A köztársasági elnök aláírása és a kihirdetés után, várhatóan január 1-jén hatályba lépő törvény célja az Európai Unió NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A 2023-ban hatályba lépett NIS2 irányelv a 2016-ban bevezetett európai uniós szabályokat aktualizálta annak érdekében, hogy lépést tartson a digitalizációval és a folyamatosan változó fenyegetésekkel.

A kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt – a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani.

A kiberbiztonsági törvény részben átveszi a NIS2 joghatósági szabályozását, ugyanakkor az átültetés bizonyos esetekben – például DNS-, felhő-, adatközpont- szolgáltatókra, irányított biztonsági szolgáltatókra, az online piacterek, keresőprogramok és közösségimédia-platformok szolgáltatóira vonatkozóan – nem követi teljesen a NIS2-t. Ez az üzleti tevékenység fő helyének megállapítása kapcsán akár jogértelmezési problémákhoz is vezethet, amit csak később, a jogalkotó, illetve a kiberbiztonsági felügyeletet ellátó Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) egyelőre nem ismert álláspontja alapján lehet majd feloldani.

„A törvény a NIS2 mintájára kategorizálja a magyar kiberbiztonsági jogszabályok hatálya alá tartozó szervezeteket. Ez alapján az érintett vállalatok – méretüktől függően, illetve ha az általuk nyújtott szolgáltatás kritikus az állam, a társadalom vagy a gazdaság működése szempontjából – alapvető vagy fontos szervezeteknek minősülhetnek – mondta el dr. Vári Csaba, a Baker McKenzie IPTech praxisának vezetője. – A kategorizálásnak megfelelően a cégekre különböző követelmények és szankciók vonatkoznak. A meg nem felelés már a NIS2 szerint is jelentős, szervezettől függően akár 10 millió eurós bírsággal járhat, sőt, a magyar jogalkotó később ennél akár magasabb maximális bírságot is megállapíthat.”