CLVPartners

CLV-02
Menu

hatály

MI Rendelet hatályával kapcsolatos kérdések

Hírek, Mesterséges intelligencia / / , , , , , ,

Olvasási idő: 5 perc

2024. június 12-én új korszak kezdődött a mesterséges intelligencia („MI”) szabályozásában: elfogadásra és közzétételre került az Európai Uniómesterséges intelligenciáról szóló rendelete („MI Rendelet”). A jogszabály célja, hogy keretet adjon az MI biztonságos, átlátható és felelős fejlesztésének és alkalmazásának az Európai Unióban. Annak érdekében, hogy megfelelően értelmezni tudjuk az MI Rendeletben előírt kötelezettségeket, mindenekelőtt azt kell tisztázni, hogy pontosan milyen szervezetekre, tevékenységekre vagy technológiai megoldásokra vonatkozik a szabályozás.

Cikksorozatunk második részében ezért az MI Rendelet hatályával kapcsolatos legfontosabb szabályokat vesszük górcső alá, hogy segítsünk ügyfeleinknek időben megkezdeni a megfelelésre való felkészülést, és felismerni, ha működésük során olyan MI-rendszereket fejlesztenek vagy használnak, amelyekre az MI Rendelet előírásai alkalmazandók.

MI Rendelet hatályával kapcsolatos legfontosabb szabályok

MI Rendelet szabályozásának tárgya

Az MI Rendelet alapvetően az MI-rendszerek szabályozására terjed ki. Ennek megfelelően elsőként fontos azt azonosítani, hogy mi minősül MI rendszernek.

A MI Rendelet alapján az MI-rendszer olyan gépi alapú rendszer, amelyet kifejezetten úgy terveztek, hogy különböző szintű autonómiával működjön, és a telepítését követően képes legyen alkalmazkodni. Ezek a rendszerek explicit vagy implicit célok érdekében elemzik a kapott bemeneteket, és azok alapján generálnak kimeneteket – például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek hatással lehetnek a fizikai vagy virtuális környezetre.

A MI-rendszereket alapvetően az különbözteti meg a hagyományos szoftvermegoldásoktól, hogy képesek a bemeneti adatokból tanulni, azok alapján következtetéseket levonni, illetve modelleket alkotni. Ezzel szemben a klasszikus programozási megközelítésekre épülő, egyszerűbb szoftverrendszerek – ideértve azokat a rendszereket is, amelyek kizárólag előre meghatározott, ember által rögzített szabályok alapján hajtanak végre automatizált műveleteket – nem rendelkeznek ilyen tanulási vagy adaptációs képességekkel. Ennek következtében ezek a megoldások nem minősülnek MI-rendszernek, és így a vonatkozó szabályozás hatálya sem terjed ki rájuk.

Hagyományos szoftvermegoldásnak tekinthetők például az olyan alkalmazások, amelyek működése teljes mértékben előre meghatározott szabályokon alapul, és nem képesek önálló tanulásra vagy adaptációra. Ilyen lehet többek között egy hagyományos számológép, a Microsoft Excel egyes alapvető funkciói, illetve azok a pénzügyi előrejelzésekhez használt teljesítményértékelő szoftverek, amelyek kizárólag múltbeli adatok feldolgozására és egyszerű statisztikai következtetések levonására alkalmasak.

Fontos továbbá kiemelni, hogy az MI-rendelet főszabály szerint bizonyos speciális területekre nem alkalmazandó. A szabályozás hatálya nem terjed ki a katonai, védelmi vagy nemzetbiztonsági célból alkalmazott MI-rendszerekre, valamint azokra a rendszerekre, modellekre és eredményekre sem, amelyeket kifejezetten tudományos kutatás és fejlesztés céljára hoztak létre. Emellett a rendelet nem vonatkozik azokra a természetes személyekre sem, akik az MI-rendszereket kizárólag személyes, nem szakmai célból használják.

Területi és személyi hatály

Az MI Rendelet hatálya nem korlátozódik kizárólag az Európai Unió területén letelepedett szereplőkre. A szabályozás minden olyan MI-rendszerre alkalmazandó, amelyet az Európai Unió belső piacán hoznak forgalomba, helyeznek üzembe vagy használnak. Ennek megfelelően a rendelet bizonyos esetekben az Unión kívül letelepedett szereplőkre is kiterjed.

A szabályozás alapvetően minden olyan szereplőre kiterjed, aki kapcsolatba kerül MI-rendszerekkel a fejlesztéstől a felhasználásig. Ennek megfelelően a MI Rendelet hatálya alá tartozhatnak többek között a fejlesztők, szolgáltatók, forgalmazók, importőrök, telepítők, üzemeltetők, valamint a rendszerek felhasználói is

Időbeli hatály

Az MI Rendelet rendelkezései fokozatosan lépnek hatályba.

Ugyanakkor fontos hangsúlyozni, hogy az MI Rendelet egyes előírásai már jelenleg is hatályosak. Ezek közé tartoznak többek között a fogalommeghatározásokra vonatkozó rendelkezések, az elfogadhatatlan kockázatot jelentő – azaz tiltott – MI-rendszerekre vonatkozó szabályok, az általános célú MI-modellekre irányadó kötelezettségek, valamint az MI-jártasságra, a hatósági felügyeletre és a szankciókra vonatkozó előírások.

Kiemelt jelentőséggel bír az úgynevezett MI-jártasság követelménye. E rendelkezés értelmében az MI-rendszert alkalmazó szervezetek kötelesek biztosítani, hogy a rendszert kezelő vagy működtető személyek megfelelő szintű ismeretekkel rendelkezzenek az MI-vel kapcsolatban.

Az MI Rendelet hatályos szövege szerint a rendelkezések túlnyomó része 2026. augusztus 2-án válik alkalmazandóvá. Mindazonáltal az Európai Bizottság a digitális omnibusz csomag keretében már 2025 novemberében javaslatot tett arra, hogy egyes szabályok alkalmazását legfeljebb 18 hónappal elhalasszák.

A végrehajtással kapcsolatban további bizonytalanságot okoz, hogy a Bizottságnak 2026. február 2-ig iránymutatást kellett volna közzétennie a nagy kockázatú MI-rendszerek besorolásáról. Ez az iránymutatás kulcsfontosságú annak meghatározásához, hogy egy adott MI-alkalmazás magas kockázatúnak minősül-e, és ennek következtében szigorúbb dokumentációs, megfelelési és felügyeleti követelmények vonatkoznak-e rá. Az iránymutatás közzététele azonban egyelőre elmaradt. Emellett több tagállamban is nehézségek merültek fel a rendelet végrehajtásáért felelős hatóságok kijelölésében.

Mindezek következtében a hatálybalépés és az egyes rendelkezések gyakorlati alkalmazása tekintetében jelenleg is jelentős bizonytalanság tapasztalható.

Hazai szabályozás

A rendeleti forma miatt a magyar szabályozás alapvetően kiegészítő jellegű az uniós szabályokhoz képest. Ennek megfelelően az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény („MI Törvény”) kizárólag azokra az ügyekre, szervezetekre és MI-rendszerekre vonatkozik, amelyek Magyarországot vagy annak területét érintik.

Az időbeli hatály tekintetében a MI Törvény főszabályként 2025 decemberétől alkalmazandó, azonban kivételt képez a szabályozói tesztkörnyezetre vonatkozó rendelkezés, amely 2026. augusztus 2-án lép hatályba.

Összegzés:

Az MI Rendelet azokat a rendszereket szabályozza, amelyek képesek a bemeneti adatok alapján tanulni, következtetéseket levonni vagy autonóm módon kimeneteket generálni, míg a kizárólag előre meghatározott szabályok szerint működő hagyományos szoftverek nem tartoznak a hatálya alá. Az MI Rendelet területi hatálya széles, mivel nemcsak az EU-ban letelepedett szereplőkre vonatkozik, hanem azokra is, akik az uniós piacon hoznak forgalomba MI-rendszereket vagy azok kimeneteit az EU-ban használják. A szabályozás a fejlesztéstől a felhasználásig valamennyi érintett szereplőre kiterjed. Bár az MI Rendelet szabályai fokozatosan válnak alkalmazandóvá, több kulcsfontosságú rendelkezés már hatályos, ugyanakkor a végrehajtással kapcsolatos iránymutatások és intézményi feltételek hiánya jelenleg bizonytalanságot okoz a gyakorlati alkalmazásban.

Kép forrása: pexels.com, Tara Winstead

MI Rendelet hatályával kapcsolatos kérdések Read More »

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban

Cégcsoportok, cégjog, Hírek / / , , , , , ,

Olvasási idő: 6 perc

A digitalizáció gyors fejlődése új lehetőségeket, de egyúttal új típusú kockázatokat is hozott magával. A vállalatok működésében az elektronikus információs rendszerek megbízhatósága is egyre inkább szerepet játszik, így a kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása alapvető igény. Ennek biztosítására jött létre az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről („NIS 2 Irányelv”) és annak hazai átültetése révén a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: „Kiberbiztonsági Törvény”). E jogszabályok célja az elektronikus információs rendszereket fenyegető kockázatok csökkentése, valamint a kulcsfontosságú ágazatokban – például az energia, egészségügy, közlekedés, digitális infrastruktúra vagy gyártás területén – a szolgáltatások folyamatosságának biztosítása. Az egyes vállalatok tevékenységétől, méretétől, szerepétől függően a szabályozás eltérő kötelezettségeket határoz meg, így az adott szervezetnek kell megállapítana, hogy a Kiberbiztonsági Törvény hatálya alá tartozik-e és mely rá vonatkozó konkrét előírásokat kell betartania. Jelen cikkben bemutatjuk az önazonosítás szempontjait, amelyek segítenek a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésben.

Kire vonatkozik a Kiberbiztonsági Törvény?

A Kiberbiztonsági Törvény számos ágazatra és tevékenységi körre kiterjed. A Kiberbiztonsági Törvényt alkalmazni kell a közigazgatási ágazathoz tartozó kijelölt szervezetekre, bizonyos állami befolyás alatt álló gazdálkodókra, honvédelmi vonatkozású szervezetekre; ezeket azonban a jelen cikk nem részletezi.  E felsorolt eseteken kívül számos vállalkozás lehet érintett; esetükben a végzett tevékenységeket, valamit a szervezet méretét és árbevételét szükséges megvizsgálni.

Önmagában a tevékenység alapján:

Mérettől függetlenül a Kiberbiztonsági Törvény hatálya alá tartoznak azok a szervezetek, amelyek elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó vagy doménnév-regisztrációt végző szolgáltató tevékenységet végeznek.

Ezek a szolgáltatók a nyilvántartásukat vezető hatóságok által azonosíthatóak, így a Kiberbiztonsági Törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók, akik a Nemzeti Média- és Hírközlési Hatóság (NMHH) nyilvántartásában szerepelnek, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartó (Magyarországon jelenleg az ISZT Nonprofit Kft. az egyetlen ilyen szervezet), valamint a doménnév-regisztrációt végző szolgáltatók, akik az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok).

Tevékenység és méret alapján:

A Kiberbiztonsági Törvény a középvállalkozásokra, illetve az ennél nagyobb szervezetekre terjed ki, azaz azokra a vállalatokra, amelyek több mint 50 főt foglalkoztatnak, és éves nettó árbevételük vagy mérlegfőösszegük meghaladja a 10 millió eurónak megfelelő forintösszeget és a Kiberbiztonsági Törvényben meghatározott tevékenységet végeznek. A méretbeli kritériumot teljesítő szervezetek közül így azok érintettek, akik kiemelten kockázatos ágazatokban működnek, például egészségügy, hírközlési szolgáltatások, digitális infrastruktúra (pl. felhőszolgáltatók, adatközponti szolgáltatók), valamint a kockázatos ágazatban működő szolgáltatók és szervezetek, akik például élelmiszer-előállítás, -feldolgozás és -forgalmazással, számítógép-, elektronikai és optikai termékek gyártásával, gép- és gépi berendezésgyártásával foglalkoznak.

Tevékenység vizsgálata, megállapítása

Amennyiben tehát a szervezet nem olyan tevékenységet végez, amely esetén a méretétől függetlenül a Kiberbiztonsági Törvény hatálya alá tartozik, a szervezet méretét és tevékenységét kell együttesen figyelembe venni. Ha a méretkorlát teljesül, vizsgálni kell a kiemelten kockázatos ágazatba vagy kockázatos ágazatba tartozást megalapozó tevékenységeket, ezek megállapítása azonban a gyakorlatban nem mindig egyszerű.

A vizsgálandó ágazat, illetve tevékenység és ezáltal az érintettség az engedélyköteles tevékenységek esetén a társhatóságoknál vezetett nyilvántartások alapján (például a  közlekedési ágazat esetén az Építési és Közlekedési Minisztérium mint közlekedési hatóság, az élelmiszeripar ágazatba tartozó tevékenységek esetén a Nemzeti Élelmiszerlánc-biztonsági Hivatal, a gyógyszeripar, egészségügyi szolgáltatók esetén a Nemzeti Népegészségügyi és Gyógyszerészeti Központ, az elektronikus hírközlési, bizalmi és postai szolgáltatók esetén pedig a Nemzeti Média- és Hírközlési Hatóság által vezetett nyilvántartás) állapítható meg.

Egyéb esetekben, főként a gyártás ágazatban, a TEÁOR kód vagy egyéb szám alapján azonosítható a tevékenység, amely a Kiberbiztonsági Törvény hatályát megalapozza.

A TEÁOR kódok alapján többnyire egyértelműen megállapítható a Kiberbiztonsági Törvény hatálya alá tartozás, például:

elektronikai alkatrész gyártása, vagy mérőműszergyártás esetén, melyek számítógép, elektronikai, optikai termék gyártása ágazatba tartoznak,

háztartási villamos készülék gyártás tevékenységet végző gazdálkodó szervezet, amely a villamos berendezés gyártása ágazatba tartozik,

motor, turbina gyártása, egyéb speciális gép gyártása, amely a gép, gépi berendezés gyártása ágazatba tartozik,

gépjárműalkatrész és -tartozék gyártása, amely a közúti jármű gyártása ágazatba tartozik.

Az azonosítást ugyanakkor befolyásolhatják az egyes ágazathoz tartozás értelmezésében a ténylegesen végzett tevékenységek. Például információtechnológiai szaktanácsadással és számítástechnikai eszközök, rendszerek üzemeltetésével foglalkozó vállalkozás minősülhet akár felhőszolgáltatónak is a végzett tevékenységek alapján, amely megalapozhatja az érintettségét.

Továbbá nehézséget okozhat az érintettség megállapításában az egyes tevékenységek jogszabályi fogalmának értelmezése, gyakorlati megfeleltetése, például műanyag csomagolóeszköz gyártásával, műanyag termék gyártásával foglalkozó gazdálkodó szervezet esetében sem teljesen egyértelmű a megítélés. A Kiberbiztonsági Törvény szerint ugyanis kockázatos ágazatba tartozik az a szervezet, amely az élelmiszer (i) előállítása, (ii) feldolgozása és (iii) forgalmazása ágazaton belül élelmiszer-vállalkozásnak minősül, és nagykereskedelemi tevékenységgel, ipari termeléssel és feldolgozással foglalkozik. E kritériumok esetén több fogalom tisztázásának szükségessége is felmerül, nevezetesen, hogy az ilyen gyártó szervezet élelmiszer-vállalkozásnak minősül-e és a ténylegesen végzett tevékenység az élelmiszerek termelésének, feldolgozásának vagy forgalmazásának bármely szakaszával összefüggő tevékenységnek minősülnek-e.

Az önazonosítás korlátjai és kockázatai, javasolt lépések

Látható, hogy az önazonosítás nem minden esetben egyértelmű, a puszta TEÁOR-kód nem feltétlenül tükrözi pontosan a vállalkozás tényleges tevékenységét. Emiatt könnyen előfordulhat, hogy egy szervezet tévesen kerül besorolásra a Kiberbiztonsági Törvény hatálya alá. A magyar gyakorlatban nem ritka, hogy a cégek olyan TEÁOR-kódokat tartanak nyilván, amelyek már nem felelnek meg a valós tevékenységüknek. Ilyen esetben a hatóság a nyilvántartás alapján mégis NIS2-érintettként értékelheti a céget, ami felesleges megfelelési kötelezettségeket és adminisztratív terheket vonhat maga után.

A hibás vagy hiányos önazonosítás nemcsak félreértésekhez vezethet, hanem bírságot és utólagos kötelezéseket is eredményezhet. Éppen ezért kulcsfontosságú, hogy a vállalkozások rendszeresen felülvizsgálják a tevékenységi köreiket, és csak azokat a TEÁOR-kódokat tartsák nyilván, amelyek a ténylegesen végzett tevékenységeket tükrözik.

Összegzés

Az önazonosítás helyes elvégzése nemcsak jogszabályi kötelezettség, hanem a vállalkozás saját érdeke is. A pontatlan vagy felesleges TEÁOR-kódok megtartása téves hatósági értelmezést és szankciót eredményezhet. A helyes önazonosítás és a tevékenységi körök tudatos kezelése nem pusztán adminisztratív kötelezettség, hanem üzleti biztonsági kérdés is: aki időben és tudatosan jár el, nemcsak a szankciókat kerülheti el, hanem akár versenyelőnyre is szert tehet a megbízhatóság és megfelelés révén.

Fotó forrása: Markus Spiske

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.