Kiberbiztonsági megfelelőség 2025-ben: Mit kell tudni a NIS2 szabályozásról?

A Magyarország kiberbiztonságáról szóló új törvény jelentős változásokat hozott a vállalkozások számára. Az új jogszabály, amely az Európai Unió NIS2 irányelvét az előző – nem túl régi – magyar szabályozáshoz képest részletesebben ülteti át a magyar jogrendbe, 2025. január 1-jétől hatályos, és számos új kötelezettséget ír elő az érintett szervezetek számára. A jogszabály célja, hogy megerősítse a hazai kiberbiztonsági rendszereket, növelje az információbiztonsági szintet, és elősegítse a kibertámadások hatékony kezelését.

Már a korábbi jogszabály alapján is több ezer magyar vállalkozásnak kellett 2024-ben megkezdenie a felkészülést az új szabályozás teljesítésére. A cégeknek 2024. december 31-ig kellett volna szerződést kötniük az első ellenőrző auditra, azonban hatósági rendelet hiányában erre eddig nem kerülhetett sor. A rendelet végül 2025. január 31-én jelent meg a Magyar Közlönyben, így most már nincs akadálya a következő lépések megtételének.

Mi az a NIS2 irányelv, és miért fontos?

A NIS2 (Network and Information Systems Directive 2) célja, hogy egységes európai uniós szabályozás keretében erősítse a tagállamok és az érintett szervezetek kiberbiztonsági felkészültségét. A szabályozás szigorúbb követelményeket ír elő a kockázatkezelési intézkedésekre és a jelentéstételi kötelezettségekre, valamint fokozott hatósági ellenőrzést vezet be.

A NIS2 egyik legfontosabb eleme a kötelező kiberbiztonsági audit, amelyet az érintett szervezeteknek kétévente kell elvégeztetniük. Ez biztosítja, hogy az informatikai rendszerek biztonságosan működjenek, és megfelelő védelmet nyújtsanak a kiberfenyegetésekkel szemben.

Kiket érint a NIS2 irányelv?

A NIS2 hatálya alá tartozó szervezetek meghatározása összetett szempontrendszeren alapul. Az új szabályozás kiterjed:

• Állami és önkormányzati szervekre,
• Kritikus állami infrastruktúrát működtető vállalatokra,
• Többségi állami tulajdonban lévő vállalatokra,
• Honvédelmi érdekhez kapcsolódó gazdasági társaságokra.

Ezen túlmenően a digitalizáció szempontjából alapvető és kulcsfontosságú szolgáltatásokat nyújtó magánvállalatok is érintettek lehetnek, melyeket a jogszabály két kategóriába sorol be:

• Kiemelten kockázatos ágazatok: energia, közlekedés, egészségügy, ivóvíz- és szennyvízellátás, hírközlés, digitális infrastruktúra, kihelyezett IT-szolgáltatások, űripar.
• Kockázatos ágazatok: postai és futárszolgálatok, élelmiszeripar, hulladékfeldolgozás, vegyipar, gyártás, digitális szolgáltatások, kutatás.

Ha egy cég érintett lehet a fentiek szerint, további kritériumként a méretét és az árbevételét is vizsgálni kell. Azok a szervezetek tartoznak a szabályozás hatálya alá, amelyeknek legalább 50 alkalmazottjuk van, vagy éves árbevételük meghaladja a 10 millió eurót. Fontos kiemelni, hogy bizonyos szervezetek – például elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatók, legfelső szintű doménnév-nyilvántartók, doménnév-regisztrációt végző szolgáltatók – méretüktől függetlenül is kötelezettek.

Érdemes megjegyezni, hogy az érintett társaságok körét a Szabályozott Tevékenységek Felügyeleti Hatósága (továbbiakban: SZTFH) saját jogértelmezése alapján alakítja a jogszabály adta kereteken belül. Így több esetben elutasította az érintett vállalkozás jelentkezését követő nyilvántartásbavételét, arra hivatkozva, hogy a hatóság a kérelmező által közölt adatok alapján nem minősítette az adott társaságot érintett szervezetnek.

Határidők és teendők

A magyar vállalkozásoknak 2024 folyamán kellett felmérniük, hogy az új kiberbiztonsági előírások vonatkoznak-e rájuk. Az SZTFH januártól kezdte nyilvántartásba venni az érintett szervezeteket, a regisztrációs határidő 2024. június 30. volt.

A következő fontos határidő 2024. október 18., amikorra az érintett cégeknek a saját elektronikus információs rendszerüket be kellett sorolniuk és alkalmazniuk kellett a NIS2 által előírt biztonsági intézkedéseket. Az első kötelező kiberbiztonsági audit elvégzésére eredetileg 2024. december 31-ig kellett volna megkötni a szerződést a nyilvántartásban felsorolt szakértői szervezetekkel, de a szükséges hatósági rendelet hiánya miatt erre nem volt lehetőség. Az SZTFH rendelet végül 2025. január 31-én jelent meg, így most már az érintettek megkezdhetik a szerződéskötést az auditorokkal. Az első auditot 2025. december 31-ig kell elvégezni. Fontos megjegyezni, hogy a kiberbiztonsági felügyeleti díjat az érintett szervezetek évente kötelesek megfizetni a hatóságnak.

Az audit díja

Az audit költsége az adott szervezet árbevételétől, az általa működtetett elektronikus információs rendszerek számától, valamint a biztonsági osztályától függ. Az alapdíj 1 750 000 forint, amely különböző szorzószámok alapján módosulhat. Így az audit végső díja 1,5 millió forinttól akár 140 millió forintig terjedhet (plusz áfa). A pontos számítási módszert és a szorzószámokat a rendelet 3. számú melléklete tartalmazza.

Egy érzékletes példa a díj számítására: Egy közepes méretű gyártóvállalat 15 milliárd forint éves árbevétellel, amely egy alap biztonsági osztályba sorolt informatikai rendszert működtet, várhatóan 4-6 millió forint + ÁFA auditköltséggel számolhat. Egy nagyobb, komplex IT-infrastruktúrával rendelkező pénzintézet esetében ez az összeg akár 100 millió forintra is emelkedhet.

Már nincs jogszabályi akadály az auditor kiválasztására

A becslések szerint Magyarországon 3-4 ezer vállalat és szervezet lehet érintett a NIS2 szabályozásban. Az SZTFH nyilvántartása szerint eddig több mint 3800 regisztráció érkezett be, bár egyes esetekben elutasítás várható továbbra is.

Jelenleg az auditok elvégzésére jogosult cégek listáján tíz auditor szerepel. Részletes tájékoztatás a következő linken érhető el: https://sztfh.hu/nyilvantartasok/auditorok/

Közülük heten csak az alap biztonsági osztályú szervezeteket auditálhatják, és mindössze egy cég rendelkezik a magas biztonsági osztály auditálására való jogosultsággal. Ez azt jelenti, hogy noha a jogszabályi akadályok elhárultak, a szolgáltatói kapacitás továbbra is szűk keresztmetszetet jelenthet az auditori szerződések megkötésében.

Kötelező bejelentések és szankciók

• Amennyiben egy vállalat más uniós tagállamban is végez tevékenységet, 2025. február 15-ig be kell jelentenie, hogy mely országokban nyújt szolgáltatást.
• A külföldi vállalatoknak, amelyek Magyarországon érintettek, szintén kötelező meghatalmazott képviselőt kijelölni és regisztrálni.
• Az SZTFH ellenőrzései során bírságokat is kiszabhat, amelyek a vállalat globális árbevételének meghatározott százalékát is elérhetik.

Hogyan segíthetünk?

Ügyvédi irodánk szakértői csapata segít Önnek eligazodni a NIS2 irányelv követelményeiben, és támogatást nyújt a kötelező audittal és jogi megfelelőséggel kapcsolatos lépésekben. Ha bizonytalan abban, hogy cége érintett-e a szabályozásban, vagy szüksége van tanácsra a következő lépésekkel kapcsolatban, forduljon hozzánk bizalommal!