A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek.
A törvény hatálya alá tartozó ágazatok és vállalatok
A mikro- és kisvállalkozások (amelyeknek kevesebb, mint 10 vagy 50 alkalmazottja, illetve 2 vagy 10 millió EUR forgalma van) általában mentesülnek a törvény hatálya alól. Ha azonban egy ilyen vállalat elektronikus hírközlési, bizalmi, DNS, legfelső szintű domainnév-regisztrációs vagy domainnév-regisztrációs szolgáltatást nyújt, a törvény a vállalat méretétől függetlenül vonatkozik rá.
Közepes és nagyvállalatok (50 főnél több alkalmazott és 10 millió eurónál nagyobb árbevételű cégek) esetében a törvény a fent említett információs szolgáltatások mellett számos más típusú szolgáltatásra is kiterjed. Ezek a szolgáltatásfajták kockázatos és magas kockázatú szolgáltatási ágazatokra oszlanak.
A kockázatos szolgáltatási ágazatba tartoznak:
a postai és futárszolgálatok,
az élelmiszer-előállítás -feldolgozás és -forgalmazás,
a hulladékgazdálkodás,
a vegyi anyagok gyártása és forgalmazása,
egyes termékek és berendezések, például orvosi és sebészeti műszerek, számítógépes, elektronikus és optikai termékek, elektromos berendezések, egyéb gépek, járművek, szállítóeszközök, cement, gipsz és mésztermékek gyártása,
digitális szolgáltatók és a kutatólaboratóriumok.
A magas kockázatú szolgáltatási ágazatba tartoznak a legjelentősebb stratégiai tevékenységek:
energia (villamos energia, távfűtés és távhűtés, kőolaj, földgáz, hidrogén),
közlekedés (légi közlekedés, vasúti közlekedés, közúti közlekedés, vízi közlekedés, tömegközlekedés),
egészségügy,
víziközmű-szolgáltatások (ivóvíz és szennyvíz),
távközlés,
digitális infrastruktúra,
kiszervezett IKT, és
űralapú szolgáltatások.
Fontos megjegyezni, hogy a szoftverfejlesztési tevékenység önmagában nem tartozik a törvény hatálya alá. A szoftverfejlesztők esetében többek között azt is vizsgálni kell, hogy az ilyen fejlesztő kiszervezett szolgáltatónak minősül-e, mivel a gyakorlatban a fejlesztő gyakran nyújt a szoftverfejlesztéshez kapcsolódó egyéb szolgáltatásokat is (pl. a szoftver telepítése vagy karbantartása). Hasonlóképpen egyes felhőszolgáltatók is a törvény hatálya alá tartozhatnak.
Továbbá az érintett vállalatoknak gondoskodniuk kell arról is, hogy a beszállítói, alvállalkozói stb. is megfeleljenek a törvény bizonyos céljainak (pl. a rendszereik védelmének, megbízhatóságának és rendelkezésre állásának biztosítása), így az érintett vállalatoknak az ilyen érintett alvállalkozóval, beszállító céggel szerződést kell kötniük a törvényben előírt kiberbiztonsági intézkedéseket biztosító feltételekkel.
Ütemterv 2024-re
Vészesen közeledik az első fontos határidő 2024. június 30-a.E határidőig az érintett vállalatoknak végre kell hajtaniuk a következőket:
önelemzést kell végezniük (pl. a vállalat mérete, a folytatott tevékenységek alapján mely szabályok vonatkoznak rájuk),
osztályozniuk kell az elektronikus információs rendszereiket a kiberbiztonsági osztály (alap, jelentős vagy magas biztonsági osztály) alapján,
ki kell jelölniük egy olyan személyt, aki felelős az elektronikus információs rendszereik biztonságáért,
technikai adatokat kell gyűjteniük az elektronikus információs rendszereikről (pl. domainnevek, weboldalak, ügyfélszolgálati rendszer),
adatokat kell gyűjteniük a beszállítóikról, alvállalkozóikról, valamint
kérelmet kell benyújtaniuk a Szabályozott Tevékenységek Felügyeleti Hatóságához nyilvántartásba vételük céljából.
A második fontos határidő 2024. október 18-a. E határidőig az érintett vállalkozások kötelesek (i) felügyeleti díjat fizetni a Szabályozott Tevékenységek Felügyeleti Hatóságának (a felügyeleti díj részletes szabályozása még nem jelent meg, de a díj az előző évi árbevétel legfeljebb 0,15%-ában, de legfeljebb 10 millió forintban (kb. 26 000 euró) került maximalizálásra), valamint (ii) be kell vezetniük és alkalmazniuk kell az elektronikus információs rendszereik biztonsági osztályának megfelelő biztonsági intézkedéseket.
A harmadik határidő 2024. december 31. E határidőig az érintett vállalatoknak szerződést kell kötniük egy független auditorral, akinek 2025. december 31-ig el kell végeznie az első NIS2-nek megfelelő kiberbiztonsági ellenőrzést.
Szankciók a meg nem felelés esetén
A Szabályozott Tevékenységek Felügyeleti Hatósága különböző intézkedésekkel biztosítja, hogy az érintett vállalat megfeleljen a törvénynek. A hatóság felügyeleti eljárásokat folytathat, rendkívüli kiberbiztonsági ellenőrzést rendelhet el, utasítást adhat ki a megfelelés biztosítására vagy a vállalat ügyfeleinek a potenciális kiberbiztonsági kockázatokról való tájékoztatására, és/vagy 10 millió euróig vagy az érintett vállalat teljes világméretű éves forgalmának 2%-áig terjedő bírságot szabhat ki. A hatóság megtilthatja továbbá az érintett vállalatnak, hogy bizonyos szolgáltatási tevékenységeket folytasson.
A Szabályozott Tevékenységek Felügyeleti Hatósága tájékoztatása szerint Magyarországon 2546 vállalkozás folytat tevékenységet az érintett ágazatokban. A magyarországi cégek jelentős részének tehát közvetlenül érintett vállalatként, vagy közvetve érintett vállalatként hamarosan meg kell felelnie a törvénynek. Mint a Szabályozott Tevékenységek Felügyeleti Hatósága által közvetített felfogás is mutatja, "kétféle vállalat létezik: olyanok, amelyeket már kibertámadás ért, és olyanok, amelyeket támadás fog érni". A kiberbiztonsági megfelelés fontosabb, mint valaha, és ez a megfelelés nem pusztán informatikai, hanem jogi kihívás is.
Szerzők: dr. Hetényi Kinga és dr. Menczelesz Adrián, Schönherr Hetényi Ügyvédi Iroda
A Schönherr Hetényi Ügyvédi Irodáról
A Schönherr magyarországi irodája 2008-ban alakult, amikor egy tapasztalt jogi szakemberekből álló csapat csatlakozott a Schönherr nemzetközi irodához. Az iroda nagy múltra tekint vissza a külföldi befektetők képviseletében, különösen a banki és finanszírozási tranzakciók, energia projektek, vállalatfelvásárlások és zöldmezős beruházások, társasági és munkajogi ügyek, vállalati összefonódások és a versenyjog egyéb területein, pénzügyi és fizetésképtelenségi eljárásokban, valamint ingatlanforgalmazással, kivitelezéssel és fejlesztéssel kapcsolatos ügyekben, ideértve a nagyléptékű infrastrukturális és energia projekteket is. A csapat ezen kívül számos jelentős nagyvállalati ügyfél számára végez folyamatos jogi tanácsadást általános társasági jogi, kereskedelmi és szabályozási, valamint ingatlan- és munkajogi ügyekben. Az iroda az utóbbi időben egyre több hazai és nemzetközi vállalat, mint ügyfél számára vált vonzóvá az energiaipari, élelmiszeripari, technológiai, valamint a banki és biztosítási szektorban. Az iroda jogászai a magyar nyelven kívül angol és német nyelven állnak az ügyfelek rendelkezésére