Az Európai Unió a tagállamok kiberbiztonságának erősítése érdekében 2022 végén közzétette a NIS 2 irányelvet (Az európai parlament és a tanács (EU) 2022/2555 irányelve). A kiberbiztonság egységesen magas szintű biztosítása érdekében a rendelet követelményeket határoz meg az érintett szervezetek és kulcsfontosságú infrastruktúrák hálózati és információs rendszereinek védelméhez kapcsolódóan, bevezetve az alapvető és fontos szervezetek fogalmát. A korábbi, 2016. évi kiberbiztonsági irányelvhez (NIS) képest kibővített és egyértelműen meghatározott ágazatokat tartalmazó új rendeletet a tagállamoknak 2024. október 17-ig kellett átültetni  nemzeti jogrendjükbe. Ezt Magyarországon a 2025. január 1-től hatályos 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Kiberbiztonsági tv.) valósította meg, leváltva a korábbi 2023. évi XXIII. törvényt a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan. tv.) és hatályon kívül helyezve a 2013. évi L. törvényt - az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.). Ezzel a hazai jogalkotás közös törvényben fogta össze az állami és a gazdasági szereplőkre vonatkozó előírásokat. Ami az ágazati hatókört illeti, a jogszabály a banki szolgáltatások és a pénzügyi piaci infrastruktúra esetében a DORA rendelet követelményeit hivatkozza meg, illetve a gyártásra vonatkozó szektort kiterjesztette a cement, mész- és gipszgyártásra is, valamint a közlekedés ágazatba bekerült a tömegközlekedés, továbbá a digitális szolgáltatók körébe bevonta a doménnév-regisztrációt végző szolgáltatókat.

A magyar Kiberbiztonsági törvény a NIS 2 irányelven túlmutat azzal, hogy biztosítja az alábbi irányelveknek és rendeleteknek való megfelelést is és a végrehajtásukhoz szükséges rendelkezéseket állapít meg:

  • a kritikus szervezetek rezilienciájáról szóló (EU) 2022/2557 európai parlamenti és tanácsi irányelv,
  • a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv,
  • az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló (EU) 2019/881 európai parlamenti és tanácsi rendelet,
  • az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpontnak és a nemzeti koordinációs központok hálózatának a létrehozásáról szóló (EU) 2021/887 európai parlamenti és tanácsi rendelet,
  • a pénzügyi ágazat digitális működési rezilienciájáról szóló (EU) 2022/2554 európai parlamenti és tanácsi rendelet.

A Kiberbiztonsági törvény mellett az alábbi rendeletek jelentek meg, melyek meghatározzák a végrehajtást, az alkalmazandó eljárásokat, kontrollokat, illetve az auditálás módszertanát és elemi követelményeit:

  • 15/2023. (VII. 31.) SZTFH rendelet a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól,
  • 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról,
  • 7/2024. (VI. 24.) SZTFH rendelet a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről,
  • 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről,
  • 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról,
  • 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról,
  • 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról.

A fenti követelményhalmaz egyik kulcseleme, hogy Magyarországon a szervezeteknek olyan információbiztonsági kockázatmenedzsment keretrendszerrel és védelmi intézkedésekkel kell rendelkeznie, amelynek alapja a NIST 800-53 rev5 nemzetközi információbiztonsági sztenderd.

A Kiberbiztonsági tv. alapján az érintett szervezetek vezetője köteles törekedni arra, hogy a jogszabályban meghatározott feladatokat a lehető legrövidebb időn belül végrehajtsa. Azoknak a kockázatos vagy kiemelten kockázatos ágazatokban működő kkv-knak, illetve azon többségi állami befolyás alatt álló kkv-knak, amelyek ezekben az ágazatokban működnek, továbbá méretüktől függetlenül azoknak a digitális szolgáltatóknak, amelyek 2025. január 1-je előtt kezdték meg működésüket, az első kiberbiztonsági auditot 2025. december 31-ig el kell végeztetni. Az újonnan hatály alá vont szervezetek többsége ebbe a körbe tartozik.

A kiszabható bírságok legmagasabb összege:

  • ha a szervezet alapvető szervezetnek minősül, 10 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg,
  • ha a szervezet fontos szervezetnek minősül, 7 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő összeg. 

A KPMG megközelítése

Az érintett szervezeteknek megfelelő és kockázatarányos intézkedéseket kell hozniuk az elvárásoknak megfelelően kialakított kockázatmenedzsment rendszerük alapján. Az intézkedéseknek holisztikus és fenyegetés orientált megközelítésen kell alapulniuk, amelynek célja a biztonsági események megelőzése vagy hatásuk minimalizálása. 

Megközelítésünk egy elemzési fázissal kezdődik, amelyben megvizsgáljuk az elvárások hatását a szervezetre. Ezután megfelelőségi felmérést végzünk az érintett területeken. Ennek alapján meghatározzuk a követelmények sikeres teljesítéséhez szükséges intézkedéseket. 

Szolgáltatásaink olyan fontos területeket fednek le, mint a folyamatirányítás és szabályozás, a hatóságokkal való együttműködés, beleértve az értesítési és jelentéstételi kötelezettségeket, valamint az ellenőrzést. Ennek köszönhetően biztosítjuk, hogy a szervezeti megvalósítás megfeleljen a követelményeknek.

Lehetősége van arra, hogy szolgáltatásaink közül azokat válassza, amelyek a legjobban megfelelnek vállalata egyedi igényeinek. 

Miben tudunk segíteni?

  • A nemzeti szabályozási követelmények és hatósági gyakorlatok integrálása. 
  • Az EIR-ek (Elektronikus Információs Rendszerek) meghatározása, biztonsági osztályba sorolása és az SZTFH rendelet mellékletében található adatlapok kitöltése. 
  • A jelenlegi állapot felmérése, illetve a NIS 2-höz kapcsolódó követelmények implementálásához, ezáltal a kiberbiztonság szintjének emeléséhez szükséges lépések kidolgozása. 
  • Egyenszilárdságú kiberbiztonsági keretrendszer és a lehető legjobban alkalmazható intézkedések kialakítása. 
  • A szabályozási kötelezettségek teljesítése, valamint az incidensekre és krízishelyzetekre való hatékony reagálás kialakítása a hálózat- és információbiztonság biztosítása érdekében. 

A KPMG hálózata segít felkészülni a különböző országokban érvényes szabályozási követelményekre. Ehhez azonosítjuk a szervezet számára releváns országokat, elemezzük a nemzeti szabályozásokat, a szabályozási gyakorlatot, és ezek alapján szabályozási leltárt készítünk.




Az érintettségi elemzés és a szervezeti és termékjellemzők, illetve szolgáltatások kiértékelése által lehetővé tesszük a szervezetek számára, hogy meghatározzák a NIS 2 érintettség szintjét. Az érintett rendszerek elemzése pedig a biztonsági osztályok meghatározásához szükséges. Az elemzés eredménye a NIS 2 hatókör meghatározása.




A NIS 2 készenléti felmérésünkben (GAP) értékeljük a biztonsági intézkedések jelenlegi állapotát, és akciótervet dolgozunk ki a megfelelés eléréséhez, melyben ajánlásokat fogalmazunk meg. Ennek során figyelembe vesszük a megbízó szervezet egyéni kiberkockázati szintjét, a végrehajtás jelenlegi jó gyakorlatait és a bevezetett intézkedések fenntarthatóságát, továbbá a szervezet stratégiai céljait.




A kiberbiztonság irányítása terén a KPMG arra összpontosít, hogy támogassa a szervezeteket a kockázatok aktív csökkentésében és a megfelelő biztonsági intézkedések, szükség esetén pedig a beszállítók kiválasztásában. Ez magában foglalja a strukturális és eljárási szabályok (többek között az üzletmenet-folytonosság tervezés) összességét, a világosan meghatározott felelősségi köröket és így egy olyan keretrendszer kialakítását, amelyben a döntéshozatali felelősség érthetően rögzítve van a szervezetben. A megfelelő vezetői szintek bevonása, valamint a biztonsági folyamatok működésében való felelősség meghatározása kiemelt fontosságú a megfelelő irányítás kialakításához.




Szolgáltatásunk magában foglalja a meglévő biztonsági incidenskezelési folyamatok azonosítását és értékelését, valamint az érintett felek bevonását a biztonsági incidensek kezelésébe. Elemezzük és értékeljük a meglévő folyamatokat, és személyre szabott jelentési folyamatot dolgozunk ki. Ennek során meghatározzuk az incidensek értékelésének kritériumait, és koncepciót dolgozunk ki az információbiztonsági incidensek hatósági bejelentésére.



Cyber Security insights
Cyber Security insights

Stay ahead. Explore our latest thinking.

Cybersecurity considerations 2025
Cybersecurity considerations 2025

In an AI-dominated business environment, the foundational principles of cybersecurity are even more critical

KPMG global tech report 2024
KPMG global tech report 2024

In the race to keep up with rapid tech innovation, there’s a need to carefully balance speed, security and value, to seize opportunities and drive sustainable value, while avoiding costly mistakes.

Kapcsolódó szolgáltatások

Technológiai tanácsadás
Technológiai tanácsadás

Ismerje meg technológiai tanácsadási szolgáltatásainkat!

KPMG Cyber Lab
Kiberbiztonság category
KPMG Cyber Lab

Szakértőink segítenek Önnek megvédeni és fejleszteni vállalkozását.

Kiberbiztonsági tanácsadás
Kiberbiztonsági tanácsadás

Az összetett kibervédelmi feladatokhoz a KPMG globális ügyféltapasztalatán alapuló új módszertanok és szolgáltatások kezelhető keretet nyújtanak.

Miben tudjuk segíteni Önt?

Ajánlatkérés Opens in a new window

Kapcsolat

Lukács Kornél blog posts
Lukács Kornél
Partner
KPMG in Hungary
Profil |
Pozsár Attila blog posts
Pozsár Attila
Igazgató
KPMG in Hungary
Profil |

Kapcsolat