A NIS2 irányelv hatálya alá tartozó szervezeteknek saját maguknak szükséges felismerniük érintettségüket, amelyet követően SZTFH rendeletben meghatározott adataikat a Hatóság felé nyilvántartásba vételre meg kell küldeniük. A nyilvántartásba vételi kérelem határideje – a január 1. előtt működő szervezetek esetén – 2024. június 30., az újonnan a szabályozás hatálya alá kerülő cégek esetén a változást követő 30 nap áll rendelkezésére.
A határidő közeledtével számos szervezetben merül fel a kérdés, hogy hogyan tudják az önazonosításukat elvégezni, hogyan bizonyosodhatnak meg érintettségükről. A Szabályozott Tevékenységek Felügyeleti Hatósága összefoglalta azokat a kritériumokat, amelyek mentén értelmezhetővé válik az adott cég besorolása.
A méretkorlát-szabály érintettjei
A NIS2 követelményeinek megfelelően a törvény hatálya alá alapértelmezetten a minimum középvállalati besorolást elérő szervezetek tartoznak. Gyakorlati megközelítéssel elsődlegesen ezért a Kkvtv. (2004. évi XXXIV. törvény) szerinti besorolást érdemes vizsgálni.
Az önálló (tipikusan csak magánszemélyek által tulajdonolt) vállalkozások esetén viszonylag egyszerű a dolgunk, a középvállalkozási minősítéshez legalább 50 fő foglalkoztatott vagy 10 millió eurót meghaladó előző évi árbevétel szükséges. Természetesen ez nem jelenti azt, hogy ha a ma még 51 főt foglalkoztató cég holnap 49 munkavállalóval rendelkezik, kikerülne a törvény hatálya alól: a Kkvtv. szerint az átsoroláshoz az elmúlt 2 évben fenn kell álljanak az ahhoz szükséges statisztikai feltételek.
Bonyolultabb lehet a vállalatcsoportos működés esetén a méret meghatározása, esetükben a Kkvtv. szerint a konszolidált beszámoló az irányadó. Ez azt is jelenti, hogy előfordulhat olyan, hogy egy tagvállalat önmagában nem érné el a középvállalati szintet, de a tulajdonosi kör alapján mégis akár nagyvállalkozásnak minősülhet. Továbbá egyedi kivételekként kezelendők az állami tulajdonnal bíró cégek, melyek 25 százalékot meghaladó befolyásoltsága esetén a cég KKV-nak nem minősülhet, így automatikusan a köznyelv szerint nagyvállalkozás lesz.
Vállalkozások esetén célszerű bevonni a pénzügyi területet, könyvelőt a cég besorolásának vizsgálatába, akik a hatályos szabályokat részleteiben ismerik, a cég besorolását – akár pályázati lehetőségek, adókedvezmények miatt – naprakészen nyilvántartják.
Fontos azonban hangsúlyozni, hogy a törvényi érintettség nem csak vállalkozások, hanem vállalkozások közé nem sorolható civil szervezetek és egyesületek esetén is vizsgálandó.
… és kivételei
Az előzetesen meghatározott cégméret szerinti besorolás alapján a legegyszerűbb dolguk a mikro- és kisvállalkozásoknak van. Esetükben csak öt tevékenység vizsgálandó, amelyek az alábbiak szerint ellenőrizhetők:
- elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók: Nemzeti Média- és Hírközlési Hatóság vezeti nyilvántartásuk
- legfelsőbb szintű domainnév-nyilvántartó: Magyarországon ez egyetlen szervezet, az ISZT Nonprofit Kft
- domainnév-regisztrációt végző szolgáltató: az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok
- DNS-szolgáltató: azok a szervezetek, melyek a törvény értelmező rendelkezései szerinti szolgáltatások valamelyikét nyújtják
Azon kis- vagy mikrovállalkozások, amelyek a fenti tevékenységek közül nem tudnak magukra vonatkozót azonosítani, ezen a ponton fellélegezhetnek, 99 százalék, hogy nem tartoznak a törvény hatálya alá.
A tevékenységek vizsgálata
A nem kis- vagy mikrovállalkozások esetében a Kibertan.tv. mellékleteiben felsorolt tevékenységek vizsgálata nem kikerülhető, de igyekszünk támpontot adni a vizsgálathoz. A törvény a gyártás ágazatban tulajdonképpen TEÁOR kód szerinti meghatározást alkalmaz, így bizonyos alágazatok esetén a cégnyilvántartás lesz a vállalkozások segítségére. A Kibertan.tv. szabályai alapján a 26-30 TEÁOR kódú tevékenységi körrel rendelkező vállalkozások minősülnek érintett szervezetnek.
Az egyéb ágazatok esetén a TEÁOR alapú megközelítés nem lesz elégséges, sőt, tulajdonképpen nem is használható. A Kibertan.tv. számos szereplőt jogilag határoz meg, mely magyar jogszabályi hivatkozás esetén többnyire szakhatósági engedélyt feltételez. Így például a közlekedés ágazatban felsorolt tevékenységek vonatkozásában a Közlekedési Hatóság, az élelmiszer-vállalkozások tekintetében a Nemzeti Élelmiszerlánc-biztonsági Hivatal a szakhatósági felügyeletet ellátó hatóság. Az egyes ágazatokhoz rendelhető hatóságok:
- Magyar Energetikai és Közmű-szabályozási Hivatal: villamos energia, távfűtés, víziközmű, földgáz
- Építési és Közlekedési Minisztérium (Közlekedési hatóság): közlekedés szektor
- Nemzeti Élelmiszerlánc-biztonsági Hivatal: élelmiszeripar
- Nemzeti Népegészségügyi és Gyógyszerészeti Központ: gyógyszeripar, készletezés, egészségügyi szolgáltatók, vegyipar
- Nemzeti Média- és Hírközlési Hatóság: elektronikus hírközlési, bizalmi és postai szolgáltatók
- Pest Vármegyei Kormányhivatal: hulladékgazdálkodás
- SZTFH: kőolaj
Így elsősorban a cég jogi területét érdemes felkeresni, ha a vállalkozás rendelkezik valamely kijelölt hatóságtól engedéllyel, ők egészen biztosan tudni fognak róla. Természetesen a hatósági engedély tartalma is vizsgálandó, hiszen számos esetben egy közigazgatási szerv eltérő területek felügyeletét is elláthatja. Példaként említhető a NÉBIH, mely többek között állatklinikák engedélyeztetésével is foglalkozik.
Ha a fenti tevékenységek sem azonosíthatók, a további ágazatok esetében az értelmező rendelkezésekhez kell fordulnunk. Így például a kihelyezett szolgáltató, kutatóhely megfogalmazások alatt értendő szervezeteket maga a Kibertan.tv. definiálja.
Nyilvántartásba vételi kérelem
A szervezetek nyilvántartásba vételi kötelezettségüket magyarorszag.hu-n elérhető űrlapon kezdeményezhetik, mely az SZTFH honlapjáról közvetlenül indítható. A hatóság holnapján továbbá elérhető az űrlap mintája is, az éles űrlaphoz csak a szervezet cégkapujához meghatalmazással rendelkező személyek érik el.
Az elektronikus űrlapon a 23/2023. SZTFH rendelet szerinti adatok benyújtása kötelező, melyek között szerepel a cég vezetője által kijelölt elektronikus információbiztonsági személy kiléte is. A személlyel szemben a Kibertan.tv. nem határoz meg képzettségi követelményeket, a vállalkozás saját foglalkoztatja vagy akár külsős személy is kijelölhető a feladatkörre. Az űrlapon megadott személlyel fog az SZTFH – és incidens esetén a nemzeti eseménykezelő központ – szakmai kapcsolatot tartani, ezt célszerű a kijelöléskor figyelembe venni.
A felelősön túl a szervezet egyes technikai adatait (mint publikus IP címek, használt domain nevek) és az elektronikus információs rendszereivel kapcsolatba hozható gazdasági szereplőket szükséges feltüntetni. Természetesen a hatóság a benyújtott adatokat lehetősége szerint ellenőrzi, így a kérelmet el is utasíthatja.
További határidők
A pozitív nyilvántartásba vételi határozat birtokában a szervezetnek további kötelezettségei merülnek fel. Elsősorban a – társadalmi egyeztetésen átesett, kihirdetés előtt álló – miniszteri rendelettervezetben foglaltak alapján az elektronikus információs rendszereit biztonsági osztályba kell sorolja, a besorolás alapján a meghatározott védelmi intézkedéseket 2024. október 18-tól kell alkalmazza. Ugyanezen dátumtól éves felügyeleti díj fizetési kötelezettsége áll fenn, melynek maximális mértékét ugyan a Kibertan.tv. már rögzítette (éves árbevétel 0,015%, de maximálisan 10 millió forint), a pontos díjat, illetve a fizetési határidőket egy későbbi SZTFH rendelet fogja tartalmazni.
Az érintett szervezeteknek a védelmi intézkedések megvalósítását kiberbiztonsági auditon kell bizonyítsák, melyhez – SZTFH által nyilvántartásba vett – auditort kell megbízniuk. Az első kiberbiztonsági audit elvégzésére a törvényhozó 2025. december 31-ig adott haladékot, de az erőforrások tervezhetőségének érdekében a szervezeteknek az erre vonatkozó szerződést 2024. év végéig meg kell kössék.
Számos részletszabály várat még magára, melyek kihirdetése az októberi határidőig várható, de a kereteket a Kibertan.tv. a többi tagállamot megelőzően (ahol mai napig nincs elfogadott jogszabály) időben rögzítette. A részletszabályok megjelenéséig érdemes a Hatóság Minden Kiberül elnevezésű podcastjét hallgatni, amelyben már több alkalommal is szó esett a NIS2-ről és a Kibertantv-ről.