Már csak szűk három hete maradt nyilvántartásba vetetni magukat azoknak a cégeknek, amelyek az új uniós kiberbiztonsági irányelv, NIS2 alapján elfogadott magyar szabályozás hatálya alá esnek. A regisztráció határideje ugyanis az idén január 1-je előtt már működő cégek, szervezetek számára 2024. június 30-a, és aki nem tesz ennek a kötelezettségének eleget, az akár súlyos bírságra is számíthat.
Kire is vonatkozik a tavaly elfogadott magyar törvény (azaz a röviden csak Kibertan-törvényként emlegetett 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről)? A törvény előírásai bizonyos ágazatokban tevékenykedő szervezetekre vonatkoznak, ezen belül meghatároz olyan stratégiai szempontból kiemelten kritikus, valamint kritikus ágazatokat, amelyek területén szintén alkalmazni kell azokat az ott működő cégeknek, szervezeteknek.
A törvény mellékletei alapján a stratégiai szempontból kiemelten kritikus ágazatok a következők:
- az energia
- a banki és pénzügyi szolgáltatások,
- a víz,
- az egészségügy,
- a szállítás,
- a gyógyszeripar,
- a digitális infrastruktúrák,
- a kihelyezett szolgáltatók,
- a közigazgatás, és
- a világűr földi támogatói infrastruktúrái
Kritikus ágazatnak számítanak:
- a hulladékgazdálkodás,
- a postai és futárszolgálatok,
- az elektronikai gyártás (pl: orvostechnikai eszközök, elektronikai- és optikai termékek, villamos berendezések)
- a járműgyártás
- az élelmiszer előállítás és forgalmazás
- a digitális szolgáltatások (pl: onlie piactér, online keresőmotor, közösségimédia-szolgáltatási platform)
- a vegyipari gyártás és forgalmazás
- a kutatóhelyek
Fontos kitétel, hogy a fenti ágazatokban tevékenykedő, és 50, vagy annál több főt foglalkoztató, 10 millió eurót elérő árbevételű cégre vonatkoznak alapesetben a törvény előírásai, de vannak további szervezetek, amelyek ugyan alatta vannak ezeknek a határoknak, ám bizonyos kritikus szolgáltatásokat végeznek.
Sok érintett, kevés jelentkező
Márpedig mindez a korábbi törvényhez képest nagyon jelentősen kibővítette az érintettek körét, a becslések szerint mintegy 2500 szervezet lehet Magyarországon. Nekik a felügyeleti hatóságként kijelölt Szabályozott Tevékenységek Felügyeleti Hatóságánál, azaz az SZTFH-nál kell nyilvántartásba vetetni magukat.
Csakhogy sokan az intenzív tájékoztató kampány ellenére még mindig nem tudják, hogy rájuk is vonatkozik az új szabályozás. Annak, akinek kételyei vannak, mindenképpen érdemes az SZTFH oldalán tájékozódnia, illetve akár segítséget is kérni a hatóság munkatársaitól, mert nincs és nem is lesz központi értesítés, nyilvántartásba vétel, mindenkinek magának kell megtennie a megfelelő lépéseket, és a jogszabály nem ismerete vagy annak hibás értelmezése nem fog felmentést adni a nyilvántartásba vétel elmulasztása, illetve a törvény 2024. október 18-án hatályba lépő egyes rendelkezéseinek be nem tartásának következményei alól.
Márpedig ezek a következmények meglehetősen súlyosak is lehetnek. Az uniós irányelv szerzőinek ceruzája a büntetési tételek tekintetében igen vastagon fogott, maximumként a 10 millió eurót, illetve az éves árbevétel 2 százalékát határozták meg. Ugyan az erre vonatkozó magyar szabályozást még nem fogadták el, de az biztos, hogy hazánkban is súlyos büntetésre kell számítania annak, aki elmulasztja a Kibertan-törvény előírásainak való megfelelést.
Ha nem tudja, hogy az Ön szervezetére, cégére vonatkoznak-e a NIS2 előírásai, illetve bármilyen kérdése van a szabályozásnak való megfelelés, illetve a kiberbiztonság témakörében, regisztráljon NIS2 újratöltve - IT-biztonság a gyakorlatban, hasznos tippek és trükkök című, 2024. június 18-án, 16 órai kezdettel megrendezett eseményünkre, amelyen a hatóság képviselői, valamint a téma legjobb hazai szakértői is ott lesznek.
