2024. évi X. törvény indokolás

Ezen indokolás a jogalkotásról szóló 2010. évi CXXX. törvény 18. § (3) bekezdése, valamint a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelölésről szóló 5/2019. (III. 13.) IM rendelet 20. § (2) bekezdés a) pontja alapján a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A törvényjavaslat elsődleges célja a jogharmonizációs kötelezettségek teljesítése:

– így egyrészt a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 201465/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv, valamint az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló, 2022. december 14-i, 2022/2464/EU európai parlamenti és tanácsi irányelv átültetése a belső jogba;

– másrészt célja egyes rendeleteknek, így a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet], valamint az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2023/2631 európai parlamenti és tanácsi rendelet] végrehajtásához szükséges rendelkezések módosítása/megállapítása.

Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet arra az általános kihívásra ad választ, miszerint a pénzügyi ágazati szereplők egyre nagyobb mértékben támaszkodnak a digitális technológiákra, így rendkívül fontos a digitális műveletek információs és kommunikációs technológia (IKT) kockázattal szembeni működési rezilienciájának biztosítása.

Átfogó cél az uniós pénzügyi ágazathoz tartozó szervezetek digitális működési rezilienciájának erősítése a meglévő szabályok észszerűsítésével és korszerűsítésével, hiányosságok esetén új követelmények bevezetésével. Az átfogó célkitűzés három általános célkitűzésre bontható: a pénzügyi rendszerben keletkező zavar és instabilitás kockázatának csökkentése; az adminisztratív teher enyhítése és a felvigyázási eredményesség javítása; valamint a fogyasztók és a befektetők védelmének erősítése, mely célokon belül a szabályozás az alábbiak megvalósítására irányul:

– az információs és kommunikációs technológiákkal (IKT) összefüggő kockázatok átfogóbb kezelése, a digitális reziliencia általános szintjének növelése a pénzügyi ágazatban;

– az IKT-vonatkozású biztonsági események bejelentésének észszerűsítése, a bejelentési követelmények közötti átfedések megszüntetése;

– a pénzügyi felügyeletek számára az IKT-vonatkozású biztonsági eseményekkel kapcsolatos információk hozzáférhetővé tétele;

– annak biztosítása, hogy a pénzügyi vállalkozások értékeljék a megelőző és a rezilienciára irányuló intézkedéseiket, és azonosítsák az IKT-vonatkozású sebezhetőségeket;

– az egységes piac széttagoltságának csökkentése, a teszteredmények országok közötti kölcsönös elismerésének lehetővé tétele;

– az IKT-szolgáltatást igénybe vevő pénzügyi szervezeteket védő, ezen belül a harmadik félnek minősülő IKT-szolgáltatók nyomon követésére irányadó kiszervezési szabályokra vonatkozó szerződéses biztosítékok megerősítése;

– a harmadik félnek minősülő kulcsfontosságú IKT-szolgáltatók felvigyázásának lehetővé tétele;

– a fenyegetettségi információk cseréjének ösztönzése a pénzügyi ágazaton belül.

A pénzügyi ágazat egészét tekintve a kapcsolódó területeken (vállalatirányítás, kockázatértékelés, reagálási és helyreállítási tervek) a hatályos szabályozás vegyes képet mutat, így az egységes digitális működési reziliencia rendeleti szabályozása erre az eltérő jellegű és mélységű – többnyire ugyancsak uniós alapon – felépülő szabályozási struktúrához csatlakozik be.

Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló, 2022. december 24-i, 2022/2555 európai parlamenti és tanácsi irányelv (a továbiakban: NIS2 irányelv) vonatkozásában az (EU) 2022/2554 európai parlamenti és tanácsi rendelet az IKT-kockázatkezelés, az IKT-vonatkozású események bejelentése, a digitális működési rezilienciára vonatkozó tesztek és a harmadik féllel kapcsolatos IKT-kockázatok tekintetében magasabb szintű harmonizációt valósít meg. Így a NIS2 irányelv és az (EU) 2022/2554 európai parlamenti és tanácsi rendelet e kérdéskörök vonatkozásában „lex generalis – lex specialis” viszonyban állnak egymással.

Ugyanakkor fontos, hogy a pénzügyi ágazat a horizontális kiberbiztonsági kereten belül maradjon annyiban, hogy része legyen a Nemzeti Kiberbiztonsági Stratégiának, továbbá megvalósuljon az együttműködés és a fokozott információ-megosztás a Magyar Nemzeti Bank, mint a pénzügyi ágazat felügyeletét ellátó hatóság és NIS2 irányelv szerinti felügyelő hatóság, valamint a nemzeti kiberbiztonsági incidenskezelő központ (CSIRT) között. Ennek érdekében a Magyar Nemzeti Bank együttműködési megállapodásokat köt e szervezetekkel.

A szoros kapcsolatra utal az a körülmény is, hogy az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó piaci szereplők a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is be kell, hogy jelentsék. Emellett előírásra kerül, hogy amennyiben e piaci szereplők a jelentős kiberfenyegetést önkéntesen bejelentik a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő szervnek (CSIRT) is be kell, hogy jelentsék. Tehát az együttműködés nemcsak a hatósági szereplők között áll fenn, hanem a piaci szereplőkre is kiterjed.

Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya a teljes pénzügyi ágazattal foglakozik azzal, hogy magának a szabályozásnak az előírásakor is, továbbá annak mélységének előírásakor is figyelembe veszi a szerepelők méretét, általános kockázati profiljában fennálló jelentős különbségeket, valamint szolgáltatásaik, tevékenységeik és működésük jellegét, nagyságrendjét és összetettségét.

Így bizonyos szereplőket (egyes biztosítási, biztosításközvetítői, befektetési alapkezelői, foglalkoztatói nyugdíjszolgáltatói szolgáltatók) – kis méretük okán – maga az (EU) 2022/2554 európai parlamenti és tanácsi rendelet kivesz a hatálya alól, hiszen ez esetben nem áll fenn a szabályozás bevezetésének indokoltsága. Más szereplőkre (kis méretű és össze nem kapcsolat befektetési vállalkozások) enyhébb szabályozást vezet be, tekintettel arra, hogy itt szükséges a szabályozás, ám annak mélysége eltér az általános szabályozástól; végül pedig az általános szabályozás, amelyre ugyancsak irányadó az arányossági követelmény.

Egyes ágazati szereplők hatály alá vonását a tagállamokra bízza, amely lehetőséggel a javaslat élni kíván.

A digitális működési rezilienciára vonatkozó részletes és átfogó uniós szintű szabályok hiányában megjelenő tagállami szabályozási javaslatok fragmentációhoz vezetnek, az IKT-kockázatok határokon átnyúló jellegéből adódóan azonban a tagállami szintű fellépés hatása korlátozott. Ezért a kritikus IKT-szolgáltatók felvigyázása kizárólag uniós szinten valósítható meg hatékonyan.

Szükséges a pénzügyi szervezetek által végzett IKT-kockázatkezelés, IKT-rendszerek tesztelése szabályainak közösségi szintű, egységes rendezése, továbbá új felvigyázási jogkörök bevezetése a pénzügyi felügyeletek számára a harmadik félnek minősülő IKT-szolgáltatóktól való függéséből eredő kockázatok tekintetében, mellyel erősíthető a pénzügyi ágazat kiber-ellenállóképessége.

Az európai zöld kötvény rendelet célja egy olyan közös szabályozási keret létrehozása, amely elősegíti a minőségi zöldkötvények piacának továbbfejlődését és hozzájárul a tőkepiaci unióhoz. Az európai zöld kötvény megkönnyíti a befektetők számára a környezeti szempontból fenntartható befektetések azonosítását, azok összehasonlíthatóságát, így növelve a zöld befektetések iránti bizalmat. A rendelet hatálya kiterjed mind a vállalati, mind a szuverén kibocsátókra (utóbbiakra – a közkiadások sajátos jellege miatt – részben eltérő szabályrendszerrel).

A kötvényből származó bevételeket alapvetően a taxonómia rendelet követelményeinek megfelelően kell felhasználni. A rendelet részletesen rögzíti a kibocsátó tájékoztatási kötelezettségeit, mind a befektetők, mind pedig az illetékes hatóságok (ESMA, illetékes nemzeti hatóságok) felé.

2022. december 14-én került kihirdetésre az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló 2022/2464/EU európai parlamenti és tanácsi irányelv. Az előterjesztés az irányelv hazai jogba történő átültetését szolgálja az auditbizottság fenntarthatósági beszámolással (fenntarthatósági jelentéssel) kapcsolatos feladataira vonatkozóan.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 2. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy a Magyar Export-Import Bank Zártkörűen Működő Részvénytársaságot az (EU) 2022/2554 rendelet hatálya alól kivonja azzal, hogy az információs és kommunikációs technológia (a továbbiakban: IKT) kockázatkezelése és az IKT-vonatkozású események bejelentése területen a szükséges védelmet a Magyar Export-Import Bank Zártkörűen Működő Részvénytársaság tekintetében biztosítani fogja NIS 2 irányelv.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 2. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy a Magyar Fejlesztési Bank Részvénytársaságot az (EU) 2022/2554 rendelet hatálya alól kivonja azzal, hogy az IKT kockázatkezelése és az IKT-vonatkozású események bejelentése területén a szükséges védelmet a Magyar Fejlesztési Bank Részvénytársaság tekintetében biztosítani fogja a NIS 2 irányelv.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés az auditbizottságra vonatkozó előírásokat tartalmazza, az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló európai parlament és tanács 2022/2464 irányelve szerint.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a közösségi finanszírozási szolgáltató számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a közösségi finanszírozási szolgáltató önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A rendelkezés összhangot és kapcsolatot biztosít a tőzsde kereskedési rendszereinek működésére előírt és az üzletmenet folyamatosságának biztosítására irányadó jogszabályi követelmények, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben az IKT-vonatkozású üzletmenet-folytonossági politikákra és tervekre, valamint IKT-vonatkozású reagálási és helyreállítási tervekre vonatkozó kötelezettségek között.

A javaslat az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a tőzsde számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a tőzsde önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A rendelkezés biztosítja, hogy a tőzsde vonatkozásában a lényeges kockázatok azonosítására, kezelésére és csökkentésére megfelelő rendszerek és megoldások alkalmazásának követelménye kiegészítésre kerüljön utalással az IKT-kockázatokra is.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy a központi értéktár és a központi szerződő fél a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a központi értéktár és a központi szerződő fél önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

Az (EU) 2023/2631 rendelet előírja a Magyar Nemzeti Bank részére – a nemzeti joggal összhangban – biztosítandó hatásköröket, a javaslatok ezen rendelkezéseknek felelnek meg.

Jogharmonizációs rendelkezés.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a hatályos szabályozás hatályon kívül helyezése. A jövőben a tesztelés szervezeten belül vagy kiszervezetti státuszban fog történni.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés összhangot és kapcsolatot biztosít a foglalkoztatói nyugdíjszolgáltató intézmény tevékenységére irányadó jogszabályi követelmények, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben körülírt hálózati és információs rendszerekre vonatkozó követelmények között.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a foglalkoztatói nyugdíjszolgáltató számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a foglalkozói nyugdíjszolgáltató önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

Jogharmonizációs záradék kiegészítése.

Jogharmonizációs záradék kiegészítése.

Hatályon kívül helyező rendelkezés.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés összhangot és kapcsolatot biztosít a befektetési vállalkozás vállalatirányítási rendszere és biztonsági mechanizmusaira előírt jogszabályi követelmények, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben előírt hálózati és informatikai rendszerekre vonatkozó követelmények között.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a befektetési vállalkozás számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a befektetési vállalkozás önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A rendelkezés az árupiaci szolgáltatók számára ír elő az informatikai rendszerre vonatkozó minimális követelményrendszert.

A rendelkezés az auditbizottságra vonatkozó előírásokat tartalmazza, az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló európai parlament és tanács 2022/2464 irányelve szerint.

A rendelkezés a befektetési vállalkozások között kiemelten kezeli az algoritmikus kereskedést folytató befektetési vállalkozásokat, amelyek tevékenysége vonatkozásában összhangot és kapcsolatot biztosít a kereskedési rendszer működtetése és az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti kockázatkezelésre, IKT-vonatkozású politikákra és tervekre, valamint tesztelésre vonatkozó követelmények között.

Pontosítani szükséges a befektetési vállalkozások kockázatkezelési eljárására vonatkozó követelményrendszerét annak érdekében, hogy minél jobban illeszkedjen a befektetési vállalkozások prudenciális felügyeletéről, valamint a 2002/87/EK, a 2009/65/EK, a 2011/61/EU, 2013/36/EU, a 2014/59/EU és a 2014/65/EU irányelv módosításáról szóló, 2019. november 27-i (EU) 2019/2034 európai parlamenti és tanácsi irányelv rendelkezéseihez.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja az adatszolgáltató számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben az adatszolgáltató önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

Mivel a lakcím nem természetes személyazonosító adat, valamint többször változhat, így indokolatlan a feltüntetése a pénzügyi szolgáltatás közvetítői, biztosításközvetítői és tőkepiaci üzletkötői hatósági vizsgák sikeres letételét igazoló bizonyítványokon és így a Magyar Nemzeti Banknak, mint hatóságnak sem szükséges ezen adatot kezelnie a vizsgára jelentkező személy vonatkozásában.

Pontosítani szükséges a befektetési vállalkozások kockázatkezelési eljárására vonatkozó követelményrendszerének felügyeletére és értékelésére vonatkozó szabályokat annak érdekében, hogy minél jobban illeszkedjen a vonatkozó európai parlamenti és tanácsi irányelv rendelkezéseihez.

Jogharmonizációs záradék kiegészítése.

A jogszabályi koherencia megteremtése érdekében szükséges szövegpontosítások.

A hatályon kívül helyező rendelkezések illeszkednek a befektetési vállalkozások prudenciális felügyeletéről, valamint a 2002/87/EK, a 2009/65/EK, a 2011/61/EU, 2013/36/EU, a 2014/59/EU és a 2014/65/EU irányelv módosításáról szóló, 2019. november 27-i (EU) 2019/2034 európai parlamenti és tanácsi irányelv rendelkezéseihez, valamint a befektetési vállalkozásokra vonatkozó prudenciális követelményekről, valamint az 1093/2010/EU, az 575/2013/EU, a 600/2014/EU és a 806/2014/EU rendelet módosításáról szóló 2019. november 27-i (EU) 2019/2033 európai parlamenti és tanácsi rendelet rendelkezéseihez.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a rendelettel érintett körben a hatályos szabályozás hatályon kívül helyezése. A jövőben a tesztelés szervezeten belül vagy kiszervezetti státuszban fog történni.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg. A javaslat biztosítja, hogy a pénzforgalmi szolgáltatók közül azok, amelyekre az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya kiterjed (így a hitelintézet, az elektronikuspénz-kibocsátó intézmény és a pénzforgalmi intézmény) az ott meghatározott működési és biztonságkezelési mechanizmusokat és eseménykezelési eljárásokat kövessék. Azon pénzforgalmi szolgáltatók, akik nem esnek az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá (így a Posta Elszámoló Központot működtető intézmény, a Magyar Nemzeti Bank, amennyiben a monetáris politika megvalósításán és a kincstári egységes számla vezetésén kívül végzett pénzforgalmi szolgáltatása tekintetében jár el, valamint a kincstár, amennyiben kincstári körön kívül végzett pénzforgalmi szolgáltatása tekintetében jár el) az enyhébb, a pénzforgalmi törvény által (55/A. § és 55/B. §) meghatározottak szerint járjon el.

A naptári hónaponként havonta kétszer, összességében legfeljebb százötvenezer forintot elérő automata bankjegykiadó gépből történő ingyenes bankkártyás készpénzfelvétel a Posta Elszámoló Központot működtető intézmény által üzemeltetett POS terminál útján történő készpénzfelvétellel is lehetővé válik.

A rendelkezés biztosítja, hogy a hitelintézet, az elektronikuspénz-kibocsátó intézmény és a pénzfogalmi intézmény esetében az általa nyújtott pénzforgalmi szolgáltatáshoz kapcsolódó működési és biztonsági kockázatok kezelése érdekében kockázatmérséklési intézkedéseket és ellenőrzési mechanizmusokat tartalmazó keretrendszer mellett az IKT-kockázatkezelési keretrendszert is működtetni köteles.

Szövegpontosítás.

Jogharmonizációs záradék kiegészítése.

Biztosítani szükséges, hogy az (EU) 2023/2631 európai parlamenti és tanácsi rendelet vonatkozásában a Magyar Nemzeti Bank kerüljön kijelölésre, mint hatáskörrel rendelkező illetékes hatóság. Bár az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 46. cikke utaló rendelkezésekkel meghatározza a hatáskörrel rendelkező illetékes hatóságot, jogbiztonsági és jogharmonizációs okokból szükségesnek látszik egy láttató szabály elhelyezése ezen tárgykörben is.

A módosítások az (EU) 2023/2631 európai parlamenti és tanácsi rendelet által előírt bírság mértékét határozzák meg.

Jogharmonizációs záradék.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a pénzforgalmi intézmény, elektronikus-pénz kibocsátó intézmény számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a pénzforgalmi intézmény, elektronikus-pénz kibocsátó intézmény önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A rendelkezés láttató szabályként rögzíti, hogy a kiszervezett tevékenységek – és köztük az IKT-rendszerek kiszervezése sem – befolyásolhatja a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény belső ellenőrzését a könyvvizsgáló eljárását és a felügyeletként eljáró Magyar Nemzeti Bank hatáskörének gyakorlását.

A rendelkezés biztosítja, hogy a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény tevékenységi engedélyezése során szerepet kapjanak az IKT-szolgáltatásokra vonatkozó vállalatirányítási elemek, IKT vonatkozású üzletmenet-folytonossági politikák és tervek, valamint reagálási és helyreállítási tervek továbbá eseményjelentési kötelezettségek.

Jogharmonizációs záradék kiegészítése.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a rendelettel érintett körben a hatályos szabályozás hatályon kívül helyezése. A jövőben a tesztelés szervezeten belül vagy kiszervezetti státuszban fog történni.

Pontosításra kerül a pénzforgalmi szolgáltatás fogalma, ennek részeként a kivételi szabályok módosulnak azáltal, hogy információs technológia helyett az információs és kommunikációs (IKT) technológia kerül fogalmilag meghatározásra. A Javaslat továbbá a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés biztosítja, hogy a pénzügyi vállalkozások is eleget tegyenek az (EU) 2022/2554 európai parlamenti és tanácsi irányelv rendelkezéseinek, annak érdekében, hogy az IKT kockázatok kezelésekor a pénzügyi ágazat valamennyi szereplője azonos megközelítést alapján azonos szabályokat alkalmazzon, ezáltal is biztosítva a pénzügyi ágazat egészének stabilitását. A pénzügyi vállalkozások az egyszerűsített IKT kockázatkezelési keretrendszer követelményeinek kell, hogy eleget tegyenek, míg a fizetési rendszert működtető pénzügyi intézmény az általános szabályok szerint köteles eleget tenni az IKT kockázatkezelési keretrendszer követelményeinek. Ez a szabályozás összhangban áll az irányelv azon követelményével, miszerint a kötelezettségek előírása arányos kell, hogy legyen a szervezetek méretével, kockázai profiljával, valamint szolgáltatásaik, tevékenységeik és műveleteik jellegével, nagyságrendjével és összetettségével.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a hitelintézet és a pénzügyi vállalkozás számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a hitelintézet és a pénzügyi vállalkozás önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A hitelintézet vállalatirányítási rendszerén belül követelményként fogalmazódik meg az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben részletesen meghatározott követelményeknek megfelelő hálózati és információs rendszer kiépítése is.

Biztosítani szükséges, hogy a hitelintézet súlyos üzletviteli zavar esetén is tovább tudjon működni, és a veszteséget mérsékelje, ennek érdekében a hitelintézetnek rendelkeznie kell az információközlésre használt technológia tekintetében az IKT-vonatkozású üzletmenet-folytonossági politikával és tervvel, valamint IKT-vonatkozású reagálási és helyreállítási tervvel.

A hitelintézet fenntartásához nyilvánvalóan szükségesek a megfelelően működő hálózati és információs rendszerek, így a helyreállítási terv készítése során ezekre is ki kell térni.

A rendelkezés az auditbizottságra vonatkozó előírásokat tartalmazza, az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló európai parlament és tanács 2022/2464 irányelve szerint.

A felügyeleti felülvizsgálat és értékelés során a felügyelet értékeli azokat a kockázatokat is, amelyek a hitelintézet a digitális működési reziliencia tesztelése során tár fel, legyen az akár az éves tesztelés során, akár az egységes fejlett tesztelési követelményrendszer (TLPT) útján végzett tesztelés során.

Tekintettel arra, hogy a pénzügyi intézmény harmadik féltől eredő IKT-kockázatai kezelése része kell, hogy legyen az intézmény IKT-kockázatai kezelésének, ehhez kapcsolódóan a felügyeleti nyilvántartásnak valamennyi kiszervezett tevékenységet végzőre ki kell, hogy terjedjen.

Mivel a lakcím nem természetes személyazonosító adat, valamint többször változhat, így indokolatlan a feltüntetése a pénzügyi szolgáltatás közvetítői, biztosításközvetítői és tőkepiaci üzletkötői hatósági vizsgák sikeres letételét igazoló bizonyítványokon és így a Magyar Nemzeti Banknak, mint hatóságnak sem szükséges ezen adatot kezelnie a vizsgára jelentkező személy vonatkozásában.

A rendelkezés az Országos Betétbiztosítási Alap számára ír elő az informatikai rendszerre vonatkozó minimális követelményrendszert.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a rendelettel érintett körben a hatályos szabályozás hatályon kívül helyezése a felhatalmazó rendelkezések tekintetében is.

Jogharmonizációs záradék kiegészítése.

A jogszabályi koherencia megteremtése érdekében szükséges szövegpontosítások.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a rendelettel érintett körben a hatályos szabályozás hatályon kívül helyezése. A jövőben a tesztelés szervezeten belül vagy kiszervezetti státuszban fog történni.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés összhangot és kapcsolatot biztosít a befektetési alapkezelők működésére vonatkozóan előírt, az elektronikus adatkezelésre és feldolgozásra irányadó jogszabályi követelmények és az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben, az információs és technológiai rendszerekre működtetésére vonatkozó kötelezettségek között.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a befektetési alapkezelő számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a befektetési alapkezelő önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

Jogharmonizációs záradék kiegészítése.

Biztosítani szükséges, hogy az IKT-szolgálatásokhoz kapcsolódó megállapodások felmondási jogának gyakorlását a szanálási hatóság elvárásának megfelelően alakítsák ki. szanálás

Jogharmonizációs záradék kiegészítése.

A hálózati információs rendszerek bemutatása és a digitális működési reziliencia biztosítása az egyedi szanálási terv részét kell, hogy alkossa, illetve a szanálási feladatkörében eljáró Magyar Nemzeti Bank egy intézmény vagy csoport szanálhatóságának vizsgálata során is figyelembe kell, hogy vegye.

Tekintettel arra, hogy egyrészt az elektronikus ügyintézést az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvényt hatályon kívül helyezi a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.), másrészt a rendelkezés 2017. december 31-ig volt alkalmazandó, a rendelkezés hatályon kívül helyezése szükséges.

A rendelkezés a vonatkozó fogalmakat tartalmazza, jeleníti meg.

A rendelkezés összhangot és kapcsolatot biztosít a biztosító vagy a viszontbiztosító irányítási rendszerére előírt jogszabályi követelmények, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben előírt hálózati és informatikai rendszerekre vonatkozó követelmények között.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a biztosító vagy a viszontbiztosító számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a biztosító vagy a viszontbiztosító önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A rendelkezés az auditbizottságra vonatkozó előírásokat tartalmazza, az 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló európai parlament és tanács 2022/2464 irányelve szerint.

A rendelkezés az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének (4) bekezdése alapján él azzal a lehetőséggel, hogy előírja a biztosításközvetítő számára, hogy a jelentős IKT-vonatkozású eseményt – a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak való bejelentésével egyidejűleg – a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelentse. Emellett előírásra kerül, hogy amennyiben a biztosításközvetítő önkéntesen bejelenti a Magyar Nemzeti Banknak, mint felügyeleti hatóságnak a jelentős kiberfenyegetést, akkor azt egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is bejelenti.

A többes ügynöki és alkuszi felelősségbiztosítás, illetve vagyoni biztosíték legalacsonyabb összegének kiigazítása.

Mivel a lakcím nem természetes személyazonosító adat, valamint többször változhat, így indokolatlan a feltüntetése a pénzügyi szolgáltatás közvetítői, biztosításközvetítői és tőkepiaci üzletkötői hatósági vizsgák sikeres letételét igazoló bizonyítványokon és így a Magyar Nemzeti Banknak, mint hatóságnak sem szükséges ezen adatot kezelnie a vizsgára jelentkező személy vonatkozásában.

Jogharmonizációs záradék kiegészítése.

Jogharmonizációs záradék kiegészítése.

A jogszabályi koherencia megteremtése érdekében szükséges szövegpontosítások.

Tekintettel arra, hogy az informatikai rendszer biztonságára vonatkozó hazai követelményrendszert felváltja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet előírásai mind a kockázatok felmérése és kezelése, mind a tesztelés vonatkozásában, szükségessé válik a rendelettel érintett körben a hatályos szabályozás hatályon kívül helyezése. A jövőben a tesztelés szervezeten belül vagy kiszervezetti státuszban fog történni.

Hatályba léptető rendelkezések.

Jogharmonizációs záradék.