Már csak néhány nap áll számos vállalkozás rendelkezésére, hogy teljesítsék a Kiberbiztonsági törvény előírását. A NIS 2 irányelvet a magyar jogba átültető Kiberbiztonsági törvény alapján ugyanis 2025. augusztus 31. napjáig kell számos cégnek az előírt kötelezettségek első körét teljesíteni.
De mi az a NIS 2?
A GDPR és az ESG után újabb EU-s betűszó borzolja a piaci szereplők idegeit, amióta az EU elfogadta az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló 2022/2555 számú irányelvet (NIS 2 irányelv). A NIS 2 irányelvet a magyar jogba először a tiszavirág életű 2023. évi XXIII. törvény, majd az annak helyébe lépő Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) ültette át.
A NIS 2 irányelvnek és az azt implementáló magyar jogszabálynak is az a célja, hogy a kulcsfontosságú ágazatokban a szolgáltatások folyamatossága, továbbá a kibertér védelme biztosítva legyen.
Kikre irányadó a szabályozás?
Az állami szektor mellett, bizonyos kockázatos tevékenységet foglalkozó piaci szereplőkre, mint pl.: a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra azok méretétől függetlenül, továbbá azon középvállalkozásokra, vagy nagyvállalatokra, amelyek a Kiberbiztonsági törvény mellékleteiben maghatározott tevékenységeket folytatnak. Itt szóba jöhetnek akár gyógyszernagykereskedők, de a közlekedési, vagy az energetikai ágazat szereplői is, tehát messze nem csak honvédelmi, vagy kifejezetten a kibertérben szolgáltató piaci szereplők esnek a szabályozás hatálya alá.
Mit kell tenni?
“Amennyiben cégünk valamely érintett ágazatban tevékenykedik és akár a szolgáltatás jellege, akár a tevékenység és a szervezet mérete miatt a szabályozás hatálya alá esik, úgy kénytelen lesz a területet felügyelő Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felé bejelentkezni, azaz a nyilvántartásba vételét kezdeményezni”
– emeli ki Weidinger Péter, LL.M., az act legal Hungary ügyvédje.
Fontos azonban, hogy nem minden esetben az SZTFH a felügyeleti szerv, lehet az a nemzeti kiberbiztonsági hatóság, vagy a honvédelmi kiberbiztonsági hatóság is.
A szabályozás lényege, hogy
az érintett szerveknek kiberbiztonsági auditot kell elvégeztetni, amelyet kétévente meg kell majd ismételni.
Az első audit
Az érintett szervezeteknek a nyilvántartásba vételt követő 120 napon belül a kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő auditorral megállapodást kell kötni, és a kiberbiztonsági auditot első alkalommal a nyilvántartásba vételt követő két éven belül el kell végeztetni.
A – már 2025 előtt is működő – cégeket érintő legfontosabb és hamarosan lejáró határidő
2025. augusztus 31. napja, ameddig az auditorral megállapodást kell kötni a kiberbiztonsági audit elvégzéséről.
Fontos azonban, hogy erre csak a nyilvántartásba vételt követően van lehetőség, tehát “a cégeknek sürgősen át kell gondolniuk, hogy érintettek-e. Amennyiben igen, úgy mielőbb el kell indítaniuk az SZTFH felé a nyilvántartásbavételi eljárást, amelyre kizárólag az SZTFH elektronikus nyomtatványán van lehetőség” – mondta Weidinger Péter, LL.M. az act legal Hungary partnere. “Ezt követően pedig lehet keresni az auditort, aki majd az első kiberbiztonsági auditot el fogja végezni.”
Érdemes kiemelni, hogy a Kiberbiztonsági törvény átmeneti rendelkezései azt is meghatározzák, hogy
az első kiberbiztonsági auditot 2026. június 30-ig köteles elvégeztetni az érintett – már 2025 előtt is működő – szervezet.
Az esetükben tehát nem az általános két éves határidő az irányadó, hanem már a jövő évben el kell végezniük az első kiberbiztonsági auditot.
“Mindenképpen érdemes tehát a téma szakértőit felkeresni, hogy megbizonyosodjunk arról, hogy cégünk érintett-e, és amennyiben igen, úgy fontos, hogy mielőbb meg is tegyük a szükséges lépéseket az SZTFH, illetve az auditorok felé” – zárja gondolatait Weidinger Péter, LL.M. az act legal Hungary szakértője.