A vállalkozásoknak saját maguknak szükséges felmérniük, hogy a NIS2 hatálya alá tartoznak-e, és amennyiben igen, akkor – főszabály szerint – 2024. június 30. napjáig a Szabályozott Tevékenységek Felügyeleti Hatóságánál a nyilvántartásba vételüket kell kérniük. Jelen cikkünkben az önazonosítás elvégzéséhez nyújtunk gyakorlatias támpontokat.
I. Mi az a NIS2?
Az ún. NIS2, vagyis az EU 2022/2555 számú irányelv célja, hogy a tagállamok mindegyikében alkalmazandó intézkedések előírásával biztosított legyen az Unió egész területén az egységesen magas szintű kiberbiztonság.
A NIS2 megalkotására azért volt szükség, mert a hálózati és információs rendszerek a mindennapi élet központi részévé váltak és e fejlődés a kiberfenyegetettség bővüléséhez vezetett, ami minden tagállamban kiigazított, összehangolt és innovatív reagálást igényel. A tagállami szabályozások közötti eltérések ugyanis többletköltségekkel járhatnak és nehézségeket okozhatnak a határokon átnyúló viszonylatban árukat vagy szolgáltatásokat kínáló szervezetek számára. Ez pedig a belső piac széttöredezettségével járhat és végső soron azt eredményezheti, hogy egyes tagállamok jobban ki lesznek téve a kiberfenyegetéseknek, aminek azonban az egész Unióra kiterjedő hatásai lehetnek.
Mivel a NIS2 egy irányelv, ezért nem közvetlenül alkalmazandó, hanem a tagállamoknak át kell ültetniük azt a saját törvényalkotásuk által. Magyarországon a NIS2 követelményeinek való megfelelést a 2023. évi XXIII. Törvény (Kibertv.) szabályozza, azonban ezzel az átültetés még nem teljes körű, a részletszabályok várhatóan végrehajtási rendeletekben kerülnek kibontásra.
II. A tevékenységek vizsgálata
A Kibertv. hatálya az 1. és 2. sz. mellékletében felsorolt tevékenységet végző szervezetekre terjed ki. Az 1. sz. melléklet a kiemeleten kockázatos, míg a 2. sz. melléklet a kockázatos ágazatokat nevesíti, elsősorban az érintett ágazat és alágazat megjelölésével, valamint az érintett szervezeteket szűkebb körben is kijelöli a tevékenységek irányadó ágazati jogszabályok által történő meghatározásával.
[Forrás: SZTFH Kiberbiztonsági Igazgatóság]
III. Méretkorlátszabály – A szervezet méretének meghatározása
Az érintett ágazatokban tevékenykedő szervezetek közül a Kibertv. kivételszabálya alapján csak a közép- és nagyvállalkozások tartoznak a kötelezettek körébe, a mikro- és kisvállalkozások nem. Ugyanakkor az utóbbi vállalkozások sem dőlhetnek minden esetben hátra: e vállalkozások közül az elektronikus hírközlési szolgáltató, a bizalmi szolgáltató, a DNS-szolgáltatást nyújtó szolgáltató, a legfelső szintű domainnév-nyilvántartó vagy a domainnév-regisztrációt végző szolgáltató tevékenységet végző entitások szintén a Kibertv. hatálya alá tartozónak minősülnek.
Azt, hogy melyik szervezet minősül mikro- és kisvállalkozásnak, a Kibertv. a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvényre utalással határozza meg, az összes foglalkoztatotti létszám és az éves nettó árbevétel/mérlegfőösszeg alapján. Figyelemmel kell azonban lenni arra is, hogy partner- vagy kapcsolódó vállalkozások esetén a törvényben meghatározott adatokat összesítve, az összevont (konszolidált) éves beszámoló vagy bevallás alapján, ennek hiányában a vállalkozások nyilvántartásai szerint kell meghatározni. Mindez azt jelenti, hogy előfordulhat olyan eset, hogy egy vállalat önmagában habár nem minősül középvállalkozásnak, de a tulajdonosi körre tekintettel mégis annak fog számítani.
[Forrás: SZTFH Kiberbiztonsági Igazgatóság]
Mindebből következően az alapján tudja megállapítani egy szervezet, hogy a Kibertv. alapján kötelezettségei állnak-e fenn, hogy beazonosítja szervezete jellemzői alapján a vállalkozás méretét, majd pedig az eredménytől függően számba veszi, hogy a Kibertv. mellékleteiben, illetve jogszabályszövegében érintett tevékenységeket folytatja-e. Ezt az azonosítási folyamatot röviden a következő ábra foglalja össze:
[Forrás: SZTFH Kiberbiztonsági Igazgatóság (átdolgozva)]
A vállalkozás méretét meghatározó jellemzők alapvetően egzakt módon megállapíthatóak, az egyes partner- vagy kapcsolódó vállalkozások esetén azonban átfogóbb elemzésre lehet szükség. Annak a megállapítása pedig, hogy az adott tevékenységet folytató szervezetnek minősül-e a vállalkozás, további mélyebb és összetettebb vizsgálatot tehet szükségessé.
A Kibertv. 2. sz. melléklete szerinti kockázatos ágazatok közül a gyártás ágazatában tevékenységet végzőket tulajdonképpen a TEÁOR kód szerinti meghatározással lehet azonosítani, így a 23.5, 26-30 TEÁOR kódú tevékenységi körrel rendelkező vállalkozások érintett szervezetnek fognak minősülni.
A TEÁOR alapú azonosítás azonban a többi ágazat esetében nem jelent támpontot, tehát egyéb ágazatokban tevékenységet folytató érintettek meghatározásához nem elégséges eszköz az vállalkozás cégkivonatának vizsgálata.
A Kibertv. ugyanis a legtöbb ágazatot jogszabályi hivatkozással határozza meg, így minden egyes esetben, ha az adott tevékenység folytatása egy vállalkozásnál felmerülhet, a Kibertv. mellett az ágazati jogszabályok részletes vizsgálata alapján kell a Kibertv. alá tartozás lehetőségét számba venni. Az ágazati rendelkezések jogi értelmezése mellett célszerű továbbá az adott tevékenységgel kapcsolatban rendelkezésre álló engedélyek tartalmát is megvizsgálni, ugyanis ez a tevékenység azonosításában és ezáltal a Kibertv. hatálya alá tartozás megállapításában jelentős segítséget nyújthat.
Szerzők: dr. Fenyőházi András, dr. Szabó Zsanett és dr. Varga Evelin