Dr. farkas eszter ügyvéd

Kiberbiztonság, NIS2

Mi a NIS2? 

A NIS2 egy Európai Uniós szintű kiberbiztonsági irányelv (2022/2555), amely meghatározza a kritikus szektorokban működő és szolgáltatásokat nyújtó szervezetek számára azokat a digitális biztonsági szabályokat, amelyeknek meg kell felelniük ennek érdekében.

Bár mindenhol a NIS2 Irányelvnek való megfelelésről lehet olvasni, maga a NIS2 Irányelv nem alkalmazandó közvetlenül az EU tagállamaiban, így Magyarországon sem, viszont az Irányelv rendelkezéseit a tagállamok kötelesek beépíteni a saját nemzeti jogrendszerükbe.

Magyarországon ezt valósította meg a 2024. december 31. napjával hatályát vesztett ún. Kibertan törvény (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) , és az annak helyébe lépő, jelenleg hatályos Kiberbiztonsági törvény. (2024. évi LXIX törvény Magyarország kiberbiztonságáról)

Tekintettel arra, hogy Ügyfeleim alapvetően a KKV szektorba tartoznak, az alábbiakban kizárólag a KKV-kat érintő fontosabb törvényi rendelkezéseket ismertetem.

Kik tartoznak a Kiberbiztonsági törvény hatálya alá?

Erre a kérdésre az érintett szervezet mérete és/vagy az általa végzett tevékenység alapján adható meg a válasz.

A Kiberbizonsági törvény 2. és 3. számú melléklete két kategóriába sorolja a törvény hatálya alá tartozó iparágakat:

  • Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:

Ide tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT-szolgáltatások (vállalkozások között), űralapú szolgáltatások.

  • Kockázatos ágazatokban működő szolgáltatók és szervezetek

Ide tartoznak a postai és futárszolgáltatások; a hulladékgazdálkodás; a vegyszerek gyártása, előállítása és forgalmazása; az élelmiszertermelés, -feldolgozás, és -forgalmazás; meghatározott termékek gyártása; a digitális szolgáltatók; és a kutatás.

Önmagában a szervezet tevékenységi köre (TEÁOR szerinti besorolás) alapján nem lehet eldönteni, hogy az adott szervezet releváns tevékenységének beazonosításához, mert meg kell vizsgálni a törvény mellékletében hivatkozott ágazati jogszabályok tartalmát.

A törvény hatálya azokra a 2. és 3. melléklet szerinti szervezetekre terjed ki, amelyek középvállalkozásnak vagy nagyvállalkozásnak minősülnek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint.

Fontos, hogy a besorolás változásához a küszöbértékektől két egymást követő számviteli időszakban, illetve bevallási időszakban kell elmaradni vagy túllépni azokat, és a kapcsolt vállalkozások adatait is hozzá kell számítani az érintett szervezet adataihoz.

Az alábbi szervezetek cégmérettől függetlenül (azaz a mikro-, és kivállalkozások is) a Kiberbiztonsági törvény hatálya alá tartoznak:

  1. a) elektronikus hírközlési szolgáltató,
  2. b) bizalmi szolgáltató,
  3. c) DNS-szolgáltató,
  4. d) legfelső szintű doménnév-nyilvántartó vagy
  5. e) doménnév-regisztrációt végző szolgáltató, valamint
  6. f) a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

DE: a mikrovállalkozásnak minősülő hírközlési szolgáltatók nem kötelesek a kiberbiztonsági audit elvégeztetésére, ami nem jelenti azt, hogy ne kellene megfelelniük a Kiberbiztonsági törvényben és a kapcsolódó rendeletekben meghatározott előírásoknak, hiszen kizárólag a biztonsági megfelelés bizonyítására szolgáló kötelező audit alól mentesíti őket a törvény.

A fentieken túlmenően azok a szervezetek is a Kiberbiztonsági törvény hatálya alá tartoznak, amelyek egyébként nem tartoznának a törvény hatálya alá, de a nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság alapvető vagy fontos szervezetnek minősíti.

Néhány példa a törvényből, hogy mely szervezetek esetében kerülhet sor a minősítésre:

  • ha legalább 20000 személynek nyújt a 2. és 3. mellékletben foglalt ágazatok szerinti, vagy az állam működéséhez szükséges szolgáltatásokat;
  • ha legalább öt, a Kiberbiztonsági törvény hatálya alá tartozó szervezetnek nyújt szolgáltatásokat;
  • ha alapvető vagy fontos szervezet számára adatkezelést végez;
  • ha költségvetési és európai uniós forrásból támogatott projektek keretében fejleszt elektronikus információs rendszert

Szankciók

Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, akkor a jogkövetkezmények tekintetében a fokozatosság elve érvényesül:

Első körben:

– az SZTFH egy felszólítást küld, amelyben megfelelő határidő tűz a követelmények, az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítására vagy a megfeleléshez szükséges intézkedések meghozatalára, a jelentéstételi, az adatszolgáltatási kötelezettségek teljesítésére

Második körben:

– a felszólítás eredménytelensége esetén bírságot szab ki

A bírság mértéke

A Kiberbiztonsági törvény végrehajtási rendelete (418/2024. (XII. 23.) tartalmazza táblázatba foglaltan, és jogsértésenként megjelölve a minimum és maximum összeget.

Pl:

felügyeleti díj megfizetésének elmulasztása – minimum 500.000,- Ft, maximum az éves felügyeleti díj maximum 10x-ese

Audit határidőben történő lefolytatásának elmulasztása – minimum 1.000.000,- Ft, maximum 50.000.000,- Ft

A szervezet mellett a szervezet vezetőjével szemben is bírság szabható ki, ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget. A bírság összege 15 millió forintig terjed, amelyet első jogsértés esetén az SZTFH mérlegelés alapján kiszabhat, ismételt jogsértés esetén azonban nincs mérlegelési joga, azaz valamilyen összegű bírságot ki fog szabni.

Felügyeleti díj (2/2025. (I. 31.) SZTFH elnöki rendelet a kiberbiztonsági felügyeleti díjról)

A Kibertan törvény hatályba lépése óta egyértelmű volt, hogy az érintett szervezeteknek kell fizetniük az SZTFH felé ún. felügyeleti díjat (elvileg 2024. október 18. volt határidő), de az erre vonatkozó SZTFH elnöki rendelet csak most, 2025. január 31-én született meg.

A felügyeleti díj összege:

  • a tárgyévet megelőző évben közzétett utolsó, számviteli törvény szerinti beszámoló szerinti nettó árbevételének 0,00015 százaléka, ha a szervezet tárgyévet megelőző éves nettó árbevétele nem éri el a 20 milliárd forintot.
  • szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevételének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévet megelőző éves nettó árbevétele eléri vagy meghaladja a 20 milliárd forintot.
  • a 2024. 10. 18. és 2024. 12. 31. közötti időszakra fizetendő felügyeleti díj a 2024. évet megelőző utolsó, számviteli törvény alapján közzétett beszámolóval lezárt üzleti évről szóló beszámoló alapján állapítják meg.

A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékéről és  megfizetésének módjáról a az SZTFH 2025. május 31-ig küld ki tájékoztatást.

A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díjat 2025. július 31-ig kell megfizetni.

DE: Ha a tárgyévben fizetendő kiberbiztonsági felügyeleti díj összege nem éri el az 5000 forintot, a kiberbiztonsági felügyeleti díjat nem kell megfizetni. Ebben az esetben az SZTFH által küldött tájékoztatás azt tartalmazza, hogy a szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettsége a tárgyévre nem áll fenn.

1/2025. (I.31.) SZTFH elnöki rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról

Szerződéskötés az auditorral (ajánlatadás)

Ahhoz, hogy az auditor ajánlatot tudjon adni a szerződésre, át kell adni a részére a rendelet 1. számú melléklete szerinti nyilvántartást (ami tartalmazza az összes EIR felsorolását és biztonsági osztályba sorolását) és a 2. számú melléklet szerinti kérdőívet (amihez a rendelet szerint az SZTFH a honlapján közzé teszi a Kitöltési útmutatót, de még ilyen dokumentum nincs fent az oldalon).

A 3. § (3) bekezdés ugyanis az alábbiakat tartalmazza:

A kiberbiztonsági audit elvégzésére vonatkozó megállapodás (a továbbiakban: megállapodás) megkötése céljából a szervezet az elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó 1. melléklet szerinti nyilvántartást, valamint a kitöltött, a szervezetre vonatkozó 2. melléklet szerinti kérdőívet az auditor rendelkezésére bocsátja. A 2. melléklet szerinti kérdőívhez tartozó kitöltési útmutatót a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) honlapján közzéteszi.

Tehát az ajánlatkérés előtt el kell készíteni – ha még nem rendelkezik ilyen nyilvántartással a szervezet- az 1. számú melléklet szerinti nyilvántartást, és ki kell tölteni a 2. számú melléklet szerinti kérdőívet. Ez az első lépés.

Az átadott adatok alapján az auditor ad egy ajánlatot azzal, hogy az általa kért díj összege nem haladhatja meg a rendelet 3. számú mellékletében meghatározott maximum díjat.

A 3. számú mellékletnek van egy 1.1, 1.2 és 1.3 pontja, ami különböző paraméterekhez (előző üzleti év nettó árbevétele; az elektronikus információs rendszerek darabszáma; elektronikus információs rendszerek biztonsági osztálya) kapcsol egy-egy szorzószámot, és a kiberbiztonsagi audit – általános forgalmi adó nélkül számított – legmagasabb díja az 1.1., 1.2. es az 1.3. pont szerinti szorzószámok, valamint 1 750 000 forint szorzataként előálló összeg lesz.

Például egy max. nettó 1 millárdos árbevételű, max. 5 darab kizárólag alap biztonsági osztályba tartozó EIR-el rendelkező szervezet esetében az audit legmagasabb díja:

1.750.000 x 0,9= 1.575.000,-Ft

1.750.000 x 1=     1.750.000,- Ft

1.750.000 x 1=     1.750.000,- Ft

Összesen:              5.075.000,- Ft

De ha van olyan EIR-je a szervezetnek, amely „jelentős” biztonsági osztályba tartozik, akkor a kapcsolódó szorzószám már 3, amely esetben az audit legmagasabb díja 8.575.000,- Ft lesz.

Mivel a Kibertan.tv. helyébe lépett, Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 89. § (2) bekezdés értelmében 2025 december 31-ig, azaz még ebben az évben el kell végeztetni az auditot, érdemes minél hamarabb szerződést kötni a kiválasztott auditorral, bár véleményem szerint képtelenség lesz tartani a dec. 31-i időpontot, mivel kevés az auditor (jelenleg 7 alap, 2 jelentős és 1 magas) és sok az érintett szervezet.

Hol találhatók meg az auditorokra vonatkozó információkat?

Az SZTFH honlapján: https://sztfh.hu/nyilvantartasok/auditorok/

HATÁRIDŐK

Nyilvántartásba vételi kérelem benyújtása az SZTFH felé:

  • 2024. június 30. (a Kibertan törvény szerinti határidő)
  • a működés megkezdését követő vagy a Kiberbiztonsági törvény hatálya alá kerülést követő 30 nap (a hatályos Kiberbiztonsági törvény szerinti határidő)

Aki a Kiberbiztonsági törvény hatályba lépése előtt benyújtotta a nyilvántartásba vétel iránti kérelmet, annak nem kell újra bejelentkeznie, DE: amennyiben EU-s tagállamban is nyújt szolgáltatást, akkor 2025. február 15-ig a kérelem adatlapon be kell jelentenie az érintett EU-s tagállamok listáját, amelyekben szolgáltatást nyújt.

Megállapodás megkötése a nyilvántartásba vett auditorral: 

  • 2024. december 31. (a Kibertan törvény szerinti határidő)
  • a nyilvántartásba vételt követő 120 nap (a hatályos Kiberbiztonsági törvény szerinti határidő)

Első kiberbiztonsági audit elvégzése:

  • az a szervezet, amely 2025. január 1-je előtt megkezdte működését, első kiberbiztonsági auditot december 31-ig köteles elvégeztetni.
  • az a szervezet, amely 2025. január 1-je után kezdte meg a működést, első kiberbiztonsági auditot a nyilvántartásba vételét követő két éven belül elvégeztetni.
KÉRDÉSE VAN?

Forduljon hozzám bizalommal!

Irodám a Budapest II. kerületében (Víziváros) a Batthyány tértől 200 méterre található a Fő utca 51. szám alatt, amely tömegközlekedéssel (M2
metró, 19-es és 41-es villamos) és személygépkocsival is könnyen megközelíthető.

IDŐPONTOT KÉREK

Elérhetőségeim

Ezt a honlapot a Budapesti Ügyvédi Kamarába bejegyzett Dr. Farkas Eszter (KASZ: 36059773) egyéni ügyvéd tartja fent az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a Magyar Ügyvédi Kamara honlapján találhatók. Az ügyvédi honlap tartalmára és megjelenésére vonatkozó rendelkezéseket a Magyar Ügyvédi Kamara által megalkotott, az ügyvédi hivatás etikai szabályairól és elvárásairól szóló szabályzat tartalmazza. Tájékoztatom, hogy a honlapomon elérhető tartalmak kizárólag tájékoztató jellegűek és nem minősülnek  ajánlattételnek, ajánlattételre történő felhívásnak vagy konkrét jogi tanácsadásnak

Adatkezelési Tájékoztató