NIS2 bírságok 2026: mekkora kockázatot vállal a cége?

Mi történik ha jön a hatósági ellenőrzés és a cége nem felel meg a NIS2-nek?

Nem figyelmeztetést kap. Bírságot kap. Akár 10 millió eurót, vagy az éves árbevétel 2%-át. Amelyik magasabb. És a vezető személyesen is felel.

Ez nem jövőkép. Ez 2026-os valóság. A NIS2 irányelv Magyarországon is hatályos, a hatóság ellenőriz, és a bírságok nem szimbolikusak. Ez a cikk megmutatja pontosan mekkora a kockázat, kit érint, és hogyan készüljön fel.

Mi a NIS2 és miért most fontos?

A NIS2 (Network and Information Security Directive 2) az Európai Unió kiberbiztonsági irányelve. 2023 januárjában lépett hatályba EU szinten. A tagállamoknak 2024 októberéig kellett átültetniük a nemzeti jogba.

Magyarországon a 2023. évi XXIII. törvény (Kiberbiztonsági tv.) és a kapcsolódó rendeletek szabályozzák. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felügyeli a megfelelést.

Miért más ez mint az eddigi szabályozások? Három okból:

  • Sokkal szélesebb kör. Nem csak a kritikus infrastruktúra (energia, víz, egészségügy). Hanem a gyártás, a logisztika, az élelmiszer, a hulladékkezelés, és még sok más ágazat.
  • Sokkal magasabb bírságok. Az eddigi „figyelmeztető” bírságok helyett valódi, fájó összegek.
  • Vezetői felelősség. A cégvezető személyesen felel. Nem bújhat a cég mögé.

Mekkora a bírság? Konkrét összegek.

A NIS2 két kategóriát különböztet meg: alapvető szervezetek (essential entities) és fontos szervezetek (important entities). A bírság mértéke eltér.

Alapvető szervezetek (essential entities)

Energia, közlekedés, bankszektor, egészségügy, vízellátás, digitális infrastruktúra, közigazgatás.

Maximális bírság: 10.000.000 EUR vagy az éves globális árbevétel 2%-a. Amelyik magasabb.

Magyar forintban (400 Ft/EUR árfolyammal): 4 milliárd Ft. Vagy egy 50 milliárd Ft-os árbevételű cégnél: 1 milliárd Ft.

Fontos szervezetek (important entities)

Gyártás, postai szolgáltatások, hulladékkezelés, élelmiszer, vegyipar, kutatás, digitális szolgáltatók.

Maximális bírság: 7.000.000 EUR vagy az éves globális árbevétel 1,4%-a. Amelyik magasabb.

Magyar forintban: 2,8 milliárd Ft. Vagy egy 10 milliárd Ft-os árbevételű cégnél: 140 millió Ft.

Vezetői felelősség

A NIS2 kimondja: a szervezet vezetése (igazgatóság, ügyvezető) személyesen felelős a kiberbiztonsági intézkedések jóváhagyásáért és felügyeletéért. Ha a vezető nem tesz eleget ennek:

  • Személyes bírság
  • Vezetői tevékenységtől való eltiltás (akár ideiglenesen)
  • A nem-megfelelés nyilvános közzététele (reputációs kár)

Ez nem elméleti fenyegetés. Az EU kifejezetten azért vezette be, mert a korábbi szabályozásoknál a vezetők „nem tudtak róla” vagy „az IT osztály dolga volt”. Most már nem az.

Kit érint Magyarországon?

A NIS2 hatálya alá tartozik minden szervezet, amely:

  • Az érintett ágazatokban működik (lásd lent), ÉS
  • Legalább 50 főt foglalkoztat, VAGY
  • Éves árbevétele meghaladja a 10 millió EUR-t (kb. 4 milliárd Ft)

De figyelem: bizonyos szervezetek mérettől függetlenül érintettek (pl. DNS szolgáltatók, bizalmi szolgáltatók, elektronikus hírközlés).

Érintett ágazatok (nem teljes lista)

Alapvető szervezetek:

  • Energia (villamos energia, gáz, olaj, hidrogén, távfűtés)
  • Közlekedés (légi, vasúti, vízi, közúti)
  • Bankszektor és pénzügyi piacok
  • Egészségügy
  • Ivóvíz és szennyvíz
  • Digitális infrastruktúra (felhő, adatközpont, CDN, DNS)
  • Közigazgatás
  • Űripar

Fontos szervezetek:

  • Postai és futárszolgáltatások
  • Hulladékkezelés
  • Vegyipar
  • Élelmiszer gyártás és forgalmazás
  • Gyártás (orvostechnikai eszközök, gépek, járművek, elektronika)
  • Digitális szolgáltatók (online piacterek, keresőmotorok, közösségi média)
  • Kutatóintézetek

Mi történik ha nem felel meg?

A bírság csak az egyik következmény. A teljes kép ennél rosszabb:

1. Hatósági ellenőrzés és felszólítás

Az SZTFH előzetes bejelentés nélkül ellenőrizhet. Ha hiányosságot talál, felszólítást ad meghatározott határidővel. Ha a határidő letelik és nem történt javítás: bírság.

2. Bírság kiszabása

A fent részletezett összegek. A hatóság mérlegeli a jogsértés súlyát, időtartamát, az érintett személyek számát, és az együttműködési hajlandóságot. De a maximum az maximum.

3. Nyilvános közzététel

A hatóság nyilvánosságra hozhatja a jogsértést és a bírságot. Ez reputációs kár. Ügyfelek, partnerek, befektetők látják.

4. Szolgáltatás felfüggesztés

Súlyos esetben a hatóság felfüggesztheti a szervezet tevékenységét, amíg nem felel meg. Ez nem bírság. Ez bevételkiesés.

5. Incidens esetén fokozott felelősség

Ha kibertámadás éri a céget ÉS nem volt NIS2 megfelelő, a felelősség és a kártérítési kötelezettség jelentősen nő. A biztosító is hivatkozhat rá.

Mik a követelmények?

A NIS2 nem ír elő konkrét szoftvereket vagy technológiákat. Követelményeket fogalmaz meg, amelyeket a szervezetnek teljesítenie kell:

Kockázatkezelés

  • Rendszeres kockázatelemzés és kockázatkezelési terv
  • Információbiztonsági szabályzat (IBSZ)
  • Üzletmenet-folytonossági terv (BCP)

Incidens kezelés

  • Incidens detektálás és válasz (24 órán belül jelentés a hatóságnak)
  • 72 órán belül részletes jelentés
  • 1 hónapon belül záró jelentés

Ellátási lánc biztonság

  • Beszállítók kiberbiztonsági értékelése
  • Szerződéses biztonsági követelmények

Technikai intézkedések

  • Hozzáférés-kezelés (ki fér hozzá mihez)
  • Titkosítás (adatok védelme)
  • Sérülékenység-kezelés (frissítések, javítások)
  • Hálózatbiztonság (tűzfal, szegmentálás)
  • Naplózás és monitoring (ki mit csinált, mikor)

Szervezeti intézkedések

  • Kiberbiztonsági felelős kijelölése
  • Rendszeres oktatás a munkatársaknak
  • Vezetői jóváhagyás és felügyelet dokumentálása

Hogyan készüljön fel? 6 lépés.

1. lépés: Állapítsa meg, hogy érintett-e

Nézze meg az ágazati listát és a méretküszöböt (50 fő vagy 10M EUR árbevétel). Ha bizonytalan, kérjen jogi véleményt. A „nem tudtam róla” nem mentesít.

2. lépés: GAP elemzés

Mérje fel hol tart most és hol kellene tartania. Milyen biztonsági intézkedések vannak már? Mik hiányoznak? Ez a kiindulópont.

3. lépés: Kockázatelemzés

Azonosítsa a kritikus rendszereket, az adatokat, és a fenyegetéseket. Melyik rendszer leállása okozna legnagyobb kárt? Ott kezdje a védelmet.

4. lépés: Intézkedési terv

A GAP elemzés alapján készítsen priorizált tervet. Mi a legfontosabb (és legolcsóbb) amit azonnal megtehet? Mi az ami időbe és pénzbe kerül?

5. lépés: Technikai megvalósítás

Vezesse be a szükséges technikai kontrollokat: hozzáférés-kezelés, naplózás, titkosítás, backup, incidens detektálás. Egy ERP rendszer beépített jogosultságkezeléssel és audit naplóval már a követelmények jelentős részét lefedi.

6. lépés: Dokumentáció és folyamatos fejlesztés

Dokumentáljon mindent. A hatóság dokumentációt kér, nem szóbeli ígéreteket. Szabályzatok, eljárásrendek, oktatási naplók, teszteredmények.

Mennyibe kerül a felkészülés?

A költség a cég méretétől és a jelenlegi érettségi szinttől függ:

CégméretFelkészülés költsége (becsült)Maximális bírság
50-100 fő3-10 millió Ft2,8 milliárd Ft
100-250 fő10-30 millió Ft2,8 milliárd Ft
250-1000 fő30-100 millió Ft4 milliárd Ft
1000+ fő100+ millió Ft4 milliárd Ft

A felkészülés költsége a maximális bírság 0,1-2,5%-a. Ez nem kérdés. Ez matematika.

Mit tehet a BR Works NIS2 megfelelésért?

A BR Works NIS2 megfelelési szolgáltatás a teljes folyamatot lefedi:

  • GAP elemzés: felmérjük hol tart most, és mit kell pótolni
  • Kockázatelemzés: azonosítjuk a kritikus pontokat
  • Szabályzatok készítése: IBSZ, BCP, incidens kezelési terv, oktatási terv
  • Technikai megvalósítás: hozzáférés-kezelés, naplózás, monitoring bevezetése
  • Oktatás: vezetői és munkatársi kiberbiztonsági képzés
  • Audit támogatás: felkészítés a hatósági ellenőrzésre

Az ERP rendszerünk beépített funkciói (jogosultságkezelés, audit napló, titkosított adattárolás, automatikus backup) a NIS2 technikai követelményeinek jelentős részét lefedik.

Milyen lépéseket tegyen meg holnap?

Nem kell mindent egyszerre megoldani. De holnap reggel tegyen meg 3 dolgot:

  1. Ellenőrizze az érintettséget. Nézze meg az ágazati listát. Nézze meg a létszámot és az árbevételt. Ha bármelyik küszöböt eléri, érintett.
  2. Jelöljön ki felelőst. Ki foglalkozik a NIS2 megfeleléssel a cégnél? Ha senki, ma jelöljön ki valakit. Vagy kérjen külső segítséget.
  3. Kérjen GAP elemzést. Egy szakértő 1-2 nap alatt felméri hol tart most. Ez a kiindulópont. Enélkül nem tudja mit kell csinálni.

A felkészülés nem 1 hét. 3-12 hónap, a cég méretétől függően. Ha ma kezdi, 2026 közepére kész lehet. Ha 3 hónapot vár, szorítani fog.

A NIS2 és az ERP rendszer kapcsolata

Miért releváns az ERP rendszer a NIS2 szempontjából? Mert a NIS2 követelmények jelentős része technikai kontroll, amit egy jól konfigurált ERP rendszer automatikusan biztosít:

  • Hozzáférés-kezelés: ki fér hozzá milyen adathoz, milyen jogosultsággal. Az ERP felhasználói szerepkörökkel kezeli.
  • Audit napló: ki mit csinált, mikor. Minden módosítás naplózva, visszakereshető.
  • Adattitkosítás: az adatok titkosítva tárolódnak és titkosított csatornán közlekednek.
  • Automatikus backup: napi mentés, georedundáns tárolás. Incidens esetén visszaállítható.
  • Jelszó policy: erős jelszó követelmény, kétfaktoros hitelesítés, automatikus zárolás.

Ez nem jelenti, hogy az ERP önmagában NIS2 megfelelést ad. De a technikai követelmények 40-60%-át lefedi. A maradék: szervezeti intézkedések, dokumentáció, oktatás, és incidens kezelési terv.

Gyakori tévhitek

„Kis cég vagyunk, minket nem érint”

Ha 50 fő felett van vagy 10M EUR felett az árbevétele, érint. Ha az ellátási láncban dolgozik egy érintett szervezetnek, közvetetten is érint (beszállítói követelmények).

„Majd ha jön az ellenőrzés, akkor foglalkozunk vele”

A felkészülés 3-12 hónap, a cég méretétől függően. Ha az ellenőrzéskor kezdi, már késő. A hatóság nem ad 1 évet a javításra.

„Elég egy tűzfal és egy vírusirtó”

A NIS2 nem csak technikai követelményeket tartalmaz. Szervezeti, dokumentációs, és folyamat követelmények is vannak. A tűzfal szükséges, de nem elégséges.

„Az IT osztály megoldja”

A NIS2 kifejezetten a vezetőség felelősségévé teszi a kiberbiztonsági felügyeletet. Az IT osztály végrehajtja, de a vezető felel. Személyesen.

Határidők 2026-ban

A magyar szabályozás szerint:

  • Az érintett szervezeteknek regisztrálniuk kell az SZTFH-nál
  • A biztonsági intézkedéseket be kell vezetni
  • Az incidens jelentési kötelezettség már él
  • A hatóság 2025-től ellenőriz, 2026-ban teljes kapacitással

Nem kérdés, hogy lesz-e ellenőrzés. A kérdés az, hogy mikor.

Összefoglalás

A NIS2 nem opcionális. Nem „ajánlás”. Törvényi kötelezettség, amelynek megszegése 10 millió EUR bírsággal és személyes vezetői felelősséggel jár.

A felkészülés költsége a bírság töredéke. A felkészülés ideje 3-12 hónap. Minél később kezdi, annál drágább és kockázatosabb.

Kérjen ingyenes NIS2 érintettségi felmérést

A BR Works NIS2 megfelelési szolgáltatás a teljes felkészülést lefedi: GAP elemzés, szabályzatok, technikai megvalósítás, oktatás, audit támogatás. Magyar nyelven, magyar jogszabályok szerint. Kérjen ingyenes konzultációt.