Jelentős mérföldkő ez a magyar vállalatok és intézmények számára a digitális fenyegetések elleni védekezésben. Az érintett szervezetek számára számos kötelezettséget határoz meg, ezért összefoglaltunk néhány jelenleg ismert és fontosabb tényt.

• Az új törvény 2025. január 1-jén lép hatályba.
  
  
• Hatályon kívül helyezi majd a 2013. évi L. törvényt és a 2023. XXIII. törvényt.
  
  
• A NIS 2 implementáció legfontosabb hazai eleme.
  
  
• Azon szervezetek, melyek 2024. December 31. napján az SZFTH-nál nyilvántartott szervezettként szerepelnek, azoknak nem kell újra regisztrációs bejelentést tenniük.
  
  
• A nyilvántartásba vett szervezeteknek 2025. február 15-ig viszont be kell jelenteni az SZTFH részére azon európai uniós tagállamok listáját, amelyben a szervezet szolgáltatásokat nyújt.
  
  
• A kiberbiztonsági audit módszertanáról és az audit legmagasabb díjáról szóló SZTFH rendelet kihirdetéséig az auditorokkal való szerződéskötés sajnos nem lehetséges.  DE! A Kibertan. tv. hatályon kívül helyezése okán már nem releváns a 2024. december 31-ig történő szerződéskötési határidő.
  

• Az érintett szervezetnek nyilvántartásba vételét követő 120 napon belül, szerződést kell kötnie egy, a kiberbiztonsági audit elvégzésére jogosult auditor szervezettel, mint például az EY.
  
  
• Az az érintett szervezet, amely 2025. január 1-je előtt megkezdte működését, 2025. December 31-ig köteles elvégeztetni az első kiberbiztonsági auditot. Minden más szervezetnek a nyilvántartásba vételét követő két éven belül kell elvégeztetni az első auditot.
  
  
• A kiberbiztonsági auditot kétévente meg kell ismételni, illetve az SZFTH elrendelése alapján el kell végeztetni. Az audit során az auditor szervezet ellenőrzi az adott cég elektronikus információs rendszerek biztonsági osztályba sorolását, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségét.
  
  
• A honvédelmi célú elektronikus információs rendszerek tekintetében kiberbiztonsági audit nem végezhető.
  
  
• A kiberbiztonsági felügyeleti díj megfizetésével kapcsolatos szabályokat egy SZTFH rendelet fogja meghatározni, mely meghatározza majd a fizetendő díj mértékét és befizetésének körülményeit.
  
  
• Az elektronikus információs rendszer biztonságáért felelős személyt az adott szervezet vezetője jelöli ki, vagy bízza meg (lehet külsős és belsős is). Azon érintett szervezetek számára, melyek a KKv. tv. szerint középvállalkozásoknak minősülnek vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket – illetve a mérettől függetlenül érintett cégek - továbbra sem lesz előképzettségi kritérium. Azonban, ha a szervezeten belül került kijelölésre az IBF, akkor a szakmai ismereteinek fenntartásához részt kell venni az informatikáért felelős miniszter rendeletében meghatározott képzéseken, továbbképzéseken. A képzéseken való részvételért a szervezet vezetője felel. Szakmai továbbképzést, képzést a külsős IBF számára is elő fog írni az informatikáért felelős miniszter rendelete.  
  
  
• A törvény kiterjeszti a kiberbiztonsági hatóságok szankcionálási lehetőségeit. A  jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítése vagy be nem tartása esetén az alábbi jogkövetkezményekkel lehet számolni az SZTFH irányából:
  • Figyelmeztetés, határidő tűzése, felszólítás, amennyiben van, a felügyeleti szervhez való fordulás, illetve az SZTFH elnöke által kiadott rendeletben meghatározottak szerint, a szervezet költségére információbiztonsági felügyelő kirendelése. 
  • További szankcióként bírság is kiszabható, melynek mértékét kormányrendelet fogja meghatározni. 
  • Szankcióként kezdeményezhető még az alapvető szervezetek tevékenységi engedélyének vagy tanúsításának ideiglenes felfüggesztése, illetve a vezető tisztségviselő legfeljebb öt évre szóló eltiltása, amennyiben a kiberbiztonsági kötelezéseknek nem tesznek eleget. 
  • Emellett az SZTFH a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységektől is eltilthatja az érintett szervezeteket a felügyeleti hatóság véleményének figyelembevételével. Kiemelendő továbbá, hogy ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, bírsággal sújtható, ismételt jogsértés esetén sújtani köteles.
• A kiberbiztonsági incidens kezelésében is változások várhatóak. A nemzeti incidenskezelő központ (NBSZ NKI) mellett – vélhetően - létrejönnek ágazaton belüli kiberbiztonsági incidenskezelő központok. Ezek mellett az érintett szervezet kiberbiztonsági incidens kezelését a szervezet által megbízott, telephely biztonsági tanúsítvánnyal, továbbá a feladat ellátásához szükséges – az SZTFH elnökének rendeletében meghatározott – szakértelemmel és infrastrukturális feltételekkel rendelkező, és az SZTFH által vezetett nyilvántartásban szereplő gazdálkodó szervezet is elláthatja. A részletszabályokat egy SZTFH rendeletben olvashatjuk a jövőben. 

Miért válassza az EY-t?

Az EY hivatalos auditor az SZTFH kiberbiztonsági auditori nyilvántartásában, és készen állunk arra, hogy segítsük Önt a törvényi megfelelésben! Az EY szakértői csapata átfogó tanácsadást és kiberbiztonsági auditálási szolgáltatást kínál, hogy vállalata növelje ellenállóképességét, és ezáltal is megfeleljen a jogszabályoknak!