Mit kér a NIS2 konkrétan egy közepes SaaS-től: incidens-jelentés, ellátási-lánc, hozzáférés-kezelés és 3 alap szabály, amit mi is futtatunk.
Szakmai ellenőrzés:Mező Dezső· Alapító · Mérnök, DField Solutions· 2026. ápr. 20.
A NIS2 irányelv 2024. október 17-én hatályba lépett, és a magyar Kormányrendelet 2025-ben konkrét kötelezettségeket ír elő a 'fontos' és 'kulcsfontosságú' szervezetekre. Ha SaaS-t szolgáltatsz EU-ügyfeleknek, valószínűleg beleesel a 'fontos' kategóriába. A Kiberbiztonsági szolgáltatásunk pontosan ezt a felkészítést fedi le — itt a minimum checklist.
Az NIS2 előírja: 24 órán belül early warning, 72 órán belül incidens-értékelés, 1 hónapon belül záró jelentés. Ez runbook-téma, nem 'majd ha baj van'-téma. Neked ezt már ma le kell írnod.
Listázd a kritikus vendort (AWS, Stripe, SendGrid, stb.), rangsorold őket üzletkockázat alapján, és legyen minden fontosnak valamilyen DPA + biztonsági attestation (SOC2, ISO27001).
NIS2 szerint 'reasonable timeframe' belül kell patch-elni. A gyakorlati értelmezés: kritikus CVE 48h-ban, magas CVE 7 napban, közepes 30 napban. Ezt SLA-ként kell futtatnod, nem 'majd megnézzük'.
Kötelező rendszeres security awareness tréning. Ne csak klikkelős, legyen phishing-szimuláció is. A jegyzőkönyvet el kell tudnod mutatni auditkor.
A fenti 5 elemből 4-et 2-3 hét alatt élesbe tudsz tenni a csapatoddal, a maradék egyet (patch SLA) 6 hónap alatt. Ha kell kézzelfogható segítség — írj.
Szerző
Alapító, DField Solutions
Fintechtől kreátor-toolingig építek produkciós termékeket — startupoknak és vállalatoknak egyaránt, Budapesttől San Franciscóig.
Folytatás