Ajánlatkérés

Hibajelentés

Ajánlatkérés

NIS2 Tudásbázis

NIS2 Tudásbázis

NIS / NIS2

Jelentéstételi kötelezettség

Kockázatkezelési és kiberbiztonsági intézkedések

Ügyvezetés felelőssége

Nyilvántartásba vétel és adatmódosítás

Kiberbiztonsági felügyeleti díj

Határidős feladatok

Hazai jogszabályok

NIS2 Tudásbázis

2022. december 14-én hatályba lépett a NIS2 Irányelv. Az elfogadott EU Rendelet és kihirdetett hazai rendelkezések kötelező érvényűek az érintett ágazatokban működő hazai vállalkozások és szervezetek számára.

 

2024. január 1-én hatályba lépett az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet!

NIS / NIS2

A NIS (Network and Information Systems) EU belső piaci működésének javítása érdekében létrehozott kiberbiztonsági irányelv. A hálózati- és információs rendszerek biztonságának magas szintjét biztosítja egységesen, az EU teljes területén.

A NIS irányelvet 2016. nyarán fogadta el az EU, 2018. tavaszán léptette hatályba a magyar jogrend.

Két nagyobb csoportra oszthatók az érintett szervezetek:

  • Az első csoportba tartoztak az úgynevezett alapvető szolgáltatásokat nyújtó szolgáltatók: digitális infrastruktúrák, energetika, közlekedés, banki szolgáltatások, pénzügyi szolgáltatások, egészségügyi szektor szereplői

  • A digitális szolgáltatásokat nyújtó szolgáltatók csoportjába kerültek a pl. az online piactér, keresőmotorok, felhő szolgáltatók.
 
NIS2 és főbb újdonságai

Az egyre gyakoribb és kifinomult kibertámadások, a felgyorsult digitalizáció és a zajló háború, számos gyengeségre világított rá az EU-n belül. 

Elkerülhetetlenné vált a NIS-irányelv modernizálása, valamint szigorúbb szabályok bevezetése a következők terén: biztonsági követelmények megerősítése, az ellátási láncok biztonságának kezelése, valamint a jelentési kötelezettségek.

Megfelelő és arányos technikai és szervezési intézkedéseket kell hozni a kockázatok kezelésére. Figyelembe kell venni a technika jelenlegi állását, az intézkedéseknek pedig biztosítaniuk kell a hálózati és információs rendszerek által keltett kockázatnak megfelelő biztonsági szintet.

Kibővített hatály

A NIS2 hatálya kiterjed a korábbi NIS szabályozásban szereplő alapvető szolgáltatásokat nyújtók mellett a digitális szolgáltatókra, kritikus ágazatokhoz tartozó (fontos és alapvető) szervezetekre és eddig nem érintett új szektorokra is.

Ennek megfelelően a NIS2 direktíva részletesen meghatározott, állami, közigazgatási szervezetekre, és magánkézben lévő közép és nagyvállalatokra vonatkozik.

Kiemelten kockázatos ágazatok (alapvető szerveztek):

  • energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
  • Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
  • egészségügy
  • ivóvíz, szennyvíz
  • hírközlési szolgáltatás
  • digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
  • kihelyezett IKT szolgáltatások
  • űralapú szolgáltatás


Kockázatos ágazat (fontos szervezetek):

  • postai és futárszolgáltatások
  • élelmiszer előállítás, feldolgozás, forgalmazás
  • hulladékgazdálkodás
  • vegyszerek előállítása és forgalmazása
  • gyártás:
    – orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
    – számítógépek, elektronikai és optikai termékek
    – villamos berendezések gyártása
    – máshova nem sorolt gépek és berendezések gyártása
    – gépjárművek, pótkocsik, félpótkocsik gyártása
    – egyéb szállítóeszközök gyártása
    – cement- mész- és gipszgyártás
  • digitális szolgáltatók
  • kutatás

Jelentéstételi kötelezettségek és jelentős események

A szervezetek minden jelentős eseményt 24 órán belül kötelesek bejelenteni a biztonsági eseményekre reagáló csoportoknak (CSIRT) és a felügyeleti hatóságnak.


Egy esemény akkor tekintendő jelentősnek, ha:

  • súlyos működési zavart okozott vagy képes okozni a szolgáltatásokban
  • pénzügyi veszteséget okozott az érintett szervezetnek
  • az esemény jelentős vagyoni vagy nem vagyoni kárt okoz (képes okozni) természetes vagy jogi személyek számára

Kockázatkezelési és kiberbiztonsági intézkedések

A hatály alá tartozó szervezeteknek további kiberbiztonsági kockázattal arányos biztonsági intézkedéseket kell bevezetniük, amely kiterjed:

  • a kockázatelemzési és információbiztonsági szabályzatokra
  • üzletmenet folytonosságra
  • katasztrófa utáni helyreállításra
  • ellátási láncok biztonságának biztosítására
  • kiberhigiéniai gyakorlatokra és kiberbiztonsági képzésekre
  • titkosításra, kriptográfiai megoldások használatára vonatkozó szabályzatok és eljárások alkalmazására
  • HR biztonságra
  • hitelesítési megoldásokra
  • biztonságos hang-, video- és szöveges kommunikációra
  • illetve biztonságos vészhelyzeti kommunikációs rendszerek használatára

Ügyvezetés felelőssége

  1. A biztonsági intézkedéseket az ügyvezetésnek kell jóváhagynia és azok végrehajtását felügyelnie
  2. Felelőssé tehető a vezetés, ha az általa vezetett szervezet nem felel meg az előírt követelményeknek.
  3. Rendszeres kiberbiztonsági oktatáson kell részt vennie, illetve munkavállalóik számára is rendszeresen hasonló képzéseket kell biztosítaniuk.

 

A NIS2 Irányelv alapján, az előírások megsértése esetén a fontos és alapvető szervezetekre eltérő szabályok vonatkoznak.

  • Az alapvető szervezetekre – az irányadó rendelkezések alapján – 10.000.000 euró vagy a teljes éves világszintű forgalom 2 %-nak megfelelő bírság róható ki.
  • A fontos szervezetek pedig 7.000.000 EUR vagy a vállalkozás előző évi forgalmának 1,4%-ig terjedő közigazgatási bírsággal sújthatók.

Nyilvántartásba vétel és adatmódosítás

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (továbbiakban: Kibertan.tv.) 17. § alapján érintett szervezetnek minősülő szervezetek adataikat nyilvántartásba vétel érdekében kötelesek az SZTFH-nak megküldeni. A nyilvántartás vezetésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. SZTFH rendelet tartalmazza.


Az űrlap kitöltésére jogosult: az érintett szervezet cégkapujához meghatalmazással rendelkező természetes személy.

Az űrlap kitöltéséhez kattintson az alábbi linkre:
https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/


A módosítást érintően: a szervezet vezetőjének gondoskodnia kell a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 15 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldésérőlaz SZTFH421 nyomtatványon


Az adatváltozás bejelentésének részletes szabályait az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet tartalmazza.

Kiberbiztonsági felügyeleti díj

A kiberbiztonsági felügyeleti díjról szóló 2/2025. (I.31.) rendelet alapján:

 

  • 2025. március 15.: Nyilatkozattétel a vállalatcsoportba tartozásról
  • 2025. május 31-ig az SZTFH tájékoztatja az érintett szervezeteket a felügyeleti díj mértékéről és a megfizetés módjáról
  • 2025. június 30.: Nyilatkozat 50MFt-ot meghaladó felügyeleti díj esetén (Tényleges vállalatcsoport és egy konszolidációs körbe tartozó vállalatcsoportba tartozó szervezetek)
  • 2025. július 31.: felügyeleti díj megfizetése


A díj tartalmazza a 2024. évre (2024. 10.18 – 2024.12.31.) vonatkozó felügyeleti díjat is.

  • A 2024. évi díjfizetés alapja a szervezet 2024. évet megelőző évben közzétett legutolsó, a számvitelről szóló 2000. évi C. törvény (Szt.) alapján készült beszámolóban szereplő nettó árbevétel
  • A 2025. évi kiberbiztonsági felügyeleti díj alapja a 2025. évet megelőző évben közzétett legutolsó, az Szt. szerint készült beszámolóban szereplő nettó árbevétel.


Figyelem! A kiberbiztonsági felügyeleti díj kalkulátor csak az ügyfelek tájékoztatásának elősegítése érdekében jött létre. Az ott kiszámított összeg kötelező erővel nem bír, erre bíróság, vagy más hatóság előtt megalapozottan hivatkozni nem lehet.

Határidős feladatok

Kiberbiztonsági tv. átmeneti rendelkezések (83.-89.§)

  • IBF összeférhetetlenség megszüntetése a törvény hatálybalépéstől 2év
  • HA az EIR első osztályba sorolását már el kellett volna végezni, akkor legkésőbb a törvény hatálybalépését követő 120 napon belül (2025. április 22.) kell pótolni
  • HA az osztálybasorolásról a hatóság még az Ibtv. alapján hozott döntést, a felülvizsgálatot a döntés véglegessé válásától számított 2 éven belül kell elvégezni. Ha a felülvizsgálat esedékessége a törvény hatálybalépésekor kevesebb, mint 180 nap, akkor a határidő 180 napra egészül ki.
  • HA a szervezet már teljesítette az Ibtv.-ben előírt követelményeket, akkor a 7/2024 MK rendelet szerinti új védelmi intézkedések kivitelezésére 1 év áll rendelkezésre
  • HA a szervezetnek még nem kellett teljesítenie a biztonsági osztályhoz előírt követelményeket, akkor a fokozatosságot figyelembe véve minimum 1, legfeljebb 2 év áll rendelkezésre

Hazai jogszabályok

A NIS2 irányelv hazai jogharmonizációja folyamatban van.
A jogalkotó az elmúlt időszakban az alábbi jogszabályokat alkotta meg és helyezte hatályba:

 

 

2024. évi LXIX. Törvény
(a továbbiakban: Kiberbiztonsági tv)		Magyarország kiberbiztonságáról
418/2024 (XII.23) KormányrendeletMagyarország kiberbiztonságáról szóló törvény végrehajtásáról
7/2024. (VI.24.) MK rendeletA biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről
7/2024. (VI.24.) SZTFH rendeletA kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről
10/2024. (VIII.8.) SZTFH rendeletAz IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről
1/2025. (I.31.) SZTFH rendeletA kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
2/2025. (I.31.) SZTFH rendeletA kiberbiztonsági felügyeleti díjról