Műveletek

Akadálymentes nézet Bezárás
  • Tartalom

2025. évi CXXXV. törvény

2025. évi CXXXV. törvény

az Európai Unió kiberrezilienciáról szóló rendeletének magyarországi végrehajtásáról és egyes kiberbiztonsági rendelkezések módosításáról1

2026.01.06.

[1] A kiberbiztonsági kockázatok mérséklése érdekében indokolt az egyes digitális termékek biztonságos használatát elősegítő, az e szempontból megfelelő hardverek és szoftverek kiválasztását megkönnyítő európai uniós rendelkezések átültetése a magyar jogrendbe a kapcsolódó hatósági feladatok ellátásáért felelős szervezet kijelölésével.

[2] A törvény módosítja továbbá a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvényt, valamint a jogi személyekkel kapcsolatos egyes bírósági eljárásokról és a végelszámolásról szóló 2025. évi LX. törvényt.

[3] Az Országgyűlés az (EU) 2024/2847 európai parlamenti és tanácsi rendelet hazai végrehajtása kereteinek megállapítása céljából, valamint egyes kiberbiztonsági rendelkezések pontosítása érdekében a következő törvényt alkotja:

1. A Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény módosítása

1. § A Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény (a továbbiakban: Sztfh tv.) 3. § (6) bekezdése helyébe a következő rendelkezés lép:

„(6) A Hatóság látja el – a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok kivételével – a Kiberbiztonsági tv. szerinti nemzeti kiberbiztonsági tanúsító hatóság feladatait, továbbá a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezetek elektronikus információs rendszerei kiberbiztonsági felügyeletét. A Hatóság látja el az (EU) 2024/2847 európai parlamenti és tanácsi rendelet előírásai tekintetében a bejelentő hatósági és piacfelügyeleti hatósági feladatokat.”

„(3) A 3. § (6) bekezdése a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendeletnek a végrehajtásához szükséges rendelkezéseket állapít meg.”

3. § Az Sztfh tv.

a) 13. § q) pontjában az „és szakértelmet, továbbá a kiberbiztonsági incidensek kezelésére jogosult gazdálkodó szervezetek nyilvántartásba vételének részletes szabályait, a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a tevékenység végzéséhez szükséges infrastrukturális feltételeket és szakértelmet,” szövegrész helyébe az „és szakértelmet, a kiberbiztonsági incidensek kezelésére jogosult gazdálkodó szervezetek nyilvántartásba vételének részletes szabályait, a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a tevékenység végzéséhez szükséges infrastrukturális feltételeket és szakértelmet, továbbá a megfelelőségértékelő szervezetek Kiberbiztonsági tv. 80/C. § (1) bekezdés b) pontja szerinti nyilvántartásba vételének feltételeire, valamint az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 39. cikk (2)–(12) bekezdése szerinti egyes követelmények teljesítésére vonatkozó részletes szabályokat, ezek igazolásának módját, továbbá a nyilvántartásba vételi eljárás rendjét és a nyilvántartás törvényben nem szabályozott személyes adatnak nem minősülő adattartalmát, valamint a Kiberbiztonsági tv. 80/F. § (1) bekezdése szerinti jelentés tartalmi követelményeit, benyújtásának idejét és módját,” szöveg,

b) 36/A. § (3) bekezdésében a „bekezdése” szövegrész helyébe a „bekezdése és a 13. § q) pontja” szöveg

lép.

2. A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény módosítása

4. § (1) A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (1) bekezdés b) pont bb) alpontja helyébe a következő rendelkezés lép:

[E törvénynek a szervezetek kötelezettségeire és a kiberbiztonsági hatósági felügyeletre vonatkozó rendelkezéseit kell alkalmazni

a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek nem tartoznak az a) pont hatálya alá és amelyek vonatkozásában legalább az egyik feltétel teljesül az alábbiak közül:]

„bb) éves nettó árbevétele vagy éves költségvetési bevételi előirányzata meghaladja a 10 millió eurónak megfelelő forintösszeget, és – a számvitelről szóló 2000. évi C. törvény 8. § (2) bekezdése szerinti beszámoló készítésére köteles szervezet esetében – mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszeget,”

(2) A Kiberbiztonsági tv. 1. § (1) bekezdés d) pontja helyébe a következő rendelkezés lép:

(E törvénynek a szervezetek kötelezettségeire és a kiberbiztonsági hatósági felügyeletre vonatkozó rendelkezéseit kell alkalmazni)

„d) azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá és a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint középvállalkozásoknak minősülnek, valamint azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá, és amelyek vonatkozásában legalább az egyik feltétel teljesül a következők közül:
da) összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy
db) éves nettó árbevétele vagy éves költségvetési bevételi előirányzata meghaladja a 10 millió eurónak megfelelő forintösszeget, és – a számvitelről szóló 2000. évi C. törvény 8. § (2) bekezdése szerinti beszámoló készítésére köteles szervezet esetében – mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszeget,”

„(1a) Az (1) bekezdésben euróban meghatározott összegek forintra történő átszámításakor a Magyar Nemzeti Bank által közzétett, a szervezet üzleti évének lezárásakor vagy – költségvetési szerv esetében – a költségvetési év zárásakor érvényes hivatalos devizaárfolyamot kell alkalmazni. Újonnan alapított szervezet esetén a tárgyévet megelőző év utolsó napján érvényes, a Magyar Nemzeti Bank által közzétett hivatalos devizaárfolyamot kell alkalmazni.”

(E törvény alkalmazásában)

„31a. gazdálkodó szervezet: a polgári perrendtartásról szóló törvény szerinti fogalom;”

(2) A Kiberbiztonsági tv. 4. § 65. pontja helyébe a következő rendelkezés lép:

(E törvény alkalmazásában)

„65. megfelelőségértékelés: – a IX/A. Fejezet kivételével – az az értékelési eljárás, amely bizonyítja, hogy egy IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesültek;”

(E törvény alkalmazásában)

„96a. többségi állami befolyás alatt álló gazdálkodó szervezet:
a) a magyar államnak a Polgári Törvénykönyvről szóló törvényben meghatározott többségi befolyása, vagy
b) a Kormány, annak tagja, az Országgyűlés elnöke közvetlen, vagy az általa irányított költségvetési szerven keresztül gyakorolt rendelkezési, irányítási, felügyeleti joga
alatt álló gazdálkodó szervezet;”

6. § (1) A Kiberbiztonsági tv. 8. § (4) bekezdés a) pontja helyébe a következő rendelkezés lép:

[Az 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezet – az 51. alcímben foglalt kivételekkel – az e törvény hatálya alá kerülését követő]

„a) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére a 28. § (1) bekezdés 1. pont a)–e) és j) alpontjában meghatározott adatokat, nyilvántartásba vétel céljából,”

(2) A Kiberbiztonsági tv. 8. § (6) bekezdés b) pontja helyébe a következő rendelkezés lép:

[A (4) és (5) bekezdés alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja]

„b) az 1. § (1) bekezdés b) vagy d) pontja szerinti esetben
ba) az e törvény hatálya alá kerülésre okot adó feltétel bekövetkezését követő év első, vagy
bb) ha a szervezet a ba) alpont szerinti napot megelőzően benyújtott nyilvántartásba vételi kérelmében ezt kéri, a szervezet nyilvántartásba vételéről szóló döntés véglegessé válásának,”

[napja.]

„(6a) Ha az 1. § (1) bekezdés b) vagy d) pontja szerinti szervezet esetében az e törvény hatálya alá kerülésre okot adó 1. § (1) bekezdés b) pont ba) vagy bb) alpontja, illetve 1. § (1) bekezdés d) pont da) vagy db) alpontja szerinti feltétel megszűnik, az e törvény hatálya alól történő kikerülés időpontja a feltétel megszűnését követő második év vége.”

„(4) A kiberbiztonsági hatóság és a Kszetv., valamint a Vbö. szerinti kijelölő hatóság együttműködése keretében a Kszetv., valamint a Vbö. szerinti kijelölő hatóság valamely szervezet kritikus szervezetként vagy az ország védelme és biztonsága szempontjából jelentős szervezetként történő kijelöléséről vagy annak visszavonásáról a döntése megküldésével tájékoztatja a kiberbiztonsági hatóságot.”

„79/A. § (1) Az 1. és 2. §-ban meghatározott, az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti közfeladatot ellátó szervnek is minősülő szervezet (a továbbiakban: közfeladatot ellátó szerv) által használt vagy szolgáltatott elektronikus információs rendszerrel vagy központi szolgáltatással kapcsolatos adat megismerése iránti igényt az adat keletkezésétől számított legfeljebb 20 évig el kell utasítani, ha az adat megismerése kiberbiztonsági érdeket veszélyeztet.

(2) Az (1) bekezdés szerinti igény teljesíthetőségéről a közfeladatot ellátó szerv vezetője dönt.”

9. § A Kiberbiztonsági tv. a következő fejezettel egészül ki:

„IX/A. Fejezet

AZ (EU) 2024/2847 EURÓPAI PARLAMENTI ÉS TANÁCSI RENDELET VÉGREHAJTÁSÁRA VONATKOZÓ SZABÁLYOK

48/A. Az (EU) 2024/2847 európai parlamenti és tanácsi rendelet végrehajtásával kapcsolatos általános rendelkezések

80/A. § E fejezet alkalmazásában:

1. bejelentett szervezet: az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 3. cikk 29. pontjában meghatározott fogalom;

2. bejelentő hatóság: az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 3. cikk 26. pontjában meghatározott fogalom;

3. megfelelőségértékelés: az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 3. cikk 27. pontjában meghatározott fogalom;

4. piacfelügyeleti hatóság: az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 3. cikk 33. pontjában meghatározott fogalom.

80/B. § Az (EU) 2024/2847 európai parlamenti és tanácsi rendelet előírásai tekintetében bejelentő hatóságként és piacfelügyeleti hatóságként az SZTFH jár el.”

10. § A Kiberbiztonsági tv. IX/A. Fejezete a következő alcímmel egészül ki:

„48/B. Bejelentő hatósági tevékenység

80/C. § (1) E fejezet szerinti megfelelőségértékelési tevékenységet csak olyan szervezet végezhet,

a) amely megfelel az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 39. cikk (2)–(12) bekezdése szerinti követelményeknek,

b) amelyet az SZTFH nyilvántartásba vett, és

c) amely esetében teljesül az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikk (5) bekezdése szerinti feltétel.

(2) Az e fejezetben szabályozott megfelelőségértékelési tevékenységre, valamint az SZTFH e fejezet szerinti tevékenységére nem kell alkalmazni a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseit.

(3) Az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 36. cikk (1) bekezdése szerinti kijelölésre az (1) bekezdés b) pontja szerinti nyilvántartásba vétellel kerül sor.

(4) A megfelelőségértékelő szervezetek (1) bekezdés b) pontja szerinti nyilvántartásba vételének feltételeire, valamint az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 39. cikk (2)–(12) bekezdése szerinti egyes követelmények teljesítésére vonatkozó részletes szabályokat, ezek igazolásának módját, továbbá a nyilvántartásba vételi eljárás rendjét az SZTFH elnöke rendeletben határozza meg.

(5) Az SZTFH mint bejelentő hatóság eljárása során a sommás eljárás kizárt.

(6) Az SZTFH mint bejelentő hatóság ügyintézési határideje 120 nap.

80/D. § (1) Az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 39. cikke szerinti összeférhetetlenségi követelmények megsértését bárki bejelentheti az SZTFH-nak.

(2) Az (1) bekezdés szerinti bejelentést az SZTFH kivizsgálja. Ha a bejelentés megalapozott, továbbá ha az összeférhetetlenséget saját hatáskörben maga észleli, az SZTFH haladéktalanul értesíti a bejelentett szervezetet, amely az értesítés kézhezvételét követően haladéktalanul köteles felfüggeszteni az összeférhetetlenséggel érintett tevékenységet.

(3) Ha a bejelentett szervezet az összeférhetetlenség fennállását maga észleli, az észlelést követően haladéktalanul köteles azt bejelenteni az SZTFH-nak és felfüggeszteni az összeférhetetlenséggel érintett tevékenységet.

(4) A bejelentett szervezet köteles tájékoztatni az SZTFH-t az összeférhetetlenség megszüntetésére tett vagy tervezett intézkedéseiről a (2) bekezdés szerinti esetben az SZTFH értesítésének kézhezvételétől számított, a (3) bekezdés szerinti esetben pedig a saját bejelentésétől számított huszonegy napon belül.

(5) Az SZTFH az összeférhetetlenség megszüntetésére tett intézkedésekről szóló tájékoztatás kézhezvételétől számított nyolc napon belül dönt az intézkedések megfelelőségéről. Ha az összeférhetetlenség megszüntetése biztosított, a bejelentett szervezet az SZTFH döntése alapján a tevékenységet folytathatja, ellenkező esetben az SZTFH megszüntethető összeférhetetlenség esetén az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikke szerinti bejelentést felfüggeszti, a meg nem szüntethető összeférhetetlenség esetén visszavonja.

(6) Az SZTFH az összeférhetetlenségi követelmények megsértésével végzett megfelelőségértékelési tevékenységek eredményének, továbbá az így kiadott tanúsítványok visszavonására kötelezi a kijelölt szervezetet. Nem kell alkalmazni ezt a rendelkezést, ha az összeférhetetlenség a megfelelőségértékelési tevékenységet elvégző munkavállaló vagy a bejelentett szervezettel munkavégzésre irányuló egyéb jogviszonyban álló személy vonatkozásában állt fenn, azonban a bejelentett szervezet más, összeférhetetlenséggel nem érintett munkavállalója vagy vele munkavégzésre irányuló egyéb jogviszonyban álló ilyen személy által harminc napon belül elvégzett megfelelőségértékelés azonos eredményre vezetett.

80/E. § (1) Az SZTFH nyilvántartja és kezeli

a) a megfelelőségértékelő vagy a bejelentett szervezet és annak kijelölt kapcsolattartója azonosításához szükséges adatokat, elérhetőségét, valamint az SZTFH elnökének rendeletében meghatározott követelmények teljesülését alátámasztó dokumentumokat,

b) a megfelelőségértékelő vagy a bejelentett szervezet nyilvántartásba vételének és nyilvántartásból való törlésének időpontját, és nyilvántartási számát,

c) a nyilvántartásból való törlés indokát,

d) az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikke szerinti bejelentés időpontját,

e) az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 44. cikk (1) bekezdése szerinti azonosító számot,

f) annak tényét, ha az SZTFH az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikke szerinti bejelentést korlátozta, felfüggesztette vagy visszavonta, valamint e döntés időpontját,

g) azon megfelelőségértékelési modult vagy modulokat, amely tekintetében a bejelentett szervezet megfelelőségértékelési eljárást folytathat,

h) a bejelentett szervezet által kiadott tanúsítvány adatait,

i) a tanúsítványok kiállításának elutasításával, hatályának korlátozásával, felfüggesztésével és a visszavonásával kapcsolatos információkat,

j) a benyújtott panaszokkal kapcsolatos adatokat, dokumentumokat,

k) az SZTFH elnökének rendeletében előírt további, személyes adatnak nem minősülő adatokat.

(2) Az (1) bekezdés szerinti nyilvántartás az (1) bekezdés b) és f) pontja szerinti adatok tekintetében közhiteles hatósági nyilvántartás.

(3) Az (1) bekezdés szerinti adatok kezelésének célja a megfelelőségértékelő szervezetekkel és a bejelentett szervezetekkel kapcsolatos információk naprakészen tartása, valamint az SZTFH ellenőrzési és nyomonkövetési tevékenységének ellátása.

(4) A megfelelőségértékelő szervezet vagy a bejelentett szervezet az (1) bekezdés szerinti adatokat az adatok rendelkezésre állásától, valamint az adatok változását a változás bekövetkezésétől számított 8 napon belül megküldi az SZTFH részére a nyilvántartásba vétel érdekében.

(5) Az SZTFH a honlapján közzéteszi a bejelentett szervezet megnevezését, székhelyének címét, elektronikus levelezési címét és telefonszámát, valamint az (1) bekezdés b), e) és g) pontja szerinti adatait.

(6) Ha a bejelentett szervezet az e fejezet szerinti megfelelőségértékelési tevékenységet már nem végez, akkor az SZTFH a rá vonatkozó (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikke szerinti bejelentést haladéktalanul visszavonja.

(7) Ha az SZTFH az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikke szerinti bejelentést visszavonja, vagy az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 43. cikk (5) bekezdése szerinti feltétel nem teljesül, az SZTFH az érintett bejelentett vagy megfelelőségértékelő szervezet (1) bekezdés szerinti adatait az e körülmények bekövetkezését követő öt év elteltével törli a nyilvántartásból.

(8) Ha az (1) bekezdés szerinti adatok változását a bejelentett vagy megfelelőségértékelő szervezet bejelenti, a nyilvántartásban a változás bejegyzését megelőzően szereplő adatot az SZTFH az adat változása bejegyzését követő öt év elteltével a nyilvántartásból törli.

80/F. § (1) A bejelentett szervezet az e fejezet szerinti megfelelőségértékelési tevékenységéről évente jelentést készít, amelyet az SZTFH elnökének rendeletében meghatározott tartalommal, határidőben és módon nyújt be az SZTFH részére.

(2) A bejelentett szervezet közvetlenül vagy kijelölt képviselőjén keresztül részt vesz az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 51. cikk (1) bekezdése szerinti csoport munkájában.

80/G. § A megfelelőségértékelő szervezet döntésével szemben az (EU) 2024/2847 európai parlamenti és tanácsi rendelet szerinti gyártó polgári ügyekben eljáró bírósághoz fordulhat.”

11. § A Kiberbiztonsági tv. IX/A. Fejezete a következő alcímmel egészül ki:

„48/C. Piacfelügyeleti tevékenység

80/H. § (1) Az SZTFH általános hatáskörű piacfelügyeleti hatóságként eljár az (EU) 2024/2847 európai parlamenti és tanácsi rendelet szerinti piacfelügyeleti ügyekben.

(2) Az SZTFH piacfelügyeleti hatósági eljárására a termékek piacfelügyeletéről szóló törvény rendelkezéseit az (EU) 2024/2847 európai parlamenti és tanácsi rendeletben és az e törvényben meghatározott kiegészítésekkel és eltérésekkel kell alkalmazni.

(3) Az SZTFH az általa folytatott piacfelügyeleti hatósági eljárást az általános közigazgatási rendtartásról szóló törvényben meghatározott eseteken kívül felfüggesztheti, ha

a) annak során olyan kérdés merül fel, amelynek eldöntése más szerv vagy személy hatáskörébe tartozik, vagy

b) az SZTFH-nak az adott üggyel szorosan összefüggő más döntése, illetve eljárása nélkül az adott ügy megalapozottan nem dönthető el.”

12. § A Kiberbiztonsági tv. IX/A. Fejezete a következő alcímmel egészül ki:

„48/D. Jogkövetkezmények

80/I. § (1) Az SZTFH az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 64. cikk (2)–(4) bekezdése szerinti esetekben közigazgatási bírságot szab ki. Az SZTFH által kiszabható közigazgatási bírság legalacsonyabb összege 500 000 forint, legmagasabb összege az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 64. cikk (2)–(4) bekezdésében meghatározott összeg azzal, hogy a közigazgatási bírságot forintban kell megállapítani. Az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 64. cikk (2)–(4) bekezdése szerinti közigazgatási bírságmaximumot a Magyar Nemzeti Bank által közzétett, a közigazgatási bírság SZTFH általi kiszabásakor érvényes hivatalos devizaárfolyam alapján átszámított forintösszegben kell figyelembe venni.

(2) Ismételt jogsértés esetén a kiszabott bírság összege nem lehet kevesebb, mint a megelőzően kiszabott bírság összegének másfélszerese. Az így megállapított bírság összege nem haladhatja meg az (1) bekezdés szerinti bírságmaximumot.

(3) Költségvetési szervvel szemben közigazgatási bírság kiszabásának nincs helye.”

(Felhatalmazást kap az SZTFH elnöke, hogy rendeletben meghatározza)

„o) a megfelelőségértékelő szervezetek 80/C. § (1) bekezdés b) pontja szerinti nyilvántartásba vételének feltételeire, valamint az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 39. cikk (2)–(12) bekezdése szerinti egyes követelmények teljesítésére vonatkozó részletes szabályokat, ezek igazolásának módját, továbbá a nyilvántartásba vételi eljárás rendjét és a nyilvántartás törvényben nem szabályozott személyes adatnak nem minősülő adattartalmát,
p) a 80/F. § (1) bekezdése szerinti jelentés tartalmi követelményeit, benyújtásának idejét és módját.”

14. § A Kiberbiztonsági tv. a következő alcímmel egészül ki:

„52/A. A törvény hivatalos rövid megjelölése

90/A. § E törvénynek más jogszabályban alkalmazandó rövid megjelölése: Kiberbiztonsági tv.

(Ez a törvény)

„d) a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendeletnek,
e) a termékek forgalomba hozatalának közös keretrendszeréről, valamint a 93/465/EGK tanácsi határozat hatályon kívül helyezéséről szóló, 2008. július 9-i 768/2008/EK európai parlamenti és tanácsi határozatnak”

(a végrehajtásához szükséges rendelkezéseket állapít meg.)

1. 1. § (6) bekezdés 8. pontjában az „öt” szövegrész helyébe az „5” szöveg,

2. 8. § (3) bekezdés a) pontjában a „tizenöt” szövegrész helyébe a „14” szöveg,

3. 10. § (6) bekezdésében a „két” szövegrész helyébe a „2” szöveg,

4. 11. § (14) bekezdésében a „felelős személyek” szövegrész helyébe a „felelős személy feladatainak ellátására alkalmas személyek” szöveg,

5. 11. § (15) bekezdésében a „felelős személyek” szövegrész helyébe a „felelős személy feladatainak ellátására alkalmas személyek” szöveg,

6. 16. § (2) bekezdés b) pontjában a „két” szövegrész helyébe a „2” szöveg,

7. 18. § (1) bekezdés f) pont fa) alpontjában az „öt” szövegrész helyébe az „5” szöveg,

8. 19. § (2) bekezdés e) pont ea) alpontjában az „öt” szövegrész helyébe az „5” szöveg,

9. 21. § (6) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

10. 21. § (7) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

11. 24. § (9) bekezdésében a „SZTFH-t –” szövegrész helyébe a „SZTFH-t és a nemzeti kiberbiztonsági hatóságot –” szöveg és a „bekezdés b) pontja” szövegrész helyébe a „bekezdése” szöveg,

12. 25. § (2) bekezdésében az „eljárás ügyintézési” szövegrész helyébe az „eljárás és hatósági ellenőrzés ügyintézési” szöveg és a „százhúsz” szövegrész helyébe a „120” szöveg,

13. 25. § (3) bekezdésében a „százhúsz” szövegrész helyébe a „120” szöveg és a „kilencven” szövegrész helyébe a „90” szöveg,

14. 29. § (5) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

15. 30. § (6) bekezdés b) pontjában a „cégbíróságnál” szövegrész helyébe a „bíróságnál” szöveg,

16. 33. § (3) bekezdésében a „kilencven” szövegrészek helyébe a „90” szöveg,

17. 34. § (1) bekezdésében a „hetvenkét” szövegrész helyébe a „72” szöveg,

18. 36. § (1) bekezdésében az „egy” szövegrész helyébe az „1” szöveg,

19. 56. § (5) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

20. 56. § (6) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

21. 57. § (3) bekezdésében a „két” szövegrész helyébe a „2” szöveg,

22. 60. § (2) bekezdésében a „hatvan” szövegrész helyébe a „60” szöveg,

23. 60. § (3) bekezdésében a „tizenöt” szövegrész helyébe a „15” szöveg,

24. 77. § (3) bekezdésében az „öt” szövegrészek helyébe az „5” szöveg,

25. 77. § (4) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

26. 77. § (5) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

27. 77. § (6) bekezdésében az „öt” szövegrész helyébe az „5” szöveg,

28. 78. § (1) bekezdés a) pontjában az „öt” szövegrész helyébe az „5” szöveg,

29. 81. § (2) bekezdés 5. pontjában a „felelős személyek” szövegrész helyébe a „felelős személy feladatainak ellátására alkalmas személyek” szöveg

lép.

17. § Hatályát veszti a Kiberbiztonsági tv. 91. § (2) bekezdés b) pontjában a „valamint” szövegrész.

3. A jogi személyekkel kapcsolatos egyes bírósági eljárásokról és a végelszámolásról szóló 2025. évi LX. törvény módosítása

18. § A jogi személyekkel kapcsolatos egyes bírósági eljárásokról és a végelszámolásról szóló 2025. évi LX. törvény 37. alcíme a következő 133/A. §-sal kiegészülve lép hatályba:

„133/A. § [Eltiltás elrendelése a kiberbiztonsági hatóság határozata alapján]

(1) A bíróság – a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) szerinti kiberbiztonsági hatóság (a továbbiakban: kiberbiztonsági hatóság) végleges határozata alapján, tizenöt munkanapon belül hivatalból meghozott végzésével – a kiberbiztonsági hatóság határozatában foglalt időtartamra, de legfeljebb öt évre eltiltja a kiberbiztonsági hatóság által megjelölt, a Kiberbiztonsági tv. szerinti, nem közigazgatási szervnek minősülő alapvető szervezet vonatkozásában a vezető tisztségviselői feladatok ellátásától azt a személyt, akinek felelősségét a kiberbiztonsági hatóság végleges határozatával megállapította a tekintetben, hogy a szervezet határidőn belül nem tett eleget a szervezet elektronikus információs rendszereinek kiberbiztonságára vonatkozó hatósági kötelezésnek.

(2) Az eltiltásról szóló jogerős végzését a bíróság a Cégközlönyben közzéteszi.

(3) Az (1) bekezdés szerinti eltiltásra a 133. § (4) bekezdésének rendelkezései irányadóak.”

19. § A jogi személyekkel kapcsolatos egyes bírósági eljárásokról és a végelszámolásról szóló 2025. évi LX. törvény 185. §-a a következő szöveggel lép hatályba:

„185. § [Jogharmonizációs záradék]

(1) A 141. § a társasági jog egyes vonatkozásairól szóló, 2017. június 14-i (EU) 2017/1132 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

(2) A 133/A. § az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.”

4. Záró rendelkezések

20. § (1) Ez a törvény – a (2)–(4) bekezdésben foglalt kivétellel – a kihirdetését követő nyolcadik napon lép hatályba.

(2) A 3. §, a 10. § és a 13. § 2026. június 11-én lép hatályba.

(3) A 16. § 15. pontja és a 3. alcím 2027. január 1-jén lép hatályba.

(4) A 11. § és a 12. § 2027. december 11-én lép hatályba.

21. § Az 1. § és a 3. § a) pontja az Alaptörvény 23. cikke alapján sarkalatosnak minősül.

22. § (1) Ez a törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

(2) Ez a törvény a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendeletnek a végrehajtásához szükséges rendelkezéseket állapít meg.

(3) Ez a törvény a termékek forgalomba hozatalának közös keretrendszeréről, valamint a 93/465/EGK tanácsi határozat hatályon kívül helyezéséről szóló, 2008. július 9-i 768/2008/EK európai parlamenti és tanácsi határozatnak a végrehajtásához szükséges rendelkezéseket állapít meg.

Dr. Sulyok Tamás s. k.,
köztársasági elnök

Kövér László s. k.,
az Országgyűlés elnöke
1

A törvényt az Országgyűlés a 2025. december 10-i ülésnapján fogadta el. A kihirdetés napja: 2025. december 29.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére