Magyarország az Európai Unió legújabb kiberbiztonsági irányelvét, a NIS2-t (Network and Information Systems Directive) bevezette, melynek célja az európai kiberbiztonság megerősítése.
Az új törvény meghatározza a kiberbiztonság nemzeti kereteit, beleértve az információs és kommunikációs technológiai (IKT) termékek kiberbiztonsági tanúsításának alapvető szabályait.
A törvény hatálya és célja
A jogszabály célja, hogy kedvező feltételeket teremtsen a fogyasztók számára, lehetővé téve számukra a termékek kiberbiztonsági szintjének figyelembevételét és szükség esetén a kiberbiztonsági felügyelethez fordulást.
A törvény részletes intézkedési tervet nyújt az érintett vállalkozások számára, és súlyos következményeket ír elő a szabályok be nem tartása esetén. A vállalatoknak 2024. június 30-ig kell eleget tenniük az első főbb kötelezettségeknek.
Az érintett ágazatok és vállalatok
A törvény hatálya alól a mikro- és kisvállalkozások (10 vagy 50 alkalmazottnál kevesebb és 2 vagy 10 millió euró forgalom alatt) általában mentesülnek, kivéve, ha elektronikus hírközlési, bizalmi, DNS, domainnév-regisztrációs szolgáltatást nyújtanak.
Közepes és nagyvállalatok esetében a törvény számos szolgáltatásra kiterjed, amelyek kockázatos és magas kockázatú szolgáltatási ágazatokra oszlanak.
Kockázatos szolgáltatási ágazatok:
- Postai és futárszolgálatok
- Élelmiszer-előállítás, -feldolgozás és -forgalmazás
- Hulladékgazdálkodás
- Vegyi anyagok gyártása és forgalmazása
- Orvosi és sebészeti műszerek, számítógépes, elektronikus és optikai termékek, elektromos berendezések, egyéb gépek gyártása
- Digitális szolgáltatók és kutatólaboratóriumok
Magas kockázatú szolgáltatási ágazatok:
- Energia (villamos energia, távfűtés és távhűtés, kőolaj, földgáz, hidrogén)
- Közlekedés (légi, vasúti, közúti, vízi közlekedés, tömegközlekedés)
- Egészségügy
- Víziközmű-szolgáltatások (ivóvíz és szennyvíz)
- Távközlés
- Digitális infrastruktúra
- Kiszervezett IKT
- Űralapú szolgáltatások
Kötelezettségek és határidők
2024. június 30.:
- Vállalati önelemzés
- Elektronikus információs rendszerek osztályozása
- Biztonságért felelős személy kijelölése
- Technikai adatok gyűjtése
- Beszállítók és alvállalkozók adatainak gyűjtése
- Kérelem benyújtása a Szabályozott Tevékenységek Felügyeleti Hatóságához
2024. október 18.:
- Felügyeleti díj fizetése
- Biztonsági intézkedések bevezetése és alkalmazása
2024. december 31.:
- Szerződéskötés egy független auditorral, aki 2025. december 31-ig elvégzi az első NIS2-nek megfelelő kiberbiztonsági ellenőrzést
Szankciók
A Szabályozott Tevékenységek Felügyeleti Hatósága szigorú intézkedéseket hozhat a nem megfelelő vállalatokkal szemben, beleértve rendkívüli ellenőrzéseket, utasítások kiadását és bírságok kiszabását.
A bírság akár 10 millió euróig vagy a világméretű éves forgalom 2%-áig is terjedhet. Emellett a hatóság megtilthatja bizonyos szolgáltatások folytatását is.
Ez az új törvény kulcsfontosságú lépés a digitális biztonság terén Magyarországon, biztosítva a fogyasztók és vállalatok védelmét az egyre növekvő kiberfenyegetések ellen.