Vállalkozások
jogi szakértője

A tevékenységüket 2024. január 1. napja előtt megkezdő vállalkozásoknak 2024. június 30-ig van idejük eleget tenniük nyilvántartásba vételi kötelezettségüknek a kiberbiztonsági tanúsításról és felügyeletről szóló 2023. évi XXIII. törvény (Kibertan.tv.) alapján.

Mit szabályoz a kiberbiztonsági törvény?

A törvény a NIS2 EU irányelv implementálására készült, számos vállalkozást érint, mégis kevesen hallottak róla. A törvény lefekteti a nemzeti kiberbiztonsági tanúsítási keretrendszer alapjait, amelyet a Szabályozott Tevékenységek Felügyeleti Hatósága (SZFTH) felügyel.

Mely vállalkozásokra vonatkozik a törvény?

A törvény két nagy csoportra osztja a vállalkozásokat: mikro- és kisvállalkozásokra, valamint közép- és nagyvállalkozásokra. A besorolás a 2004. évi XXXIV. törvény (Kkvtv.) alapján történik:

• Mikrovállalkozás: 10 főnél kevesebb, évi max. 2 millió euró bevétel.
• Kisvállalkozás: 50 főnél kevesebb, évi max. 10 millió euró bevétel.
• Középvállalkozás: 250 főnél kevesebb, évi max. 50 millió euró bevétel vagy 43 millió euró mérlegfőösszeg.
• Nagyvállalkozás: 250 fő vagy annál több, évi 50 millió euró bevétel vagy annál több, vagy 43 millió euró mérlegfőösszeg vagy annál több.

Kiemelten kockázatos és kockázatos ágazatok

A közép- és nagyvállalkozások esetén a törvény 1. és 2. melléklete tartalmazza a hatálya alá tartozó tevékenységeket:

1. Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, vízközmű szolgáltatás, hírközlés, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás.
2. Kockázatos ágazatok: postai és futárszolgálatok, élelmiszer előállítás, hulladékgazdálkodás, vegyszerek előállítása, gyártás, digitális szolgáltatók.

A mikro- és kisvállalkozások főszabály szerint mentesülnek a törvény rendelkezései alól, kivéve néhány speciális szolgáltatást, mint például az elektronikus hírközlési szolgáltatók vagy a DNS-szolgáltatók.

Kötelező teendők

1. Regisztráció és nyilvántartásba vétel: a kérelmet a www.magyarorszag.hu és az SZTFH weboldalán található „Érintett szervezet nyilvántartásba vétele” menüpont alatt kell benyújtani.
2. Biztonságért felelős személy kijelölése: olyan személy, aki megfelelő informatikai háttérrel rendelkezik.
3. Biztonsági intézkedések bevezetése: tűzfalak, behatolásérzékelő rendszerek alkalmazása.
4. Rendszeres kockázatelemzés: potenciális veszélyek azonosítása és kezelése.
5. Kiberbiztonsági tanúsítás megszerzése: például ISO/IEC 27001 szabvány szerinti tanúsítás.
6. Kiberbiztonsági képzések: alkalmazottak rendszeres képzése.
7. Incidenskezelési eljárások kidolgozása: gyors és hatékony reakció kibertámadás esetén.
8. Folyamatos felügyelet és audit: kétévente kötelező audit.

Szabályok betartásának ellenőrzése

Az SZTFH végzi a felügyeletet és ellenőrzést. Szabályszegés esetén szankciókat alkalmazhat, például figyelmeztetést, hiányosságok elhárításának elrendelését, tevékenységek eltiltását, és bírság kiszabását.

Összefoglalás

A kiberbiztonsági tanúsításról és felügyeletről szóló törvény fontos szerepet játszik a digitális biztonság elérésében. A vállalkozásoknak számos kötelezettségük van, amelyek betartása növeli a megbízhatóságot és versenyképességet, miközben csökkenti a kibertámadások kockázatát.