Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy a veszpremikamara.hu honlap a felhasználói élmény fokozásának érdekében cookie-kat alkalmaz. A honlap használatával Ön a tájékoztatást tudomásul veszi.
bővebben
Elfogadom
AA

NIS2 kiberbiztonsági irányelv tájékoztató

  • NIS2 kiberbiztonsági irányelv tájékoztató

TÁJÉKOZTATÓ

a NIS2 irányelv kibervédelmi biztonságot szolgáló előírásairól

 

Az Európai Parlament és a Tanács (EU) 2022/2555 számú, az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló, röviden „NIS 2” irányelve már 2023. elején átültetésre került a 2023. évi kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló törvény útján, 2025. január 1. napján pedig felváltotta jelenleg hatályos, Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: „Törvény”). A törvényben foglalt kötelezettségek teljesítését – a hadiipari tevékenységek kivételével - a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ellenőrzi.

A NIS2 irányelv és az annak rendelkezéseit átültető Törvény kiberbiztonsági feladatokkal kapcsolatos kötelezettségeket ír elő egyrészt a tagállamoknak: például, hogy rendelkezzenek számítógépes biztonsági eseményekre reagáló csoporttal (CSIRT) és egy illetékes nemzeti hálózati és információs rendszerekkel (NIS) rendelkező hatósággal, amely a nemzeti kiberbiztonsági tanúsítási rendszer fejlesztéséért, felügyeletéért is felelős. Jelentős kötelezettségeket ír ugyanakkor elő a jogalkotó egyes vállalkozásoknak is, mégpedig olyanoknak is, amelyeknek eddig nem kellett komolyabb kibervédelmi-imformációbiztonsági intézkedéseket hozniuk.

A törvény hatálya alá tartozó vállalkozásoknak meghatározott kiberbiztonsági feladataik vannak, melyek olyan folyamatok, ajánlott eljárások és technológiai megoldások összessége, amelyek segítenek megvédeni a kritikus rendszereket és a hálózatot a digitális támadásoktól.

 

A törvény hatálya alá tartozó vállalkozások:

A „kiemelten kockázatos” és „kockázatos” kategóriába” (lásd alább) tartozó valamennyi vállalkozás, amennyiben fejlődésük támogatásáról szóló törvény szerint „középvállalkozásnak” minősülnek, valamint mérettől függetlenül minden vállalkozásra, mely „kiemelten kockázatos” és „kockázatos” kategóriába tartozik és

  • elektronikus hírközlési szolgáltató,
  • bizalmi szolgáltató,
  • DNS-szolgáltató,
  • legfelső szintű doménnév-nyilvántartó,
  • doménnév-regisztrációt végző szolgáltató,
  • honvédelmi érdekhez kapcsolódó tevékenységet folytat.

 

A kritikussági szint szerint két kategóriába sorolhatók az érintett szervezetek:

  • AKiemelten kockázatos kategóriába tartoznak az energetika, közlekedés, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
  • A törvény a kockázatoságazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, orvostechnikai eszközök, számítógépek, villamosberendezések, gépjárművek, cement, mész, gipsz gyártását, a digitális szolgáltatókat, valamint a kutatást.

 

Teendők, határidők:

  • A Törvénynek való megfelelés határideje 2024. október 28., ettől kezdve az SZTFH ellenőrzi a megfelelést (és adott esetben szankcionálja annak hiányát).
  • Amennyiben a Vállalkozás a törvény hatálya alá tartozik, 2024. június 30-ig nyilvántartásba vetette magát az SZTFH-nál.
  • 2024. október 18-ig kellett kialakítani egy jól működő, kockázatokkal arányos információbiztonsági irányítási keretrendszert.
  • Legkésőbb 2024. október 18-ig, vagy a nyilvántartásba vételt követő 120 napon belül auditori szerződést kellett kötnie az érintett, a Törvény hatálya alá tartozó vállalkozásnak. (lásd alább)
  • A független audit lefolytatására 2025. december 31-ig van lehetősége a vállalatoknak.

 

A Törvény hatálya alá tartozó tevékenységet folytató vállalkozásoknak egy, a kockázatokkal arányos információbiztonsági irányítási keretrendszert kell létrehozni és működtetni. Fő szabály szerint a Törvénynek való megfelelést kétévente független féllel kell auditáltatni. (Bár bizonyos körben a megfelelőségi önértékelés is lehetséges). Az audit abban az esetben is kötelező, ha az érintett szervezet már rendelkezik iparági tanúsítványokkal vagy más auditokkal, tehát nem kiváltható.

 

Kiberbiztonsági audit

A kiberbiztonsági felügyelet alá tartozó meghatározott szervezeteknek az elektronikus információbiztonsági követelmények teljesítését kiberbiztonsági audit lefolytatása útján kell igazolniuk, amelynek célja, hogy egy független auditor vizsgálja meg azt, hogy az audittal érintett szervezetek elektronikus információs rendszerei mennyire ellenállóak a kiberbiztonsági fenyegetésekkel szemben.

Az érintett cégek az SZTFH honlapján közzétett auditorok közül választhatják ki a vizsgálatot lefolytató gazdálkodó szervezetet. A 2025. február 3-án hatályba lépett 1/2025. (I. 31.) SZTFH rendelet az audittal kapcsolatos tevékenységeket, a maximális díjazást (rendelet 3. számú melléklete) és részletes auditori módszertant (rendelet 5. számú melléklete) tartalmazza.

Az audit legmagasabb, áfa nélkül számított díjának számítási módját a rendelet 3. melléklete tartalmazza. A maximális auditdíj kiszámítása úgy történik, hogy 1 750 000 forintos alapdíjat kell különféle szorzókkal módosítani az auditálandó cég jellemzői alapján.

A díj három tényezőtől függ:

 

1. A cég előző üzleti évi nettó árbevételétől

 

2. A cég elektronikus információs rendszereinek (EIR) számától

 

3. A cég elektronikus információs rendszereinek biztonsági osztályától

  • ha mindegyik alap osztályba tartozik, akkor a szorzó 1;
  • ha van köztük legalább egy jelentős osztályba tartozó (és nincs magas osztályba tartozó) akkor 3;
  • ha pedig van köztük legalább egy magas osztályba tartozó, akkor 5.

 

Kiberbiztonsági felügyelet díja

2024. október 18. napjától kiberbiztonsági felügyelet alá tartozó meghatározott szervezeteknek éves kiberbiztonsági felügyeleti díjat kell fizetni a SZTFH felé. A díj mértékéről szóló 2/2025. (I. 31.) SZTFH rendelet 2025. február 3. napjától hatályos.

 

A felügyeleti díj az előző évi nettó á bevételtől függ:

  • ha az érintett cég nettó árbevétele nem éri el a 20 milliárd forintot, annak 0,00015 százalékát kell felügyelet díjként megfizetni;
  • ha az érintett cég árbevétele legalább 20 milliárd forint, akkor a felügyeleti díja annak 0,0015 százaléka, de maximum 10 millió forintot kell felügyelet díjként megfizetni.

 

Jogforrások:

 

Figyelem!

Bizotsan ki akarod törölni?
Igen