A magyar központi és helyi közigazgatási szervek, önkormányzatok és közszektorbeli ügynökségek számára kötelező NIS2 megfelelőség. Megismerje a 2026-ig teljesítendő kötelezettségeket, a polgári e-government portálok védelmi követelményeit és az incidensbejentési eljárásokat.
A magyar kormányzati szervek, helyi önkormányzatok, állami ügynökségek és közszolgáltatást nyújtó szervezetek közül azok, amelyek digitális szolgáltatásokat nyújtanak polgároknak vagy más közintézményeknek. Méretküszöb nincs — a központi közigazgatás teljes körűen NIS2-köteles, valamint az olyan helyi önkormányzatok is, amelyek e-government portálokat vagy kritikus közszolgáltatási adatbázisokat kezelnek.
Az összes polgárnak nyújtott elektronikus közszolgáltatás (okmánykérelmek, adóbevallás, egészségügyi adatok, közszolgáltatási kérelmek) erős szavatolottsági, titkosítási és hozzáférés-ellenőrzési intézkedésekkel védhető. A személyes adatok megsértésétől függetlenül minden olyan támadást jelenteni kell, amely a szolgáltatás elérhetőségét vagy integritását veszélyezteti.
Azonnali bejelentési kötelezettség az SZTFH-nak, ha olyan kiberincidensre kerül sor, amely az adott közintézmény által nyújtott kritikus közszolgáltatásokat (azonosítás, közigazgatási ügyleintézés, közhasznú információ) legalább 30 percig vagy nagyobb súlyosságban zavarja. Az incidensbejentésnek tartalmaznia kell az érintett felhasználók számát, az okozott kár jellegét és az enyhítő intézkedéseket.
A közigazgatási szervek kötelessége, hogy közbeszerzési szerződésekbe kiberbiztonsági szavatoltságokat írjanak rá (forráskód-hozzáférés, biztonsági tesztelés, hibajelentés-kötelezettség). Rendszeres auditra és szállítófelmérésre van szükség a kormányzati szoftverek és infrastruktúra-integrációs szolgáltatások biztonsági lánca ellenőrzésére.
Minden közigazgatási szervezet köteles évente legalább egy alkalommal kiberbiztonsági tudatosság-képzésben részesíteni az összes alkalmazottat. A vezetői és adatkezelési pozíciókban dolgozók részére mélyebb technikai képzésre van szükség (incidenskezelés, adatvédelmi szabályok, phishing-azonosítás).
A közigazgatási szerveknek be kell állítaniuk 24/7 kiberbiztonsági monitorozási és reagálási képességet vagy ennek megosztott formáját az SZTFH támogatásával. Szükséges egy testesített vészhelyzeti terv, amely visszaállítási eljárásokat, kommunikációs protokollokat és felelősségi rendszert tartalmaz.
A Magyar kormányzat összes szervére, az összes minisztériumra és annak alárendelt szervezeteire, valamint azokra a helyi önkormányzatokra kötelező, amelyek e-government portálokat vagy kritikus közszolgáltatási adatbázisokat kezelnek (egészségügyi adatok, közigazgatási regisztrálások, szociális ellátások). Méretküszöb nincs — az Annex I alapvető entitásként minden közigazgatási szerv NIS2-köteles, ha bármilyen digitális szolgáltatást nyújt polgároknak vagy más szervezeteknek.
Ha egy kiberincidens a közigazgatási szerv által nyújtott közszolgáltatást (pl. e-kormányzat portál, közigazgatási regiszter) legalább 30 percig vagy nagyobb hatásban megzavarja, az szervezet köteles az SZTFH-nak bejelenteni. Az incidensbejentésnek tartalmaznia kell az okot, az érintett felhasználók számát, az adatok sérülésének tényét és az enyhítő intézkedéseket. A bejelentést 72 órán belül kell megtenniük, vagy ha már tudomásuk van a sérülésről, akkor azonnal.
A magyar jogszabályok szerint a NIS2 nem teljesítésétől függően adminisztratív bírságok (több millió forint) és kötelezettségek (határozatok meghozatala) fenyegetik a közigazgatási szerveket. Súlyos incidensbejentési mulasztás vagy a szavatoltságok megsértése központi kormányzati felügyelethez vezet. 2026 után az SZTFH fokozódó ellenőrzéseket végez, és az első évben a helyi önkormányzatok szabályozási támogatást kapnak, de a 2027 után szigorú betartás alapvető.