Új kötelezettségeket is ró az érintett vállalatokra a Magyarország kiberbiztonságáról szóló törvény, amelynek új keretrendszerét a napokban fogadta el a parlament – hívta fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda. A jogszabálynak meg nem felelő cég akár 10 millió eurós bírsággal nézhet szembe.

A várhatóan január 1-jén hatályba lépő törvény célja az Európai Unió kiberbiztonsági irányelvének, azaz a NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A 2023-ban hatályba lépett NIS2 irányelv a 2016-ban bevezetett európai uniós szabályokat aktualizálta annak érdekében, hogy lépést tartson a digitalizációval és a folyamatosan változó fenyegetésekkel.

Mint írták, a kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt, mert a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani. A kiberbiztonsági törvény részben átveszi a NIS2 joghatósági szabályozását, ugyanakkor az átültetés bizonyos esetekben – például DNS-, felhő-, adatközpont- szolgáltatókra, irányított biztonsági szolgáltatókra, az online piacterek, keresőprogramok és közösségimédia-platformok szolgáltatóira vonatkozóan – nem követi teljesen a NIS2-t. Ez az üzleti tevékenység fő helyének megállapítása kapcsán akár jogértelmezési problémákhoz is vezethet, amit csak később, a jogalkotó, illetve a kiberbiztonsági felügyeletet ellátó Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) álláspontja alapján lehet majd feloldani – jelezték.

Az új rendelkezés szerint a kiberbiztonsági törvény hatálya alá tartozó, elektronikus információs rendszert működtető, nem Magyarországon bejegyzett szervezetnek a törvényben foglaltak végrehajtásáért felelős, Magyarország területén működő képviselőt kell írásban kijelölnie. A rendszer biztonságáért felelős személynek bizonyos esetekben rendelkeznie kell a feladatellátáshoz szükséges, rendeletben előírt végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy a szakterületen szerzett szakmai tapasztalattal. Ha a vállalat nem rendelkezik ilyen szakértelmű személlyel, akkor az SZTFH által nyilvántartásba vett, kiberbiztonsági incidens kezelésére jogosult szervezetet kell megbíznia – ismerteti a közlemény.

Ara is kitértek, hogy a vonatkozó magyar kiberbiztonsági jogszabályoknak meg nem felelő vállalatot az SZTFH több szankcióval is sújthatja. Így például akár információbiztonsági felügyelőt is kirendelhet az érintett szervezet költségére, vagy kötelezhet a jogszabálysértés tényének és körülményeinek nyilvánosságra hozatalára. Ezen túl a hatóság bírságot szabhat ki, akár a szervezet vezetőjével szemben is. A NIS 2 alapján a bírság a fontos szervezetek esetén a cég előző pénzügyi éve világszintű árbevételének 1,4 százaléka, de legalább 7 millió euró, alapvető szervezetek esetén pedig az előző éves árbevétel 2 százaléka, de legalább 10 millió euró.