NIS2 audit határidő: nem a nyilvántartásba vétel időpontja számít – az SZTFH tisztázta a félreértést
NIS2 audit határidő: nem a nyilvántartásba vétel időpontja számít – az SZTFH tisztázta a félreértést
Súlyos félreértés terjed a NIS2 érintett szervezetek között, mely szerint a nyilvántartásba vételi regisztráció, illetve az arra visszaérkezett hatósági határozat időpontjától számítódik minden esetben az első kiberbiztonsági audit határideje. E logika mentén sokan úgy gondolják, hogy aki nem teljesítette időben a regisztrációt, az tulajdonképpen „nyerhet időt”, hiszen minél később kerül nyilvántartásba, annál későbbre tolódik az audit – akár a határozattól számított két évvel.
Szép is lenne, ha így működne - azonban ez egy súlyos tévedés.
A hatóság egyértelmű választ adott
Mivel egyre több érdeklődőnél találkoztunk ezzel az értelmezéssel, és visszatérő kérdéssé vált, hogy pontosan kikre is vonatkozik a 2026. június 30-i végső határidő, úgy döntöttünk, hogy nem hagyjuk bizonytalanságban a kérdést: hivatalos állásfoglalást kértünk a Szabályozott Tevékenységek Felügyeleti Hatósága részéről. A választ meg is kaptuk – és az egyértelműen tisztázza a helyzetet.
A Hatóság állásfoglalása szerint azoknál a szervezeteknél, amelyek már 2025. január 1-jén is a szabályozás hatálya alá tartoztak, az első kiberbiztonsági audit határideje egységesen 2026. június 30., és ezt sem a késedelmes regisztráció, sem a nyilvántartásba vételi határozat időpontja nem módosítja.
A megfogalmazás nem hagy teret értelmezésnek:
és:
Nincs „plusz két év”
Ez gyakorlatban azt jelenti, hogy az a feltételezés, miszerint a nyilvántartásba vétel „újraindítja az órát”, egyszerűen nem igaz. A határidőt nem az adminisztratív lépések, hanem az határozza meg, hogy a szervezet mikortól végezte az érintett tevékenységet.
Ha tehát egy szervezet már 2025 előtt is NIS2 hatály alá tartozott, akkor számára a 2026. június 30-i határidő változatlanul kötelező – még akkor is, ha csak később regisztrált, akár hatósági felszólításra.
Ha érintett vagy, most kell lépni
Amit most látunk a piacon, hogy sokan még mindig egy későbbi dátummal terveznek, és emiatt nem indították el időben a felkészülést. Ez viszont komoly kockázat: az audit nem egy gyorsan „letudható” feladat, és az auditori kapacitások is végesek.
Ha magadra ismersz, és eddig te is abból indultál ki, hogy a regisztráció dátumától számolható a határidő, akkor most érdemes újratervezni.
Keress minket bizalommal, segítünk gyorsan tisztázni az érintettségeteket, felmérni a jelenlegi megfelelési szintet, és felkészülni az auditra úgy, hogy még tartható legyen a 2026. június 30-i határidő.
| Kapcsolat |
A legfontosabb üzenet
Nem a nyilvántartásba vétel időpontja számít, hanem az, hogy mikortól voltatok érintettek. Ha ez már 2025 előtt fennállt, akkor a határidő adott – és nincs haladék.