- ügyvéd
- irodája
Kiberbiztonság, NIS2
Mi is a NIS2?
A NIS2 egy Európai Uniós szintű kiberbiztonsági irányelv (2022/2555), amely meghatározza a kritikus szektorokban működő és szolgáltatásokat nyújtó szervezetek számára azokat a digitális biztonsági szabályokat, amelyeknek meg kell felelniük. Maga a NIS2 Irányelv nem alkalmazandó közvetlenül az EU tagállamaiban, így Magyarországon sem, viszont az Irányelv rendelkezéseit a tagállamok kötelesek beépíteni a saját nemzeti jogrendszerükbe. Magyarországon ezt valósította meg a 2024. december 31. napjával hatályát vesztett ún. Kibertan törvény (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) és az annak helyébe lépő, jelenleg hatályos Kiberbiztonsági törvény. (2024. évi LXIX törvény Magyarország kiberbiztonságáról)
Kik tartoznak a Kiberbiztonsági törvény hatálya alá?
Erre a kérdésre az érintett szervezet mérete és/vagy az általa végzett tevékenység alapján adható meg a válasz.
I. A Kiberbizonsági törvény 2. és 3. számú melléklete két kategóriába sorolja a törvény hatálya alá tartozó iparágakat:
- Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
Ide tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT-szolgáltatások (vállalkozások között), űralapú szolgáltatások. - Kockázatos ágazatokban működő szolgáltatók és szervezetek
Ide tartoznak a postai és futárszolgáltatások; a hulladékgazdálkodás; a vegyszerek gyártása, előállítása és forgalmazása; az élelmiszertermelés, -feldolgozás, és -forgalmazás; meghatározott termékek gyártása; a digitális szolgáltatók; és a kutatás.
Önmagában a szervezet tevékenységi köre (TEÁOR szerinti besorolás) alapján nem lehet eldönteni, hogy az adott szervezet releváns tevékenységének beazonosításához, mert meg kell vizsgálni a törvény mellékletében hivatkozott ágazati jogszabályok tartalmát.
A törvény hatálya azokra a 2. és 3. melléklet szerinti szervezetekre terjed ki, amelyek középvállalkozásnak vagy nagyvállalkozásnak minősülnek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint.
Fontos, hogy a besorolás változásához a küszöbértékektől két egymást követő számviteli időszakban, illetve bevallási időszakban kell elmaradni vagy túllépni azokat, és a kapcsolt vállalkozások adatait is hozzá kell számítani az érintett szervezet adataihoz.
- Az alábbi szervezetek cégmérettől függetlenül (azaz a mikro-, és kivállalkozások is) a Kiberbiztonsági törvény hatálya alá tartoznak:
a) elektronikus hírközlési szolgáltató,
b) bizalmi szolgáltató,
c) DNS-szolgáltató,
d) legfelső szintű doménnév-nyilvántartó vagy
e) doménnév-regisztrációt végző szolgáltató, valamint
f) a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.
DE: a mikrovállalkozásnak minősülő hírközlési szolgáltatók nem kötelesek a kiberbiztonsági audit elvégeztetésére, ami nem jelenti azt, hogy ne kellene megfelelniük a Kiberbiztonsági törvényben és a kapcsolódó rendeletekben meghatározott előírásoknak, hiszen kizárólag a biztonsági megfelelés bizonyítására szolgáló kötelező audit alól mentesíti őket a törvény.
II. A fentieken túlmenően azok a szervezetek is a Kiberbiztonsági törvény hatálya alá tartoznak, amelyek egyébként nem tartoznának a törvény hatálya alá, de a nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság alapvető vagy fontos szervezetnek minősíti.
Néhány példa a törvényből, hogy mely szervezetek esetében kerülhet sor a minősítésre:
- ha legalább 20000 személynek nyújt a 2. és 3. mellékletben foglalt ágazatok szerinti, vagy az állam működéséhez szükséges szolgáltatásokat;
- ha legalább öt, a Kiberbiztonsági törvény hatálya alá tartozó szervezetnek nyújt szolgáltatásokat;
- ha alapvető vagy fontos szervezet számára adatkezelést végez;
- ha költségvetési és európai uniós forrásból támogatott projektek keretében fejleszt elektronikus információs rendszert
III. A Kiberbiztonsági törvény hatálya alá tartoznak továbbá a kritikus szervezetek ellenálló képességéről szóló törvény (Kszetv.) alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák, valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény (Vbö.) alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák.
Pl: a Kszetv végrehajtásáról szóló 474/2024. (XII. 31.) Korm. rendelet (Kszetv. Vhr.) 2. (2) bekezdése az enrgetikai ágazatban a Magyar Energetikai és Közműszabályozási Hivatal jogosult kijelölni a kritikus szervezeteket.
Szankciók
Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, akkor a jogkövetkezmények tekintetében a fokozatosság elve érvényesül:
Első körben:
az SZTFH egy felszólítást küld, amelyben megfelelő határidő tűz a követelmények, az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítására vagy a megfeleléshez szükséges intézkedések meghozatalára, a jelentéstételi, az adatszolgáltatási kötelezettségek teljesítésére
Második körben:
a felszólítás eredménytelensége esetén bírságot szab ki
A bírság mértéke
A Kiberbiztonsági törvény végrehajtási rendelete (418/2024. (XII. 23.) tartalmazza táblázatba foglaltan, és jogsértésenként megjelölve a minimum és maximum összeget.
Pl:
felügyeleti díj megfizetésének elmulasztása minimum 500.000,- Ft, maximum az éves felügyeleti díj maximum 10x-ese
Audit határidőben történő lefolytatásának elmulasztása minimum 1.000.000,- Ft, maximum 50.000.000,- Ft
A szervezet mellett a szervezet vezetőjével szemben is bírság szabható ki, ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget. A bírság összege 15 millió forintig terjed, amelyet első jogsértés esetén az SZTFH mérlegelés alapján kiszabhat, ismételt jogsértés esetén azonban nincs mérlegelési joga, azaz valamilyen összegű bírságot ki fog szabni.
Felügyeleti díj (2/2025. (I. 31.) SZTFH elnöki rendelet a kiberbiztonsági felügyeleti díjról)
A Kibertan törvény hatályba lépése óta egyértelmű volt, hogy az érintett szervezeteknek kell fizetniük az SZTFH felé ún. felügyeleti díjat (elvileg 2024. október 18. volt határidő), de az erre vonatkozó SZTFH elnöki rendelet csak 2025. január 31-én született meg.
A felügyeleti díj összege:
a tárgyévet megelőző évben közzétett utolsó, számviteli törvény szerinti beszámoló szerinti nettó árbevételének 0,00015 százaléka, ha a szervezet tárgyévet megelőző éves nettó árbevétele nem éri el a 20 milliárd forintot.
szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevételének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévet megelőző éves nettó árbevétele eléri vagy meghaladja a 20 milliárd forintot.
a 2024. 10. 18. és 2024. 12. 31. közötti időszakra fizetendő felügyeleti díj a 2024. évet megelőző utolsó, számviteli törvény alapján közzétett beszámolóval lezárt üzleti évről szóló beszámoló alapján állapítják meg.
A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékéről és megfizetésének módjáról a az SZTFH 2025. május 31-ig küld ki tájékoztatást.
A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díjat 2025. július 31-ig kell megfizetni.
DE: Ha a tárgyévben fizetendő kiberbiztonsági felügyeleti díj összege nem éri el az 5000 forintot, a kiberbiztonsági felügyeleti díjat nem kell megfizetni. Ebben az esetben az SZTFH által küldött tájékoztatás azt tartalmazza, hogy a szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettsége a tárgyévre nem áll fenn.
1/2025. (I.31.) SZTFH elnöki rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
Szerződéskötés az auditorral (ajánlatadás)
Ahhoz, hogy az auditor ajánlatot tudjon adni a szerződésre, át kell adni a részére a rendelet 1. számú melléklete szerinti nyilvántartást (ami tartalmazza az összes EIR felsorolását és biztonsági osztályba sorolását) és a 2. számú melléklet szerinti kérdőívet (amihez a rendelet szerint az SZTFH a honlapján közzé teszi a Kitöltési útmutatót, de még ilyen dokumentum nincs fent az oldalon).
A 3. (3) bekezdés ugyanis az alábbiakat tartalmazza:
A kiberbiztonsági audit elvégzésére vonatkozó megállapodás (a továbbiakban: megállapodás) megkötése céljából a szervezet az elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó 1. melléklet szerinti nyilvántartást, valamint a kitöltött, a szervezetre vonatkozó 2. melléklet szerinti kérdőívet az auditor rendelkezésére bocsátja. A 2. melléklet szerinti kérdőívhez tartozó kitöltési útmutatót a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) honlapján közzéteszi.
Tehát az ajánlatkérés előtt el kell készíteni ha még nem rendelkezik ilyen nyilvántartással a szervezet- az 1. számú melléklet szerinti nyilvántartást, és ki kell tölteni a 2. számú melléklet szerinti kérdőívet. Ez az első lépés.
Az átadott adatok alapján az auditor ad egy ajánlatot azzal, hogy az általa kért díj összege nem haladhatja meg a rendelet 3. számú mellékletében meghatározott maximum díjat.
A 3. számú mellékletnek van egy 1.1, 1.2 és 1.3 pontja, ami különböző paraméterekhez (előző üzleti év nettó árbevétele; az elektronikus információs rendszerek darabszáma; elektronikus információs rendszerek biztonsági osztálya) kapcsol egy-egy szorzószámot, és a kiberbiztonsagi audit általános forgalmi adó nélkül számított legmagasabb díja az 1.1., 1.2. es az 1.3. pont szerinti szorzószámok, valamint 1 750 000 forint szorzataként előálló összeg lesz.
Például egy max. nettó 1 millárdos árbevételű, max. 5 darab kizárólag alap biztonsági osztályba tartozó EIR-el rendelkező szervezet esetében az audit legmagasabb díja:
1.750.000 x 0,9 = 1.575.000,-Ft
1.750.000 x 1= 1.750.000,- Ft
1.750.000 x 1= 1.750.000,- Ft
Összesen: 5.075.000,- Ft
De ha van olyan EIR-je a szervezetnek, amely jelentős biztonsági osztályba tartozik, akkor a kapcsolódó szorzószám már 3, amely esetben az audit legmagasabb díja 8.575.000,- Ft lesz.
Hol találhatók meg az auditorokra vonatkozó információkat?
Az SZTFH honlapján: https://sztfh.hu/nyilvantartasok/auditorok/
HATÁRIDŐK
Nyilvántartásba vételi kérelem benyújtása az SZTFH felé:
- 2024. június 30. (a Kibertan törvény szerinti határidő)
- a működés megkezdését követő vagy a Kiberbiztonsági törvény hatálya alá kerülést követő 30 nap (a hatályos Kiberbiztonsági törvény szerinti határidő)
Aki a Kiberbiztonsági törvény hatályba lépése előtt benyújtotta a nyilvántartásba vétel iránti kérelmet, annak nem kell újra bejelentkeznie, DE: amennyiben EU-s tagállamban is nyújt szolgáltatást, akkor 2025. február 15-ig a kérelem adatlapon be kell jelentenie az érintett EU-s tagállamok listáját, amelyekben szolgáltatást nyújt.
Megállapodás megkötése a nyilvántartásba vett auditorral:
- azon szervezetek esetében, amelyek 2025. január 1-je előtt megkezdték működésüket: 2025. augusztus 31.
- egyébként a nyilvántartásba vételt követő 120 nap
Első kiberbiztonsági audit elvégzése:
- az a szervezet, amely 2025. január 1-je előtt megkezdte működését, első kiberbiztonsági auditot 2026. június 30-ig köteles elvégeztetni.
- az a szervezet, amely 2025. január 1-je után kezdte meg a működést, első kiberbiztonsági auditot a nyilvántartásba vételét követő két éven belül elvégeztetni.