Az Ön cége már regisztrált a NIS2-rendelet kapcsán?

A kiberbiztonsági törvény lényeges kötelezettségeket állapít meg ama cégek számára, amelyek szervezetük vagy tevékenységük alapján a jogszabály hatálya alá tartoznak.

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.) az Európai Unió (EU) egész területén egységesen magas szintű kiberbiztonságot garantáló intézkedésekről szóló 2022/2555-ös európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja. A NIS2-irányelv azt célozza, hogy az EU-ban megerősítse a digitális infrastruktúrát és a kiberfenyegetésekkel szembeni védekezésre történő felkészültséget.

A törvény lényeges kötelezettségeket állapít meg ama cégek számára, amelyek szervezetük vagy tevékenységük alapján a jogszabály hatálya alá tartoznak.

E kötelezettségek közül a legelső annak vizsgálata, hogy az adott vállalkozás tekintetében kell-e alkalmazni e jogszabály előírásait. Ha igen, akkor 2024. június 30-áig a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) részére kell benyújtani a NIS2-re vonatkozó nyilvántartásba vételi kérelmüket.

Az érintett cégnek ezen túlmenően a tevékenységét biztonsági osztályba kell sorolni, és konkrét védelmi intézkedéseket kell meghatároznia a 7/2024. (VI. 24.) MK rendelet előírásai alapján. További kötelezettség lesz a kiberbiztonsági auditor kiválasztása és a vele történő szerződéskötés, valamint a kiberbiztonsági audit tényleges lefolytatása.

Ezek a kötelezettségek bizonyos kivételekkel a törvény alapján a közép- és nagyvállalatokra vonatkoznak.

Azt, hogy mely cégek esnek ebbe a kategóriába, azt a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény definiálja. Alapesetben azoknak a társaságoknak kell e kötelezettségekkel foglalkozniuk, amelyek legalább 50 fő alkalmazottal vagy legalább évi 10 millió eurós árbevétellel rendelkeznek.

További vizsgálatot igényel az is, hogy milyen tevékenységet végez az adott kis- és középvállalkozás. A Kibertan. tv. I. és II. melléklete határozza meg részletesen, hogy mely cégek működnek a törvényben meghatározott kritikus és kiemelten kritikus ágazatokban.

Az érintett, kockázatos ágazatok körébe tartoznak – a teljesség igény nélkül – az alábbi tevékenységek: energetika, távfűtés és -hűtés, a távhőszolgáltatás, szénhidrogén-, földgáz-, kőolaj-, hidrogénszállítás, -feldolgozás, -tárolás, légi, vasúti, közúti, vízi és tömegközlekedés, egészségügyi szolgáltatások, gyógyszeripari tevékenység, -kereskedelem, a víziközmű-, a hírközlési és űralapú szolgáltatás, postai és futárszolgálatok, élelmiszer-előállítás, -feldolgozás és forgalmazás, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, számítástechnikai, elektronikai, optikai, villamos berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik, egyéb szállítóeszközök gyártása, a cement-, mész-, gipszgyártás, az online piactér szolgáltatója, keresőszolgáltató, közösségimédia-szolgáltatási platform szolgáltatója, domainnév-regisztrációt végző szolgáltató, kutatóhely.

Kivételt képeznek a fenti főszabályok alól az elektronikus hírközlési, bizalmi, DNS-szolgáltatást nyújtó, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző gazdasági társaságok, mivel ezek esetén akkor is alkalmazni kell a törvény előírásait, ha nem tartoznak a közép- és nagyvállalatok körébe.

Ha egy adott cég maga nem tartozik a törvény hatálya alá, de alvállalkozóként egy ilyen társaságnak dolgozik, akkor a közöttük létrejött szerződésben szükséges vállalnia, hogy ő is betartja a törvényben megfogalmazott előfeltételeket.

Lényeges, hogy a nyilvántartásba vételi kérelmet csak az a személy tudja benyújtani, aki az adott vállalkozás tekintetében cégkapu használatára jogosult.

A kötelezettséget elmulasztó társaságokat jelentős összegű bírság, és vezető tisztségviselőket akár a tevékenységük történő eltiltás is fenyegeti.

---