2025. május 31-én lépett hatályba a 2024. évi LXIX. törvény módosítása, amely fontos mérföldkő a NIS2 irányelv szerinti hazai megfelelés útján. A törvény célja, hogy egyértelmű és végrehajtható menetrendet adjon azon szervezeteknek, amelyek a kiberbiztonsági irányelv hatálya alá tartoznak.
A jogszabályi szigorítás válasz a növekvő kiberfenyegetettségre, és azt kívánja biztosítani, hogy az érintett cégek strukturált módon, határidőre tegyenek eleget új kötelezettségeiknek.
📅 Fontos határidők
A módosítás két kulcsfontosságú dátumot határoz meg:
- 2025. augusztus 31.
Eddig minden kötelezett szervezetnek írásban szerződnie kell egy SZTFH által nyilvántartott kiberbiztonsági auditorral. Ez nem csupán formális lépés – a megfelelési folyamat hivatalos elindítását jelzi. - 2026. június 30.
A teljes körű első kiberbiztonsági audit határideje. Az audit során a kijelölt auditor ellenőrzi, hogy a vállalat megfelel-e a számára előírt biztonsági osztály követelményeinek.
Aki nem teljesíti ezeket a határidőket, nemcsak bírságra, hanem működési zavarokra és hitelvesztésre is számíthat.
🔐 NIS2-felkészülés – Nem csak az IT dolga
A NIS2 megfelelés nem csupán informatikai projekt – a teljes szervezetre kiterjedő, dokumentált és visszamérhető működési modellt igényel. A HR-től a jogi osztályon át a menedzsmentig minden érintett.
Így érdemes felkészülni:
Érintett rendszerek azonosítása
Mely elektronikus információs rendszerek támogatják az alaptevékenységet, és hogyan kapcsolódnak adatokhoz, folyamatokhoz, partnerekhez?
Biztonsági osztályba sorolás
A rendszerek sorolása az alap, jelentős vagy magas kockázati szintekbe (7/2024 MK rendelet alapján).
Követelmények kijelölése
A besorolás alapján meg kell határozni a szükséges szervezeti és technikai intézkedéseket, valamint rögzíteni az esetleges eltéréseket.
GAP-elemzés, kockázatértékelés
Kockázatmenedzsment keretrendszer kialakítása, szerepkörök és felelősségek meghatározása. Kockázatelemzés készítése, akcióterv kidolgozása.
Szabályzatok és eljárásrendek elkészítése
Információbiztonsági szabályzat, hozzáférés-kezelés, incidenskezelési protokollok, naplózási és mentési eljárások dokumentálása.
Védekezési intézkedések bevezetése
Jogosultságkezelés, titkosítás, beléptetés, rendszerfrissítés, fizikai védelem – a biztonsági osztály szintjétől függően.
Tudatosság és oktatás
Vezetők és munkatársak képzése, ismétlődő tudatosságnövelő kampányok, szimulációk.
Felkészülés az auditra
A 2026-os audit előtt át kell tekinteni a rendszerállapotokat, dokumentációkat, hogy a szervezet megfeleljen az elvárásoknak.
🕒 Miért most kell lépni?
Bár a határidők még odébb vannak, a megfelelés hónapokat igénylő, összetett szervezeti feladat. A korai lépések biztosítják a szabad auditorhoz jutást, csökkentik a működési kockázatokat és megerősítik a cég védelmét.
Comments are closed.