Ketyeg a kiberbiztonsági óra

Ketyeg a kiberbiztonsági óra

Már csak néhány nap áll számos vállalkozás rendelkezésére, hogy teljesítsék a Kiberbiztonsági törvény előírását. A NIS 2 irányelvet a magyar jogba átültető Kiberbiztonsági törvény alapján ugyanis 2025. augusztus 31. napjáig kell számos cégnek az előírt kötelezettségek első körét teljesíteni.

De mi az a NIS 2?
A GDPR és az ESG után újabb EU-s betűszó borzolja a piaci szereplők idegeit, amióta az EU elfogadta az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló 2022/2555 számú irányelvet (NIS 2 irányelv). A NIS 2 irányelvet a magyar jogba először a tiszavirág életű 2023. évi XXIII. törvény, majd az annak helyébe lépő Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) ültette át.
A NIS 2 irányelvnek és az azt implementáló magyar jogszabálynak is az a célja, hogy a kulcsfontosságú ágazatokban a szolgáltatások folyamatossága továbbá a kibertér védelme biztosítva legyen.

Kikre irányadó a szabályozás?
Az állami szektor mellett, bizonyos kockázatos tevékenységet foglalkozó piaci szereplőkre mint pl.: a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra azok méretétől függetlenül, továbbá azon középvállalkozásokra, vagy nagyvállalatokra, amelyek a Kiberbiztonsági törvény mellékleteiben maghatározott tevékenységeket folytatnak. Itt szóba jöhetnek akár gyógyszernagykereskedők, de a közlekedési, vagy az energetikai ágazat szereplői is, tehát messze nem csak honvédelmi, vagy kifejezetten a kibertérben szolgáltató piaci szereplők esnek a szabályozás hatálya alá.

Mit kell tenni?
Amennyiben cégünk valamely érintett ágazatban tevékenykedik és akár a szolgáltatás jellege, akár a tevékenység és a szervezet mérete miatt a szabályozás hatálya alá esik, úgy kénytelen lesz a területet felügyelő Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) felé bejelentkezni, azaz a nyilvántartásba vételét kezdeményezni, emeli ki Dr. Weidinger Péter, LL.M. az act legal Hungary ügyvédje.
Fontos azonban, hogy nem minden esetben az SZTFH a felügyeleti szerv, lehet az a nemzeti kiberbiztonsági hatóság, vagy a honvédelmi kiberbiztonsági hatóság is.
A szabályozás lényege, hogy az érintett szerveknek kiberbiztonsági auditot kell elvégeztetni, amelyet kétévente meg kell majd ismételni.

Az első audit
Az érintett szervezeteknek a nyilvántartásba vételt követő 120 napon belül a kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő auditorral megállapodást kell kötni, és a kiberbiztonsági auditot első alkalommal a nyilvántartásba vételt követő két éven belül el kell végeztetni.
A - már 2025 előtt is működő - cégeket érintő legfontosabb és hamarosan lejáró határidő 2025. augusztus 31. napja, ameddig az auditorral megállapodást kell kötni a kiberbiztonsági audit elvégzéséről.
Fontos azonban, hogy erre csak a nyilvántartásba vételt követően van lehetőség, tehát a cégeknek sürgősen át kell gondolniuk, hogy érintettek-e. Amennyiben igen, úgy mielőbb el kell indítaniuk az SZTFH felé a nyilvántartásbavételi eljárást, amelyre kizárólag az SZTFH elektronikus nyomtatványán van lehetőség. Ezt követően pedig lehet keresni az auditort, aki majd az első kiberbiztonsági auditot el fogja végezni.
Érdemes kiemelni, hogy a Kiberbiztonsági törvény átmeneti rendelkezései azt is meghatározzák, hogy az első kiberbiztonsági auditot 2026. június 30-ig köteles elvégeztetni az érintett - már 2025 előtt is működő - szervezet. Az esetükben tehát nem az általános két éves határidő az irányadó, hanem már a jövő évben el kell végezniük az első kiberbiztonsági auditot.
Mindenképpen érdemes tehát a téma szakértőit felkeresni, hogy megbizonyosodjunk arról, hogy cégünk érintett-e, és amennyiben igen, úgy fontos, hogy mielőbb meg is tegyük a szükséges lépéseket az SZTFH, illetve az auditorok felé.