Kiberbiztonsági megfelelés: közeledik az első határidő

  • adozona.hu

A kiberbiztonság – más néven digitális biztonság – szabályozása az egyik legfontosabb jogi újdonság hazánkban. Magyarország átültette a NIS2-irányelvet, amely az Európai Unió legújabb, az európai kiberbiztonságot erősítő jogszabálya. A törvény meghatározza a kiberbiztonság nemzeti kereteit, megszabva az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait. A cél az, hogy kedvező feltételeket teremtsenek a fogyasztók számára, hogy – személyes adataik, fényképeik vagy éppen a pénzük védelme érdeklében – figyelembe vehessék a termékek kiberbiztonsági szintjét, és szükség esetén a kiberbiztonsági felügyelethez fordulhassanak. A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek. Mivel a határidő vészesen közeleg, a Schönherr Hetényi Ügyvédi Iroda munkatársai, dr. Hetényi Kinga és dr. Menczelesz Adrián segítenek eligazodni az új szabályozásban.

A törvény hatálya alá tartozó ágazatok és vállalatok

A mikro- és kisvállalkozások (amelyeknek kevesebb, mint 10 vagy 50 alkalmazottja, illetve 2 vagy 10 millió EUR forgalma van) általában mentesülnek a törvény hatálya alól. Ha azonban egy ilyen vállalat elektronikus hírközlési, bizalmi, DNS, legfelső szintű domainnév-regisztrációs vagy domainnév-regisztrációs szolgáltatást nyújt, a törvény a vállalat méretétől függetlenül vonatkozik rá.

Közepes és nagyvállalatok (50 főnél több alkalmazott és 10 millió eurónál nagyobb árbevételű cégek) esetében a törvény a fent említett információs szolgáltatások mellett számos más típusú szolgáltatásra is kiterjed. Ezek a szolgáltatásfajták kockázatos és magas kockázatú szolgáltatási ágazatokra oszlanak.

A kockázatos szolgáltatási ágazatba tartoznak:

  • a postai és futárszolgálatok;
  • az élelmiszer-előállítás -feldolgozás és -forgalmazás;
  • a hulladékgazdálkodás;
  • a vegyi anyagok gyártása és forgalmazása;
  • egyes termékek és berendezések, például orvosi és sebészeti műszerek, számítógépes, elektronikus és optikai termékek, elektromos berendezések, egyéb gépek, járművek, szállítóeszközök, cement, gipsz és mésztermékek gyártása;
  • digitális szolgáltatók és a kutatólaboratóriumok.

A magas kockázatú szolgáltatási ágazatba tartoznak a legjelentősebb stratégiai tevékenységek:

  • energia (villamos energia, távfűtés és távhűtés, kőolaj, földgáz, hidrogén),
  • közlekedés (légi közlekedés, vasúti közlekedés, közúti közlekedés, vízi közlekedés, tömegközlekedés),
  • egészségügy,
  • víziközmű-szolgáltatások (ivóvíz és szennyvíz),
  • távközlés,
  • digitális infrastruktúra,
  • kiszervezett IKT, és
  • űralapú szolgáltatások.

Fontos megjegyezni, hogy a szoftverfejlesztési tevékenység önmagában nem tartozik a törvény hatálya alá. A szoftverfejlesztők esetében többek között azt is vizsgálni kell, hogy az ilyen fejlesztő kiszervezett szolgáltatónak minősül-e, mivel a gyakorlatban a fejlesztő gyakran nyújt a szoftverfejlesztéshez kapcsolódó egyéb szolgáltatásokat is (pl. a szoftver telepítése vagy karbantartása). Hasonlóképpen egyes felhőszolgáltatók is a törvény hatálya alá tartozhatnak.

Továbbá az érintett vállalatoknak gondoskodniuk kell arról is, hogy a beszállítói, alvállalkozói stb. is megfeleljenek a törvény bizonyos céljainak (pl. a rendszereik védelmének, megbízhatóságának és rendelkezésre állásának biztosítása), így az érintett vállalatoknak az ilyen érintett alvállalkozóval, beszállító céggel szerződést kell kötniük a törvényben előírt kiberbiztonsági intézkedéseket biztosító feltételekkel.

Ütemterv 2024-re

Vészesen közeledik az első fontos határidő 2024. június 30-a. E határidőig az érintett vállalatoknak végre kell hajtaniuk a következőket:

  • önelemzést kell végezniük (pl. a vállalat mérete, a folytatott tevékenységek alapján mely szabályok vonatkoznak rájuk);
  • osztályozniuk kell az elektronikus információs rendszereiket a kiberbiztonsági osztály (alap, jelentős vagy magas biztonsági osztály) alapján;
  • ki kell jelölniük egy olyan személyt, aki felelős az elektronikus információs rendszereik biztonságáért;
  • technikai adatokat kell gyűjteniük az elektronikus információs rendszereikről (pl. domainnevek, weboldalak, ügyfélszolgálati rendszer);
  • adatokat kell gyűjteniük a beszállítóikról, alvállalkozóikról; valamint
  • kérelmet kell benyújtaniuk a Szabályozott Tevékenységek Felügyeleti Hatóságához nyilvántartásba vételük céljából.

A második fontos határidő 2024. október 18-a. E határidőig az érintett vállalkozások kötelesek
(i) felügyeleti díjat fizetni a Szabályozott Tevékenységek Felügyeleti Hatóságának (a felügyeleti díj részletes szabályozása még nem jelent meg, de a díj az előző évi árbevétel legfeljebb 0,15 százalékában, de legfeljebb 10 millió forintban (kb. 26 000 euró) került maximalizálásra); valamint
(ii) be kell vezetniük és alkalmazniuk kell az elektronikus információs rendszereik biztonsági osztályának megfelelő biztonsági intézkedéseket.

A harmadik határidő 2024. december 31. E határidőig az érintett vállalatoknak szerződést kell kötniük egy független auditorral, akinek 2025. december 31-ig el kell végeznie az első NIS2-nek megfelelő kiberbiztonsági ellenőrzést.

Szankciók a meg nem felelés esetén

A Szabályozott Tevékenységek Felügyeleti Hatósága különböző intézkedésekkel biztosítja, hogy az érintett vállalat megfeleljen a törvénynek. A hatóság felügyeleti eljárásokat folytathat, rendkívüli kiberbiztonsági ellenőrzést rendelhet el, utasítást adhat ki a megfelelés biztosítására vagy a vállalat ügyfeleinek a potenciális kiberbiztonsági kockázatokról való tájékoztatására, és/vagy 10 millió euróig vagy az érintett vállalat teljes világméretű éves forgalmának 2 százalékáig terjedő bírságot szabhat ki. A hatóság megtilthatja továbbá az érintett vállalatnak, hogy bizonyos szolgáltatási tevékenységeket folytasson.

A Szabályozott Tevékenységek Felügyeleti Hatósága tájékoztatása szerint Magyarországon 2546 vállalkozás folytat tevékenységet az érintett ágazatokban. A magyarországi cégek jelentős részének tehát közvetlenül érintett vállalatként, vagy közvetve érintett vállalatként hamarosan meg kell felelnie a törvénynek. Mint a Szabályozott Tevékenységek Felügyeleti Hatósága által közvetített felfogás is mutatja, „kétféle vállalat létezik: olyanok, amelyeket már kibertámadás ért, és olyanok, amelyeket támadás fog érni”. A kiberbiztonsági megfelelés fontosabb, mint valaha, és ez a megfelelés nem pusztán informatikai, hanem jogi kihívás is.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Képernyő előtti munkavégzés

Hunyadné Szűts Veronika

igazságügyi adó- és járulékszakértő

Ez engem is érdekel Ez engem is érdekel

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 július
H K Sze Cs P Sz V
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4

Együttműködő partnereink