Közeledik a határidő a kiberbiztonsági megfelelésre
A kiberbiztonság – más néven digitális biztonság – szabályozása az egyik legfontosabb jogi újdonság hazánkban. Magyarország átültette a NIS2 irányelvet, amely az Európai Unió legújabb, az európai kiberbiztonságot erősítő jogszabálya. A törvény meghatározza a kiberbiztonság nemzeti kereteit, megszabva az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait. A cél az, hogy kedvező feltételeket teremtsenek a fogyasztók számára, hogy – személyes adataik, fényképeik vagy éppen a pénzük védelme érdeklében – figyelembe vehessék a termékek kiberbiztonsági szintjét és szükség esetén a kiberbiztonsági felügyelethez fordulhassanak. A magyar kiberbiztonsági szabályozás részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A törvény értelmében 2024. június 30-ig kell a cégeknek eleget tenniük az első főbb kötelezettségeknek – olvasható dr. Hetényi Kinga és dr. Menczelesz Adrián, a Schönherr Hetényi Ügyvédi Iroda ügyvédei elemzésében.
1. A törvény hatálya alá tartozó ágazatok és vállalatok
A mikro- és kisvállalkozások (amelyeknek kevesebb, mint 10 vagy 50 alkalmazottja, illetve 2 vagy 10 millió EUR forgalma van) általában mentesülnek a törvény hatálya alól. Ha azonban egy ilyen vállalat elektronikus hírközlési, bizalmi, DNS, legfelső szintű domainnév-regisztrációs vagy domainnév-regisztrációs szolgáltatást nyújt, a törvény a vállalat méretétől függetlenül vonatkozik rá.
Közepes és nagyvállalatok (50 főnél több alkalmazott és 10 millió eurónál nagyobb árbevételű cégek) esetében a törvény a fent említett információs szolgáltatások mellett számos más típusú szolgáltatásra is kiterjed. Ezek a szolgáltatásfajták kockázatos és magas kockázatú szolgáltatási ágazatokra oszlanak.
A kockázatos szolgáltatási ágazatba tartoznak:
- a postai és futárszolgálatok,
- az élelmiszer-előállítás -feldolgozás és -forgalmazás,
- a hulladékgazdálkodás,
- a vegyi anyagok gyártása és forgalmazása,
- egyes termékek és berendezések, például orvosi és sebészeti műszerek, számítógépes, elektronikus és optikai termékek, elektromos berendezések, egyéb gépek, járművek, szállítóeszközök, cement, gipsz és mésztermékek gyártása,
- digitális szolgáltatók és a kutatólaboratóriumok.
A magas kockázatú szolgáltatási ágazatba tartoznak a legjelentősebb stratégiai tevékenységek:
- energia (villamos energia, távfűtés és távhűtés, kőolaj, földgáz, hidrogén),
- közlekedés (légi közlekedés, vasúti közlekedés, közúti közlekedés, vízi közlekedés, tömegközlekedés),
- egészségügy,
- víziközmű-szolgáltatások (ivóvíz és szennyvíz),
- távközlés,
- digitális infrastruktúra,
- kiszervezett IKT, és
- űralapú szolgáltatások.
Fontos megjegyezni, hogy a szoftverfejlesztési tevékenység önmagában nem tartozik a törvény hatálya alá. A szoftverfejlesztők esetében többek között azt is vizsgálni kell, hogy az ilyen fejlesztő kiszervezett szolgáltatónak minősül-e, mivel a gyakorlatban a fejlesztő gyakran nyújt a szoftverfejlesztéshez kapcsolódó egyéb szolgáltatásokat is (pl. a szoftver telepítése vagy karbantartása). Hasonlóképpen egyes felhőszolgáltatók is a törvény hatálya alá tartozhatnak.
Továbbá az érintett vállalatoknak gondoskodniuk kell arról is, hogy a beszállítói, alvállalkozói stb. is megfeleljenek a törvény bizonyos céljainak (pl. a rendszereik védelmének, megbízhatóságának és rendelkezésre állásának biztosítása), így az érintett vállalatoknak az ilyen érintett alvállalkozóval, beszállító céggel szerződést kell kötniük a törvényben előírt kiberbiztonsági intézkedéseket biztosító feltételekkel.
2. Ütemterv 2024-re
Vészesen közeledik az első fontos határidő 2024. június 30-a. E határidőig az érintett vállalatoknak végre kell hajtaniuk a következőket:
- önelemzést kell végezniük (pl. a vállalat mérete, a folytatott tevékenységek alapján mely szabályok vonatkoznak rájuk),
- osztályozniuk kell az elektronikus információs rendszereiket a kiberbiztonsági osztály (alap, jelentős vagy magas biztonsági osztály) alapján,
- ki kell jelölniük egy olyan személyt, aki felelős az elektronikus információs rendszereik biztonságáért,
- technikai adatokat kell gyűjteniük az elektronikus információs rendszereikről (pl. domainnevek, weboldalak, ügyfélszolgálati rendszer),
- adatokat kell gyűjteniük a beszállítóikról, alvállalkozóikról, valamint
- kérelmet kell benyújtaniuk a Szabályozott Tevékenységek Felügyeleti Hatóságához nyilvántartásba vételük céljából.
A második fontos határidő 2024. október 18-a. E határidőig az érintett vállalkozások kötelesek (i) felügyeleti díjat fizetni a Szabályozott Tevékenységek Felügyeleti Hatóságának (a felügyeleti díj részletes szabályozása még nem jelent meg, de a díj az előző évi árbevétel legfeljebb 0,15%-ában, de legfeljebb 10 millió forintban (kb. 26 000 euró) került maximalizálásra), valamint (ii) be kell vezetniük és alkalmazniuk kell az elektronikus információs rendszereik biztonsági osztályának megfelelő biztonsági intézkedéseket.
A harmadik határidő 2024. december 31. E határidőig az érintett vállalatoknak szerződést kell kötniük egy független auditorral, akinek 2025. december 31-ig el kell végeznie az első NIS2-nek megfelelő kiberbiztonsági ellenőrzést.
3. Szankciók a meg nem felelés esetén
A Szabályozott Tevékenységek Felügyeleti Hatósága különböző intézkedésekkel biztosítja, hogy az érintett vállalat megfeleljen a törvénynek. A hatóság felügyeleti eljárásokat folytathat, rendkívüli kiberbiztonsági ellenőrzést rendelhet el, utasítást adhat ki a megfelelés biztosítására vagy a vállalat ügyfeleinek a potenciális kiberbiztonsági kockázatokról való tájékoztatására, és/vagy 10 millió euróig vagy az érintett vállalat teljes világméretű éves forgalmának 2%-áig terjedő bírságot szabhat ki. A hatóság megtilthatja továbbá az érintett vállalatnak, hogy bizonyos szolgáltatási tevékenységeket folytasson.
A Szabályozott Tevékenységek Felügyeleti Hatósága tájékoztatása szerint Magyarországon 2546 vállalkozás folytat tevékenységet az érintett ágazatokban. A magyarországi cégek jelentős részének tehát közvetlenül érintett vállalatként, vagy közvetve érintett vállalatként hamarosan meg kell felelnie a törvénynek. Mint a Szabályozott Tevékenységek Felügyeleti Hatósága által közvetített felfogás is mutatja, „kétféle vállalat létezik: olyanok, amelyeket már kibertámadás ért, és olyanok, amelyeket támadás fog érni”. A kiberbiztonsági megfelelés fontosabb, mint valaha, és ez a megfelelés nem pusztán informatikai, hanem jogi kihívás is.
Szerzők: dr. Hetényi Kinga és dr. Menczelesz Adrián, Schönherr Hetényi Ügyvédi Iroda