Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy a veszpremikamara.hu honlap a felhasználói élmény fokozásának érdekében cookie-kat alkalmaz. A honlap használatával Ön a tájékoztatást tudomásul veszi.
bővebben
Elfogadom
AA

NIS2 audit 2026: ezek a legfontosabb tudnivalók a vállalkozások számára

2026. július 07.

NIS2 audit határideje közeledik, miközben sok magyar vállalkozás még mindig bizonytalan abban, pontosan milyen kötelezettségeknek kell megfelelnie. Az EY és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) közös szakmai előadásán a szakértők összefoglalták az első auditok során felmerülő legfontosabb kérdéseket, a leggyakoribb hibákat és azokat a gyakorlati elvárásokat, amelyekre minden érintett szervezetnek érdemes felkészülnie.

A NIS2 megfelelés már nem csak informatikai feladat

Az elmúlt hónapokban a NIS2 irányelv bevezetése egyre nagyobb figyelmet kapott Magyarországon. A jogszabály célja, hogy növelje a kritikus és fontos ágazatokban működő szervezetek kiberbiztonsági ellenálló képességét, azonban a megfelelés jóval túlmutat egy informatikai projekt megvalósításán.

A szakmai előadáson elhangzottak alapján a sikeres audit feltétele a vezetőség aktív részvétele, a megfelelő dokumentáció, a kockázatalapú szemlélet és a szervezeti folyamatok összehangolása. A tapasztalatok szerint azok a vállalkozások járnak a legjobban, amelyek nem közvetlenül az audit előtt kezdik meg a felkészülést, hanem már hónapokkal korábban kialakítják a szükséges folyamatokat és dokumentációt.

Milyen lépések vezetnek a sikeres NIS2 audithoz?

Az előadás szerint a megfelelés több egymásra épülő feladatból áll. Az érintett szervezeteknek először nyilvántartásba kell vetetniük magukat, ezt követően el kell végezniük az elektronikus információs rendszerek (EIR) biztonsági osztályba sorolását, majd szerződést kell kötniük egy kijelölt auditorral, végül pedig fel kell készülniük a kiberbiztonsági audit lebonyolítására.

A szakértők hangsúlyozták, hogy ezek a feladatok egymásra épülnek, ezért a késlekedés könnyen veszélyeztetheti a jogszabályi megfelelést.

Ezek a leggyakoribb hibák a NIS2 audit során

Az első auditok tapasztalatai alapján jól kirajzolódnak azok a területek, ahol a legtöbb szervezet elakad.

A leggyakoribb problémák közé tartozik:

  • a jogszabályi határidők elmulasztása;
  • a nem megfelelő erőforrás-tervezés;
  • a szükséges szakemberek késői bevonása;
  • a hiányos auditfelkészülés;
  • valamint a nem megfelelően dokumentált kockázatértékelés.

Az auditorok nem pusztán dokumentumokat ellenőriznek, hanem azt vizsgálják, hogy a szervezet valóban működteti-e az előírt biztonsági intézkedéseket.

Fontos tisztázás multinacionális vállalatoknak

Az előadás egyik legérdekesebb gyakorlati kérdése a külföldi anyavállalatok és a magyar leányvállalatok felelősségi köre volt.
Sok nemzetközi vállalat esetében a magyar szervezet olyan informatikai rendszereket használ, amelyek felett valójában az anyavállalat rendelkezik. A szakértők szerint ilyen esetekben a magyar leányvállalatnak nem kell olyan technikai kontrollokat igazolnia, amelyek felett nincs tényleges rendelkezési joga.

Ez különösen fontos azoknak a cégeknek, amelyek központilag üzemeltetett ERP-rendszereket, felhőszolgáltatásokat vagy vállalatirányítási rendszereket használnak. Az audit során ilyenkor elsősorban a szervezeti szintű kontrollokat vizsgálják, miközben figyelembe veszik az anyavállalat és a külső szolgáltatók felelősségi körét is.

Milyen dokumentumokat kérnek az auditorok?

Sok szervezet úgy gondolja, hogy elegendő néhány szabályzat elkészítése, azonban az audit ennél jóval többet vár el. Az auditorok olyan bizonyítékokat keresnek, amelyek igazolják, hogy a kiberbiztonsági folyamatok a gyakorlatban is működnek. Ilyen dokumentum lehet például:

  • az EIR-leltár;
  • a kockázatértékelési nyilvántartás;
  • biztonsági szabályzatok és eljárásrendek;
  • incidenskezelési és üzletmenet-folytonossági tervek;
  • képernyőképek és naplófájlok;
  • munkavállalói és beszállítói szerződések;
  • oktatási dokumentációk;
  • jelenléti ívek;
  • auditjelentések és tanúsítványok.

A gyakorlat azt mutatja, hogy a megfelelő evidenciák hiánya az egyik leggyakoribb oka a hiánypótlásoknak.

Új kötelezettség a cégvezetők számára

A NIS2 megfelelés nem kizárólag az informatikai vezetőket érinti. A hatályos szabályozás alapján az érintett szervezetek vezetőinek első alkalommal legalább nyolcórás képzésen kell részt venniük, amelyet ezt követően évente minimum négyórás továbbképzés követ. Az információbiztonsági felelősök számára ennél is magasabb, évi legalább húszórás továbbképzési kötelezettséget ír elő a rendelet. Az első képzéseket legkésőbb 2026. december 31-ig kell teljesíteni.

Ez azt jelzi, hogy a jogalkotó a kiberbiztonságot egyértelműen vezetői felelősségként kezeli, nem kizárólag informatikai feladatként.

A felkészülés versenyelőnyt is jelenthet

Bár a NIS2 megfelelés elsődlegesen jogszabályi kötelezettség, a szakértők szerint azok a vállalkozások, amelyek időben kialakítják a szükséges folyamatokat, hosszú távon is profitálhatnak belőle.

Az átláthatóbb IT-folyamatok, a dokumentált kockázatkezelés, a rendezett szabályozási környezet és a tudatosabb incidenskezelés nemcsak az audit sikerességét támogatják, hanem növelhetik az üzleti partnerek bizalmát és csökkenthetik a kibertámadásokból eredő üzleti kockázatokat is.

A közelgő auditok fényében a legfontosabb üzenet egyértelmű: a NIS2 megfelelésre már nem érdemes az utolsó pillanatban készülni. Azok a szervezetek, amelyek most kezdik meg a felkészülést, jelentős idő- és költségelőnyre tehetnek szert, miközben nagyobb eséllyel teljesítik sikeresen az első kiberbiztonsági audit követelményeit.