A NIS2 felkészülés új szakaszába ért. 2025 januárja sok új jogszabályt hozott, amivel végre az érintett cégek magasabb fokozatba kapcsolhatják a felkészülésüket.
A következő új jogszabályok jelentek meg:
- évi LXIX. törvény Magyarország kiberbiztonságáról (továbbiakban Kibertantv)
- 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
- 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról
- 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról
Ami mindenkit érint
Az új Kibertantv nem csak a NIS2 által érintett cégeknek jelent újdonságot, hanem a korábbi 2013-as L törvény utódja is egyben, így akik a korábbi törvény által érintettek voltak pl. önkormányzatok, új jogszabállyal kell megismerkedniük.
Akik örülnek
Az új Kibertantv megszüntette a NIS2 kötelezettséget a kiskereskedelmet folytató élelmiszeripari cégek esetében. Ez nagyságrendileg 400-500 céget érinthet. Azok, akik kikerülnek a törvény hatálya alól, törlési határozatot fognak kapni. Így számukra minden kötelezettség megszűnik.
Akik kicsit örülnek
A másik kör, akik könnyítést kaptak, azok NIS2 körbe tartozó mikrovállalkozások. Bár ők maradnak a törvény hatálya alatt, azonban nem lesz kötelező a kiberbiztonsági audit végrehajtása számukra.
A fekete leves
Bár a Kibertantv törvénytervezetben az szerepelt, hogy 2026 december 31-ig kitolják az első kiberbiztonsági audit határidejét, ez sajnos nem került be a végső változatba, hanem maradt a 2025. december 31-i határidő, ami a rengeteg tennivalót jelent az idei évre minden cégnek!
Kiberbiztonsági audit
- január végén megjelent a várva várt 1/2025-ös SZTFH rendelet, ami a kiberbiztonsági auditot – továbbiakban audit – szabályozza. Ez azért volt fontos, mert a rendelet hiányában az auditor cégek nem tudtak ajánlatot adni, majd szerződést kötni az érintett cégekkel.
Mennyi az annyi?
A mindenki által leginkább várt információ az audit díj szabályozása volt. Az auditálás díját 3 dolog befolyásolja:
- az árbevétel
- az EIR-ek darabszáma
- az osztályba sorolás
Így a maximalizált audit díj nettó 1 575 000 forint és 140 000 000 forint közötti összeg lehet. A maximalizált azt jelenti, hogy a fenti összegnél az auditor cég adhat kisebb árat, de magasabbat nem!
A legfontosabb azonban, hogy ha érintett a cég, akkor minél előbb ajánlatot kell kérni az auditor cégtől, mert bár a határidő 2025.december 31, de az auditor cégek naptárja nagyon gyorsan telik és egyre korábbi időpontokat tudnak adni auditálásra!
Amíg a DÁP el nem választ
Sajnos a Digitális Állampolgárság Program törvény – DÁPtv – által érintett szervezetek esetében se történt engedmény, az érintett cégek 2025. május 31-ig végezniük kell az audittal. Ez alig 3,5 hónap! Ha valaki DÁPtv által is érintett, és még nem tette meg, akkor még ma kérjen ajánlatot auditor cégtől! És pörgesse fel a felkészülést.
Mi micsoda:
NIS2: Network and Information Systems Directive 2 – Hálózati és Információs Rendszerek irányelv 2
EIR: elektronikus információs rendszerek
Nagy Imre Gábor
A szerző a ZETRON Kft munkatársa, a Nemzeti Közszolgálati Egyetem Elektronikus Információbiztonsági Vezető szakán végzett, ISO 27001 vezető auditor