Fejléc

Németország egy lépéssel közelebb a NIS2 teljes bevezetéséhez, avagy mit jelent a Bundestag-döntés a vállalatok számára?

Szerző ikon Dobay Ivett

Dátum ikon 2025.11.27

2025. november 13-án a német Bundestag elfogadta a NIS2 irányelv hazai végrehajtására szolgáló NIS2-UmsuCG törvényt. Ez a mérföldkő azt jelenti, hogy Németország – jelentős késéssel ugyan – de elindult a NIS2 teljes körű bevezetésének végső szakasza felé. Bár a törvény részletszabályai és a végrehajtási rendeletek még kidolgozás alatt állnak, a vállalatok számára most már egyértelmű, hogy nincs további várakozási lehetőség: megkezdődött a felkészülés kötelező időszaka.

Az alábbiakban összefoglaltuk, mit jelent ez a gyakorlatban, milyen lépések következnek, és mire kell fókuszálniuk az érintett szervezeteknek.

Mit jelent a Bundestag döntése?

  • A NIS2 irányelv német átültetése immár parlamenti szinten elfogadott.
  • A részletes szabályozói keret azonban még formálódik: a Bundesrat jóváhagyása, a BSI iránymutatások, a végrehajtási rendeletek és technikai mellékletek még hátravannak.
  • A hatálybalépés várhatóan 2025 vége – 2026 eleje között történik meg, fokozatos aktiválással.
  • Németországban – az eddigi jelzések alapján – nem várható hosszabb „felkészülési” átmeneti időszak: a kötelezettségek hatályba lépéshez kötődően azonnal alkalmazandók lesznek.

Milyen lépések következnek jogalkotói oldalról?

A döntést követően a következő várható folyamatok indulnak vagy zárulnak le:

1. Bundesrat jóváhagyás
A tartományok kamarája még felülvizsgálja a törvényt. Ez a folyamat néhány hétig vagy hónapig is eltarthat.

2. BSI (szövetségi IT-biztonsági hatóság) végrehajtási szabályai
A BSI dolgozik a részletes technikai követelményeken:

  • incidens-bejelentési protokollok,
  • kockázatkezelési kontrollok,
  • beszállítói lánc-biztonsági elvárások,
  • audit és tanúsítási mechanizmusok.


3. Szektorspecifikus rendeletek
Az olyan kiemelt ágazatok, mint energia, egészségügy, közlekedés vagy távközlés, külön szabályozást kaphatnak.

4. A hatálybalépés kihirdetése
Ezt követően aktiválódnak a vállalatok jogi kötelezettségei – előre láthatóan 2026 elején.

Mit kell MOST tenniük a vállalatoknak?

Bár még vannak részletek, a keretrendszer már jól látható. A vállalatoknak három nagy lépést kell azonnal elindítaniuk:

1. Alkalmazhatósági vizsgálat (Applicability Check)

Meg kell határozni:

  • a szervezet besorolását: „különösen fontos” vagy „fontos” entitás,
  • a tevékenységek és szolgáltatások NIS2 szerinti érintettségét,
  • a beszállítói kapcsolatokból eredő kötelezettségeket.

Ez a lépés a teljes stratégiai tervezés alapja.

2. Gap-analízis és kockázati helyzetkép felállítása

A szervezeteknek fel kell mérniük, hogy:

  • mely NIS2-kontrolloknak felelnek már meg,
  • hol vannak hiányosságok (pl. kockázatmenedzsment, incidenskezelés, ellátási lánc),
  • milyen dokumentációk hiányoznak (IRP, DRP, ISMS, beszállítói biztonsági szabályok).

A tapasztalatok szerint a vállalatok nagy része jelenleg csak részben felel meg az új NIS2 szintnek.

3. Prioritások kijelölése és projektindítás

A következő területek a legkritikusabbak:

  • új vagy frissített ISMS rendszer (ISO 27001/IT-Grundschutz alapokon),
  • vezetői felelősség és governance struktúra kialakítása,
  • incidenskezelés és bejelentési rendszer (24h/72h),
  • beszállítói lánc kiberbiztonsága – új szerződéses követelményekkel,
  • logolási, monitoring és detektálási képességek megerősítése,
  • biztonságtudatossági képzések a teljes szervezetben.


Mire kell figyelniük a vállalatoknak?

1. Sok szervezet újonnan kerül a szabályozás alá
A NIS2 sokkal szélesebb körű, mint a korábbi KRITIS.
A közepes gyártó, logisztikai, egészségügyi és digitális szolgáltató cégek nagy része érintett lesz.

2. A vezetői felelősség központi elem
A menedzsment személyesen is felelősségre vonható lesz az információbiztonsági mulasztásokért.

3. Beszállítói megfelelés nem kerülhető meg
A cégeknek auditálniuk, minősíteniük és folyamatosan ellenőrizniük kell a beszállítói kockázatokat.

4. Nincs idő húzni – nem lesz „puha” átmeneti időszak
Ahogy a törvény hatályba lép, a kötelezettségek is életbe lépnek.

Mivel kell készülniük a szervezeteknek?

1. Költség- és erőforrás-tervezés
A NIS2 projekt jellemzően 6–18 hónapos átállást igényel.

2. Rendszeres auditokra és tanúsításokra
Előreláthatóan kötelező auditok vagy auditálható kontrollrendszerek lesznek.

3. Dokumentációs érettség növelése
Az egyik legkritikusabb hiányosság a német vállalatoknál jelenleg:
nem megfelelő vagy hiányos információbiztonsági dokumentáció.

4. IT-biztonsági technológiák frissítése
Logmenedzsment, EDR/XDR, hálózati monitoring, SIEM, incidenskezelés, szegmentáció — ezek mind a követelmények részévé válhatnak.

EURO ONE – többéves tapasztalat a NIS2-megfelelés támogatásában

Az EURO ONE Magyarország egyik vezető kiberbiztonsági és NIS2-tanácsadási szereplője, amely az elmúlt években számos hazai közép- és nagyvállalatot támogatott NIS2-re való felkészítésben. A vállalat tapasztalatai alapján:

  • Teljeskörű gap-analízis elvégzésében támogatja a szervezeteket.
  • Segít ISMS-rendszer kialakításában vagy frissítésében (ISO 27001 alapokon).
  • Komplex kockázatmenedzsment-, incidenskezelési- és beszállítói biztonsági keretrendszereket alakít ki.
  • Technológiai oldalon is támogatást nyújt logmenedzsment, EDR/XDR, hálózatmonitoring és SIEM rendszerek bevezetésében.
  • Professzionális NIS2 auditfelkészítést biztosít, fókuszálva a dokumentációs érettség növelésére és a vezetői megfelelésre.
  • Kiemelt tapasztalata van kritikus infrastruktúrát érintő szektorokban, valamint olyan vállalatoknál, amelyek most kerülnek be először a szabályozás hatálya alá.


Kérdése van, érdekelné NIS2 felkészítésünk?

Látogasson el NIS2 irányelv oldalunkra több információért!

Vegye fel Kollégáinkkal a kapcsolatot!