„Talán nem túlzás azt állítani, hogy mostanában a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) minden erejével a NIS2, illetve az abból születő, vagy már megszületett magyarországi szabályozás bevezetésének támogatására koncentrál, hogy a teendők közérthetővé váljanak a vállalatok számára. Mondjuk mire kell figyelni, jönnek a határidők, hatályok és bírságok – vagyis minden, ami már tudható.
A NIS2 EU-s irányelv 2022 decemberében jelent meg hivatalosan, az átültetésére pedig bőven van a tagállamoknak ideje, egészen pontosan 2024. október 18-ig. Magyarország ugyanakkor úgy gondolta, hogy mivel olyan vállalatok is érintettek a szabályozásban, melyek nemhogy kiberbiztonsági szabályozással, de sok esetben állami felügyelettel sem találkoztak még a tevékenységük során, megelőzi az összes többi tagállamot, és ennek megfelelően már 2023 májusában elfogadta a kibertantv-nek hívott törvényt. Ez kifejezetten a NIS2 által felsorolt ágazatok gazdasági, piaci szereplőit szabályozza.
A kimaradt szektorok védelme
Míg az érintett ágazatok közül néhány eddig jobbára híján maradt a kiberbiztonsági erőfeszítéseknek, vannak olyanok is, melyek jelen pillanatban is kiberbiztonsági szabályozás alatt állnak. Ilyen például az energiaszektor, a közlekedési szektor, illetve az egészségügy, az ivóvíz- és szennyvízszolgáltatások, vagyis minden, ami köznyelvi megfogalmazásban kritikus infrastruktúrának minősülhet. Ezekben az ágazatokban tevékenykedő cégek közül néhányan már foglalkoznak kiberbiztonsággal, legkésőbb 2020 óta. Az összes többi szereplő viszont eddig nem állt ebből a szempontból szabályozás alatt.
Az államilag nem érintett szektorok közül kiemelkedik a gyártásszektor, kifejezetten elektronikai eszközgyártás, a jármű és járműalkatrész-gyártó cégek, melyek gazdasági tevékenységükből fakadóan nem voltak eddig engedélykötelesek. Vannak olyan szektorok is, melyek azért az állammal már találkoztak; erre példaként talán az élelmiszeripar említhető, ahol a NÉBIH szakmai hatósági felügyeletet gyakorol, vagyis magát az élelmiszer-forgalmazási, előállítási tevékenységet NÉBIH engedély alapján lehet végezni.
Az általános kép szerint – ami a többség fejében él – az említett szektorok azért mára már tudatosították a veszélyeket. Például az egészségügyi szektorban megkerülhetetlen volt a világszerte történt botrányos események, a kórházak elleni zsarolóvírus támadások híre a tömegtájékoztatásban.
Azt mindenesetre talán kevesebben tudják – pedig a Semmelweis Egyetem Menedzserképző Központja az SZTFH Minden Kiberül podcastjában is beszámolt róla – hogy már 2021-ben is volt Magyarországon kórházakat érő kibertámadás, mégpedig szám szerint 40 körüli, vagyis ez idehaza sem újkeletű történet.
Vannak ugyanakkor jobban és kevésbé kockázatos ágazatok. Kiberbűnözői szemszögből az előbbiek közé sorolandó az említett egészségügy a sok érzékeny személyes adat miatt. Ebben a szektorban az is elvárás, hogy a gépi rendszerek mindig álljanak rendelkezésre, hiszen ha egy beteg görcsöt kap és gyógyszert kell neki adni, akkor az orvosoknak muszáj azonnal látni, hogy milyen allergiái vannak. Az egészségügy vonatkozásában ráadásul az is jól látszik, hogy a törvény hatálya kiterjed majd a magánszektorra, a magánkórházakra és magánszakrendelőkre is, melyeket egyre sűrűbben veszik igénybe az állampolgárok. A kevésbé kockázatos ágazatok közé tartoznak például a postai szolgáltatók, az élelmiszeripari szereplők és a gyártó cégek.
A problématagadók és a bírságok
A hazai gazdaság érdekes jellemzője, hogy minden ágazatban vannak “problématagadók”. Ők azok, akik nem látják, hogy miért tartoznának a NIS2 hatálya alá, vagy miért kellene, hogy oda tartozzanak. Szerencsére vannak olyanok is, akik kifejezetten élen járnak, foglalkoztak már a kiberbiztonsággal, és már megteremtették rá a szükséges erőforrásokat is. A mulasztásos jogsértések tekintetében jelen pillanatban nincs hatályos szabályozás érvényben, és még megismerhető szabályozás sincs, ugyanis a bírságolást, a szankcionálást csak 2024. október 18-tól alkalmazhatja az SZTFH. Ez nem azt jelenti, elhúzzák majd őszig a bírságtételek megállapításáról szóló rendelettervezet előkészítését és kiadását, hanem inkább azt, hogy most folyamat oldalról közelítik meg a kérdést. Egyelőre azon van a fő fókusz, hogy a szervezetek felismerjék az érintettségüket és bejelentkezzenek a nyilvántartásba.
Ennek a kötelezettségnek a megszegéséért vagy a kötelezettség elmulasztásáért járó bírságra vonatkozóan van már tervezet, ami minimálisan 5 millió forint és maximálisan 50 millió forintban határozza meg a nyilvántartásba vétel elmulasztásának a díját.
A bírságtétel nagyságrendjének meghatározásánál a NIS2 rendelkezései szerinti visszatartó erejű szankció meghatározása volt a cél, hogy a szervezetek inkább legyenek érdekeltek abban, hogy a hatóságnál nyilvántartásba vetessék magukat, és inkább vállalják a kontrollt, minthogy egy egyszeri nyilvántartásba vétel elmulasztásáért milliókat kelljen kiadniuk. Ez a rendelet sincs még kiadva – bár már folyamatban van –, de várhatóan a június 30-i határidő előtt megjelenik majd, így mindenki megismerheti az összes szükséges információt, hogy eldönthessék: bejelentkeznek-e a nyilvántartásba, avagy nem.
Az audit menete
Az audit szintén törvény szerint előírt kötelezettsége lesz a szervezeteknek. A feladatra az SZTFH által nyilvántartásba vett auditorok közül lehet választani. Ez a nyilvántartás jelen pillanatban még nulla elemű, mivel az auditorok nyilvántartásba vételi feltételeit tartalmazó rendelet még nem jelent meg.
Azt viszont talán fontos kiemelni, hogy az auditorok felett is erős kontroll lesz, a védelmi intézkedés lista mellé készül egy auditori módszertan is, konkrét értékelési módszerrel és értékelési renddel, hogy nagy kilengések ne lehessenek az értékeléseknél.
Összefoglalva, június 30-a a legfontosabb céldátum, a hatósági nyilvántartás pedig január 1-től elindult, és az SZTFH elmondása szerint bár a kérelmek folyamatosan érkeznek be, de egyelőre nem éri el a várt számosságot. Érdekességként említhető, hogy előfordult már elutasított határozat is, tehát volt olyan szervezet, amelyik úgy gondolta, hogy a szabályozás hatálya alá esik, viszont egyéb szakhatósági állásfoglalásokkal – melyeket az SZTFH indított, begyűjtve az összes elérhető bizonyítékot – nem tudta megerősíteni az érintettséget. Az ilyen esetekben elutasítás születik, tehát önkéntes jellegű felügyeletre nincs lehetőség.
Teendők kisokos
1. Az első nagyon fontos teendő ahhoz, hogy a szervezet eljusson a kérelmezéshez az, hogy fel kell ismernie az érintettségét. Ennek módszertanában az első és legfontosabb lépés, gyakorlati oldalról közelítve, hogy meg kell nézni mekkora a cég. Vannak olyan cégek, melyek vállalkozáscsoportban működnek, az ő esetükben a vállalkozáscsoport vizsgálandó, és annak pénzügyi adatai, az úgynevezett éves konszolidált beszámoló alapján, míg vannak önálló vállalkozások, melyek magánszemélyek tulajdonában állnak. Utóbbiak esetén egyszerűbb a méretmeghatározás: minimum 50 fő alkalmazott, vagy 10 millió euró forintösszegnek megfelelő éves árbevétel szükséges. Fontos, hogy nem lehet kreatív módszerekkel megúszni a törvény hatályát – például ha valakinek jelenleg 51 fő alkalmazottja van, és úgy dönt, hogy kirúg két embert, hogy lemenjen az 50-es korlát alá – mivel a KKV törvény kimondja, hogy akkor lehet átsorolást kapni, ha az elmúlt két évben fennállnak a megfelelő feltételek, melyek alapján az átsorolás megtörténhet. Önmagában tehát méret alapján nagyon nehéz kikerülni a törvény hatálya alól.
2. Azt is vizsgálni kell, hogy a szervezet mikro-, vagy kisvállalkozásnak, esetleg középvállalkozásnak vagy nagyvállalkozásnak minősül-e. Amennyiben kicsi a cég, tehát mikro-, vagy kisvállalkozás, csak ötféle tevékenységet kell vizsgálni. Ez a törvényben is megtalálható, mint kivétel lista, ide tartoznak majd például az elektronikus hírközlő szolgáltatók, a bizalmi szolgáltatók, tehát inkább a digitális ágazatban működő vagy digitális infrastruktúrákkal foglalkozó cégek.
3. A közép- vagy nagyvállalkozások esetében egy kicsit nehézkesebb lesz a történet, ugyanis át kell olvasni a törvény két mellékletét, melyek hosszasan taglalják azt, hogy milyen tevékenységek tartozhatnak a törvény hatálya alá. Itt nagyjából háromfelé lehet bontani a törvényi szövegezést:
a.) Vannak olyan meghatározások, amelyek más magyarországi jogszabályra utalnak vissza, így például az élelmiszeripar vonatkozásában természetesen a már meglévő élelmiszerlánc-biztonsági törvényre hivatkozik. Ebben az esetben viszonylag egyszerű a helyzet, mert ezek tipikusan engedélyköteles tevékenységek, tehát azt kell a szervezetnek megvizsgálnia, hogy van-e az adott szakhatóságtól papírja, van-e engedélye az ilyen jellegű tevékenység végzése. Ez azért is viszonylag egyszerűbb dolog, mert a jogi, vagy a compliance részleg valószínűleg ennek tudatában lesz az adott cégnél.
b.) Az eggyel nehezebb verzióban csak úgynevezett belső hivatkozások szerepelnek a szövegben, olyan fogalommeghatározásokkal például a kutatóhelyek esetén a mellékletben, mint: kutatóhely. Ez önmagában nagyon sok szervezetet jelenthet, hiszen ha csak ezt az egy fogalommeghatározást vesszük alapul, akkor hatalmas lehetne az érintett kör. Viszont maga a törvény az első részében értelmező rendelkezésként definiálja, hogy a törvény vonatkozásában mi az, ami kutatóhelynek minősül. Tehát például automatikusan kizárja az oktatási intézményeket, így az egyetemek, ahol tipikusan kutatási tevékenység is folyik, emiatt nem tartozhatnak a hatálya alá.
c.) A harmadik eset a legegyszerűbb megközelítés, a gyártás ágazatnál, a kettes számú mellékletben TEÁOR kód-hivatkozások találhatók. Például vannak olyan tételek a gyártás tekintetében, ahol meghatározták, hogy a 26-tal kezdődő TEÁOR-kódú szervezet automatikusan a törvény hatálya alá tartozik. Tévedés itt általában ott szokott előfordulni, hogy mindenki csak a cégbíróságon bejegyzett tevékenységi köreit vizsgálja, viszont nincs minden tevékenységre külön TEÁOR-szám. Vannak olyan engedélyköteles tevékenységek Magyarországon, melyekhez nem tartozik egyértelmű összerendelés. Így önmagában a TEÁOR és a cégnyilvántartásban szereplő adatok vizsgálata nem lesz elegendő.
Alapvetően a június 30-as határidő csak és kizárólag azokra a szervezetekre vonatkozik, amelyek 2024. január 1. előtt már megkezdték a működésüket, és érintett szervezetnek minősülnek. Előfordulhat, hogy akár a mai napi adatszolgáltatásával egy szervezet átlépi a statisztikai számaival a foglalkoztatotti létszámot, vagy a törvény hatálya alá tartozó új tevékenységet kezd meg. Rájuk a fő szöveg szerinti rendelkezések vonatkoznak, tehát a működésének megkezdését és érintett szervezetté válását követően 30 nap áll rendelkezésre a nyilvántartásba vételre. Az újonnan érintetté válókkal szemben emiatt kvázi szigorúbb a szabályozás.”
Forrás:
NIS2: szektorok, hatályok, határidők és bírságok; IT Business; 2024.április 16.