Blog

Ideje felkészülni az ún. NIS2 irányelv[1] követelményeire. A kiberbiztonság korábbi, EU-szintű  szabályozását váltotta fel a NIS2 irányelv, amelynek az EU-tagállamok 2024. október 18-tól kötelesek megfelelni.[2] A Magyarországon tevékenykedő, érintett szervezetekre ennél részben rövidebb határidők vonatkoznak. Az előzetes felkészülést segíti, hogy a jogalkotó már több jogszabályt is meghozott a NIS2 irányelv implementációja érdekében.

Kétrészes cikkünk első részében azt tekintettük át, hogy kikre vonatkozik a szabályozás, illetve, hogy az érintett szervezeteknek milyen feladataik vannak. A második részben a nemmegfelelés következményeit és a határidőket járjuk körül.

1. Szankciók

Nemmegfelelés esetén a NIS2 irányelv szerint a hatóság hatékony, arányos és visszatartó erejű, ugyanakkor a konkrét körülményeket is figyelembe vevő felügyeleti, illetve végrehajtási intézkedéseket hozhat.

A súlyosabb szankciók közé tartozik, hogy a hatóság megbírságolhatja az adott szervezetet. A bírság maximális összege alapvető szervezetek esetén legalább 10 000 000 EUR vagy, ha ez magasabb, annak a vállalatnak az előző pénzügyi évi globális éves forgalma teljes összege 2%-ának felel meg, amelyhez az alapvető szervezet tartozik. Fontos szervezeteknél ez a határ valamivel alacsonyabb: EUR 7.000.000, illetve 1,4%.

Az alapvető szervezetekre vonatkozó szankciók a fontos szervezetekhez képest egyébként is súlyosabbak lehetnek. Így például korábbi intézkedések eredménytelensége esetén újabb lépcsőként a hatóság ideiglenesen felfüggesztheti az alapvető szervezet által nyújtott releváns szolgáltatásokat vagy tevékenységeket, illetve ideiglenesen eltilthatja az alapvető szervezet egyes vezetőit a vezetői feladatok ellátásától.

Magyarországon az érintett szervezetek megfelelését a Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”) felügyeli. A Kibertantv. erre vonatkozó részletszabályai 2024. október 18-án lépnek hatályba. Kiemeljük, hogy az SZTFH a bírságot nemteljesítés esetén többször is kiszabhatja majd. A bírság mértékének meghatározását a Kibertantv. kormányrendeletre bízza – tudomásunk szerint ez még nem született meg.

2. Határidők

A Kibertantv.[3] több lépcsőben lép hatályba, amivel mérföldköveket jelöl ki a magyarországi megfelelés megvalósítására.

• 2024. január 1.

2024. január 1-ig (három lépcsőben) elénk tárultak különösen a fogalmak, a kiberbiztonsági tanúsítási rendszerekre, a hatóság egyes jogaira, a kiberbiztonsággal érintett szervezetek körére, a velük szembeni követelményekre, illetve a felügyeleti és végrehajtási eszközökre vonatkozó (feljebb hivatkozott) rendelkezések.

• 2024. június 30.

A NIS2 irányelv alapján – a már létező szervezetek – 2025. január 17-ig kötelesek információt szolgáltatni az illetékes kiberbiztonsági felügyeleti hatóságnak.

Magyarországon azok az érintett szervezetek, amelyek 2024. január 1. előtt megkezdték működésüket, ennél jóval korábban, először 2024. június 30-ig kötelesek az SZTFH-nak megküldeni az SZTFH elnökének rendeletében[4] meghatározott adatokat a nyilvántartásba vétel érdekében.

Ugyanakkor a 2024. január 1-én vagy azt követően működni kezdő érintett szervezetek tekintetében sem a Kibertantv., sem a fenti rendelet nem állapít meg határidőt az első bejelentésre. Ezért feltételezzük, hogy Magyarországon ezek a szervezetek az érintettségük megállapítását követően haladéktalanul kötelesek lesznek bejelentést tenni.

• 2024. október 18.

2024. október 18-án lépnek hatályba egyes, az SZTFH jogköreire, illetve a kiberbiztonsági események jelentésére vonatkozó előírások.

Azok az érintett szervezetek, amelyek 2024. január 1. előtt megkezdték működésüket, ugyanettől az időponttól kötelesek alkalmazni azokat a konkrét védelmi intézkedéseket, amelyek a fentiek szerint egyelőre nem ismerhetők meg.

• 2024. december 31.

Azok az érintett szervezetek, amelyek 2024. január 1. előtt megkezdték működésüket, az első kiberbiztonsági auditot 2025. december 31-ig kötelesek elvégeztetni.

Azok az érintett szervezetek, amelyek 2024. október 18-a előtt megkezdték működésüket, legkésőbb 2024. december 31-ig kötelesek a Kibertantv. szerint meghatározott auditorral megállapodást kötni.

A 2024. október 18-án, vagy azt követően működni kezdő érintett szervezetekre vonatkozik az a szabály, hogy az érintett szervezetek a nyilvántartásba vételüktől számított 120 napon belül kötelesek a Kibertantv. szerint meghatározott auditorral megállapodást kötni, majd a kiberbiztonsági auditot a nyilvántartásba vételüket követő 2 éven belül elvégeztetni.

A fentiek alapján úgy tűnik, hogy amennyiben a jogalkotó a cikkünk első részében említett, még hiányzó implementációs szabályokat időben megalkotja, és az érintett szervezetek a magyar határidőket erre tekintettel be tudják tartani, akkor a NIS2 irányelvben meghatározott határidők is teljesülni fognak.

Dr. Tivadar Krisztián

Photo credit: pexels.com

Jelen cikk kizárólag általános tájékoztatás céljából készült, nem minősül jogi tanácsadásnak, nem használható jogi szakvéleményként vagy állásfoglalásként. Bár mindent megteszünk a pontos, naprakész tájékoztatás érdekében, a cikkben szereplő információk teljessége, pontossága vagy naprakészsége vonatkozásában a jogszabályi környezet és joggyakorlat esetleges változására is tekintettel felelősséget nem vállalunk. Az itt közölt információk nem hoznak létre ügyfél-ügyvéd viszonyt a honlaplátogató-olvasó és a Tivadar Ügyvédi Iroda között. Amennyiben konkrét ügyben szeretné a segítségünket kérni, a lenti elérhetőségeken keresztül állunk szíves rendelkezésére.

 

[1] Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló 2022/2555 irányelv

[2] Az EU-tagállamok az implementált rendelkezéseket 2024. október 17-ig kötelesek elfogadni és 18-tól pedig alkalmazni.

[3] A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény

[4] Az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet