A kibervédelmi törvény legújabb módosításai nemcsak a szabályozás hatályát terjesztik ki, hanem a szervezetek adminisztratív és megfelelési kötelezettségeit is új alapokra helyezik. A változások fókuszában többek között az alábbi három terület áll: az érintett szervezetek körének változása, a bejelentési és nyilvántartási kötelezettségek pontosítása, valamint több új, részben közhiteles hatósági nyilvántartás létrehozása. – Cikkünk összefoglalja a legfontosabb tudnivalókat!
A kibervédelmi törvény kegfrissebb módosításai várhatóan olyan vállalkozásokat és intézményeket is érinteni fognak, amelyek eddig nem tekintették magukat közvetlenül kibervédelmi szabályozás hatálya alá tartozónak. Éppen ezért a következő időszakban kulcskérdés lesz annak gyors felmérése, hogy egy adott szervezet érintett-e, és ha igen, milyen kötelezettségek teljesítésére kell felkészülnie.
Hatálybéli változások – nem csak a „nagyok” érintettek!
A jogalkotó a hatály alá tartozó szervezetek körét olyan gazdasági és működési mutatók mentén bontotta ki, amelyek egyértelművé teszik a bekerülés feltételeit. A módosítások egyik legfontosabb eleme, hogy
a törvény automatikusan alkalmazandóvá válik azon szervezetek esetében, amelyek éves nettó árbevétele meghaladja a 10 millió eurónak megfelelő forintösszeget, és beszámolókészítésre kötelezett szervezetként mérlegfőösszegük is túllépi ezt a küszöböt.
Emellett a hatály kiterjed azokra a szervezetekre is, amelyek a törvény 2. vagy 3. mellékleteiben szereplő körbe tartoznak, és középvállalkozásnak minősülnek, vagy legalább 50 főt foglalkoztatnak, illetve jelentős (10 millió eurót meghaladó) árbevétellel vagy költségvetéssel rendelkeznek (a továbbiakban: “törvény hatálya alá tartozó középvállalatok“).
Bejelentési kötelezettség
A módosítások nagy hangsúlyt helyeznek a nyilvántartásba vételhez kapcsolódó bejelentési kötelezettségre is. Az érintett szervezeteknek a hatály alá kerüléstől számított 30 napon belül adatot kell szolgáltatniuk a nemzeti kiberbiztonsági hatóság részére a nyilvántartásba vétel érdekében.
A jogszabály emellett pontosítja azt is, hogy mikortól kell a törvény hatálya alá tartozónak tekinteni egyes többségi állami befolyás alatt álló gazdálkodó szervezeteket és a törvény hatálya alá tartozó középvállalkozásokat. Főszabály szerint a hatály alá kerülést megalapozó feltétel bekövetkezését követő év első napjától kell alkalmazni a törvényt, ugyanakkor a szervezet kérheti, hogy a szabályok már korábban, a nyilvántartásba vétel véglegessé válásától kezdve vonatkozzanak rá. Ez a lehetőség különösen azok számára lehet releváns, akik előre tervezetten és kontrolláltan szeretnék megkezdeni a megfelelési folyamatot.
Mit kell most tennie, ha érintett?
- Ellenőrizze szervezete árbevételét és létszámát.
- Vizsgálja meg, szerepel-e a 2. vagy 3. mellékletben.
- Számítsa ki a 30 napos bejelentési határidőt.
- Jelölje ki az információbiztonságért felelős személyt.
- Kezdje meg a megfelelési dokumentáció előkészítését.
Közhiteles nyilvántartások: nagyobb jogbiztonság a piacnak is
A módosítások egyik legjelentősebb újítása, hogy a hatósági nyilvántartások egy része közhiteles jelleggel bővül. A közhitelesség lényege, hogy a nyilvántartásban szereplő adatokat a jogrendszer valósnak és hitelesnek tekinti, amíg az ellenkezőjét nem bizonyítják.
Ez üzleti szempontból is kiemelt jelentőségű. A közhiteles nyilvántartás olyan adatforrássá válik, amelyre szerződések, beszerzések, hatósági eljárások és jogi döntések is biztonsággal építhetők.
Bővülő nyilvántartások az SZTFH-nál és a nemzeti kiberbiztonsági hatóságnál
A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) nyilvántartást vezet az audit végrehajtására jogosult gazdálkodó szervezetekről. A változások szerint a nyilvántartás kiegészül az auditor nyilvántartásba vételének időpontjával és az ehhez kapcsolódó azonosító számmal, amelyek közhiteles adatként szerepelnek majd. Ez a gyakorlatban egyszerűsítheti az auditorok jogosultságának ellenőrzését.
A nemzeti kiberbiztonsági hatóság által vezetett nyilvántartás szintén részletesebbé válik. Kiterjed többek között az elektronikus információs rendszerekre, azok biztonsági besorolására, a védelmi intézkedésekre, valamint az információbiztonságért felelős személyek adataira. A szabályozás ugyanakkor figyelembe veszi a nemzetbiztonsági szempontokat is, ezért a nyilvántartás elemei 30 évig nem nyilvánosak.
Új nyilvántartások, növekvő átláthatóság
A módosítások több teljesen új nyilvántartás bevezetéséről is rendelkeznek. Az SZTFH külön nyilvántartást vezet majd a kibervédelmi törvény hatálya alá tartozó szervezetekről, a sérülékenységvizsgálatra jogosult szervezetekről és szakértőkről, valamint a kiberbiztonsági incidensek kezelésére jogosult gazdálkodó szervezetekről.
Ezekben a nyilvántartásokban a nyilvántartásba vételhez kapcsolódó kulcsadatok közhitelesek lesznek, ami az ellenőrizhetőséget és az együttműködések biztonságát is erősíti.
Szintén új elem a tanúsító hatóság nyilvántartása, amely az IKT-termékek, szolgáltatások és folyamatok tanúsításához kapcsolódó adatokat kezeli. A szabályok kifejezetten kimondják, hogy bizonyos tanúsítvány- és engedélyadatok közhitelesek, ami tovább növeli ezek piaci értékét és jogi stabilitását.
Összegzés
A kibervédelmi törvény módosításai a szabályozás szigorodását és az átláthatóság erősítését szolgálják. A hatály bővítése miatt jelentősen nőhet azon szervezetek száma, amelyeknek kiberbiztonsági megfelelési kötelezettsége keletkezik, és a közhiteles nyilvántartások megjelenése új minőséget ad a szabályozott adatoknak. Ezek immár nem pusztán adminisztratív jellegűek, hanem közvetlen joghatással bírnak.
A szervezetek számára ezért most különösen fontos, hogy időben felmérjék érintettségüket, és megfelelően felkészüljenek az új nyilvántartási és megfelelési elvárásokra. Aki késik, az nemcsak adminisztratív szankciókat kockáztat, hanem versenyhátrányt is.
dr. Menczelesz Adrián, a Schönherr szakértője:
dr. Krebsz Klaudia, a Schönherr szakértője:
