A vállalkozások kiberbiztonsági nyilvántartásba vételi kötelezettsége (NIS2)

Szerző(k): Dr. Zalavári György LL.M. | 2024.06.27 | Adatvédelem

Az Európai Unió területén az egységesen magas szintű kiberbiztonságot a 2022/2555. számú (NIS2) irányelvének a kiberbiztonsági tanúsításról és felügyeletről szóló törvénynek (Kibertantv.) az a célja, hogy biztosítsa az EU digitális infrastruktúráját, és fokozza a kiberfenyegetésekkel szembeni védekezés képességét.

A törvénynek számos előírása van azon cégek felé, amelyek tevékenységük vagy szervezetük alapján a jogszabály hatálya alá esnek. Minden cégnek meg kell vizsgálnia, hogy az adott vállalkozásra vonatkoznak-e ezen jogszabályi rendelkezések.

Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL

Benne kiemelt témánk: Duplájára emelkedett az apaszabadság időtartama

További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.

Amennyiben a Kibertantv. vonatkozik a cégre, 2024. június 30-ig kell benyújtania a NIS2 nyilvántartásba vételi kérelmét a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH). Ezen kívül a cégnek a tevékenységét biztonsági osztályba kell sorolnia, és konkrét védelmi intézkedéseket meghatároznia a Kibertantv. 7/2024. (VI. 24.) MK rendelet alapján. Továbbá kötelező kiberbiztonsági auditort választania, szerződést kötnie vele, és elvégeznie a kiberbiztonsági auditot.

Ezek a kötelezettségek elsősorban a közép- és nagyvállalatokra vonatkoznak, amit a kis- és középvállalkozásokról szóló 2004. évi XXXIV. törvény határoz meg. Azoknak a cégeknek kell figyelembe venniük ezeket a kötelezettségeket, amelyek legalább 50 alkalmazottal vagy éves szinten legalább 10 millió euró árbevétellel rendelkeznek.

Fontos megvizsgálni azt is, hogy az adott kis- és középvállalkozás milyen tevékenységet végez. A Kibertantv. I. és II. melléklete részletesen meghatározza, mely cégek tartoznak a kritikus és kiemelten kritikus ágazatokba.

A kockázatos ágazatok közé tartoznak többek között az alábbi tevékenységek: energetika, távhőszolgáltatás, szénhidrogén- és földgázszállítás, légi- és közlekedési szolgáltatások, egészségügyi és gyógyszeripari tevékenységek, víziközmű szolgáltatás, hírközlés, űralapú szolgáltatások, postai és futárszolgálatok, élelmiszeripar, hulladékgazdálkodás, vegyipar, elektronikai gyártás, autógyártás, és az online piacterek, keresőszolgáltatók, közösségi média platformok, valamint domainnév-regisztrálók. 

A főszabályok alól kivételt képeznek az elektronikus hírközlési bizalmi szolgáltatók, DNS-szolgáltatók, legfelső szintű domainnév-nyilvántartók és domainnév-regisztrálók, mivel ezekre a törvény előírásai akkor is vonatkoznak, ha nem tartoznak a közép- és nagyvállalatok közé.

Amennyiben egy cég nem tartozik közvetlenül a törvény hatálya alá, de alvállalkozóként egy ilyen vállalatnak dolgozik, szerződésükben vállalniuk kell, hogy betartják a törvény előírásait.

A kötelezettségeket elmulasztó cégekre jelentős bírság és vezető tisztségviselőikre akár tevékenységtől való eltiltás is várhat.

Dr. Zalavári György ügyvéd, az Ecovis Zalavári Legal Hungary partnere kiemeli: fontos, hogy a nyilvántartásba vételi kérelmet csak az a személy nyújthatja be, aki az adott vállalkozás cégkapujához jogosultsággal rendelkezik.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.

Dr. Zalavári György LL.M.

Dr. Zalavári György LL.M.
Ecovis Zalavári Legal Hungary
Ügyvéd | Mediátor | Adatvédelmi szakjogász
Ecovis Zalavári Ügyvédi Iroda
gyorgy.zalavari@ecovis.hu
A szerző szakmai profilja