Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Rám is vonatkozik a NIS2? Három részletes kritérium, ami segít eldönteni

MEGOSZTÁS

A NIS2 megfelelés első lépcsőfoka a felismerés, hogy cégünk érintett-e: legyen szó mikrovállalkozásról vagy nagyvállalatról ez a kérdés szinte naponta felmerül az új szabályozás vonatkozásában. Méretkorlát szabály, TEÁOR, a Kibertan.tv. mellékleteiben felsorolt tevékenységek: a Szabályozott Tevékenységek Felügyeleti Hatóságágának (SZTFH) segítségével az eligazodásban segítünk, hogy könnyebbé váljon meghozni az önbevallással kapcsolatos döntést.

A NIS2 irányelv hatálya alá tartozó szervezeteknek saját maguknak szükséges felismerniük érintettségüket, amelyet követően SZTFH rendeletben meghatározott adataikat a Hatóság felé nyilvántartásba vételre meg kell küldeniük. A nyilvántartásba vételi kérelem határideje  – a január 1. előtt működő szervezetek esetén – 2024. június 30., az újonnan a szabályozás hatálya alá kerülő cégek esetén a változást követő 30 nap áll rendelkezésére.

A határidő közeledtével számos szervezetben merül fel a kérdés, hogy hogyan tudják az önazonosításukat elvégezni, hogyan bizonyosodhatnak meg érintettségükről. A Szabályozott Tevékenységek Felügyeleti Hatósága összefoglalta azokat a kritériumokat, amelyek mentén értelmezhetővé válik az adott cég besorolása. 

A méretkorlát-szabály érintettjei

A NIS2 követelményeinek megfelelően a törvény hatálya alá alapértelmezetten a minimum középvállalati besorolást elérő szervezetek tartoznak. Gyakorlati megközelítéssel elsődlegesen ezért a Kkvtv. (2004. évi XXXIV. törvény) szerinti besorolást érdemes vizsgálni. 

Az önálló (tipikusan csak magánszemélyek által tulajdonolt) vállalkozások esetén viszonylag egyszerű a dolgunk, a középvállalkozási minősítéshez legalább 50 fő foglalkoztatott vagy 10 millió eurót meghaladó előző évi árbevétel szükséges. Természetesen ez nem jelenti azt, hogy ha a ma még 51 főt foglalkoztató cég holnap 49 munkavállalóval rendelkezik, kikerülne a törvény hatálya alól: a Kkvtv. szerint az átsoroláshoz az elmúlt 2 évben fenn kell álljanak az ahhoz szükséges statisztikai feltételek.

Bonyolultabb lehet a vállalatcsoportos működés esetén a méret meghatározása, esetükben a Kkvtv. szerint a konszolidált beszámoló az irányadó. Ez azt is jelenti, hogy előfordulhat olyan, hogy egy tagvállalat önmagában nem érné el a középvállalati szintet, de a tulajdonosi kör alapján mégis akár nagyvállalkozásnak minősülhet. Továbbá egyedi kivételekként kezelendők az állami tulajdonnal bíró cégek, melyek 25 százalékot meghaladó befolyásoltsága esetén a cég KKV-nak nem minősülhet, így automatikusan a köznyelv szerint nagyvállalkozás lesz.

Vállalkozások esetén célszerű bevonni a pénzügyi területet, könyvelőt a cég besorolásának vizsgálatába, akik a hatályos szabályokat részleteiben ismerik, a cég besorolását – akár pályázati lehetőségek, adókedvezmények miatt – naprakészen nyilvántartják.

Fontos azonban hangsúlyozni, hogy a törvényi érintettség nem csak vállalkozások, hanem vállalkozások közé nem sorolható civil szervezetek és egyesületek esetén is vizsgálandó.

… és kivételei

Az előzetesen meghatározott cégméret szerinti besorolás alapján a legegyszerűbb dolguk a mikro- és kisvállalkozásoknak van. Esetükben csak öt tevékenység vizsgálandó, amelyek az alábbiak szerint ellenőrizhetők:

  • elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók: Nemzeti Média- és Hírközlési Hatóság vezeti nyilvántartásuk
  • legfelsőbb szintű domainnév-nyilvántartó: Magyarországon ez egyetlen szervezet, az ISZT Nonprofit Kft
  • domainnév-regisztrációt végző szolgáltató: az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok
  • DNS-szolgáltató: azok a szervezetek, melyek a törvény értelmező rendelkezései szerinti szolgáltatások valamelyikét nyújtják

Azon kis- vagy mikrovállalkozások, amelyek a fenti tevékenységek közül nem tudnak magukra vonatkozót azonosítani, ezen a ponton fellélegezhetnek, 99 százalék, hogy nem tartoznak a törvény hatálya alá.

A tevékenységek vizsgálata

A nem kis- vagy mikrovállalkozások esetében a Kibertan.tv. mellékleteiben felsorolt tevékenységek vizsgálata nem kikerülhető, de igyekszünk támpontot adni a vizsgálathoz. A törvény a gyártás ágazatban tulajdonképpen TEÁOR kód szerinti meghatározást alkalmaz, így bizonyos alágazatok esetén a cégnyilvántartás lesz a vállalkozások segítségére. A Kibertan.tv. szabályai alapján a 26-30 TEÁOR kódú tevékenységi körrel rendelkező vállalkozások minősülnek érintett szervezetnek.

Az egyéb ágazatok esetén a TEÁOR alapú megközelítés nem lesz elégséges, sőt, tulajdonképpen nem is használható. A Kibertan.tv. számos szereplőt jogilag határoz meg, mely magyar jogszabályi hivatkozás esetén többnyire szakhatósági engedélyt feltételez. Így például a közlekedés ágazatban felsorolt tevékenységek vonatkozásában a Közlekedési Hatóság, az élelmiszer-vállalkozások tekintetében a Nemzeti Élelmiszerlánc-biztonsági Hivatal a szakhatósági felügyeletet ellátó hatóság. Az egyes ágazatokhoz rendelhető hatóságok:

  • Magyar Energetikai és Közmű-szabályozási Hivatal: villamos energia, távfűtés, víziközmű, földgáz
  • Építési és Közlekedési Minisztérium (Közlekedési hatóság): közlekedés szektor
  • Nemzeti Élelmiszerlánc-biztonsági Hivatal: élelmiszeripar
  • Nemzeti Népegészségügyi és Gyógyszerészeti Központ: gyógyszeripar, készletezés, egészségügyi szolgáltatók, vegyipar
  • Nemzeti Média- és Hírközlési Hatóság: elektronikus hírközlési, bizalmi és postai szolgáltatók
  • Pest Vármegyei Kormányhivatal: hulladékgazdálkodás
  • SZTFH: kőolaj

Így elsősorban a cég jogi területét érdemes felkeresni, ha a vállalkozás rendelkezik valamely kijelölt hatóságtól engedéllyel, ők egészen biztosan tudni fognak róla. Természetesen a hatósági engedély tartalma is vizsgálandó, hiszen számos esetben egy közigazgatási szerv eltérő területek felügyeletét is elláthatja. Példaként említhető a NÉBIH, mely többek között állatklinikák engedélyeztetésével is foglalkozik.

Ha a fenti tevékenységek sem azonosíthatók, a további ágazatok esetében az értelmező rendelkezésekhez kell fordulnunk. Így például a kihelyezett szolgáltató, kutatóhely megfogalmazások alatt értendő szervezeteket maga a Kibertan.tv. definiálja.

Nyilvántartásba vételi kérelem

A szervezetek nyilvántartásba vételi kötelezettségüket magyarorszag.hu-n elérhető űrlapon kezdeményezhetik, mely az SZTFH honlapjáról közvetlenül indítható. A hatóság holnapján továbbá elérhető az űrlap mintája is, az éles űrlaphoz csak a szervezet cégkapujához meghatalmazással rendelkező személyek érik el.

Az elektronikus űrlapon a 23/2023. SZTFH rendelet szerinti adatok benyújtása kötelező, melyek között szerepel a cég vezetője által kijelölt elektronikus információbiztonsági személy kiléte is. A személlyel szemben a Kibertan.tv. nem határoz meg képzettségi követelményeket, a vállalkozás saját foglalkoztatja vagy akár külsős személy is kijelölhető a feladatkörre. Az űrlapon megadott személlyel fog az SZTFH – és incidens esetén a nemzeti eseménykezelő központ – szakmai kapcsolatot tartani, ezt célszerű a kijelöléskor figyelembe venni.

A felelősön túl a szervezet egyes technikai adatait (mint publikus IP címek, használt domain nevek) és az elektronikus információs rendszereivel kapcsolatba hozható gazdasági szereplőket szükséges feltüntetni. Természetesen a hatóság a benyújtott adatokat lehetősége szerint ellenőrzi, így a kérelmet el is utasíthatja.

További határidők

A pozitív nyilvántartásba vételi határozat birtokában a szervezetnek további kötelezettségei merülnek fel. Elsősorban a – társadalmi egyeztetésen átesett, kihirdetés előtt álló – miniszteri rendelettervezetben foglaltak alapján az elektronikus információs rendszereit biztonsági osztályba kell sorolja, a besorolás alapján a meghatározott védelmi intézkedéseket 2024. október 18-tól kell alkalmazza. Ugyanezen dátumtól éves felügyeleti díj fizetési kötelezettsége áll fenn, melynek maximális mértékét ugyan a Kibertan.tv. már rögzítette (éves árbevétel 0,015%, de maximálisan 10 millió forint), a pontos díjat, illetve a fizetési határidőket egy későbbi SZTFH rendelet fogja tartalmazni.

Az érintett szervezeteknek a védelmi intézkedések megvalósítását kiberbiztonsági auditon kell bizonyítsák, melyhez – SZTFH által nyilvántartásba vett – auditort kell megbízniuk. Az első kiberbiztonsági audit elvégzésére a törvényhozó 2025. december 31-ig adott haladékot, de az erőforrások tervezhetőségének érdekében a szervezeteknek az erre vonatkozó szerződést 2024. év végéig meg kell kössék. 

Számos részletszabály várat még magára, melyek kihirdetése az októberi határidőig várható, de a kereteket a Kibertan.tv. a többi tagállamot megelőzően (ahol mai napig nincs elfogadott jogszabály) időben rögzítette. A részletszabályok megjelenéséig érdemes a Hatóság Minden Kiberül elnevezésű podcastjét hallgatni, amelyben már több alkalommal is szó esett a NIS2-ről és a Kibertantv-ről.

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!