NIS 2 Magyarországon: A kiberbiztonsági megfelelés új korszaka

A GDPR széles körű hatásait és az ESG növekvő jelentőségét követően egy új európai betűszó került a középpontba: NIS 2. Az Európai Unió 2022/2555 számú irányelve („NIS 2 irányelv”) célja a kiberbiztonsági kötelezettségek harmonizálása az EU egész területén. Magyarország már átültette az irányelvet: először a 2023. évi XXIII. törvény, majd a jelenlegi, 2024. évi LXIX. törvény a kiberbiztonságról („Kiberbiztonsági törvény”) révén.

A NIS 2 céljai

A NIS 2 irányelv és a magyar Kiberbiztonsági törvény közös célja: az alapvető szolgáltatások folytonosságának biztosítása és a kritikus ágazatok ellenállóképességének erősítése a kibertámadásokkal szemben. Ez jelentős szemléletváltást jelent: a kiberbiztonság már nem csupán technikai kérdés, hanem szabályozói megfelelés tárgyköre.

Alkalmazási kör

A NIS 2 hatóköre szélesebb, mint sokan gondolják. A szabályozás állami intézményeken és IT-szolgáltatókon túl kiterjed a magánvállalatokra is:

  • Honvédelmi érdekkel kapcsolatos vállalatok, mérettől függetlenül automatikusan érintettek.
  • Közép- és nagyvállalatok, amelyek a Kiberbiztonsági törvény mellékleteiben felsorolt tevékenységeket folytatnak, például gyógyszernagykereskedelem, energia, közlekedés, egészségügy, digitális infrastruktúra és más kritikus infrastruktúrák.

Ez azt jelenti, hogy hagyományos iparágakban működő cégek is alá kerülhetnek az új kiberbiztonsági szabályozás hatálya alá, még ha nem is elsősorban technológiai vállalkozásról van szó.

Főbb megfelelési kötelezettségek

Az érintett szervezeteknek először regisztrálniuk kell a megfelelő felügyeleti hatóságnál. Legtöbbször ez a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) lesz, de bizonyos esetekben a nemzeti vagy honvédelmi kiberbiztonsági hatóság a kompetens szerv. A regisztráció nem opcionális: ez az első lépés a megfeleléshez.

A regisztrációt követően a vállalatoknak kiberbiztonsági auditot kell végeztetniük, az SZTFH nyilvántartásában szereplő auditorral, amelyet kétévente meg kell ismételni.

Határidők a már működő cégek számára

A 2025 előtt működő vállalatokra átmeneti határidők vonatkoznak:

  • 2025. augusztus 31.: auditorral kötött megállapodás.
  • 2026. június 30.: az első kiberbiztonsági audit elvégzése.

Ezek a határidők szigorúak, és eltérnek az általános szabálytól, amely a regisztrációt követő két éven belüli auditot írja elő.

Gyakorlati kihívások

A regisztráció és az audit együttes követelménye több gyakorlati kihívást jelent:

  • Időzítés: az auditorral való kapcsolatfelvétel csak a regisztráció után lehetséges.
  • Bonyolultság: az alkalmazhatóság meghatározása gondos elemzést igényel.
  • Folyamatos megfelelés: a kétéves audit ismétlődő kötelezettséget jelent, hasonlóan a pénzügyi auditokhoz vagy adatvédelmi hatásvizsgálatokhoz.

A nem megfelelés kockázatai

A regisztrációs vagy auditkötelezettség elmulasztása jogi szankciókhoz, reputációs kockázathoz és megnövekedett kibertámadási kockázathoz vezethet. A GDPR-hoz hasonlóan a végrehajtás várhatóan szigorú lesz.

Hogyan készüljenek a vállalatok?

Az első kritikus határidő közeledtével (2025. augusztus) a cégeknek érdemes azonnal cselekedni:

  1. Értékelés: azonosítsák, hogy tevékenységük az alkalmazási körbe tartozik-e.
  2. Időben regisztrálni: elektronikusan nyújtsák be a szükséges formanyomtatványokat az SZTFH-hoz.
  3. Audit tervezése: auditor kiválasztása és időben történő bevonása.
  4. Kiberbiztonság integrálása a vállalatirányításba: a NIS 2 megfelelés ne egyszeri feladat, hanem folyamatos része legyen a kockázatkezelésnek.

Összegzés

A NIS 2 irányelv új fejezetet nyit az EU-s megfelelésben, Magyarország az élvonalban az átültetésben. A kiberbiztonság szabályozói fókusza hasonló jelentőségűvé válik, mint a GDPR az adatvédelemben. A kritikus ágazatok vállalatainak üzenete egyértelmű: a NIS 2 már itt van, a határidők közelednek, a felkészülést azonnal el kell kezdeni.

Jogi tanácsadók kulcsszerepet játszhatnak a szabályozás hatályának értelmezésében, a regisztráció lebonyolításában és az auditorokkal való koordinációban. A korai fellépés nemcsak megfelelés, hanem a digitális és összekapcsolt üzleti környezetben való ellenállóképesség biztosítása is.

Katona & Partners Law Firm
(Katona & Partner Rechtsanwaltssozietät / Attorneys’ Association)
H-106 Budapest, Tündérfürt utca 4.
Tel.: +36 1 225 25 30
Mobile: +36 70 344 0388
Fax: +36 1 700 27 57
g.katona@katonalaw.com
www.katonalaw.com

Segítünk kérdései megválaszolásában!

Ha kérdése merült fel a cikkben olvasottakkal kapcsolatban, ügyvédi irodánk szakértői örömmel segítenek Önnek.
Lépjen velünk kapcsolatba még ma!
  • Katona és Társai Ügyvédi Társulás
  • H-1106 Budapest, Tündérfürt u. 4.
  • +36 1 225 25 30 Fax: +36 1 225 2539
  • info@katonalaw.com

Katona és Társai Ügyvédi Társulás
H-1106 Budapest, Tündérfürt u. 4.
Tel: +36 1 225 25 30 Fax: +36 1 225 2539
central@katonalaw.com

Facebook Twitter Linkedin

© KATONA & PARTNERS – Katona és Társai Ügyvédi Társulás – Minden jog fenntartva!
A honlapon található képi és szöveges tartalmak bármilyen célú felhasználása engedélyhez kötött!