Ez az oldal a 50–249 főt foglalkoztató, szabályozott szektorban működő vállalatoknak szól, amelyek az Annex II szerinti fontos entitásnak minősülnek. Megtudhatja, milyen önértékelést, kiberbiztonsági intézkedéseket és incidensjelentési eljárásokat kell implementálnia 2026-ig.
Az NIS2 Annex II szerinti fontos entitások közé tartoznak azok a magyarországi közepes vállalatok, amelyek kritikus szektorban (például energia, víz, közlekedés, egészségügy, pénzügyek) működnek, meghatározott méretküszöbök fölött, és amelyeknek működése az állami vagy nyilvános szolgáltatások szempontjából jelentős. Az önértékelés során meg kell vizsgálni, hogy a vállalat tevékenysége érinthet-e kritikus szociális vagy gazdasági funkciókat.
Meg kell értékelnie, hogy a vállalat az Annex II szerinti fontos entitásnak minősül-e. Ez az értékelés a tevékenység típusára, az érintett felhasználók számára és a szervezet kritikus szerepére irányul. Az önértékelést dokumentálva meg kell őrizni, és szükség esetén az SZTFH-nak bejelentendő.
Implementálnia kell arányos kiberbiztonsági kontrollokat: többfaktoros hitelesítést (MFA) az üzleti e-mailre és felhőtárolóra, szoftvérfrissítéseket, tesztelt biztonsági mentéseket és hozzáférés-vezérlést. A kontrolloknak a vállalat méretéhez és az által kezelt kockázatokhoz kell igazodniuk — nem szükségszerűen azonos szintű, mint a nagyvállalatoknál.
Írásban meg kell rögzíteni a kiberbiztonsági politikát, amely tartalmazza az adatok kezelésének, az incidenskezelésnek és az alkalmazottak felelősségvállalásának szabályait. A politikát nyilvánosságra kell hozni a szervezeten belül, és legalább évente felül kell vizsgálni annak érvényessége és hatékonysága szempontjából.
Fel kell állítani egy dokumentált incidensvédelmi eljárást, amely definiálja, mik számítanak jelentendő incidensnek. Jelentős incidenseket (amelyek az üzemeltetésre, az adatokra vagy az alapvető funkciókra hatást gyakorolnak) az SZTFH-nak be kell jelenteni 24 órán belül. Az eljárásnak tartalmaznia kell az incidens dokumentálását, elemzését és orvoslását.
A dolgozók számára legalább éves szintű kiberbiztonsági képzést kell nyújtani, amely az adatvédelemre, az adathalász támadások felismerésére és az incidensjelentésre vonatkozik. A képzést dokumentálni kell, és részét kell képeznie az új alkalmazottak bevezetésének.
Az önértékelésben meg kell vizsgálni, hogy a vállalat kritikus szektorban működik-e (energia, víz, közlekedés, egészségügy, pénzügyek), van-e meghatározott méretküszöb felett, és működése érinti-e az alapvető szociális vagy gazdasági funkciókat. Az SZTFH útmutatói és szektor-specifikus kritériumok alapján kell elvégezni az értékelést.
Jelentendő az az incidens, amely jelentősen érinti a szervezet működési képességét, az kezelt személyes adatokat vagy az alapvető nyújtott szolgáltatásokat. Az SZTFH-nak történő bejelentésnek 24 órán belül meg kell történnie az incidens felfedezésétől. A bejelentésnek tartalmaznia kell az incidens leírását, az érintett szisztémákat és az kezdeti intézkedéseket.
Az Információbiztonsági Törvény szerint akár 100 millió forintig terjedő bírságot lehet kiszabni a jelentős kiberbiztonsági kötelezettségek megsértésekor. A büntetés mértéke függ a megsértés súlyosságától és az okozott kárból. A büntetés alkalmazásának határideje 2026. október 12., amikor az NIS2 direktíva teljes mértékben alkalmazandóvá válik.