KNP Blog

MEGJELENTEK A KIBERBIZTONSÁGI FELÜGYELETI DÍJRÓL, A KIBERBIZTONSÁGI AUDIT LEFOLYTATÁSÁNAK RENDJÉRŐL ÉS AZ AUDIT LEGMAGASABB DÍJÁRÓL SZÓLÓ SZTFH RENDELETEK
2025. 02. 06. KNP LAW

MEGJELENTEK A KIBERBIZTONSÁGI FELÜGYELETI DÍJRÓL, A KIBERBIZTONSÁGI AUDIT LEFOLYTATÁSÁNAK RENDJÉRŐL ÉS AZ AUDIT LEGMAGASABB DÍJÁRÓL SZÓLÓ SZTFH RENDELETEK

I. BEVEZETÉS

2025. január 31. napján kihirdetésre került a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: „SZTFH”) elnökének két rendelete, a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendelet (a továbbiakban: „Audit Rendelet”), és a kiberbiztonsági felügyeleti díjról szóló 2/2025. (I. 31.) SZTFH rendelet (a továbbiakban: „Felügyeleti Rendelet”). Ezen rendeletek közzététele egy régóta várt lépését jelentette az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (közismert nevén a NIS 2 irányelv) átültetési folyamatának.

Az Audit Rendelet 2025. február 3. napján lépett hatályba, míg a Felügyeleti Rendelt rendelkezéseinek jelentős része csak 2025. március 3. napján fog hatályba lépni. A Felügyeleti Rendelet továbbá átmeneti rendelkezéseket is tartalmaz a 2024-es és a 2025-ös évek vonatkozásában, hogy segítsen az érintett cégeknek felkészülni a Felügyeleti Rendelet alkalmazására és megfelelő időt biztosítson a fizetési és egyéb kötelezettségeik teljesítésére.

II. AZ AUDIT RENDELET

Az Audit Rendelet részletes szabályokat tartalmaz a kiberbiztonsági audit lefolytatásának rendjéről, kötelezettségeket meghatározva az auditorok és az érintett cégek részére egyaránt.

Az Audit Rendelet I-III Mellékletei lényeges információt tartalmaznak az érintett cégek részére - az I. Mellékletben megtalálható egy minta az elektronikus információs rendszerek (a továbbiakban: „EIR”) besorolására szolgáló nyilvántartásról, míg a II. Melléklet egy olyan kérdőívet tartalmaz, amelyet az érintett cégre vonatkozó információval kell kitölteni. Mind a nyilvántartást, mind a kérdőívet elő kell készíteni és a szerződéskötési folyamat során meg kell osztani az auditorokkal.

Az EIR-ek biztonsági osztályba sorolásának szempontjait a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet I. melléklete határozza meg, amely szempontokat a cégeknek alkalmazniuk kell az EIR nyilvántartásnak az Audit Rendelet I. Mellékletének megfelelő elkészítése során.

A III. Melléklet rendelkezik a kiberbiztonsági audit legmagasabb díjáról, amely az alábbi tényezők szorzataként számítható ki:

  1. Alap összeg: 1.750.000,- Ft (egymillió-hétszázötvenezer Forint);
  • Az érintett cég előző üzleti évi nettó árbevétele (amely alapján az érintett cégek hét különböző osztályba kerülnek besorolásra);
  • Az EIR-ek darabszáma (három kategóriába osztva);
  • Az EIR-ek biztonsági osztálya (szintén három kategóriába sorolva).

III.1. A FELÜGYELETI RENDELET ÁLTALÁNOS SZABÁLYAI

A Felügyeleti Rendelet két fő témakörről rendelkezik, amelyek minden, a kiberbiztonsági felügyeleti díj megfizetésére kötelezett cég számára relevanciával bírnak:

  • a kiberbiztonsági felügyeleti díj összege; és
  • a kiberbiztonsági felügyeleti díj megfizetésének általános szabályai.

Főszabály szerint a felügyeleti díj a cég előző üzleti évi nettó árbevétele alapján kerül meghatározására [a cég tárgyévet megelőző évben közzétett utolsó, a számvitelről szóló 2000. évi C. törvény (a továbbiakban: „Szt.”) szerinti beszámolója alapján], az alábbiak szerint:

Nettó árbevétel (Forint)Felügyeleti díj (nettó árbevétel %-a)Felügyeleti díj maximuma (Forint)
   
< 20.000.000.0000.00015%-
≥ 20.000.000.0000.0015%10.000.000

Amennyiben a cég nem rendelkezett nettó árbevétellel a megelőző üzleti évben, a felügyeleti díjat a cég tárgyévi árbevétele egész évre vetített időarányos összege alapján kell meghatározni (figyelemmel a fenti küszöbértékekre és az azokhoz kapcsolódó százalékos arányokra) és az összeget bejelenteni az SZTFH részére tárgyév február 28. napjáig.

Külön szabályok vonatkoznak arra az esetre, ha az érintett vállalat a Polgári Törvénykönyvről szóló 2013. évi V. törvény szerinti elismert vállalatcsoportban, tényleges vállalatcsoportban vagy az Szt. szerinti konszolidációs körbe tartozó vállalkozáscsoportban vesz részt, mely esetben a szervezetnek nyilatkoznia kell e státuszáról az SZTFH irányába a tárgyév január 31. napjáig.

A fentiek alapján az SZTFH minden év március 31. napjáig értesíteni fogja az érintett cégeket a tárgyévre fizetendő felügyeleti díj mértékéről. Vállalatcsoport esetén a vállalatcsoportba tartozó cégek közös nyilatkozatot nyújthatnak be az SZTFH-hoz, amennyiben az adott cégek irányába a hatóság által kommunikált felügyeleti díjak egyedi kifizetése azt eredményezné, hogy a teljes csoportnak több, mint 50.000.000,- Ft (ötvenmillió forint azaz a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény szerinti maximum) összeget kellene megfizetnie. Ezen együttes nyilatkozat benyújtására minden évben legkésőbb április 30. napjáig lesz lehetőség.

Mindezen eljárási lépést figyelembevéve, a megállapított felügyeleti díjat minden évben a tárgyév május 31. napjáig kell majd megfizetni. A fizetést banki átutalás útján kell majd teljesíteni, az SZTFH Felügyeleti Rendeletben megjelölt bankszámlájára.

III.2. A FELÜGYELETI RENDELET ÁTMENETI SZABÁLYAI

Mint ahogy azt fent is említettük, a Felügyeleti Rendelet átmeneti rendelkezéseket is tartalmaz a 2024-es és a 2025-ös éveket illetően, egyaránt szabályozva a felügyeleti díj összegét és annak megfizetését.

A 2024-es felügyeleti díj összegét az SZTFH a cég 2024-et megelőzően utoljára közzétett, üzleti évet lezáró beszámolója alapján állapítja meg. A 2024-es évre vonatkozó kiberbiztonsági felügyeleti díjat csak a 2024. október 18. napjától 2024. december 31. napjáig terjedő felügyeleti időszakra nézve kell majd megfizetni. Amennyiben a cég nem rendelkezik 2024-et megelőzően közzétett éves beszámolóval, a 2024. évre vonatkozóan kiberbiztonsági felügyeleti díjfizetési kötelezettsége nem fog keletkezni.

A 2024-es és 2025-ös évekre vonatkozó egyéb átmeneti szabályok az egyes határidőkre vonatkoznak, az alábbiak szerint:

  • a vállalatcsoportban való részvételre vonatkozó nyilatkozat benyújtásának határideje 2025. március 15. napja;
  • a tárgyévi árbevétel egész évre vetített időarányos részének összegéről szóló nyilatkozatot (amennyiben szükséges) 2025. március 31. napjáig kell előterjeszteni;
  • az SZTFH 2025. május 31. napjáig fogja értesíteni az egyes cégeket a felügyeleti díj 2024-es és 2025-ös évekre vonatkozó összegéről;
  • a vállalatcsoport fent említett közös nyilatkozatának benyújtási határideje 2025. június 30. napja;
  • a 2024-es és a 2025-ös évekre vonatkozó felügyeleti díj megfizetésének a határideje 2025. július 31. napja.

***

Amennyiben bármilyen kérdésük merül fel, keressék bizalommal a KNP LAW szakértőit.

Kérdése van?

Kapcsolat

Írjon nekünk!

Kérjük adja meg adatait és röviden írja le a kérdését, kollégáink hamarosan válaszolnak!

Adatvédelem(Kötelező)
Adatvédelem

KAPCSOLAT

Cím:

Bartók Ház H-1114 Bartók Béla út 43-47. A/6 Budapest, Hungary

Telefon:

+ 36 1 302 9050

Mobil:

+36 70 410 5023

E-mail:

knplaw@knplaw.com

CONFERENCE BLEUE

A KNP LAW 2007 óta tagja a Conference Bleue-nak. További infomációért, kérjük kattintson az oldalra! A KNP Law a GBL Alliance-hoz 2021-ben csatlakozott. További információért, kérjuk kattintson az oldalra!