NIS2 megfelelés 2026: teendők és ütemterv KKV-knak
Egyéb
NIS2 megfelelés 2026 — teendők és ütemterv KKV-knak | Syneo
Gyakorlati útmutató KKV-knak a NIS2 megfeleléshez 2026-ra — 10 fontos kontroll, lépésről lépésre ütemterv (0–30, 31–90, 3–6, 6–12 hó), auditálható bizonyítékok és gyors teendők.
nis2, kiberbiztonság, megfelelés, kkv, kockázatkezelés, incidenskezelés, audit, biztonsági-kontrollok, mentés, mfa
2026. márc. 5.
A NIS2 (Directive (EU) 2022/2555) 2026-ra sok magyar KKV-nál már nem „jövőbeli téma”, hanem napi működési elvárás: kockázatkezelés, auditálható kontrollok, beszállítói követelmények, incidenskezelés és vezetői felelősség. A jó hír, hogy KKV-ként is fel lehet készülni kiszámíthatóan, ha nem egy „mindent egyszerre” projektet indítasz, hanem egy ütemezett, bizonyítékokra épülő programot.
Ebben a cikkben kapsz egy gyakorlati, 2026-os fókuszú teendőlistát és ütemtervet: mit érdemes azonnal rendezni, mit kell dokumentálni, és hogyan áll össze a minimum „audit-álló” csomag.
Gyors kontextus: mi a NIS2, és miért érinti a KKV-kat is?
A NIS2 az EU kiberbiztonsági irányelve, amely a korábbinál szélesebb körben ír elő kockázatkezelési és incidens-bejelentési kötelezettségeket, valamint nagy hangsúlyt tesz a vezetői felelősségre és a beszállítói lánc kockázataira. Hivatalos szöveg: EUR-Lex, Directive (EU) 2022/2555.
KKV-k esetén a leggyakoribb érintettség nem csak az, hogy a cég „kötelezett” lesz. 2026-ban sok vállalatot az is NIS2-szintű érettségre kényszerít, hogy:
nagyobb ügyfelek (gyártók, pénzügyi szereplők, logisztika, energia, egészségügy) beszállítói követelményként kérnek biztonsági kontrollokat és bizonyítékot,
biztosítók, pályázatok, vagy auditok (ISO 27001, ügyfél-audit) NIS2-vel rokon kontrollokat várnak,
egy komoly incidens (ransomware, adatszivárgás, leállás) üzletileg azonnal mérhető kárt okoz.
Fontos: a pontos besorolás (érintett vagy nem, milyen kategóriában) tagállami végrehajtáson és iparági definíciókon múlik. Ha bizonytalan vagy, érdemes rövid scope- és gap-felméréssel indulni.
2026-os realitás: milyen „bizonyíték” kell, nem csak milyen eszköz?
Sok KKV ott hibázik, hogy vásárol egy EDR-t, beállít MFA-t, és késznek tekinti a megfelelést. NIS2-nél a gyakorlatban a megfelelés három részből áll:
Kontrollok: technikai és szervezeti intézkedések (például mentés, naplózás, jogosultságkezelés).
Működtetés: ki, milyen ritmusban, hogyan ellenőrzi (például patch riport havonta, restore teszt negyedévente).
Bizonyíték: auditálható nyom (policy, jegyzőkönyv, ticket, log, riport, tréning-jelenlét).
Ha 2026-ban ütemtervet csinálsz, a cél legyen az, hogy a kritikus kontrollokhoz ismételhető működés és bizonyíték társuljon.
NIS2 teendők KKV-knak: a minimum csomag 10 területe
A NIS2 kockázatkezelési elvárásait érdemes „KKV-kompatibilis” kontrollcsomagokra bontani. Az alábbi 10 terület tipikusan lefedi a legfontosabb auditkérdéseket és a valós kockázatokat.
1) Scope és kritikus szolgáltatások térképe
A legtöbb későbbi vita és csúszás innen ered: mi számít kritikus üzleti szolgáltatásnak, milyen rendszerek támogatják, hol vannak az adatok.
Kézzel fogható deliverable-ek:
szolgáltatáslista (például rendelésfelvétel, gyártástervezés, számlázás, ügyfélszolgálat)
alkalmazás és infrastruktúra leltár (felhő, SaaS, szerverek, végpontok)
adatáramlások és integrációk (különösen ERP, CRM, levelezés, fájlmegosztás)
Kapcsolódó téma, ha több rendszered van: rendszerintegráció ERP, CRM és BI között.
2) Vezetői felelősség és governance
2026-ban a „nincs gazdája” jellegű biztonság már üzleti kockázat. Minimum kell:
kijelölt felelős (nem feltétlen teljes állású CISO, de felelősségi körrel)
döntési fórum (havonta vagy negyedévente kockázati review)
mérőszámok (például patch megfelelőség, MFA lefedettség, mentés sikeresség)
3) Kockázatkezelés és alap policy-k
Nem policy-gyár kell, hanem kevés, használt dokumentum:
információbiztonsági alapelv (ISMS-lite)
hozzáféréskezelési szabályok (MFA, admin fiókok)
mentési és helyreállítási szabályok (RPO, RTO)
incidenskezelési eljárás
4) Identity és hozzáférések (MFA, jogosultság-higiénia)
A KKV-k 2026-os „legnagyobb hozamú” kontrollja tipikusan:
kötelező MFA minden távoli elérésre és kritikus SaaS-ra
admin fiókok szétválasztása (napi user vs admin)
RBAC és rendszeres jogosultság review
5) Patch és sebezhetőség menedzsment
Nem kell enterprise sebezhetőség-platform az első hónapban, de kell ritmus és riport:
eszköz- és szoftverleltár
kritikus frissítések SLA-ja (például 14 napon belül)
kivételek dokumentálása (miért marad el, milyen kompenzáló kontroll van)
6) Mentés, helyreállítás, üzletmenet-folytonosság
Ransomware ellen a mentés minősége dönt. Minimum elvárás 2026-ban a tesztelt helyreállítás.
Jó KKV-s minta a 3-2-1 elv kiegészítése immutábilis vagy offline elemmel (szolgáltatótól és architektúrától függően). Ha a szolgáltatásod kritikus, a folytonosság része lehet az áramellátás kockázata is (például UPS, aggregátor, telephelyi villamos biztonság). Ilyen témában érdemes szakértői oldalt is megnézni, például Notstrom és elektrotechnikai megoldások áttekintéséhez.
7) Naplózás és detektálás (minimum monitoring)
A cél nem az, hogy mindent SIEM-be önts, hanem hogy legyen:
központi napló legalább a kritikus rendszerekről (identity, levelezés, tűzfal, szerver)
riasztási alapok (gyanús bejelentkezés, admin műveletek, tömeges törlés)
log megőrzés és hozzáférés szabályozása
8) Incidenskezelés és bejelentési készség
A NIS2 egyik legfájdalmasabb része sok cégnek az, hogy incidensnél nincs „forgatókönyv”, ezért késik a döntés és a kommunikáció.
Minimum csomag:
incident runbook (mit tekintünk incidensnek, ki dönt, ki kommunikál)
belső eskalációs lista és elérhetőségek
beszállítói kontaktok (cloud, MSP, fejlesztő)
tabletop gyakorlat évente legalább egyszer
9) Beszállítói és felhő kockázatok (supply chain)
2026-ban a beszállítói kontrollok sokszor gyorsabban érkeznek ügyféloldalról, mint hatósági oldalról. KKV-ként ezek a legfontosabb lépések:
kritikus beszállítók listája (IT üzemeltetés, SaaS, fejlesztők)
minimum biztonsági követelmények (MFA, mentés, log, incidens értesítés)
szerződéses pontok (SLA, RTO/RPO, értesítési határidők, alvállalkozók)
Ha felhőben vagy, jó kiindulópont: felhőmigráció KKV-knak.
10) Tudatosság és szerepkör alapú tréning
A „mindenki nézzen meg egy videót” ritkán elég. Hatékonyabb:
belépéskor alap tréning + évente frissítés
célzott tréning pénzügynek (BEC csalások), IT-nak (phishing, incident), vezetőknek (döntési helyzetek)
rövid teszt vagy kampány (phishing szimuláció) és javító intézkedés
Ütemterv 2026-ra: kockázatcsökkentés + audit-álló bizonyíték
Az alábbi ütemterv olyan KKV-knak készült, ahol van 1-3 fős IT (vagy kiszervezett üzemeltetés), és a cél 6-12 hónap alatt egy stabil, védhető szint.
0–30 nap: scope, gyors kockázatcsökkentés, „vérzéscsillapítás”
Ebben a szakaszban nem a tökéletes dokumentáció a cél, hanem hogy a legnagyobb kockázatokat azonnal csökkentsd.
kritikus rendszerek és adatok listája
kötelező MFA bevezetése (különösen e-mail, VPN, admin felületek)
mentések felmérése, legalább egy visszaállítási próba
admin fiókok rendbetétele
incidens kontaktlista és minimális runbook
31–90 nap: standard működés és alap bizonyítékok
Itt épül fel az a működés, amit auditon vagy ügyfélkérdőíven már meg tudsz védeni.
eszköz- és szoftverleltár, patch ritmus és riport
jogosultság review folyamat (legalább negyedévente)
naplózás minimuma és riasztási alapok
beszállítói minimum követelmények és kritikus szerződéses hiányok listája
6-10 oldalas policy csomag (használható, nem túlméretezett)
3–6 hónap: érettség, folytonosság, beszállítói kontrollok
üzletmenet-folytonossági terv a top 3 szolgáltatásra
RTO/RPO célok és tesztelt restore
tabletop gyakorlat (incidens szimuláció)
kulcs beszállítók auditja vagy kérdőíve (bizonyítékkéréssel)
biztonsági mérőszámok (dashboard vagy havi riport)
6–12 hónap: auditkész szint, folyamatos fejlesztés
belső audit jellegű review (gap lista, javítási backlog)
technikai adósság kezelése (örökölt rendszerek, nem támogatott verziók)
automatizálás: onboarding-offboarding, loggyűjtés, patch riport
integrált DevSecOps vagy change kontroll (ha van fejlesztés)
Kapcsolódó gyakorlati megvalósítás: DevSecOps a gyakorlatban.
NIS2 kontrollok KKV-nyelven: mit mutass egy auditon?
Az alábbi táblázat segít abban, hogy ne csak „meglegyen”, hanem bizonyítható is legyen.
Terület | Minimálisan elég jó kontroll (KKV) | Tipikus bizonyíték (auditálható) |
Access, identitás | MFA kritikus rendszereken, admin fiókok külön | IdP beállítások, screenshot/export, hozzáféréslista |
Patch menedzsment | Kritikus frissítések határidővel, kivételkezelés | Patch riport, ticketek, kivételjegyzék |
Mentés és restore | 3-2-1 jelleg, rendszeres restore teszt | Backup riport, restore jegyzőkönyv, RPO/RTO cél |
Naplózás | Kritikus logok gyűjtése és megőrzés | Log forráslista, retention beállítás, riasztások |
Incidenskezelés | Runbook, eskaláció, tabletop | Runbook verzió, gyakorlat jegyzőkönyv, tanulságok |
Beszállítók | Kritikus vendor lista, minimum elvárások | Vendor lista, kérdőív, szerződéses kitételek |
Tudatosság | Éves tréning, célzott képzés | Jelenléti ív, LMS riport, teszt eredmények |
A leggyakoribb KKV-hibák 2026-ban (és a gyors javításuk)
„Vettünk egy toolt, tehát megfelelünk.”
A tool csak egy elem. Ami számít: ritmus, felelős, bizonyíték. Javítás: legyen minden kritikus kontrollnak tulajdonosa és havi státusza.
„A beszállító majd megoldja.”
A felelősség sokszor megosztott. Javítás: írásban rögzített RTO/RPO, incidens értesítés és hozzáférés-szabályok.
„Majd ha jön az audit, összerakjuk a doksit.”
A legdrágább út. Javítás: dokumentálj futás közben (ticket, jegyzőkönyv, export), ne utólag.
„Nálunk úgysem történik semmi.”
A KKV-k gyakori célpontok, mert gyorsabban zsarolhatók és ritkábban van jó mentés. Javítás: restore teszt és MFA az első 30 napban.
Gyakran ismételt kérdések (FAQ)
Kötelező a NIS2 minden KKV-nak 2026-ban? Nem. A kötelezettség az iparágtól, a vállalat méretétől és a tagállami végrehajtási szabályoktól függ. Viszont sok KKV beszállítóként „közvetetten” ugyanazokat a kontrollokat kapja elvárásként.
Mi az első 3 teendő, ami a legtöbb kockázatot leveszi? Kötelező MFA a kritikus rendszereken, tesztelt mentés-helyreállítás, valamint admin fiókok és jogosultságok rendbetétele.
Mennyi idő alatt lehet reálisan felkészülni? Tipikusan 3–6 hónap alatt elérhető egy stabil, védhető alapszint, 6–12 hónap alatt pedig auditkész működés, ha van dedikált felelős és heti kapacitás.
Kell ISO 27001 a NIS2-höz? Nem feltétlen, de az ISO 27001 jó keretrendszer lehet a governance és bizonyítékok rendszerezésére. KKV-ként gyakran egy „ISMS-lite” is elég első körben.
Mit kérnek leggyakrabban az ügyfelek beszállítói auditon? MFA, mentési és restore bizonyíték, patch ritmus, incidenskezelési eljárás, logolás alapjai, valamint beszállítói lánc kontrollok.
Következő lépés: NIS2 gap felmérés és 90 napos megvalósítási terv
Ha 2026-ban gyorsan szeretnél tiszta képet arról, hogy hol állsz NIS2 szempontból, a leghatékonyabb kezdés egy rövid scope + gap felmérés, majd egy priorizált, bizonyíték-alapú ütemterv (0–30, 31–90 nap, 3–6 hónap).
A Syneo IT tanácsadási csapata ebben tud segíteni: felmérjük a kritikus szolgáltatásokat és rendszereket, kijelöljük a minimum kontrollcsomagot, és végigkísérjük a megvalósítást (policy, technikai kontrollok, beszállítói követelmények, incidens felkészítés). Induláshoz nézd meg, milyen deliverable-ekre számíthatsz: IT tanácsadás: mikor van rá szükség és mit kapsz érte?
