Napjainkban a digitalizáció terjedésével egy szervezet „életének” mind nagyobb része az elektronikus információs rendszereken, illetve a kibertérben zajlik. “A 2025. január 1-jén hatályba lépett új kiberbiztonsági törvény elsősorban az uniós NIS 2 irányelv rendelkezéseinek való megfelelést szolgálja, és célja, hogy a hatálya alá tartozó szervezetek által használt elektronikus információs rendszerek kibervédelme biztosított legyen” – mondja Bognár Ivett az act legal Hungary ügyvédje.
Az új szabályozás – a korábbihoz hasonlóan – a szervezet vezetőjének átruházhatatlan felelősségi körébe tartozó feladatként rögzíti azt, hogy szervezete vonatkozásában a kiberbiztonságot rendező jogszabályokban előírt kötelezettségeket az általa megfelelően kiválasztott kiberbiztonsági hatóság irányába teljesítse. A szervezet vezetőjének felelőssége és feladata összetett: azon túl, hogy azonosítja, hogy a szervezete a kiberbiztonsági törvény hatálya alá tartozik-e vagy sem, azt is meg kell állapítania, hogy a szervezet a törvényben meghatározott szempontok alapján alapvető vagy fontos szervezetnek minősül-e.
Az új törvény jelentősen kibővítette azon szervezetek körét, amelyeknek meg kell felelniük a kiberbiztonsági előírásoknak. A törvény az érintett szervezeteken belül az általuk nyújtott szolgáltatásnak az állam, a társadalom, a gazdaság működése szempontjából való kritikussága, valamint bizonyos esetekben a szervezet mérete alapján különbözteti meg egymástól az alapvető, illetve a fontos szervezeteket. Az alapvető szervezetek csoportjához tartoznak például a közigazgatási ágazathoz tartozó szervezetek (központi államigazgatási szervek, Sándor-palota, Országgyűlés Hivatala, Alkotmánybíróság, bíróságok, ügyészségek) és a legalább középvállalkozásnak minősülő, többségi állami befolyás alatt álló gazdálkodó szervezetek, míg a fontos szervezetek csoportjába sorolódnak többek között azon szervezetek, amelyeket a nemzeti kiberbiztonsági hatóság fontos szervezetként azonosított, valamint az egyes kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, illetve a kockázatos ágazatokban működő szolgáltatók és szervezetek.
A NIS 2 irányelv és ennek megfelelően az új törvény is jóval több iparágat érint, mint a korábbi szabályozás. A NIS 1 hatálya alá tartozó olyan ágazatok mellett, mint az energia, a közlekedés, az egészségügy, a pénzügyek, a vízgazdálkodás és a digitális infrastruktúra, az új szabályok többek között a nyilvános elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatókra, több digitális szolgáltatásra, például a közösségi platformokra, a szennyvíz- és hulladékgazdálkodásra, a kritikus termékek gyártására, a postai és futárszolgáltatásokra is vonatkoznak.
Az érintett szervezetek alapvető feladata az elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása vonatkozásában a zárt, teljes körű, folytonos és a kockázatokkal arányos védelem megvalósítása és biztosítása azok teljes életciklusában.
Az alapvető feladat teljesítéséhez a jogszabály több részkötelezettséget is előír. A kockázatokkal arányos védelem biztosítása érdekében többek között adatosztályozási, illetve biztonsági osztályba sorolási kötelezettség is terheli az érintett szervezeteket. A feladatok megfelelő teljesítéséért pedig külön egy erre dedikált, belső személy vagy külső megbízott felel. Az érintett szervezetek a törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására kétévente kiberbiztonsági auditot kötelesek elvégeztetni.
A legtöbb érintettet a fentiek mellett természetesen az a kérdés foglalkoztatja, hogy milyen szankciókkal kell számolnia akkor, ha mégsem felel meg maradéktalanul a törvényi előírásoknak. A kötelezettségek teljesítésének elmulasztása miatt első körben a hatóság még enyhébb szankciókat (figyelmeztetés, információbiztonsági felügyelő kirendelése) alkalmazhat, de ismételt kötelezettségszegés esetén már komoly összegű bírsággal számolhat az érintett szervezet. A bírságtételek pontos összegét, valamint a megállapítás szempontrendszerét a Kormány rendeletben határozta meg. “A NIS 2-vel összhangban a bírság összege fontos szervezetek esetén a cég előző pénzügyi éve világszintű árbevételének 1,4 százaléka, de legalább 7 millió eurónak megfelelő forintösszeg, alapvető szervezetek esetén pedig az előző éves árbevétel 2 százaléka, de legalább 10 millió eurónak megfelelő forintösszeg. Ismételt jogsértés esetén a bírság újból kiszabható” – foglalja össze Bognár Ivett, az act legal Hungary ügyvédje.
Kiemelten fontos tehát, hogy a potenciálisan érintett szervezetek mielőbb tájékozódjanak arról, hogy valóban a törvény hatálya alá tartoznak-e, illetve hogy ez adott esetben milyen teljesítendő kötelezettségeket jelent rájuk nézve, elkerülve ezzel az esetleges mulasztások miatti szankciókat.
