NIS2 Sorozat 1. rész

Elindítjuk NIS2 sorozatunkat.

Hetente jelentkező sorozatunkban hozunk egy-egy könnyen követhető áttekintőt a 7/2024. MK rendelet kontrollcsaládjairól. Egyszerűen, gyakorlatiasan, röviden – hogy mindig tudd, mire figyelj.

Mi is az a NIS2?

Az Európai Unió NIS2 irányelve a kiberbiztonság új alapköve: célja, hogy egységes és magas szintű védelmet biztosítson a kritikus és fontos ágazatokban működő szervezetek számára. Az irányelv kiterjeszti a kötelezettek körét, szigorúbb követelményeket ír elő a kockázatkezelésre, incidenskezelésre, ellátási lánc védelmére, valamint komoly pénzbírságokat helyez kilátásba a nem teljesítő cégek számára.

A magyar szabályozás: 2024. évi LXIX. törvény és 7/2024. MK rendelet

Hungary transposed the NIS2 Directive into national law through Act LXIX of 2024 and Government Decree 7/2024. These regulations define detailed cybersecurity obligations for both public and private sector organizations.

A törvény:

• • Designation of supervisory authorities (SZTFH and NKI) and their powers
• Classification of organizations into basic, significant, and high categories
• Mandatory security measures such as incident reporting, risk management, and audit readiness
  
  

Decree 7/2024 further specifies:

• A detailed set of cybersecurity controls grouped by domains (e.g., access control, business continuity, network security)
• Minimum protection levels based on classification
• és ellenőrizhető, szamon kérhető megfelelőségi kritériumokat rögzít.

Az első lépés – biztonsági osztályba sorolás

A rendelet kihirdetését követően számos kérdés jelent meg, hogy vajon ki esik a „hazai NIS2” hatálya alá. Ezek a kérdések az elmúlt hónapokban tisztázódtak, azonban egy, igazán fontos kérdés a mai napig foglalkoztat mindenkit. Hogyan határozzam meg, és hova soroljuk be az EIR-jeinket?

Aki korábban az IBTV hatálya alá tartozott (valamint annak végrehajtási rendelete a 41/2015 alá), annak némi változást jelent az új rendelet. A korábbiakban megszokottakhoz képest most nem a szervezetet kell biztonsági osztályba sorolni, hanem az EIR-eket (elektronikus információs rendszer).

Ehhez a 7/2024 Mk. rendelet 2.2. fejezetét kell elővenni, ami – kicsit magas szinten – meghatározza az osztálybasorolás szempontjait:

• alap
• jelentős
• magas

A három osztály jelentős eltéréseket tartalmaz az alkalmazandó kontrollok számát tekintve. Alap szinten 164, jelentősön 302, magas szinten 385 kontrollnak kell megfelelni. Ez nem csak adminisztratív (szabályozói oldali felkészülést) költségeket és munkát jelent, hanem sok esetben technológiai beruházásokat, amik jelentős anyagi ráfordítást igényelhetnek. Ezért kulcs fontosságú, hogy jól csoportosítva, a megfelelő biztonsági osztályba soroljuk be az EIR-eket, ezáltal megkímélve magunkat a feleslegek terhektől.

1/2025. SZTFH rendelet – Kötelező kibervédelmi audit követelmények

Az 1/2025. (II. 6.) SZTFH rendelet a magyar kiberbiztonsági szabályozás kulcseleme, amely meghatározza a kibervédelmi auditok lefolytatásának részletes szabályait. A rendelet célja, hogy a NIS2-re épülő hazai törvényi előírásokat számonkérhetővé és mérhetővé tegye – konkrét módszertant, határidőket és elvárásokat rögzít.

Key elements include:

• Frequency (every 2 years), scope, and methodology of audits
• Documentation and record-keeping obligations
• Objective evaluation criteria for compliance and non-compliance
• Rules for appointing certified audit organizations and qualified experts

Cybersecurity audits are not just a bureaucratic obligation — they are a strategic opportunity to assess your organization’s maturity, uncover risks, and avoid penalties.

Our experience shows that most Hungarian organizations currently lack not only technical but also administrative (policy-level) controls, which are essential for achieving compliance.

Cégünk, a HN Secure IT Kft. tanácsadóként segít Önnek az audit előtti felkészülésben, dokumentáció összeállításában, valamint a hiányosságok pótlásában – hatékonyan, átláthatóan, az SZTFH (vagy akár az NKI) elvárásainak megfelelően, legyen szó a kockázatelemzéstől kezdve a GAP elemzésen át, a szabályzói környezet kialakításán át egy teljeskörű, technológiai implementációt is tartalmazó felkészítésről.

Miért mi?

Szakértőink 10 éves IT biztonsági audit tapasztalattal rendelkeznek, akik a mai napig „élesben” végzik auditori tevékenységüket, és gyakorlati tapasztalattal rendelkeznek a NIS2-es auditok végrehajtásában, így a vonatkozó követelmények kapcsán is. Ezen ismeretek keretében bátran állítjuk, hogy minden szervezetet fel tudunk készíteni a sikeres NIS2 auditra, legyen szó bármilyen biztonsági osztályról.

A Digitális Védelem Szakértőjeként felkészítjük Szervezetét a sikeres NIS2 (Kiberbiztonsági) auditra.

Contact us for pricing and service packages.