Már nem csak a nagyvállalatokról szól: ki tartozik most a kibervédelmi szabályok alá

Ezek a módosítások várhatóan olyan vállalkozásokat és intézményeket is érinteni fognak, amelyek eddig nem tekintették magukat közvetlenül kibervédelmi szabályozás alá tartozónak. Éppen ezért a következő időszakban kulcskérdés lesz annak gyors felmérése, hogy egy adott szervezet érintett-e, és ha igen, milyen kötelezettségek teljesítésére kell felkészülnie.

Hatálybéli változások, nem csak a „nagyok” érintettek

A jogalkotó a hatály alá tartozó szervezetek körét olyan gazdasági és működési mutatók mentén kibontotta, amelyek egyértelművé teszik a bekerülés feltételeit. A módosítások egyik legfontosabb eleme, hogy a törvény automatikusan alkalmazandóvá válik azon szervezetek esetében, amelyek éves nettó árbevétele meghaladja a 10 millió eurónak megfelelő forintösszeget, és beszámolókészítésre kötelezett szervezetként mérlegfőösszegük is túllépi ezt a küszöböt.

Emellett a hatály kiterjed azokra a szervezetekre is, amelyek a törvény 2. vagy 3. mellékleteiben szereplő körbe tartoznak, és középvállalkozásnak minősülnek, vagy legalább 50 főt foglalkoztatnak, illetve jelentős (10 millió eurót meghaladó) árbevétellel vagy költségvetéssel rendelkeznek (a továbbiakban: "törvény hatálya alá tartozó középvállalatok").

Bejelentési kötelezettség

A módosítások nagy hangsúlyt helyeznek a nyilvántartásba vételhez kapcsolódó bejelentési kötelezettségre is. Az érintett szervezeteknek a hatály alá kerüléstől számított 30 napon belül adatot kell szolgáltatniuk a nemzeti kiberbiztonsági hatóság részére a nyilvántartásba vétel érdekében.

A jogszabály emellett pontosítja azt is, hogy mikortól kell a törvény hatálya alá tartozónak tekinteni egyes többségi állami befolyás alatt álló gazdálkodó szervezeteket és a törvény hatálya alá tartozó középvállalkozásokat. Főszabály szerint a hatály alá kerülést megalapozó feltétel bekövetkezését követő év első napjától kell alkalmazni a törvényt, ugyanakkor a szervezet kérheti, hogy a szabályok már korábban, a nyilvántartásba vétel véglegessé válásától kezdve vonatkozzanak rá. Ez a lehetőség különösen azok számára lehet releváns, akik előre tervezetten és kontrolláltan szeretnék megkezdeni a megfelelési folyamatot.

Mit kell most tennie, ha érintett?

-Ellenőrizze szervezete árbevételét és létszámát
-Vizsgálja meg, szerepel-e a 2. vagy 3. mellékletben
-Számítsa ki a 30 napos bejelentési határidőt
-Jelölje ki az információbiztonságért felelős személyt
-Kezdje meg a megfelelési dokumentáció előkészítését
-Közhiteles nyilvántartások: nagyobb jogbiztonság a piacnak is

A módosítások egyik legjelentősebb újítása, hogy a hatósági nyilvántartások egy része közhiteles jelleggel bővül. A közhitelesség lényege, hogy a nyilvántartásban szereplő adatokat a jogrendszer valósnak és hitelesnek tekinti, amíg az ellenkezőjét nem bizonyítják.

Ez üzleti szempontból is kiemelt jelentőségű. A közhiteles nyilvántartás olyan adatforrássá válik, amelyre szerződések, beszerzések, hatósági eljárások és jogi döntések is biztonsággal építhetők.

Bővülő nyilvántartások az SZTFH-nál és a nemzeti kiberbiztonsági hatóságnál

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) nyilvántartást vezet az audit végrehajtására jogosult gazdálkodó szervezetekről. A változások szerint a nyilvántartás kiegészül az auditor nyilvántartásba vételének időpontjával és az ehhez kapcsolódó azonosító számmal, amelyek közhiteles adatként szerepelnek majd. Ez a gyakorlatban egyszerűsítheti az auditorok jogosultságának ellenőrzését.

A nemzeti kiberbiztonsági hatóság által vezetett nyilvántartás szintén részletesebbé válik. Kiterjed többek között az elektronikus információs rendszerekre, azok biztonsági besorolására, a védelmi intézkedésekre, valamint az információbiztonságért felelős személyek adataira. A szabályozás ugyanakkor figyelembe veszi a nemzetbiztonsági szempontokat is, ezért a nyilvántartás elemei 30 évig nem nyilvánosak.

Új nyilvántartások, növekvő átláthatóság

A módosítások több teljesen új nyilvántartás bevezetéséről is rendelkeznek. Az SZTFH külön nyilvántartást vezet majd a kibervédelmi törvény hatálya alá tartozó szervezetekről, a sérülékenységvizsgálatra jogosult szervezetekről és szakértőkről, valamint a kiberbiztonsági incidensek kezelésére jogosult gazdálkodó szervezetekről.

Ezekben a nyilvántartásokban a nyilvántartásba vételhez kapcsolódó kulcsadatok közhitelesek lesznek, ami az ellenőrizhetőséget és az együttműködések biztonságát is erősíti.

Szintén új elem a tanúsító hatóság nyilvántartása, amely az IKT-termékek, szolgáltatások és folyamatok tanúsításához kapcsolódó adatokat kezeli. A szabályok kifejezetten kimondják, hogy bizonyos tanúsítvány- és engedélyadatok közhitelesek, ami tovább növeli ezek piaci értékét és jogi stabilitását.

Összegzés

A kibervédelmi törvény módosításai a szabályozás szigorodását és az átláthatóság erősítését szolgálják. A hatály bővítése miatt jelentősen nőhet azon szervezetek száma, amelyeknek kiberbiztonsági megfelelési kötelezettsége keletkezik, és a közhiteles nyilvántartások megjelenése új minőséget ad a szabályozott adatoknak. 

Ezek immár nem pusztán adminisztratív jellegűek, hanem közvetlen joghatással bírnak.
A szervezetek számára ezért most különösen fontos, hogy időben felmérjék érintettségüket, és megfelelően felkészüljenek az új nyilvántartási és megfelelési elvárásokra. Aki késik, az nemcsak adminisztratív szankciókat kockáztat, hanem versenyhátrányt is.

_{Szerzők: dr. Menczelesz Adrián és dr. Krebsz Klaudia, Schönherr Hetényi Ügyvédi Iroda}