A KPMG Energetikai és Közüzemi Hírlevelében szakértői anyagokat, rövid elemzéseket és iparági információkat osztunk meg.
NIS 2 aktualitások az energetikai szektorban - Miben tud a KPMG segíteni?
Az Európai Unió a tagállamok kiberbiztonságának erősítése érdekében 2022 végén közzétette a NIS 2 irányelvet (Az európai parlament és a tanács (EU) 2022/2555 irányelve). A magyar jogrendbe történő átültetését a 2025. január 1-től hatályos 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Kiberbiztonsági tv.) valósította meg, leváltva a korábbi 2023. évi XXIII. törvényt a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan. tv.) és hatályon kívül helyezve a 2013. évi L. törvényt - az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.).
A Kiberbiztonsági tv. alapján azon energetikai ágazatban működő vállalatok, amelyek elérik vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, azok az úgynevezett kiemelten kockázatos ágazatokban működő szolgáltatóknak és szervezeteknek számítanak. Amennyiben emellett még Alapvető szervezetnek is minősülnek, akkor rájuk néhány külön elvárás is vonatkozik pl.: az elektronikus információs rendszer biztonságáért felelős személy tevékenysége, a rendszerfejlesztések vagy a kiberbiztonsági gyakorlatokon való részvétel kapcsán.
Azon vállalatoknak, amelyek 2025. január 1-je előtt kezdték meg működésüket, az első kiberbiztonsági auditot 2025. december 31-ig el kell végeztetni. Az újonnan hatály alá vont szervezetek többsége ebbe a körbe tartozik, azonban a korábban az Ibtv. hatálya alá tartozó szervezetekre egyedi követelmények vonatkoznak.
A kiszabható bírságok legmagasabb összege:
- ha a szervezet alapvető szervezetnek minősül, 10 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg,
- ha a szervezet fontos szervezetnek minősül, 7 millió eurónak megfelelő forintösszeg vagy, ha az magasabb, akkor a szervezet előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő összeg.
2025. január 31-én megjelentek az alábbi rendeletek, melyek alapján az érintett szervezetek már szerződést tudnak kötni az auditorokkal, illetve információt kaptak a kiberbiztonsági felügyeleti díjról is. Fontos kiemelni, hogy az első rendelet tartalmazza az auditálás módszertanát és elemi követelményeit, ezáltal segítve a felkészülést:
- 1/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról,
- 2/2025. (I. 31.) SZTFH rendelet a kiberbiztonsági felügyeleti díjról.
A 2025.05.05.-én az SZTFH honlapján megjelent közlemény szerint haladékot kaphatnak a vállalkozások a kötelező kiberbizonsági audittal kapcsolatban. Az SZTFH és Magyar Kereskedelmi és Iparkamara (MKIK) közösen javasolja, hogy a kiberbiztonsági audit teljesítésének határideje fél évvel, azaz 2026. június 30-ig kitolódjon.
