS2 felkészülés és megfelelés – lépésről lépésre
A kiberbiztonsági megfelelés nem pusztán technikai projekt – szervezeti szintű, dokumentált és ismételhető működési modell kialakítását igényli. Az alábbi lépések mentén érdemes haladni:
- Érintett EIR-ek (elektronikus információs rendszerek) azonosítása
Fel kell mérni, mely rendszerek támogatják a szervezet alaptevékenységét, és ezek milyen adatokkal, folyamatokkal, partnerekkel kapcsolódnak. - Biztonsági osztályba sorolás
Az azonosított EIR-eket a 7/2024 MK rendelet szerinti megfelelő biztonsági osztályba kell sorolni (alap, jelentős, magas), ez határozza meg a követelmények körét. - Követelmények kijelölése
A biztonsági osztályba sorolás alapján rögzíteni kell, hogy a szervezetnek pontosan milyen szervezet- és rendszerszintű intézkedéseket kell megvalósítania, illetve rögzíteni szükséges az egyes eltéréseket. - GAP elemzés
- Kockázatmenedzsment keretrendszer kialakítása
Ki kell dolgozni a belső kockázatok kezelésének keretét, tehát meghatározni a főbb szabályokat, szerepköröket, felelősségeket. - Kockázatelemzés és kockázatkezelési akcióterv készítése
A rendszerekre, adatokra, működési folyamatokra vonatkozóan el kell végezni a kockázatelemzést, és annak eredményei alapján akciótervet kell készíteni. - Szükséges szabályzatok és eljárásrendek elkészítése
Többek között információbiztonsági szabályzat, hozzáférés-kezelési eljárás, incidenskezelési protokoll, naplózási és biztonsági mentési szabályzat. - Megfelelő logikai, fizikai és adminisztratív védelmi intézkedések bevezetése
Pl. jogosultságkezelés, titkosítás, beléptetés, naplózás, hitelesítési szabályok, rendszerfrissítések, fizikai védelem – a biztonsági osztályba sorolás függvényében. - Oktatás és tudatosítás
Vezetői és munkavállalói képzések, tudatosságnövelő kampányok, szimulációk – dokumentáltan, ismételten. - Auditra való előkészületek
Dokumentációk és eszközállapotok felülvizsgálata a 2026. június 30-i éles audit előtt.
Fel kell mérni a vállalat jelenlegi kiberbiztonsági érettségi szintjét, amely alapján ki kell jelölni a kritikusabb területeket, amelyekkel kiemelten foglalkozni szükséges a felkészítés során.
Ellenőrizze cége NIS2 érintettségét az RSM NIS2 kalkulátorával!
NIS2 felkészülés - Mit érdemes most tenni?
Ne csak jogilag, hanem szervezetileg is készüljenek fel. A törvény nemcsak IT-vezetők, hanem többek között a menedzsment, HR és belső ellenőrzés számára is kötelezettségeket ír elő.
A megfelelési folyamat sikerességéhez érdemes tapasztalt partner segítségét igénybe venni. Az RSM Hungary a NIS2 tanácsadási szolgáltatással teljes körű támogatást nyújt:
Az RSM ebben teljes körű támogatást nyújt:
- státuszfelmérés és biztonsági osztályba sorolás
- intézkedési terv kidolgozása
- dokumentációk elkészítése
- auditor kiválasztása, szerződéskötés támogatása
- felkészítő oktatások
- audit támogatása
Miért érdemes már most elkezdeni a NIS2 felkészülést?
Bár a határidők távolinak tűnhetnek,
a NIS2 szerinti kiberbiztonsági megfelelés több hónapos, alapos előkészítést és belső szervezést igényel.
Aki időben elkezdi a NIS2 irányelvnek való felkészülést, nemcsak a NIS2 megfelelést biztosítja, hanem csökkenti az üzleti és működési kockázatokat is és javítja a cég működési biztonságát is.
Keressen minket bizalommal – az első lépéstől az auditig végig kísérjük vállalatát a NIS2 irányelvnek történő megfelelés útján.