Olvasási idő: 6 perc
A digitalizáció gyors fejlődése új lehetőségeket, de egyúttal új típusú kockázatokat is hozott magával. A vállalatok működésében az elektronikus információs rendszerek megbízhatósága is egyre inkább szerepet játszik, így a kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása alapvető igény. Ennek biztosítására jött létre az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről („NIS 2 Irányelv”) és annak hazai átültetése révén a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: „Kiberbiztonsági Törvény”). E jogszabályok célja az elektronikus információs rendszereket fenyegető kockázatok csökkentése, valamint a kulcsfontosságú ágazatokban – például az energia, egészségügy, közlekedés, digitális infrastruktúra vagy gyártás területén – a szolgáltatások folyamatosságának biztosítása. Az egyes vállalatok tevékenységétől, méretétől, szerepétől függően a szabályozás eltérő kötelezettségeket határoz meg, így az adott szervezetnek kell megállapítana, hogy a Kiberbiztonsági Törvény hatálya alá tartozik-e és mely rá vonatkozó konkrét előírásokat kell betartania. Jelen cikkben bemutatjuk az önazonosítás szempontjait, amelyek segítenek a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésben.
Kire vonatkozik a Kiberbiztonsági Törvény?
A Kiberbiztonsági Törvény számos ágazatra és tevékenységi körre kiterjed. A Kiberbiztonsági Törvényt alkalmazni kell a közigazgatási ágazathoz tartozó kijelölt szervezetekre, bizonyos állami befolyás alatt álló gazdálkodókra, honvédelmi vonatkozású szervezetekre; ezeket azonban a jelen cikk nem részletezi. E felsorolt eseteken kívül számos vállalkozás lehet érintett; esetükben a végzett tevékenységeket, valamit a szervezet méretét és árbevételét szükséges megvizsgálni.
Önmagában a tevékenység alapján:
Mérettől függetlenül a Kiberbiztonsági Törvény hatálya alá tartoznak azok a szervezetek, amelyek elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó vagy doménnév-regisztrációt végző szolgáltató tevékenységet végeznek.
Ezek a szolgáltatók a nyilvántartásukat vezető hatóságok által azonosíthatóak, így a Kiberbiztonsági Törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók, akik a Nemzeti Média- és Hírközlési Hatóság (NMHH) nyilvántartásában szerepelnek, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartó (Magyarországon jelenleg az ISZT Nonprofit Kft. az egyetlen ilyen szervezet), valamint a doménnév-regisztrációt végző szolgáltatók, akik az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok).
Tevékenység és méret alapján:
A Kiberbiztonsági Törvény a középvállalkozásokra, illetve az ennél nagyobb szervezetekre terjed ki, azaz azokra a vállalatokra, amelyek több mint 50 főt foglalkoztatnak, és éves nettó árbevételük vagy mérlegfőösszegük meghaladja a 10 millió eurónak megfelelő forintösszeget és a Kiberbiztonsági Törvényben meghatározott tevékenységet végeznek. A méretbeli kritériumot teljesítő szervezetek közül így azok érintettek, akik kiemelten kockázatos ágazatokban működnek, például egészségügy, hírközlési szolgáltatások, digitális infrastruktúra (pl. felhőszolgáltatók, adatközponti szolgáltatók), valamint a kockázatos ágazatban működő szolgáltatók és szervezetek, akik például élelmiszer-előállítás, -feldolgozás és -forgalmazással, számítógép-, elektronikai és optikai termékek gyártásával, gép- és gépi berendezésgyártásával foglalkoznak.
Tevékenység vizsgálata, megállapítása
Amennyiben tehát a szervezet nem olyan tevékenységet végez, amely esetén a méretétől függetlenül a Kiberbiztonsági Törvény hatálya alá tartozik, a szervezet méretét és tevékenységét kell együttesen figyelembe venni. Ha a méretkorlát teljesül, vizsgálni kell a kiemelten kockázatos ágazatba vagy kockázatos ágazatba tartozást megalapozó tevékenységeket, ezek megállapítása azonban a gyakorlatban nem mindig egyszerű.
A vizsgálandó ágazat, illetve tevékenység és ezáltal az érintettség az engedélyköteles tevékenységek esetén a társhatóságoknál vezetett nyilvántartások alapján (például a közlekedési ágazat esetén az Építési és Közlekedési Minisztérium mint közlekedési hatóság, az élelmiszeripar ágazatba tartozó tevékenységek esetén a Nemzeti Élelmiszerlánc-biztonsági Hivatal, a gyógyszeripar, egészségügyi szolgáltatók esetén a Nemzeti Népegészségügyi és Gyógyszerészeti Központ, az elektronikus hírközlési, bizalmi és postai szolgáltatók esetén pedig a Nemzeti Média- és Hírközlési Hatóság által vezetett nyilvántartás) állapítható meg.
Egyéb esetekben, főként a gyártás ágazatban, a TEÁOR kód vagy egyéb szám alapján azonosítható a tevékenység, amely a Kiberbiztonsági Törvény hatályát megalapozza.
A TEÁOR kódok alapján többnyire egyértelműen megállapítható a Kiberbiztonsági Törvény hatálya alá tartozás, például:
elektronikai alkatrész gyártása, vagy mérőműszergyártás esetén, melyek számítógép, elektronikai, optikai termék gyártása ágazatba tartoznak,
háztartási villamos készülék gyártás tevékenységet végző gazdálkodó szervezet, amely a villamos berendezés gyártása ágazatba tartozik,
motor, turbina gyártása, egyéb speciális gép gyártása, amely a gép, gépi berendezés gyártása ágazatba tartozik,
gépjárműalkatrész és -tartozék gyártása, amely a közúti jármű gyártása ágazatba tartozik.
Az azonosítást ugyanakkor befolyásolhatják az egyes ágazathoz tartozás értelmezésében a ténylegesen végzett tevékenységek. Például információtechnológiai szaktanácsadással és számítástechnikai eszközök, rendszerek üzemeltetésével foglalkozó vállalkozás minősülhet akár felhőszolgáltatónak is a végzett tevékenységek alapján, amely megalapozhatja az érintettségét.
Továbbá nehézséget okozhat az érintettség megállapításában az egyes tevékenységek jogszabályi fogalmának értelmezése, gyakorlati megfeleltetése, például műanyag csomagolóeszköz gyártásával, műanyag termék gyártásával foglalkozó gazdálkodó szervezet esetében sem teljesen egyértelmű a megítélés. A Kiberbiztonsági Törvény szerint ugyanis kockázatos ágazatba tartozik az a szervezet, amely az élelmiszer (i) előállítása, (ii) feldolgozása és (iii) forgalmazása ágazaton belül élelmiszer-vállalkozásnak minősül, és nagykereskedelemi tevékenységgel, ipari termeléssel és feldolgozással foglalkozik. E kritériumok esetén több fogalom tisztázásának szükségessége is felmerül, nevezetesen, hogy az ilyen gyártó szervezet élelmiszer-vállalkozásnak minősül-e és a ténylegesen végzett tevékenység az élelmiszerek termelésének, feldolgozásának vagy forgalmazásának bármely szakaszával összefüggő tevékenységnek minősülnek-e.
Az önazonosítás korlátjai és kockázatai, javasolt lépések
Látható, hogy az önazonosítás nem minden esetben egyértelmű, a puszta TEÁOR-kód nem feltétlenül tükrözi pontosan a vállalkozás tényleges tevékenységét. Emiatt könnyen előfordulhat, hogy egy szervezet tévesen kerül besorolásra a Kiberbiztonsági Törvény hatálya alá. A magyar gyakorlatban nem ritka, hogy a cégek olyan TEÁOR-kódokat tartanak nyilván, amelyek már nem felelnek meg a valós tevékenységüknek. Ilyen esetben a hatóság a nyilvántartás alapján mégis NIS2-érintettként értékelheti a céget, ami felesleges megfelelési kötelezettségeket és adminisztratív terheket vonhat maga után.
A hibás vagy hiányos önazonosítás nemcsak félreértésekhez vezethet, hanem bírságot és utólagos kötelezéseket is eredményezhet. Éppen ezért kulcsfontosságú, hogy a vállalkozások rendszeresen felülvizsgálják a tevékenységi köreiket, és csak azokat a TEÁOR-kódokat tartsák nyilván, amelyek a ténylegesen végzett tevékenységeket tükrözik.
Összegzés
Az önazonosítás helyes elvégzése nemcsak jogszabályi kötelezettség, hanem a vállalkozás saját érdeke is. A pontatlan vagy felesleges TEÁOR-kódok megtartása téves hatósági értelmezést és szankciót eredményezhet. A helyes önazonosítás és a tevékenységi körök tudatos kezelése nem pusztán adminisztratív kötelezettség, hanem üzleti biztonsági kérdés is: aki időben és tudatosan jár el, nemcsak a szankciókat kerülheti el, hanem akár versenyelőnyre is szert tehet a megbízhatóság és megfelelés révén.
Fotó forrása: Markus Spiske