Az Európai Unió felismerte, hogy a kibertámadások és adathalászat nem csupán egy adott vállalkozásnak, hanem a globális gazdaságnak is károkat okozhatnak. A fentiekre tekintettel elfogadásra került az Európai Parlament és a Tanács 2022. december 14-i (EU) 2022/2555 irányelve (NIS2 irányelv), amelynek célja, hogy megfelelő jogi intézkedéseket vezessen be a kiberbiztonság általános szintjének növelésére EU-szerte.
A NIS2 irányelvnek való megfelelőség érdekében a magyar jogalkotó elfogadta a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvényt, amely mellékleteiben meghatározza a kiemelten kockázatos ágazatokban (úgymint energetika, közlekedés, egészségügy, ivóvíz- és szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatás, űralapú szolgáltatás), valamint a kockázatos ágazatokban (hulladékgazdálkodás, élelmiszer előállítás, feldolgozás és forgalmazás, digitális szolgáltatók, gyártás, postai és futárszolgálatok, vegyszerek előállítás és forgalmazása, kutatás) működő szolgáltatókat és szervezeteket. Ezen érintett szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon kötelesek gondoskodni az elektronikus információs rendszereik és azok fizikai környezetének biztonságáról.
Az érintett szektorokban tevékenykedő cégek kötelesek kérelmezni nyilvántartásba vételüket a kiberbiztonsági felügyeleti hatáskörrel felruházott Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH). Azon szervezetek, amelyek már 2024. január 1. előtt megkezdték kiemelten kockázatos vagy kockázatos tevékenységüket, nyilvántartásba vételi kötelezettségüket 2024. június 30. napjáig kell teljesíteniük, minden más szervezetnek 30 napos határidő áll rendelkezésére. A nyilvántartásba vételi kötelezettségen felül e szervezeteknek az elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk, amely besorolás alapját a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendelete fogja képezni.
Az érintett szervezet a nyilvántartásba vételét elektronikus úton kérelmezheti az SZTFH ügyintézési felületén az SZTFH által rendszeresített formanyomtatvány kitöltésével.
Az érintett szervezetek kötelezettségei a nyilvántartásba vétellel még nem érnek véget. 2024. október 18. napjáig ugyanis el kell kezdeniük alkalmazni az elektronikus információs rendszereik biztonsági osztályának megfelelő védelmi intézkedéseket, valamint eleget kell tenniük a felügyeleti díjfizetési kötelezettségeiknek, továbbá 2024. december 31-ig meg kell kötniük a szerződést az általuk kiválasztott kiberbiztonsági auditorral, az első kiberbiztonsági auditnak pedig 2025. december 31. napjáig meg kell történnie. Fontos, hogy kiberbiztonsági megfelelőségértékelési tevékenységet kizárólag olyan szervezet folytathat, amelyet az SZTFH nyilvántartásba vett. A fenti kötelezettségek elmulasztását a hatóság bírsággal szankcionálja, amelynek felső határa a 10 millió euró vagy az adott társaság forgalmának két százaléka lehet.
Amennyiben nem egyértelmű, hogy egy adott cég nyilvántartásba vételre kötelezett szervezetnek minősül-e, a későbbi kockázatok elkerülése érdekében javasolt szakértő segítségét igénybe venni.