A NIS2 irányelv (EU 2022/2555) 2023 januárjától hatályos, és Magyarországon a 2023. évi LXIII. törvénnyel lett átültetve. 18 szektorban érinti a közép- és nagyvállalkozásokat — a gyártástól és szállítástól az ICT-n át a közigazgatásig. A kötelezettségek közé tartozik a kockázatmenedzsment, technikai és szervezeti intézkedések (MFA, titkosítás, biztonsági mentés, ellátási lánc), incidensjelentés 24/72 óra alatt és az ügyvezetők személyes felelőssége. A szankciók elérik a 10 millió EUR-t vagy a globális forgalom 2%-át.

Ez a cikk a felhő ERP biztonság és megfelelés sorozat 2026 részét képezi. Elmagyarázza, hogyan határozhatja meg, vonatkozik-e Önre a NIS2, mik a konkrét kötelezettségek és mi a kapcsolata az ERP/CRM rendszerével.

Miért a NIS2 és miért éppen most

Az eredeti NIS1 irányelv 2016-ból szűk volt — csak 19 szektort és országonként körülbelül 100–300 szervezetet érintett. A NIS2 ezt kibővíti és szigorítja:

  • 18 szektor essential és important entities csoportra osztva.
  • A szabályozott szektorokban a középvállalkozások (50+ alkalmazott / 10+ millió EUR forgalom) automatikus szabályozása.
  • Szigorított technikai és szervezeti követelmények.
  • Ügyvezetők személyes felelőssége (vezérigazgatók, igazgatósági tagok).
  • Magasabb szankciók és aktívabb felügyelet.

Ennek a hullámnak az oka: az EU-ban növekvő számú kiberincidensek (Colonial Pipeline, Maersk, NotPetya, 2020–2024-es ransomware hullámok) megmutatták, hogy az önkéntes megközelítés nem elegendő. A NIS2 a kiberbiztonságot szabályozási követelménnyé teszi, hasonlóan ahhoz, ahogy a GDPR a személyes adatok védelméből tett.

Kit érint a NIS2 Magyarországon

Szektorok

A NIS2 két osztályra osztja a szektorokat:

Essential entities (magas kritikusságú szektorok)

  • Energia (villamosság, gáz, hő, kőolaj, hidrogén)
  • Szállítás (légi, vasúti, vízi, közúti)
  • Banki és pénzügyi piacok
  • Egészségügy
  • Ivóvíz és szennyvíz
  • Digitális infrastruktúra (felhő, adatközpontok, DNS, TLD, internet exchange)
  • ICT service management (B2B IT, MSP, MSSP)
  • Közigazgatás
  • Űrszektor (műholdas infrastruktúra)

Important entities (egyéb kritikus szektorok)

  • Postai és futárszolgáltatások
  • Hulladékgazdálkodás
  • Gyártás (kritikus vegyszerek, gyógyszerek, orvostechnikai eszközök, gépjárművek, számítógépek, elektronika)
  • Élelmiszer-forgalmazás
  • Digitális szolgáltatók (online piactér, keresők, közösségi hálózatok)
  • Kutatóintézetek

Méretkriérium

Az irányelv elsősorban méret alapján határozza meg a szabályozott szervezeteket:

KategóriaAlkalmazottakForgalomMérlegfőösszeg
Középvállalat (szabályozott)50–25010–50 millió EUR< 43 millió EUR
Nagyvállalat (szabályozott)> 250> 50 millió EUR> 43 millió EUR
Kisvállalat (általában nem szabályozott*)< 50< 10 millió EUR< 10 millió EUR

*Kivételek: kis vállalatok szabályozottá válhatnak, ha egyetlen nyújtói kritikus szolgáltatásnak az országban, vagy ha kiesésük jelentős társadalmi/gazdasági hatással járna.

Az önbesorolás gyakorlati menete

  1. Szektor. Tekintse meg a 2023. évi LXIII. törvény mellékleteit vagy a NIS2 irányelv I/II. mellékletét.
  2. Méret. Alkalmazza az EU KKV meghatározását (2003/361/EK ajánlás).
  3. Kivétel. Még ha a küszöb alatt van is, ellenőrizze, hogy nem single provider vagy nincs-e más minősítő attribútuma.
  4. Önregisztráció. A szabályozott szervezeteknek magukat kell regisztrálniuk az NBSZ-nél (Nemzeti Biztonsági Szakszolgálat) — jellemzően a feltételek teljesítésétől számított 90 napon belül.

Tipp: Ha IT/felhőszolgáltatásokat nyújt (beleértve a SaaS ERP-t), automatikusan a „digitális infrastruktúra” vagy „ICT service management” kategóriába esik — függetlenül az ügyfelek méretétől.

A szabályozott szervezet legfontosabb kötelezettségei

A NIS2 21. cikke 10 minimális intézkedést határoz meg, amelyeket be kell vezetnie:

  1. Kockázatelemzési és információrendszer-biztonsági szabályzatok
  2. Incidenskezelés (detektálás, reagálás, helyreállítás)
  3. Üzletmenet-folytonosság — biztonsági mentés, katasztrófa-helyreállítás, válságkezelés
  4. Ellátási lánc biztonsága — közvetlen szállítókkal és szolgáltatókkal való kapcsolatokat is beleértve
  5. Biztonság a hálózati és információs rendszerek megszerzése, fejlesztése és karbantartása során
  6. Az intézkedések hatékonyságát értékelő szabályzatok és eljárások
  7. Alap kiberhigiéniai gyakorlatok és képzés
  8. Kriptográfiai szabályzatok (a titkosítást is beleértve)
  9. Humán erőforrás biztonsága, hozzáférési szabályzat, eszközkezelés
  10. MFA vagy folyamatos hitelesítés, biztonságos kommunikáció, biztonságos vészkommunikáció

Incidensjelentés

A legszigorúbb új szabály. Jelentős incidens esetén (az érintett felhasználók száma, pénzügyi kár, szolgáltatáskiesés kritériumai alapján meghatározva) kötelező:

HatáridőKötelezettségKinek
24 óraKorai figyelmeztetés (előzetes info)NBSZ
72 óraIncidensértesítés (részletek)NBSZ
1 hónapVégső jelentésNBSZ
FolyamatosanKommunikáció az érintett felekkelÜgyfelek, partnerek

A határidő attól a pillanattól számítódik, amikortól tudomást szerzett az incidensről — nem annak kezdetétől. Ez azt jelenti, hogy a detektálási képességek kulcsfontosságúak.

Szankciók és személyes felelősség

KategóriaMaximális szankció
Essential entity10 millió EUR vagy a globális forgalom 2%-a (a magasabb érték)
Important entity7 millió EUR vagy a forgalom 1,4%-a
Vezető (személyes)Tisztséggyakorlástól való eltiltás, személyes bírságok
ReputációsNyilvános non-compliant megjelölés

A NIS2 kifejezetten kimondja, hogy a felsővezetőség felelős az intézkedések jóváhagyásáért és felügyeletéért. A magyar törvény ezt közvetlenül vezeti át büntetőjogi és közigazgatási felelősségbe.

A NIS2 és az ERP/CRM rendszer kapcsolata

Az ERP/CRM kritikus információs rendszer — pénzügyi, ügyfél-, HR- és operatív adatokat tartalmaz. A NIS2-megfelelés szempontjából ez több konkrét követelményt jelent:

1. A kockázatértékelésnek le kell fednie az ERP-t

A kockázatnyilvántartásban az ERP-t elsőrangú eszközként kell szerepeltetnie az alábbi elemzéssel:

  • Milyen adatokat tartalmaz (osztályozás)
  • Kinek van hozzáférése (RBAC)
  • Melyek a fenyegetések (ransomware, belső fenyegetés, szállítói kompromittálás)
  • Milyen intézkedések vannak (technikai + szervezeti)

2. A szállítót (felhő ERP szolgáltató) értékelni kell

Az ellátási lánc biztonsága kifejezetten szerepel a NIS2-ben. SaaS ERP szolgáltatója a szabályozás részévé válik. Követelje meg:

  • Biztonsági tanúsítványt (ISO 27001 minimum, ideálisan SOC 2 is)
  • EU joghatóságot (elkerüli a CLOUD Act-ot)
  • DPA + alfeldolgozói lista
  • Incidenskezelési SLA-t a 24/72 órás határidejével kompatibilisan
  • Audit naplót forenzikus elemzéshez
  • BCP/DRP-t meghatározott RTO/RPO értékekkel

A Modulario ezeket a követelményeket alapértelmezetten lefedi — részletesen a Biztonság oldalon és a felhő ERP biztonsági pillér cikkben.

3. MFA és hozzáféréskezelés

A 10 minimális intézkedés 10. pontja MFA-t követel meg az ERP-hez való hozzáféréshez. A Modulario támogatja a TOTP-t, WebAuthn-t, SAML 2.0-t és OIDC-t a vállalati IdP-vel való integrációhoz (Azure AD, Google Workspace, Keycloak).

4. Biztonsági mentés és helyreállítás

Az ERP biztonsági mentésének:

  • Off-site kell lennie (földrajzilag elkülönített)
  • Titkosítottnak kell lennie
  • Rendszeresen tesztelni kell (helyreállítási teszt min. 2-szer évente)
  • Ransomware-rezisztensnek kell lennie (nem módosítható / air-gapped)

A Modulario napi teljes + óránkénti növekményes mentéseket biztosít 30 napos megőrzési idővel többrégiós replikációban.

5. Audit napló az incidenskezeléshez

Incidensnél képesnek kell lennie választ adni arra: „mi történt, mikor és ki a felelős”. Az ERP minden moduljában lévő audit napló kulcsfontosságú:

  • 24 órás korai figyelmeztetéshez (mit állapítottunk meg)
  • 72 órás részletes jelentéshez (hatás terjedelme)
  • Végső jelentéshez (gyökérok + orvoslás)

A Modulario audit naplója minden változásnál teljes before/after pillanatképeket tárol a felhasználó azonosítójával és IP-címével.

Felkészülési menetrend: 12 hetes terv KKV-knak

Egy 50–150 alkalmazottas vállalatnak, amely még nem kezdte el:

HétTevékenységEredmény
1–2Szektorelemzés, kategória meghatározásaDöntés: szabályozott / nem
3–4Eszköznyilvántartás, gap elemzésEszközlista + gap jelentés
5–6Kockázatértékelés, kezelési tervKockázatnyilvántartás + csökkentési terv
7–8Szabályzatok és eljárások~20 szabályzat készlete
9–10Technikai intézkedések bevezetéseMFA, biztonsági mentés, monitorozás, audit napló
11Alkalmazotti képzésKépzési feljegyzések
12Önregisztráció + belső auditRegisztráció az NBSZ-nél

Reálisan a legtöbb KKV esetén ez 4–6 hónapot vesz igénybe teljes munkaidős elvégzésnél, vagy 9–12 hónapot részmunkaidős elvégzésnél.

A NIS2 bevezetésnél leggyakoribb hibák

  1. „Minket nem érint.” Sok vállalat figyelmen kívül hagyja a NIS2-t abban a meggyőződésben, hogy kicsi. Ellenőrizze a szektort — az IT szolgáltatások, élelmiszer-gyártás, szállítás alacsony küszöbértékkel rendelkeznek.
  2. Kizárólag technológiára való összpontosítás. A NIS2 50% szervezet + 50% technológia. Szabályzatok, képzés és szállítókezelés nélkül önmagában az MFA nem elegendő.
  3. Az ellátási lánc elfelejtése. Az alvállalkozója gyenge láncszem lehet. Értékelje a SaaS szolgáltatókat, IT MSP-ket, hostingot.
  4. Reaktív incidenskezelés. Előre elkészített eljárás és kapcsolatok nélkül nem fogja betartani a 24 órás határidőt.
  5. Dokumentálás hiánya. Az auditor / felügyeleti hatóság bizonyítékokat akar, nem csupán kijelentéseket. Naplók, feljegyzések, képernyőképek, aláírások.

Mit tegyen most

  1. Ellenőrizze szabályozottságát a 2023. évi LXIII. törvény vagy annak ekvivalense alapján.
  2. Végezzen gap elemzést a NIS2 21. cikk 10 minimális intézkedésével szemben.
  3. Auditálja SaaS szállítóit — különösen az ERP/CRM-et, e-mailt, fájltárolást. Keresse az ISO 27001-et, EU joghatóságot, DPA-t, audit naplót.
  4. Indítsa el a bevezetést a fenti 12 hetes terv szerint.

Ha olyan ERP-t keres, amely alapértelmezetten NIS2-kész, tekintse meg biztonsági intézkedéseinket vagy az AMCEF esettanulmányt. Kapcsolódó témák a felhő ERP biztonsági pillér cikkben, az ISO 27001 KKV-knak cikkben találhatók.

Gyakran ismételt kérdések

35 fős IT szolgáltató cégünk van. Vonatkozik ránk a NIS2? Valószínűleg igen. Az „ICT service management” szektor csökkentett küszöbértékkel rendelkezik, és egyedi szolgáltatóként vagy az ellátási lánc fontos tagjaként 50 alkalmazott alatt is szabályozottá válhat. Ellenőrizze ezt az NBSZ-nél vagy kiberbiztonságra specializálódott ügyvéddel.

Mi a NIS2 és a GDPR kapcsolata? Kiegészítő. A GDPR a személyes adatokat védi (fókusz: érintett személyek), a NIS2 a kritikus információs rendszereket védi (fókusz: társadalmi hatás). Sok intézkedés átfedésben van (titkosítás, hozzáférés-vezérlés, incidenskezelés), de a jelentéstételi szervek és a szankciók különbözők. Az egyiknek való megfelelés nem garantálja a másiknak való megfelelést.

Mi van, ha a felhő ERP szolgáltatómnak nincs ISO 27001 tanúsítványa? A NIS2 kötelezi Önt a szállítók értékelésére. ISO 27001 nélkül helyettesítő bizonyítékokkal kell rendelkeznie — biztonsági audit, penetrációs teszt, részletes szerződéses dokumentáció. A gyakorlatban az ISO 27001 de facto követelmény. Ha szolgáltatójának nincs, fontolja meg a migrációt — a Modulario ISO 27001 tanúsítvánnyal rendelkezik és teljes szállítói átvilágítási dokumentációt biztosít.

Ki felelős a vállalatnál a NIS2 megfelelésért? A felsővezetőség (ügyvezetők, igazgatóság) jóváhagyási és felügyeleti felelősséget visel. Az operatív ügyeket általában a CISO, IT-igazgató vagy dedikált megfelelési tisztviselő vezeti. Ezekkel a szerepekkel nem rendelkező KKV-knál célszerű egy felelőst kijelölni (gyakran az IT-vezető) és külső tanácsadóval megerősíteni.