Idén január 1-jén lépett hatályba a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény („Kiberbiztonsági Törvény”), amely az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”) tekintettel született és amelynek célja az információs társadalmat érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása. A Kiberbiztonsági Törvény és a kapcsolódó jogszabályok szigorú követelményeket és ezek elmulasztása esetén súlyos jogkövetkezményeket írnak elő.
Mivel számos társaságot támogatunk a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésre való felkészülésben, jelen cikkünk célja, hogy valamennyi, lehetségesen érintett cég figyelmét felhívjuk a Kiberbiztonsági Törvény közeljövőben aktuálissá váló előírásaira, azaz a kiberbiztonsági auditra vonatkozó szerződéskötéssel és az audit lefolytatásával kapcsolatos kötelezettségekre és határidőkre.
Az érintett szervezetek köre
A Kiberbiztonsági Törvény széles körben meghatározza azokat a szervezeteket, akik kötelesek ellenőrizni elektronikus rendszereik biztonságát és ezt auditálni. Azok a magánszektorbeli vállalkozások, amelyek bizonyos méretet elérnek és kiemelten kockázatos vagy kockázatos ágazatba sorolt tevékenységet végeznek, ebbe a körbe tartoznak, az alábbiak szerint:
- Méret tekintetében azok a vállalkozások érintettek, amelyek középvállalkozásoknak minősülnek, vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, vagyis amelyek összes foglalkoztatotti létszáma 50 főnél több, és az éves nettó árbevétele vagy mérlegfőösszege 10 millió eurónak megfelelő forintösszeget meghaladja.
- A tevékenységi körre vonatkozó feltétel, hogy a vállalkozások (kiemelten) kockázatos ágazatban működjenek, például egészségügy, hírközlési szolgáltatás, digitális infrastruktúra (felhőszolgáltató, adatközponti szolgáltatást nyújtó szolgáltató), élelmiszerelőállítás, -feldolgozás, -forgalmazás, számítógép, elektronikai, optikai termék gyártás, vagy gép, gépi berendezés gyártás területén.
Amennyiben nem egyértelmű, hogy a szabályozás alapján a kötelezettségek kiterjednek-e az adott cégre, javasolt ezt a jogszabály átvizsgálásával mihamarabb tisztázni.
Kiberbiztonságra vonatkozó kötelezettségek
- Audit szerződés:
Az érintett vállalkozások aktuális kötelezettsége, hogy a Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”) által nyilvántartásba vett kiberbiztonsági audittevékenység végzésére jogosult, független gazdálkodó szervezettel mint auditorral szerződést kössenek az elektronikus rendszerük kiberbiztonságának ellenőrzése érdekében. Az SZTFH már folyamatosan küldi az értesítéseket a lehetségesen érintettek részére, melyben egyúttal előírja, hogy a szerződés megkötésének tényét 2025. szeptember 15-ig igazolni is szükséges felé. A kötelezettség elmulasztása esetén a vállalkozással szemben 1 -15 millió Ft bírság szabható ki.
- Kiberbiztonsági audit:
Az auditorral történő szerződést követően 2026. június 30-ig el kell végezni a kiberbiztonsági auditot, mely során ellenőrzésre kerül az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelősége. Az audit elmaradása súlyos szankciókat vonhat maga után, akár az előző évi árbevétel 2%-át is elérő, de legalább 1 millió, legfeljebb 150 millió forintos bírság formájában.
A kiberbiztonsági audit hosszabb időt is igénybe vehet a vállalkozás méretétől, illetve a tevékenység technológiai és szervezeti összetettségétől függően. Éppen ezért célszerű a felülvizsgálat időpontját és ütemezését előre megtervezni, hogy a folyamat ne csak megfelelési célt szolgáljon, hanem ténylegesen feltárja azokat a területeket is, ahol további teendők vagy hiányosságok lehetnek. Ilyen lehet például az adatvédelmi megfelelés felülvizsgálata, az információbiztonsági szabályzatok aktualizálása, vagy a kockázatkezelési eljárások finomhangolása.
Megfelelés jelentősége
A szigorodó kiberbiztonsági szabályozás és a magas bírságkockázat miatt a megfelelés nem pusztán jogi kötelezettség, hanem kiemelt üzleti érdek is. Elérhető előnyök:
- csökken a pénzügyi és reputációs kockázat;
- erősödik a vállalkozás kiberbiztonsági védelme és digitális stabilitása;
- megfelelő szerződéssel kiszámíthatóvá válik az audit tartalma, ütemezése, feladat- és felelősségi körök meghatározása;
- egyidejűleg áttekinthetőek az adatvédelmi szempontok, szükség esetén felülvizsgálhatóak az adatvédelmi hatásvizsgálati dokumentumok, ezáltal teljesül a NAIH által elvárhat elszámoltathatóság elvének való megfelelés.
Fotó forrása: Brian Penny, pixabay.com