Magyarországon a NIS2 Irányelv átültetése már 2023. májusában megtörtént a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről 2023. évi XXIII. törvény megalkotásával. A NIS2 irányelvet átültető jogszabály értelmében a hazai érintett szervezeteknek 2024. június 30-ig kell kérelmeznie a nyilvántartásba vételt.
Frissítés (2025. január 2.): 2025. január 1-jén hatályba lépett az új kiberbiztonságról szóló törvény, amely a NIS2 irányelv korábbiaknál pontosabb implementációjára szolgál és amely többek között a 2023-ban hatályba lépett kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényt (Kibertantv.) is hatályon kívül helyezi. Az új törvény szerint azok az érintett szervezetek, amelyek 2025. január 1-je előtt megkezdték működésüket (és emiatt már tavaly regisztrálniuk kellett, valamint nyilvántartásba is vette őket a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH)) 2025. december 31-ig kötelesek elvégeztetni az első kiberbiztonsági auditot, a többi szervezetnek a nyilvántartásba vételét követő két éven belül van erre ideje.
Mint az új magyar jogszabály elnevezése is mutatja, a törvény a NIS2 Irányelv átültetése mellett az ENISA-ról és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló EU rendelet (kiberbiztonsági jogszabály) végrehajtásához szükséges rendelkezéseket is megállapítja.
Érintett szervezetek
A NIS2 szabályait átültető magyar szabályokat a törvény 1. melléklete szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek (a továbbiakban együtt: érintett szervezetek) elektronikus információs rendszereire kell alkalmazni. A lista gyakorlatilag megegyezik a NIS2 Irányelv I. és II. mellékletében foglalt listával.
A jogszabályt – néhány kivételtől eltekintve, pl. hírközlési szolgáltatók – nem kell alkalmazni a mikro- és kisvállalkozásokra (küszöbértékek: 50 munkavállalónál kevesebb foglalkoztatott és legfeljebb 10 millió eurónak megfelelő nettó árbevétel vagy mérlegfőösszeg). A törvényt nem kell alkalmazni továbbá a honvédelmi célú elektronikus információs rendszerekre és hálózatokra, valamint az európai vagy nemzeti létfontosságú rendszerelemmé kijelölt rendszerelemeknek a létfontosságú tevékenységben közreműködő elektronikus információs rendszereinek védelmére.
Joghatóság
A magyar jogszabály nem ülteti át a NIS2 Irányelv joghatóságra vonatkozó szabályait, amelyek szerint a hatálya alá tartozó szervezeteket a letelepedésük szerinti tagállam joghatósága alá tartozónak kell tekinteni. Ha a szervezet több tagállamban nyújt szolgáltatásokat vagy több tagállamban is letelepedett, akkor a szervezet külön és egyidejűleg minden érintett tagállam joghatósága alá tartozik.
Akadnak azonban kivételek, így többek között a nyilvánosan elérhető hírközlési szolgáltatásokat nyújtó elektronikus hírközlési szolgáltatók a szolgáltatásnyújtásuk helye szerinti tagállam joghatósága alá tartoznak, míg a DNS-szolgáltatókat, legfelső szintű doménnév-nyilvántartókat és doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteket, felhőszolgáltatókat, adatközpont-szolgáltatókat, tartalomszolgáltató hálózati szolgáltatókat, irányított szolgáltatókat és irányított biztonsági szolgáltatókat, valamint az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatóit azon tagállam joghatósága alá tartozónak kell tekinteni, ahol az üzleti tevékenységük fő helye található.
Lépcsőzetes megközelítésben szükséges megállapítani azt, hogy mi tekinthető az üzleti tevékenység fő helyének: elsősorban azt kell figyelembe venni, ahol a kiberbiztonsági döntéseket túlnyomó részt meghozzák, ha pedig ilyen nem határozható meg, akkor a kiberbiztonsági műveletek helyszínét kell irányadónak tekinteni. Abban az esetben, ha erre sem lehet támaszkodni, akkor a szervezet legmagasabb munkavállalói létszámmal rendelkező telephelye szerinti tagállamnak lesz joghatósága.
Mindezek a szabályok azonban a magyar jogszabályba nem kerültek átültetésre, amely problematikus lehet, hiszen az Európai Unió irányelveiben foglalt rendelkezések csak külön tagállami átültető aktusok révén hivatkozhatók közvetlenül, néhány igen ritka eset kivételével. Ezért a több tagállamban is letelepedett, fent felsorolt tevékenységet folytató szervezeteknek kockázatelemzést célszerű folytatniuk, hogy kívánnak-e Magyarországon regisztrálni, abban az esetben, ha a fenti szabályok alapján nem feltétlenül tartoznának magyarországi joghatóság alá.
Intézkedések
A magyar jogszabály a NIS2 szabályaival összhangban az érintett szervezetek elektronikus információs rendszereinek és azok fizikai környezetének kíván védelmet biztosítani minden olyan eseménytől, amely veszélyeztetheti a tárolt, továbbított vagy feldolgozott adatokat, információkat, továbbá az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
Ennek érdekében az érintett szervezeteknek számos kockázatkezelési intézkedést kell bevezetniük, ilyen többek között az információbiztonsági irányítási rendszer létrehozása, a kockázatok feltárása és elemzése, valamint a biztonságot veszélyeztető események megelőzése, felismerése, kezelése és hatásainak csökkentése. Az intézkedéseknek ki kell terjednie továbbá az üzletmenet-folytonosságra és az elektronikus információs rendszerek, valamint az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére és üzemeltetésére.
Amennyiben az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában, vagy javításában közreműködőt vesz igénybe, úgy a feltételeknek a közreműködő esetén is teljesülnie kell.
Az érintett szervezetek vezetői kötelesek az elektronikus információs rendszerek biztonságáért felelős személyt kijelölni, és meghatározni felelősségi köreit. Emellett gondoskodniuk kell arról, hogy a felhasználókra vonatkozó szabályok egyértelműek legyenek, valamint információbiztonsági képzéseket kell biztosítaniuk a munkavállalóik részére.
Az érintett szervezeteknek 2024. június 30-ig kell regisztrálni Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH).
Biztonsági osztályba sorolás – már a részletszabályok is ismertek
Az érintett szervezeteknek az elektronikus információs rendszereiket biztonsági osztályokba kell sorolniuk (alap, jelentős vagy magas biztonsági osztály). A biztonsági osztályba sorolás szempontrendszere miniszteri rendeletben került meghatározásra, amely 2024. június 24-én került kihirdetésre (7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről). A besorolás alapján az érintett szervezet az elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt követelményeket szintén a miniszteri rendeletben meghatározott módon teljesíti.
Az érintett szervezet a kockázatelemzés és a kockázatok kezelése körében azonosítja és dokumentálja az elektronikus információs rendszer bizalmassága, sértetlensége és rendelkezésre állása szempontjából értelmezhető fenyegetéseket a rendeletben foglalt fenyegetéskatalógus elemeinek vizsgálatával.
Audit
Az érintett szervezetek kétévente kötelesek kiberbiztonsági auditot elvégeztetni, amellyel bizonyítani tudják, hogy az elektronikus információ rendszereik biztonsági osztályba sorolásának megfelelő védelmi intézkedéseket bevezették be. Auditot kizárólag az SZTFH rendeletében meghatározott feltételeknek megfelelő, nyilvántartásba vett auditor végezhet (lásd 7/2024. (VI. 24.) SZTFH rendelet). Az audit eredményét az auditor egyenesen megküldi az SZTFH-nak és már az audit lefolytatása során tájékoztatja az hatóságot, ha olyan súlyos körülményt állapít meg, ami az adott szervezet folyamatos működését veszélyezteti.
Kiberbiztonsági esemény jelentése
Ha az elektronikus információs rendszerben olyan biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget, amely
a) az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz, vagy
b) jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára,
úgy az érintett szervezet köteles haladéktalanul az eseménykezelő központ (a Nemzetbiztonsági Szakszolgálat keretei között működő Nemzeti Kibervédelmi Intézet) részére bejelentést tenni. Az incidens bejelentésére 72 óra áll rendelkezésre.
Fontos határidők
Az érintett szervezetek első kötelezettségének teljesítési határideje már hamarosan lejár: június 30-ig regisztrálniuk kell a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen, hogy bekerüljenek a nyilvántartásba.
Felügyeleti eszközök
Az SZTFH számos felügyeleti eszközzel fog rendelkezni a jogszabály betartása érdekében: többek között nyilvántartást vezet, rendkívüli auditot rendelhet el, dokumentációt kérhet be, figyelmeztethet, intézkedések meghozatalát rendelheti el és eltilthat a veszélyeztető tevékenységektől, végső esetben pedig bírságolhat is.
Szerzők: Kozma Zoltán, Almásy Márk
Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető
Kozma Zoltán
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
Legfrissebb blogcikkeink
Interview with Zoltán Kozma | BBJ: The Most Influential Legal Executives in Hungary 2025
In the latest edition of BBJ’s “The Most Influential Legal Executives in Hungary 2025” Zoltán Kozma shared his thoughts on the current and future challenges of the legal market.
Öntisztázás KKV szemmel
Csépai Balázs cikke részletesen bemutatja a kizárás célját, a joggyakorlat követelményeit, valamint a kisvállalkozások speciális kihívásait.
W&I biztosítás: a szavatossági biztosítás alapjai II. rész – feltárt kockázatok kezelése M&A ügyletekben
Az M&A ügyletek során kiemelt szerepe van a céltársasággal kapcsolatos információk ismeretének és a kapcsolódó kockázatok felek közötti megosztásának. Cikkünken a céltársasággal kapcsolatos feltárt, ismert kockázatok kezelésére
szolgáló tranzakciós biztosítási megoldásokat mutatjuk be.