CLVPartners

CLV-02
Menu

Kiberbiztonság

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata

Adatvédelem, Hírek / / , , , , ,

Olvasási idő: 6 perc

A digitalizáció és az adatalapú döntéshozatal térnyerése következtében az érzékeny információk száma, és ezáltal a kiberfenyegetések kockázata is megnőtt. Szükségesé vált egy szabályrendszer kialakítása, ami iránymutatást nyújt a technológiai környezet által formált szemlélet, elvárások, és felelősségek kezelésére. Ennek két fő alappillére az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”), melyet a hazai szabályozás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvénnyel („Kiberbiztonsági Törvény”) ültetett át, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”), amely az adatvédelemi megfelelés biztosítását szolgálja.

A NIS2 Irányelv, ennek nyomán a hazai kiberbiztonsági előírások és a GDPR szabályozása más szempontrendszert alkalmaznak, azonban az érintett területek a gyakorlatban gyakran átfedésben vannak, különösen olyan elektronikus információs rendszerek esetében, amelyek személyes adatokat is kezelnek. Emiatt a két szabályrendszer által támasztott követelmények összehangolása elengedhetetlen az érintett vállalatok jogszerű és biztonságos működéshez. A jelen cikk a NIS2 Irányelv és a hazai szabályozás GDPR-ral való kapcsolatát, egymás közti átfedéseit, ütközéseit és azok gyakorlati feloldását mutatja be.

NIS2 és GDPR hatálya: kettős kötelezettségek

A GDPR hatálya valamennyi szervezetre kiterjed, amely adatkezelőnek minősül, azaz a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A NIS2 hatálya összetett szempontrendszer alapján került meghatározásra, ide tartozhat számos vállalkozás a végzett tevékenysége, valamit a mérete és árbevétele alapján. Így, ha egy entitás mind a NIS2 mind pedig a GDPR hatálya alá tartozik, mindkét rendszer szabályainak párhuzamosan kell megfelelnie. Például egy gyártási ágazatban működő közép-vagy nagyvállalat tevékenysége és mérete alapján a kiberbiztonsági szabályozás hatálya alá tartozhat, a tevékenysége során pedig jellemzően adatkezelőként legalább munkavállalói és beszállítói adatokat kezel, így a GDPR és a NIS2 rendelkezéseit is alkalmazni szükséges.

A gyakorlatban az elektronikus információs rendszerekben többnyire személyes adatokat is kezelnek, mint a HR rendszerek, ügyféladatbázis. Incidens bekövetkezése esetén mind a GDPR, mind a NIS2 szabályrendszere kötelezettséget ír elő a szervezet részére. Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a kiberbiztonsági incidens pedig olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. Így, ha egy kiberbiztonsági incidens esetén személyes adat is érintett, például phishing e-mail vagy zsarolóvírus támadás következtében adatvesztés, adatszivárgás történik, az egyúttal adatvédelmi incidenst is megvalósít. Ezért mindkét szabályozás alapján szükséges vizsgálni az incidenskezelésre vonatkozó előírásokat, a feltételek fennállása esetén az illetékes hatóságok felé a szükséges bejelentéseket megtenni. Ennek érdekében célszerű olyan belső eljárásrendet kialakítani, amely mind a két rendszer által megkívánt kötelezettségeket figyelembe veszi.

Az incidensek megfelelő minősítése kiemelten fontos, mivel a különböző incidensfajtákhoz eltérő bejelentési kötelezettségek, tartalmi követelmények és határidők kapcsolódnak. Adatvédelmi incidens esetén a szervezetnek mindenekelőtt azt kell mérlegelnie, hogy az esemény kockázatot jelent-e a természetes személyek jogaira és szabadságaira. Ha ez a kockázat valószínűsíthető, akkor az incidenst 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, magas kockázat valószínűsítése esetén pedig az érintettek tájékoztatása is kötelező. A kiberbiztonsági incidensekre ezzel szemben más eljárási rend vonatkozik: a szervezetnek a tudomásszerzéstől számított 24 órán belül bejelentést kell tennie a rendelkezésre álló adatok alapján, majd 72 órán belül részletes jelentést kell benyújtania, a teljes kivizsgálás lezárását követően pedig legkésőbb 30 napon belül zárójelentést kell eljuttatnia a nemzeti kiberbiztonsági incidenskezelő központ részére. Mivel a GDPR és a kiberbiztonsági szabályok az incidens fogalmát és a kapcsolódó feladatokat is eltérően határozzák meg, előfordulhat olyan helyzet, hogy egy esemény kiberbiztonsági incidensnek minősül ugyan, de nem igényel adatvédelmi incidensbejelentést.

A kettős megfelelés gyakorlati jelentőségét jól mutatja egy olyan közép-vagy nagyvállalat példája, amely „máshova nem sorolt gépgyártás” tevékenységet folytat, így a NIS2 irányelv hatálya alá tartozik. Ha a vállalatot olyan incidens éri, amelynek eredményeként a támadó jogosulatlanul hozzáfér egy olyan szerverhez, amelyen munkavállalók személyes adatai is találhatók, az eseményt nemcsak adatvédelmi szempontból szükséges értékelni, hanem a Kiberbiztonsági Törvény alapján is vizsgálni kell. A jogszabály értelmében minden olyan fenyegetést, incidensközeli helyzetet vagy tényleges incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst –, amely a szervezet működésében vagy szolgáltatásnyújtásában súlyos zavart vagy vagyoni hátrányt okoz, illetve más személyek számára jelentős vagyoni vagy nemvagyoni kárt eredményez, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül be kell jelenteni az illetékes kiberbiztonsági incidenskezelő központnak. Ez a helyzet jól rávilágít arra, hogy a szervezeteknek mindkét jogi követelményrendszernek egyszerre kell megfelelniük, és az incidensek kezelését ennek megfelelően kell kialakítaniuk.

Folyamatok összehangolása dokumentációs és operatív szinten

Amennyiben a szervezet a GDPR és a kiberbiztonsági szabályozás hatálya alá is tartozik, a kettős megfelelés érdekében a két szabályozás által megkövetelt dokumentációs és működési folyamatokat is szükséges összehangolni. A GDPR megköveteli, hogy a szervezet rendelkezzen adatvédelmi szabályzattal, érintettek részére adatkezelési tájékoztatóval, valamint egyes esetekben adatvédelmi hatásvizsgálat lefolytatását is előírja. A kiberbiztonsági szabályok hasonlóképp megkövetelik az információbiztonsági szabályzat megalkotását. Ezeken felül pedig mindkét rendszer megköveteli az incidenskezelési folyamatok szabályozását, valamint az érintett munkatársak képzését, tudatosságnövelését.

A NIS 2 és a GDPR előírásainak betartásáért a szervezet vezetője felel, a szakmai megfelelés biztosításában pedig az adatvédelmi tisztviselő és az elektronikus információs rendszerek biztonságáért felelős szakember játszik meghatározó szerepet. Ahhoz azonban, hogy a szervezet ne párhuzamos, egymástól elszigetelt folyamatokkal dolgozzon, elengedhetetlen az információbiztonsági és adatvédelmi felelősök valódi, napi szintű együttműködése. A két szabályozás követelményeinek összehangolása nem pusztán adminisztratív kérdés: jelentősége abban áll, hogy mindkét terület ugyanazokra az információs rendszerekre, adatfolyamatokra és kockázatokra épül, még ha eltérő szempontok szerint is vizsgálja azokat. Ha a szervezet egységesen, koherens módon alakítja ki folyamatait, akkor elkerülhetők az átfedések, csökkenthetők a hibalehetőségek, és biztosítható, hogy a kiberbiztonsági és adatvédelmi elvárások egyaránt teljesüljenek. Különösen az incidenskezelési folyamatokat érdemes úgy kialakítani, hogy egy esetlegesen bekövetkező esemény során egységes eljárásrend biztosítsa mindkét szabályrendszer szerinti kötelezettségek teljesítését. Ez nemcsak erőforrás-hatékony működést eredményez, hanem erősíti a szervezet jogszabályi megfelelését és a rendszerek biztonságát, miközben növeli az ügyfelek, partnerek és munkavállalók bizalmát is.

A NIS2 és a GDPR eltérő célokat szolgál, és más logikával közelíti meg ugyanazokat az eseményeket. Míg a GDPR elsődleges célja a természetes személyek jogainak és szabadságainak védelme, addig a NIS2 az információs rendszerek biztonságának megerősítésére, a szolgáltatások folytonosságának védelmére és a kiberfenyegetésekkel szembeni ellenállóképesség növelésére fókuszál. Ennek megfelelően a két rendszer mást vár el a szervezetektől: a GDPR az adattakarékosságot és a célhoz kötöttséget hangsúlyozza, míg a NIS2 kifejezetten megköveteli a részletes naplózást, a folyamatos monitorozást és a naplóállományok megőrzését. Ez sok esetben azt eredményezi, hogy a NIS2-nek való megfelelés nagy mennyiségű, technikailag kezelt személyes adat tárolását vonhatja maga után, amelyet adatvédelmi szempontból körültekintően kell kezelni.

A két szabályozás közötti látszólagos ütközések a gyakorlatban összehangolt megközelítéssel oldhatók fel. Az egyik legfontosabb lépés az információbiztonsági kockázatértékelések és a GDPR szerinti adatvédelmi hatásvizsgálatok integrálása, hiszen mindkettő ugyanazokat a rendszereket, adatfolyamatokat és kockázati tényezőket vizsgálja, csak eltérő nézőpontból. Emellett kiemelt jelentőségű a belső szabályzatok olyan módon történő kialakítása, hogy azok egyszerre feleljenek meg a kiberbiztonsági szabályok által előírt kötelező védelmi intézkedéseknek és a GDPR rendelkezéseinek.

A NIS 2 és a GDPR egyaránt megköveteli, hogy a szervezetek megfelelően képezzék mindazokat, akik hozzáférnek az információs rendszerekhez vagy személyes adatokat kezelnek. Érdemes ezért az oktatások stratégiai tervezését és tartalmi elemeit is összehangolni, figyelembe véve a kockázatelemzések eredményeit, a korábbi incidenseket, a jogszabályi változásokat és a szervezet biztonsági szakértőinek szakmai véleményét. A két szabályozási terület közötti valódi összhang nemcsak a jogszabályoknak való megfelelés miatt fontos, hanem a szervezet működésének biztonsága, a kockázatok csökkentése és a belső és külső bizalom megőrzése szempontjából is meghatározó.

Összegzés

A GDPR és a NIS2 irányelv eltérő célt szolgál, de sok ponton találkozik az információbiztonság követelményeiben. A kettős megfelelés ezért gondos összehangolást igényel: a szabályozások előírásainak közös értelmezése és a kapcsolódó eljárások integrálása eredményezheti, hogy egy szervezet egyszerre teljesíti mindkét rendszer elvárásait. A szakmai dokumentációk és működési folyamatok koherens átdolgozása, a belső felelősségi körök egyeztetése, valamint a rendszeres oktatás és auditok összehangolása elősegíti, hogy a GDPR adatvédelmi és a NIS2 kiberbiztonsági céljai egyaránt teljesüljenek. Mindezek betartása erősíti a szervezet információbiztonsági és adatvédelmi rezilienciáját, megfelelve a vonatkozó uniós és nemzeti jogszabályi követelményeknek.

Fotó forrása: pexels.com, Kevin Ku

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata Read More »

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban

Cégcsoportok, cégjog, Hírek / / , , , , , ,

Olvasási idő: 6 perc

A digitalizáció gyors fejlődése új lehetőségeket, de egyúttal új típusú kockázatokat is hozott magával. A vállalatok működésében az elektronikus információs rendszerek megbízhatósága is egyre inkább szerepet játszik, így a kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása alapvető igény. Ennek biztosítására jött létre az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről („NIS 2 Irányelv”) és annak hazai átültetése révén a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: „Kiberbiztonsági Törvény”). E jogszabályok célja az elektronikus információs rendszereket fenyegető kockázatok csökkentése, valamint a kulcsfontosságú ágazatokban – például az energia, egészségügy, közlekedés, digitális infrastruktúra vagy gyártás területén – a szolgáltatások folyamatosságának biztosítása. Az egyes vállalatok tevékenységétől, méretétől, szerepétől függően a szabályozás eltérő kötelezettségeket határoz meg, így az adott szervezetnek kell megállapítana, hogy a Kiberbiztonsági Törvény hatálya alá tartozik-e és mely rá vonatkozó konkrét előírásokat kell betartania. Jelen cikkben bemutatjuk az önazonosítás szempontjait, amelyek segítenek a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésben.

Kire vonatkozik a Kiberbiztonsági Törvény?

A Kiberbiztonsági Törvény számos ágazatra és tevékenységi körre kiterjed. A Kiberbiztonsági Törvényt alkalmazni kell a közigazgatási ágazathoz tartozó kijelölt szervezetekre, bizonyos állami befolyás alatt álló gazdálkodókra, honvédelmi vonatkozású szervezetekre; ezeket azonban a jelen cikk nem részletezi.  E felsorolt eseteken kívül számos vállalkozás lehet érintett; esetükben a végzett tevékenységeket, valamit a szervezet méretét és árbevételét szükséges megvizsgálni.

Önmagában a tevékenység alapján:

Mérettől függetlenül a Kiberbiztonsági Törvény hatálya alá tartoznak azok a szervezetek, amelyek elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó vagy doménnév-regisztrációt végző szolgáltató tevékenységet végeznek.

Ezek a szolgáltatók a nyilvántartásukat vezető hatóságok által azonosíthatóak, így a Kiberbiztonsági Törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók, akik a Nemzeti Média- és Hírközlési Hatóság (NMHH) nyilvántartásában szerepelnek, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartó (Magyarországon jelenleg az ISZT Nonprofit Kft. az egyetlen ilyen szervezet), valamint a doménnév-regisztrációt végző szolgáltatók, akik az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok).

Tevékenység és méret alapján:

A Kiberbiztonsági Törvény a középvállalkozásokra, illetve az ennél nagyobb szervezetekre terjed ki, azaz azokra a vállalatokra, amelyek több mint 50 főt foglalkoztatnak, és éves nettó árbevételük vagy mérlegfőösszegük meghaladja a 10 millió eurónak megfelelő forintösszeget és a Kiberbiztonsági Törvényben meghatározott tevékenységet végeznek. A méretbeli kritériumot teljesítő szervezetek közül így azok érintettek, akik kiemelten kockázatos ágazatokban működnek, például egészségügy, hírközlési szolgáltatások, digitális infrastruktúra (pl. felhőszolgáltatók, adatközponti szolgáltatók), valamint a kockázatos ágazatban működő szolgáltatók és szervezetek, akik például élelmiszer-előállítás, -feldolgozás és -forgalmazással, számítógép-, elektronikai és optikai termékek gyártásával, gép- és gépi berendezésgyártásával foglalkoznak.

Tevékenység vizsgálata, megállapítása

Amennyiben tehát a szervezet nem olyan tevékenységet végez, amely esetén a méretétől függetlenül a Kiberbiztonsági Törvény hatálya alá tartozik, a szervezet méretét és tevékenységét kell együttesen figyelembe venni. Ha a méretkorlát teljesül, vizsgálni kell a kiemelten kockázatos ágazatba vagy kockázatos ágazatba tartozást megalapozó tevékenységeket, ezek megállapítása azonban a gyakorlatban nem mindig egyszerű.

A vizsgálandó ágazat, illetve tevékenység és ezáltal az érintettség az engedélyköteles tevékenységek esetén a társhatóságoknál vezetett nyilvántartások alapján (például a  közlekedési ágazat esetén az Építési és Közlekedési Minisztérium mint közlekedési hatóság, az élelmiszeripar ágazatba tartozó tevékenységek esetén a Nemzeti Élelmiszerlánc-biztonsági Hivatal, a gyógyszeripar, egészségügyi szolgáltatók esetén a Nemzeti Népegészségügyi és Gyógyszerészeti Központ, az elektronikus hírközlési, bizalmi és postai szolgáltatók esetén pedig a Nemzeti Média- és Hírközlési Hatóság által vezetett nyilvántartás) állapítható meg.

Egyéb esetekben, főként a gyártás ágazatban, a TEÁOR kód vagy egyéb szám alapján azonosítható a tevékenység, amely a Kiberbiztonsági Törvény hatályát megalapozza.

A TEÁOR kódok alapján többnyire egyértelműen megállapítható a Kiberbiztonsági Törvény hatálya alá tartozás, például:

elektronikai alkatrész gyártása, vagy mérőműszergyártás esetén, melyek számítógép, elektronikai, optikai termék gyártása ágazatba tartoznak,

háztartási villamos készülék gyártás tevékenységet végző gazdálkodó szervezet, amely a villamos berendezés gyártása ágazatba tartozik,

motor, turbina gyártása, egyéb speciális gép gyártása, amely a gép, gépi berendezés gyártása ágazatba tartozik,

gépjárműalkatrész és -tartozék gyártása, amely a közúti jármű gyártása ágazatba tartozik.

Az azonosítást ugyanakkor befolyásolhatják az egyes ágazathoz tartozás értelmezésében a ténylegesen végzett tevékenységek. Például információtechnológiai szaktanácsadással és számítástechnikai eszközök, rendszerek üzemeltetésével foglalkozó vállalkozás minősülhet akár felhőszolgáltatónak is a végzett tevékenységek alapján, amely megalapozhatja az érintettségét.

Továbbá nehézséget okozhat az érintettség megállapításában az egyes tevékenységek jogszabályi fogalmának értelmezése, gyakorlati megfeleltetése, például műanyag csomagolóeszköz gyártásával, műanyag termék gyártásával foglalkozó gazdálkodó szervezet esetében sem teljesen egyértelmű a megítélés. A Kiberbiztonsági Törvény szerint ugyanis kockázatos ágazatba tartozik az a szervezet, amely az élelmiszer (i) előállítása, (ii) feldolgozása és (iii) forgalmazása ágazaton belül élelmiszer-vállalkozásnak minősül, és nagykereskedelemi tevékenységgel, ipari termeléssel és feldolgozással foglalkozik. E kritériumok esetén több fogalom tisztázásának szükségessége is felmerül, nevezetesen, hogy az ilyen gyártó szervezet élelmiszer-vállalkozásnak minősül-e és a ténylegesen végzett tevékenység az élelmiszerek termelésének, feldolgozásának vagy forgalmazásának bármely szakaszával összefüggő tevékenységnek minősülnek-e.

Az önazonosítás korlátjai és kockázatai, javasolt lépések

Látható, hogy az önazonosítás nem minden esetben egyértelmű, a puszta TEÁOR-kód nem feltétlenül tükrözi pontosan a vállalkozás tényleges tevékenységét. Emiatt könnyen előfordulhat, hogy egy szervezet tévesen kerül besorolásra a Kiberbiztonsági Törvény hatálya alá. A magyar gyakorlatban nem ritka, hogy a cégek olyan TEÁOR-kódokat tartanak nyilván, amelyek már nem felelnek meg a valós tevékenységüknek. Ilyen esetben a hatóság a nyilvántartás alapján mégis NIS2-érintettként értékelheti a céget, ami felesleges megfelelési kötelezettségeket és adminisztratív terheket vonhat maga után.

A hibás vagy hiányos önazonosítás nemcsak félreértésekhez vezethet, hanem bírságot és utólagos kötelezéseket is eredményezhet. Éppen ezért kulcsfontosságú, hogy a vállalkozások rendszeresen felülvizsgálják a tevékenységi köreiket, és csak azokat a TEÁOR-kódokat tartsák nyilván, amelyek a ténylegesen végzett tevékenységeket tükrözik.

Összegzés

Az önazonosítás helyes elvégzése nemcsak jogszabályi kötelezettség, hanem a vállalkozás saját érdeke is. A pontatlan vagy felesleges TEÁOR-kódok megtartása téves hatósági értelmezést és szankciót eredményezhet. A helyes önazonosítás és a tevékenységi körök tudatos kezelése nem pusztán adminisztratív kötelezettség, hanem üzleti biztonsági kérdés is: aki időben és tudatosan jár el, nemcsak a szankciókat kerülheti el, hanem akár versenyelőnyre is szert tehet a megbízhatóság és megfelelés révén.

Fotó forrása: Markus Spiske

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban Read More »

Kiberbiztonság – új előírások, új feladatok

Hírek, Kereskedelmi jogi tanácsadás / / , ,

Idén január 1-jén lépett hatályba a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény („Kiberbiztonsági Törvény”), amely az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”) tekintettel született és amelynek célja az információs társadalmat érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása. A Kiberbiztonsági Törvény és a kapcsolódó jogszabályok szigorú követelményeket és ezek elmulasztása esetén súlyos jogkövetkezményeket írnak elő.

Mivel számos társaságot támogatunk a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésre való felkészülésben, jelen cikkünk célja, hogy valamennyi, lehetségesen érintett cég figyelmét felhívjuk a Kiberbiztonsági Törvény közeljövőben aktuálissá váló előírásaira, azaz a kiberbiztonsági auditra vonatkozó szerződéskötéssel és az audit lefolytatásával kapcsolatos kötelezettségekre és határidőkre.

Az érintett szervezetek köre

A Kiberbiztonsági Törvény széles körben meghatározza azokat a szervezeteket, akik kötelesek ellenőrizni elektronikus rendszereik biztonságát és ezt auditálni. Azok a magánszektorbeli vállalkozások, amelyek bizonyos méretet elérnek és kiemelten kockázatos vagy kockázatos ágazatba sorolt tevékenységet végeznek, ebbe a körbe tartoznak, az alábbiak szerint:

  • Méret tekintetében azok a vállalkozások érintettek, amelyek középvállalkozásoknak minősülnek, vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, vagyis amelyek összes foglalkoztatotti létszáma 50 főnél több, és az éves nettó árbevétele vagy mérlegfőösszege 10 millió eurónak megfelelő forintösszeget meghaladja.
  • A tevékenységi körre vonatkozó feltétel, hogy a vállalkozások (kiemelten) kockázatos ágazatban működjenek, például egészségügy, hírközlési szolgáltatás, digitális infrastruktúra (felhőszolgáltató, adatközponti szolgáltatást nyújtó szolgáltató), élelmiszerelőállítás, -feldolgozás, -forgalmazás, számítógép, elektronikai, optikai termék gyártás, vagy gép, gépi berendezés gyártás területén.

Amennyiben nem egyértelmű, hogy a szabályozás alapján a kötelezettségek kiterjednek-e az adott cégre, javasolt ezt a jogszabály átvizsgálásával mihamarabb tisztázni.

Kiberbiztonságra vonatkozó kötelezettségek

  • Audit szerződés:

Az érintett vállalkozások aktuális kötelezettsége, hogy a Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”) által nyilvántartásba vett kiberbiztonsági audittevékenység végzésére jogosult, független gazdálkodó szervezettel mint auditorral szerződést kössenek az elektronikus rendszerük kiberbiztonságának ellenőrzése érdekében. Az SZTFH már folyamatosan küldi az értesítéseket a lehetségesen érintettek részére, melyben egyúttal előírja, hogy a szerződés megkötésének tényét 2025. szeptember 15-ig igazolni is szükséges felé. A kötelezettség elmulasztása esetén a vállalkozással szemben 1 -15 millió Ft bírság szabható ki.

  • Kiberbiztonsági audit:

Az auditorral történő szerződést követően 2026. június 30-ig el kell végezni a kiberbiztonsági auditot, mely során ellenőrzésre kerül az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelősége. Az audit elmaradása súlyos szankciókat vonhat maga után, akár az előző évi árbevétel 2%-át is elérő, de legalább 1 millió, legfeljebb 150 millió forintos bírság formájában.

A kiberbiztonsági audit hosszabb időt is igénybe vehet a vállalkozás méretétől, illetve a tevékenység technológiai és szervezeti összetettségétől függően. Éppen ezért célszerű a felülvizsgálat időpontját és ütemezését előre megtervezni, hogy a folyamat ne csak megfelelési célt szolgáljon, hanem ténylegesen feltárja azokat a területeket is, ahol további teendők vagy hiányosságok lehetnek. Ilyen lehet például az adatvédelmi megfelelés felülvizsgálata, az információbiztonsági szabályzatok aktualizálása, vagy a kockázatkezelési eljárások finomhangolása.

Megfelelés jelentősége

A szigorodó kiberbiztonsági szabályozás és a magas bírságkockázat miatt a megfelelés nem pusztán jogi kötelezettség, hanem kiemelt üzleti érdek is. Elérhető előnyök:

  • csökken a pénzügyi és reputációs kockázat;
  • erősödik a vállalkozás kiberbiztonsági védelme és digitális stabilitása;
  • megfelelő szerződéssel kiszámíthatóvá válik az audit tartalma, ütemezése, feladat- és felelősségi körök meghatározása;
  • egyidejűleg áttekinthetőek az adatvédelmi szempontok, szükség esetén felülvizsgálhatóak az adatvédelmi hatásvizsgálati dokumentumok, ezáltal teljesül a NAIH által elvárhat elszámoltathatóság elvének való megfelelés.

Fotó forrása: Brian Penny, pixabay.com

Kiberbiztonság – új előírások, új feladatok Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.