2024.06.26.

Elindult a végső visszaszámlálás: közeledik a határidő a kiberbiztonsági megfelelésre

Szerző:

Kategóriák:

Közeledik a határidő a NIS2 irányelv szerinti kiberbiztonsági megfelelésre Magyarországon. Az új jogszabály célja az információs és kommunikációs technológiai termékek védelmének erősítése.

Dr. Hetényi Kinga és dr. Menczelesz Adrián, a Schönherr Hetényi Ügyvédi Iroda szakértői ismertetik a legfontosabb tudnivalókat a cégek kötelezettségeiről és a szabályok be nem tartásának következményeiről.

A törvény meghatározza a kiberbiztonság nemzeti kereteit, megszabva az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait.

A cél az, hogy kedvező feltételeket teremtsenek a fogyasztók számára, hogy – személyes adataik, fényképeik vagy éppen a pénzük védelme érdeklében – figyelembe vehessék a termékek kiberbiztonsági szintjét és szükség esetén a kiberbiztonsági felügyelethez fordulhassanak.

A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén.

A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek.

1. A törvény hatálya alá tartozó ágazatok és vállalatok

A mikro- és kisvállalkozások (amelyeknek kevesebb, mint 10 vagy 50 alkalmazottja, illetve 2 vagy 10 millió EUR forgalma van) általában mentesülnek a törvény hatálya alól. Ha azonban egy ilyen vállalat elektronikus hírközlési, bizalmi, DNS, legfelső szintű domainnév-regisztrációs vagy domainnév-regisztrációs szolgáltatást nyújt, a törvény a vállalat méretétől függetlenül vonatkozik rá.

Közepes és nagyvállalatok (50 főnél több alkalmazott és 10 millió eurónál nagyobb árbevételű cégek) esetében a törvény a fent említett információs szolgáltatások mellett számos más típusú szolgáltatásra is kiterjed. Ezek a szolgáltatásfajták kockázatos és magas kockázatú szolgáltatási ágazatokra oszlanak.

A kockázatos szolgáltatási ágazatba tartoznak:

  • a postai és futárszolgálatok,
  • az élelmiszer -előállítás -feldolgozás és -forgalmazás,
  • a hulladékgazdálkodás,
  • a vegyi anyagok gyártása és forgalmazása,
  • egyes termékek és berendezések, például orvosi és sebészeti műszerek, számítógépes, elektronikus és optikai termékek, elektromos berendezések, egyéb gépek, járművek, szállítóeszközök, cement, gipsz és mésztermékek gyártása,
  • digitális szolgáltatók és a kutatólaboratóriumok.

A magas kockázatú szolgáltatási ágazatba tartoznak a legjelentősebb stratégiai tevékenységek:

  • energia (villamos energia, távfűtés és távhűtés, kőolaj, földgáz, hidrogén),
  • közlekedés (légi közlekedés, vasúti közlekedés, közúti közlekedés, vízi közlekedés, tömegközlekedés),
  • egészségügy,
  • víziközmű-szolgáltatások (ivóvíz és szennyvíz),
  • távközlés,
  • digitális infrastruktúra,
  • kiszervezett IKT, és
  • űralapú szolgáltatások.

Fontos megjegyezni, hogy a szoftverfejlesztési tevékenység önmagában nem tartozik a törvény hatálya alá.

A szoftverfejlesztők esetében többek között azt is vizsgálni kell, hogy az ilyen fejlesztő kiszervezett szolgáltatónak minősül-e, mivel a gyakorlatban a fejlesztő gyakran nyújt a szoftverfejlesztéshez kapcsolódó egyéb szolgáltatásokat is (pl. a szoftver telepítése vagy karbantartása).

Hasonlóképpen egyes felhőszolgáltatók is a törvény hatálya alá tartozhatnak.
Továbbá az érintett vállalatoknak gondoskodniuk kell arról is, hogy a beszállítói, alvállalkozói stb. is megfeleljenek a törvény bizonyos céljainak (pl. a rendszereik védelmének, megbízhatóságának és rendelkezésre állásának biztosítása).

Így az érintett vállalatoknak az ilyen érintett alvállalkozóval, beszállító céggel szerződést kell kötniük a törvényben előírt kiberbiztonsági intézkedéseket biztosító feltételekkel.

2. Ütemterv 2024-re

Vészesen közeledik az első fontos határidő 2024. június 30-a. E határidőig az érintett vállalatoknak végre kell hajtaniuk a következőket:

  • önelemzést kell végezniük (pl. a vállalat mérete, a folytatott tevékenységek alapján mely szabályok vonatkoznak rájuk),
  • osztályozniuk kell az elektronikus információs rendszereiket a kiberbiztonsági osztály (alap, jelentős vagy magas biztonsági osztály) alapján,
  • ki kell jelölniük egy olyan személyt, aki felelős az elektronikus információs rendszereik biztonságáért,
  • technikai adatokat kell gyűjteniük az elektronikus információs rendszereikről (pl. domainnevek, weboldalak, ügyfélszolgálati rendszer),
  • adatokat kell gyűjteniük a beszállítóikról, alvállalkozóikról, valamint
  • kérelmet kell benyújtaniuk a Szabályozott Tevékenységek Felügyeleti Hatóságához nyilvántartásba vételük céljából.

A második fontos határidő 2024. október 18-a. E határidőig az érintett vállalkozások kötelesek (i) felügyeleti díjat fizetni a Szabályozott Tevékenységek Felügyeleti Hatóságának (a felügyeleti díj részletes szabályozása még nem jelent meg, de a díj az előző évi árbevétel legfeljebb 0,15%-ában, de legfeljebb 10 millió forintban (kb. 26 000 euró) került maximalizálásra), valamint (ii) be kell vezetniük és alkalmazniuk kell az elektronikus információs rendszereik biztonsági osztályának megfelelő biztonsági intézkedéseket.

A harmadik határidő 2024. december 31. E határidőig az érintett vállalatoknak szerződést kell kötniük egy független auditorral, akinek 2025. december 31-ig el kell végeznie az első NIS2-nek megfelelő kiberbiztonsági ellenőrzést.

3. Szankciók a meg nem felelés esetén

A Szabályozott Tevékenységek Felügyeleti Hatósága különböző intézkedésekkel biztosítja, hogy az érintett vállalat megfeleljen a törvénynek.

A hatóság felügyeleti eljárásokat folytathat, rendkívüli kiberbiztonsági ellenőrzést rendelhet el, utasítást adhat ki a megfelelés biztosítására vagy a vállalat ügyfeleinek a potenciális kiberbiztonsági kockázatokról való tájékoztatására, és/vagy 10 millió euróig vagy az érintett vállalat teljes világméretű éves forgalmának 2%-áig terjedő bírságot szabhat ki.

A hatóság megtilthatja továbbá az érintett vállalatnak, hogy bizonyos szolgáltatási tevékenységeket folytasson.

A Szabályozott Tevékenységek Felügyeleti Hatósága tájékoztatása szerint Magyarországon 2546 vállalkozás folytat tevékenységet az érintett ágazatokban.

A magyarországi cégek jelentős részének tehát közvetlenül vagy közvetve érintett vállalatként hamarosan meg kell felelnie a törvénynek.

Mint a Szabályozott Tevékenységek Felügyeleti Hatósága által közvetített felfogás is mutatja, „kétféle vállalat létezik: olyanok, amelyeket már kibertámadás ért, és olyanok, amelyeket támadás fog érni”. A kiberbiztonsági megfelelés fontosabb, mint valaha, és ez a megfelelés nem pusztán informatikai, hanem jogi kihívás is.

Szerzők: dr. Hetényi Kinga és dr. Menczelesz Adrián, Schönherr Hetényi Ügyvédi Iroda Címlapfotó: stock.adobe.com | Licenc: FinTech Group

Címkék: