I. Időbeli hatály, határidők

A NIS2 irányelv 2023. január 16-án lépett hatályba, azonban rendelkezéseit 2024. október 18-tól kell kötelezően alkalmazni.

A Kibertan.tv. 2023. május 15-én került kihirdetésre, és 2024. január 1. napján meg kellett történnie az érintett szervezetek osztályba sorolásának. Fontos határidő a 2024. június 30. napja, ugyanis eddig köteles az érintett szervezet az illetékes hatóságnál regisztrálni. A kötelező védelmi intézkedések alkalmazásának legkésőbb 2024. október 18. napjáig meg kell valósulnia.

II. Személyi hatály

Az irányelv hatálya azokra az alapvető és fontos ágazatokra vonatkozik elsősorban, amelyek tevékenységének kiesése vagy fennakadása súlyos hatást gyakorol a társadalom működésére – függetlenül attól, hogy azok állami, vagy magánszervezetek.

Nem mindegy azonban, hogy a szervezetek kis-, vagy középvállalkozásnak minősülnek. Ennek meghatározására a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény (Kkv tv.) szerinti besorolást érdemes vizsgálni. Kis- és középvállalkozás („KKV”) minden, 250 főnél kevesebb foglalkoztatottal és legfeljebb nettó 50 millió euró árbevétellel rendelkező cég. Ezen belül kisvállalkozás az 50 fő alatti foglalkoztatotti létszámmal és legfeljebb 10 millió euró árbevétellel rendelkező cég. A középvállalkozási minősítéshez legalább 50 fő foglalkoztatott és 10 millió eurót meghaladó árbevétel szükséges. Fontos azonban tudni, hogy a Kkvtv. szerint az átsoroláshoz az utóbbi 2 évben fenn kell álljanak az ahhoz szükséges statisztikai feltételek. Bonyolultabb lehet a vállalatcsoportos működés esetén a méret meghatározása, melynek ismertetése meghaladja jelen írás kereteit.

Az irányelv alapján főszabály szerint legalább középvállalkozás minősítés szükséges a Kibertan. tv. hatálya alá tartozáshoz. Ez alól kivételt képez (tehát mikro- és kisvállalkozás is kötelezetté válhat), ha az érintett szervezet:

• elektronikus hírközlési szolgáltató,
• bizalmi szolgáltató,
• DNS-szolgáltatást nyújtó szolgáltató,
• legfelső szintű domainnév-nyilvántartó vagy
• domainnév-regisztrációt végző szolgáltató.

Az irányelv alapján a Kibertan.tv. megkülönböztet kiemelten kockázatos, valamint kockázatos ágazatokat:

Kiemelten kockázatos

• Energetika (villamos energia, távfűtés- és hűtés, kőolaj, földgáz, hidrogén)
• Közlekedés (légi–, vasúti–, közúti–, vízi– és tömegközlekedés)
• Egészségügy
• Ivóvíz, szennyvíz
• Hírközlés
• Digitális infrastruktúra
• Kihelyezett IKT szolgáltatások
• Űralapú szolgáltatás

Kockázatos

• Postai és futárszolgálatok
• Élelmiszer előállítása, feldolgozása és forgalmazása
• Hulladékgazdálkodás
• Vegyszerek előállítása és forgalmazása
• Gyártás (orvostechnikai eszközök, számítógép, elektronikai és optikai termékek, villamos berendezések, egyéb gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása, cement- mész és gipszgyártás)
• Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatók és domainnév regisztrációt végző szolgáltatók)
• Kutatás (kutatóhelyek)

III. Főbb követelmények

A kiberbiztonsági kockázatkezelési intézkedéseknek figyelembe kell venniük az alapvető vagy fontos szervezet hálózati és információs rendszerektől való függőségének mértékét, és intézkedéseket kell tartalmazniuk az események kockázatainak azonosítására, az események megelőzésére, észlelésére, az azokra való reagálásra és azokat követően a működés helyreállítására, valamint azok hatásainak mérséklésére.

A hálózati és információs rendszerek biztonságának magában kell foglalnia a tárolt, továbbított és kezelt adatok biztonságát.

A kiberbiztonsági kockázatkezelési intézkedéseknek rendszerszintű elemzést kell biztosítaniuk, figyelembe véve az emberi tényezőt annak érdekében, hogy teljes képet lehessen alkotni a hálózati és információs rendszer biztonságáról.

A kiberbiztonsági kockázatkezelési intézkedéseknek minden veszélyre kiterjedő megközelítésen kell alapulniuk, amelynek célja a hálózati és információs rendszereknek és azok fizikai környezetének a védelme minden olyan eseménytől, mint például a lopás, a tűz, az árvíz, a távközlési és áramellátási zavarok, vagy valamely alapvető vagy fontos szervezet információs és információfeldolgozó létesítményeihez való jogosulatlan fizikai hozzáférés, az azokban keletkezett kár és az azokon végrehajtott beavatkozás, amely veszélyeztetheti a tárolt, továbbított vagy kezelt adatok vagy a hálózati és információs rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, integritását vagy bizalmas jellegét.

Az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozza meg.

IV. Ellenőrző hatóság Magyarországon, szankciók

A Kibertan. tv. a kiberbiztonsági követelmények megvalósulásának ellenőrzésére felügyeleti jogkörrel ruházza fel a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) és rögzíti az ellenőrzés, nyilvántartás és szankcionálás rendjét.

Az SZTFH többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben:

• figyelmeztetés kiadása
• kötelező erejű utasítás kiadása
• az érintett szervezetek kötelezése arra, hogy azon természetes vagy jogi személyeket, akik vagy amelyek tekintetében szolgáltatásokat nyújtanak vagy tevékenységeket végeznek, és akiket vagy amelyeket egy jelentős kiberfenyegetés potenciálisan érinthet, tájékoztassák a fenyegetés jellegéről, valamint minden lehetséges védelmi vagy helyreállítási intézkedésről, amelyet e természetes vagy jogi személyek megtehetnek a fenyegetés elhárítására
• bírság kiszabása (akár ismételhető is)

Dr. Gyöngy Rita

Hargittay és Társai Ügyvédi Iroda