2025. évi CXXXV. törvény indokolás

Ezen indokolás a jogalkotásról szóló 2010. évi CXXX. törvény 18. § (6) bekezdése, továbbá a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A törvény célja, hogy megállapítsa a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendelet (a továbbiakban: Rendelet) hazai végrehajtásának kereteit.

Tekintettel arra, hogy a Rendelet előírásai tekintetében bejelentő hatóságként és piacfelügyeleti hatóságként a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) jár el, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény kiegészül az erre vonatkozó rendelkezésekkel.

A jogalkotásra vonatkozó európai uniós követelményre utaló rendelkezés.

A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (1) bekezdés b) és d) pontjának módosításával az egyértelmű jogalkalmazás érdekében pontosításra kerülnek a Kiberbiztonsági tv. hatálya alá tartozó szervezeteket meghatározó rendelkezések.

Az egyértelmű jogalkalmazást segítő kiegészítő rendelkezések, valamint jogtechnikai pontosítás.

A Kiberbiztonsági tv. 8. § (4) bekezdésének módosítása egyértelművé teszi, hogy a Kiberbiztonsági tv. 8. § (4) bekezdés a) pontja szerinti bejelentés a szervezet nyilvántartásba vételére irányul. Ez a kiegészítés a Kiberbiztonsági tv. 8. § (6) bekezdés b) pontjának módosításával való összhang megteremtését is szolgálja.

A Kiberbiztonsági tv. 8. § (6) bekezdésének módosítása a Kiberbiztonsági tv. 1. § (1) bekezdés b) és d) pontjával összefüggésben szükséges pontosítást szolgálja, továbbá a Kiberbiztonsági tv. 8. § (6) bekezdés b) pont új bb) alpontja szerinti rendelkezést az indokolja, hogy gyakorlati tapasztalatok alapján előfordul olyan eset, amikor a szervezet a Kiberbiztonsági tv. 8. § (6) bekezdésének b) pontjában foglaltak fennállása esetén a törvény hatálya alá kerül, de szervezete kiberbiztonságának mihamarabbi megteremtése érdekében nem kíván várni a kiberbiztonsági rendelkezések alkalmazásával a következő év első napjáig, hanem a kiberbiztonsági követelményeknek való megfelelés mielőbbi megteremtése érdekében korábban szeretné alkalmazni azokat. Erre kifejezetten a szervezet kérelmére kerülhet sor, így értelemszerűen a kérelem csak a Kiberbiztonsági tv. 8. § (6) bekezdés b) pont ba) alpontja szerinti időpontot megelőzően kerülhet benyújtásra. Ebben az esetben a szervezet a kiberbiztonsági hatóság nyilvántartásba vételéről szóló döntés véglegessé válásának napjával kerül a Kiberbiztonsági tv. hatálya alá. Nyilvántartásba vétel hiányában a Kiberbiztonsági tv. 8. § (6) bekezdés b) pont ba) alpontja szerinti időpont az irányadó a szervezetre a törvény hatálya alá kerülés szempontjából.

Rögzítésre kerül továbbá a Kiberbiztonsági tv. 1. § (1) bekezdés b) és d) pontja szerinti szervezetek esetében a Kiberbiztonsági tv. hatálya alól történő kikerülés időpontjára vonatkozó szabály.

A kiberbiztonsági hatóság és a kritikus szervezetek ellenálló képességéről szóló törvény (a továbbiakban: Kszetv.), valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény (a továbbiakban: Vbö.) szerinti kijelölő hatóság együttműködését pontosító rendelkezés.

A Kiberbiztonsági tv. 1. § (2) és (2a) bekezdése szerint a Kszetv. alapján kritikus szervezetté, illetve infrastruktúrává vagy a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetté, illetve infrastruktúrává kijelölt szervezetek a Kiberbiztonsági tv. hatálya alá tartoznak. A kiberbiztonsági hatóságnak felügyeleti tevékenysége ellátása érdekében szükséges a kijelölésről és a kijelölés visszavonásáról szóló határozatok rendelkezésre állása.

A Kiberbiztonsági tv. hatálya alá tartozó, az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti közfeladatot ellátó szervnek minősülő szervezetnek az általa használt vagy szolgáltatott elektronikus információs rendszerre (ideértve a támogató rendszert is) vagy központi szolgáltatásra vonatkozó adatigénylés esetén az érintett adatok kiadását – ha annak feltételei fennállnak – kiberbiztonsági érdekből meg kell tagadnia. A rendelkezés – a Kiberbiztonsági tv. 6. § (3) bekezdés 1. pontjára is figyelemmel – a közfeladatot ellátó szerv által használt bármely elektronikus információs rendszerre vagy központi szolgáltatásra vonatkozik függetlenül attól, hogy az a megkeresett szervezet rendelkezésében van-e. Ezáltal biztosítható ugyanis, hogy a Kiberbiztonsági tv. 17–19. § alapján támogató rendszert, központi rendszert vagy központi szolgáltatást nyújtó szolgáltatók által a felhasználók részére átadott adatok is védhetők legyenek. Emellett a szervezet az általa szolgáltatásként biztosított elektronikus információs rendszerre (pl. központi rendszer) vagy központi szolgáltatásra vonatkozó adatok kiadását is megtagadja, amennyiben az adat megismerése kiberbiztonsági érdeket veszélyeztet.

A Rendelet szerinti bejelentő hatósági és piacfelügyeleti hatósági feladatokat egyetlen szervezet, az SZTFH látja el, amely jelenleg is rendelkezik kiberbiztonsági tanúsítással kapcsolatos hatósági feladatokkal.

A Rendelet rendelkezéseivel összhangban meghatározásra kerül, hogy mely szervezet végezheti a Rendelet szerinti megfelelőségértékelési tevékenységet. Az SZTFH bejelentő hatóságként akkor veszi nyilvántartásba a megfelelőségértékelő szervezetet, ha az teljesíti a Rendelet 39. cikkében rögzített követelményeket.

Kizárásra kerül a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseinek alkalmazása, mivel a Rendelet végrehajtását szolgáló rendelkezéseket a Kiberbiztonsági tv., valamint az SZTFH elnökének rendelete tartalmazza.

A nyilvántartásba vétellel kerül sor a Rendelet 36. cikk (1) bekezdése szerinti kijelölésre, és ezt követően az SZTFH bejelenti a megfelelőségértékelő szervezetet az Európai Bizottságnak (a továbbiakban: Bizottság) és a többi tagállamnak. A Rendelet 43. cikk (5) bekezdése alapján az érintett szervezet csak akkor láthatja el a bejelentett szervezet tevékenységeit, ha sem a Bizottság, sem a többi tagállam – meghatározott határidőn belül – nem emelt kifogást.

Rögzítésre kerülnek a Rendelet 39. cikke szerinti összeférhetetlenségi követelmények megsértése esetén irányadó szabályok.

Az SZTFH a megfelelőségértékelő vagy a bejelentett szervezetek adatairól közhiteles hatósági nyilvántartást vezet az információk naprakészen tartása, valamint az SZTFH ellenőrzési és nyomon követési tevékenységének ellátása érdekében. A nyilvántartás vezetésére vonatkozó legfontosabb szabályok a Kiberbiztonsági tv.-ben kerülnek meghatározásra.

A megfelelőségértékelő szervezetek nyilvántartásba vételének feltételeire, valamint a Rendelet 39. cikk (2)–(12) bekezdése szerinti egyes követelmények teljesítésére vonatkozó részletes szabályokat, ezek igazolásának módját, továbbá a nyilvántartásba vételi eljárás rendjét az SZTFH elnöke rendeletben határozza meg.

Az SZTFH mint bejelentő hatóság nyomonkövetési feladatainak ellátása érdekében a törvény a bejelentett szervezet számára jelentéskészítési kötelezettséget ír elő a megfelelőségértékelési tevékenység tekintetében azzal, hogy a jelentés tartalmát és a benyújtására vonatkozó szabályokat az SZTFH elnöke rendeletben határozza meg.

A Rendelet értelmében a Bizottság biztosítja, hogy megfelelő koordináció és együttműködés jöjjön létre a bejelentett szervezetek között, és ez az együttműködés a bejelentett szervezetek ágazatokon átnyúló csoportja formájában megfelelően működjön. A törvény előírja, hogy a bejelentett szervezet köteles közvetlenül vagy kijelölt képviselőjén keresztül részt venni a Rendelet 51. cikk (1) bekezdése szerinti csoport munkájában.

A megfelelőségértékelő szervezet döntésével szemben a polgári ügyekben eljáró bírósághoz való fordulás lehetősége biztosított a gyártó számára.

Az SZTFH Rendelet szerinti piacfelügyeleti hatósági eljárására a termékek piacfelügyeletéről szóló törvény rendelkezéseit kell alkalmazni a Rendeletben és a Kiberbiztonsági tv.-ben meghatározott kiegészítésekkel és eltérésekkel.

Meghatározásra kerülnek a piacfelügyeleti hatósági eljárás felfüggesztésének szabályai.

A törvény meghatározza az SZTFH mint a Rendelet szerinti bejelentő és piacfelügyeleti hatóság által kiszabható közigazgatási bírságra vonatkozó szabályokat a Rendelettel összhangban. A Rendelet 64. cikk (7) bekezdése alapján rögzítésre kerül, hogy költségvetési szervvel szemben közigazgatási bírság kiszabásának nincs helye.

A Kiberbiztonsági tv. felhatalmazó rendelkezéseinek kiegészítése.

A Kiberbiztonsági tv.-re más jogszabályokban történő egységes hivatkozás biztosítását szolgáló rendelkezés.

A Kiberbiztonsági tv. jogharmonizációs záradékának kiegészítése.

Szövegcserés rendelkezések.

Jogtechnikai pontosítás.

Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv rendelkezéseinek megfelelően a Kiberbiztonsági tv. megteremti az alapot arra, hogy a kiberbiztonsági hatóság kezdeményezhesse a cégbíróságnál a nem közigazgatási szervnek minősülő alapvető szervezet vezetőjének az adott szervezetben betöltött vezető tisztségviselői feladatainak ellátásától való ideiglenes eltiltását, ha alapvető szervezet a kiberbiztonsági hatóság által szabott határidőn belül nem tesz eleget a hatósági kötelezésnek. Ezen megkeresés végrehajtásához szükséges rendelkezést teremti meg a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény (a továbbiakban: Ctv.) 9/B. § (5) bekezdéseként beillesztett eltiltási ok.

Mivel a jogi személyek nyilvántartásáról szóló 2025. évi LIX. törvény 2027. január 1-jével hatályon kívül helyezi a Ctv.-t, szükséges a Ctv. említett rendelkezésének beillesztése a jogi személyekkel kapcsolatos egyes bírósági eljárásokról és a végelszámolásról szóló 2025. évi LX. törvénybe.

Hatályba léptető rendelkezések.

Sarkalatossági záradék.

Jogharmonizációs záradék.