Facebook image
Mentés

NIS2 és kiberbiztonság - milliós szankciók és újabb feladatok

Bár a NIS2 regisztrációs határidő óta még egy hónap sem telt el, de máris rohamosan közeledik a következő kiberbiztonsági mérföldkő, amely még nagyobb kihívás lesz a NIS2 érintett szervezetek számára. 2024. október 18-tól ugyanis a nemrég megjelent végrehajtási rendeletben szereplő kiberbiztonsági intézkedéseket már alkalmazniuk is kell. A NIS2 követelményeket nem teljesítő társaságok pedig akár 10 millió forintos bírságot is kockáztatnak!

NIS2 regisztráció – még nem értek véget a feladatok!

Több mint 3000 NIS2 regisztráció érkezett be a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH) a június végi határidőig, bár piaci becslések szerint a NIS2 érintett társaságok száma a 6000 főt is elérheti 

Azok a szervezetek, amelyek nem tartoznak a NIS2 érintettek körébe, mégis regisztrációt nyújtottak be erről viszonylag gyorsan kaptak visszajelzést a felügyeleti hatóságtól.  Azonban sokan keresik az RSM szakértőit olyan kérdéssekkel, hogy miért nem kaptak a NIS2 regisztrációjuk sikerességéről választ, mikorra várhatnak visszajelzést a hatóságtól .

Úgy gondoljuk a kései visszajelzést az kiberbiztonsági auditor nyilvántartás hiánya okozta, ugyanis a Kibertan tv. (2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) szerint az érintett szervezet köteles a nyilvántartásba vételét követően 120 napon belül a nyilvántartásban szereplő auditorral megállapodást kötni.

NIS2 tanácsadás és felkészítés

NIS2 audit nyilvántartás

A NIS2  érintett szervezeteknek szerződést kell kötniük  - az akkreditált auditorok nyilvántartásából kiválasztott - NIS2 auditorral., 

Azonban a NIS2 auditor nyilvántartás vezetését az SZTFH 2024. július 24-én kezdte meg, a nyilvántartás a honlapjukon elérhető.

Várhatóan az első auditorok megjelenését követően fognak megérkezni a NIS2 regisztráció elfogadásáról szóló igazolások, így a szervezeteknek a teljes 120 nap rendelkezésükre áll majd a megfelelő kiberbiztonsági auditor kiválasztására.

Milyen szankciókra számíthatnak, a NIS2 követelményeket nem teljesítők?

Amennyiben NIS2 irányelv hatálya alá tartozó szervezet nem tartja be a NIS2 irányelv előírásait Magyarországon, jelentős pénzügyi következményekkel kell számolnia.

A Kibertan. tv. és egyéb magyar NIS2 jogszabályok megsértésére vonatkozó, a SZTFH által kiszabható szankciók mértékét a 305/2023. a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló rendelet 1. melléklete határozza meg.

Az érintett szervezet a kiszabott NIS2 bírságot 8 napon belül köteles megfizetni, több szabálysértés együttes érvényesülése esetén a legnagyobb kiszabható szankció az egyes szabálytalanságok kiszabható legmagasabb bírságának összege.

A bírság a határidő leteltét követően újra kiszabható.

Az egyes nem megfelelősségek miatt kiszabható NIS2 szankciók mértéke a következő:

SzabálytalanságA bírság legkisebb mértéke FtA bírság legnagyobb mértéke Ft
2019/881 európai parlamenti és tanácsi rendelet 53. cikk (3) bekezdésében előírt önértékelési nyilatkozat az Európai Uniós Kiberbiztonsági Ügynökség részére küldés elmulasztása50.000100.000
Megfelelőségi önértékelés esetén a Kibertan.tv-ben előírt dokumentumok megküldésének elmulasztása50.000100.000
Megfelelősségértékelési tevékenység végzése tanúsító hatósági engedély nélkül1.000.00050.000.000
NIS2 megfelelési jelölés jogosulatlan vagy nem megfelelő használata300.00050.000.000
A megfeleléshez kapcsolódó nyilatkozatok és adatok megküldésének elmulasztása50.0005.000.000
Esetlegesen feltárt sebezhetőség vagy rendellenesség lejelentésének elmulasztása300.0005.000.000
NIS2 követelmények nem teljesítése200.00010.000.000

A NIS2 követelmények nem teljesítése esetén a kibertan.tv-ben szereplő szabályozás szerint a tanúsító hatóság határidő kitűzésével felszólítja a szervezetet a hiányosság javítására. Amennyiben ennek ellenére sem teljesíti a követelményekben megszabottakat, így a hatóság a szabálytalanság mértékével arányos büntetést szabhat ki, amely további nemteljesítés esetén megismételhető.

NIS2 regisztráció elmulasztása – milyen szankciók várható

Megjelent a 186/2024. a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól szóló rendelet, amely 2024. október 18-án kerül hatályba. Ez a rendelet módosítja majd a 305/2023 rendeletet, illetve egy új mellékletet tartalmaz, amely a NIS2 regisztráció nem teljesítése és határidőn túl teljesítésére vonatkozó bírságokat tartalmazza. A NIS2 érintett szervezetekkel szemben kiszabható regisztrációs bírságok a következők:

SzabálytalanságA bírság legkisebb mértéke FtA bírság legnagyobb mértéke Ft
NIS2 regisztráció elmulasztásaAz érintett szervezet előző üzleti évi nettó árbevételének 0,5%-a, de legalább 1.000.000 Az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 2%-a, de legfeljebb 150.000.000 
NIS2 regisztráció 2024. június 30. után, vagy Kibertan tv. 26. § (2) bekezdése szerinti 30 napos határidőn túl50.000 Az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,1%-a, de legfeljebb 15.000.000 

A szankciók mértéke láthatóan magasabb a NIS2 regisztráció elmulasztása esetében, mint a többi nem megfelelésnél.

Ez azt mutathatja, hogy a hatóság úgy gondolkodik, hogy ha egy szervezet beregisztrál és felismeri, hogy kritikus ágazatban tevékenykedik, muszáj a kiberbiztonsági feladatokkal a lehető legrövidebb időn belül komolyan foglalkozni.

NIS2 követelmények teljesítése 

Az érintett szervezetek a NIS2 regisztrációval nemrégiben letudták az első fontos feladatot, de máris a nyakukban a következő határidó. A NIS2 megfelelés következő mérföldköve a 7/2024. a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló MK rendeletben foglalt követelményekre való felkészülés. Ezzel a szervezetek átléptek a NIS2 felkészülés fázisába. 

A rendelet részletezi a konkrét védelmi intézkedéseket, amelyeket a szervezeteknek alkalmazni kell október 18-tól. 

A NIS2 érintett vállalatoknak érdemes olyan felkészült NIS2 szakemberek segítségét igénybe venni, akik a kiberbiztonsági védelmi intézkedések és egyéb NIS2 irányelv előírásainak való megfelelés felkészítését, amelyekkel a cégek megfelelhetnek a kiberbiztonsági követelményeknek.

NIS2 ajánlatkérés

    Érdeklik az adó, számviteli és jogi változások?

    Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

    Feliratkozom