2/2025. (I. 31.) SZTFH rendelet
2/2025. (I. 31.) SZTFH rendelet
a kiberbiztonsági felügyeleti díjról
[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a kiberbiztonsági felügyeleti tevékenységért fizetendő kiberbiztonsági felügyeleti díj mértékének és a megfizetésére vonatkozó rendelkezések megállapítása.
[2] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés a) pontjában kapott felhatalmazás alapján,
a 2. § (10) bekezdése és a 4. § tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján,
a 7–10. § tekintetében a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés e) pontjában kapott felhatalmazás alapján,
a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. A kiberbiztonsági felügyeleti díj mértéke
1. § (1) A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 7. § (1) bekezdése szerinti kiberbiztonsági felügyeleti díj (a továbbiakban: kiberbiztonsági felügyeleti díj) éves mértéke
a) a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezet is, valamint a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezet (a továbbiakban együtt: szervezet) tárgyévet megelőző évben közzétett utolsó, a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Szt.) szerinti beszámolója szerinti nettó árbevételének 0,00015 százaléka, ha a szervezet tárgyévet megelőző éves nettó árbevétele nem éri el a 20 milliárd forintot,
b) a szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevételének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévet megelőző éves nettó árbevétele eléri vagy meghaladja a 20 milliárd forintot.
(2) Az (1) bekezdéstől eltérően, az (1) bekezdés szerinti árbevétel hiányában a kiberbiztonsági felügyeleti díj éves mértéke
a) a szervezet tárgyévi árbevétele egész évre vetített időarányos részének 0,00015 százaléka, ha a szervezet tárgyévi árbevétele egész évre vetített időarányos része nem éri el a 20 milliárd forintot,
b) a szervezet tárgyévi árbevétele egész évre vetített időarányos részének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévi árbevétele egész évre vetített időarányos része eléri vagy meghaladja a 20 milliárd forintot.
(3) A kiberbiztonsági felügyeleti díj számítása, megfizetése, nyilvántartása és elszámolása 1000 forintra kerekítve történik. A kiberbiztonsági felügyeleti díj 1000 forintra kerekített összegét az általános kerekítési szabályok alkalmazásával kell meghatározni.
(4) Ha a szervezet a tárgyévben kerül a Kiberbiztonsági tv. hatálya alá, a hatály alá kerülés Kiberbiztonsági tv. 8. § (6) bekezdése szerinti időpontjától kezdődően a szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevétele – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos része – alapján időarányos mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.
(5) Ha a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) a tárgyévben törli a szervezetet a Kiberbiztonsági tv. 29. § (1) bekezdés a) pontja szerinti nyilvántartásból (a továbbiakban: nyilvántartás), és a szervezet tárgyévre vonatkozó kiberbiztonsági felügyeleti díj fizetési kötelezettségét még nem teljesítette, akkor a szervezet a nyilvántartásból való törlésének napjáig terjedő időszakra vonatkozóan, a tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevétele – árbevétel hiányában a tárgyévi árbevételének egész évre vetített időarányos része – alapján időarányos mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.
(6) Ha a tárgyévben fizetendő kiberbiztonsági felügyeleti díj összege nem éri el az 5000 forintot, a kiberbiztonsági felügyeleti díjat nem kell megfizetni. Ebben az esetben a Hatóság a 2. § (3), (6), (7) vagy (9) bekezdése szerinti tájékoztatása tartalmazza, hogy a szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettsége a tárgyévre nem áll fenn.
2. A kiberbiztonsági felügyeleti díj megfizetésének általános szabályai
2. § (1) Ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoportban, tényleges vállalatcsoportban vagy az Szt. szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban vesz részt, a szervezet a részvételét a Hatóság által e célra rendszeresített elektronikus űrlapon benyújtott – elismert vállalatcsoport esetében az uralkodó taggal közösen megtett – nyilatkozatával igazolja a Hatóság részére a tárgyév január 31. napjáig.
(2) Az 1. § (2) bekezdése szerinti esetben a szervezet a Hatóság által e célra rendszeresített elektronikus űrlapon nyilatkozatot nyújt be a Hatósághoz a tárgyévi árbevétele egész évre vetített időarányos részének összegéről a tárgyév február 28. napjáig.
(3) A Hatóság a (6)–(10) bekezdésben foglalt kivétellel a szervezetet – vagy elismert vállalatcsoportba tartozó szervezet esetében az uralkodó tagot – a tárgyévre fizetendő kiberbiztonsági felügyeleti díj mértékéről és – az 1. § (6) bekezdésében foglalt kivétellel – a megfizetésének módjáról a tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója alapján a tárgyév március 31. napjáig tájékoztatja.
(4) Ha a Polgári Törvénykönyvről szóló törvény szerinti tényleges vállalatcsoportban vagy az Szt. szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő szervezetek által – a (3) bekezdés szerinti tájékoztatás alapján – a tárgyévben fizetendő éves kiberbiztonsági felügyeleti díj együttes mértéke meghaladja a Kiberbiztonsági tv. 7. § (2) bekezdése szerinti 50 millió forintot, akkor a szervezetek tárgyév április 30-ig közös nyilatkozatot nyújtanak be a Hatóság részére, amely tartalmazza az egyes szervezetek által megfizetésre kerülő kiberbiztonsági felügyeleti díj összegét, azzal, hogy a megfizetésre kerülő kiberbiztonsági felügyeleti díj együttes mértéke összesen 50 millió forint.
(5) A kiberbiztonsági felügyeleti díjat a (3) és (4) bekezdés szerinti esetben a tárgyév május 31. napjáig kell megfizetni.
(6) Az 1. § (4) bekezdése szerinti szervezetet a Hatóság – a (7) bekezdésben foglalt kivétellel – a nyilvántartásba vételi határozatában tájékoztatja a tárgyévben fizetendő kiberbiztonsági felügyeleti díj mértékéről és – az 1. § (6) bekezdésében foglalt kivétellel – a megfizetésének módjáról.
(7) Ha az 1. § (4) bekezdése szerinti szervezet nem rendelkezik az 1. § (1) bekezdése szerinti árbevétellel, a szervezet a nyilvántartásba vételétől számított 90 napon belül a Hatóság által e célra rendszeresített elektronikus űrlapon nyilatkozatot nyújt be a Hatósághoz a tárgyévi árbevétel egész évre vetített időarányos részének összegéről. A Hatóság a nyilatkozat kézhezvételétől számított 30 napon belül tájékoztatja a szervezetet az általa a tárgyévre fizetendő kiberbiztonsági felügyeleti díj mértékéről és – az 1. § (6) bekezdésében foglalt kivétellel – a megfizetésének módjáról.
(8) Az 1. § (4) bekezdése szerinti szervezet a nyilvántartásba vételi határozat kézhezvételétől – vagy a (7) bekezdés szerinti esetben a Hatóság tájékoztatásától – számított 90 napon belül fizeti meg a kiberbiztonsági felügyeleti díjat.
(9) Az 1. § (5) bekezdése szerinti esetben a Hatóság a nyilvántartásból való törlésről szóló határozatában tájékoztatja a szervezetet a tárgyévben fizetendő időarányos kiberbiztonsági felügyeleti díj mértékéről és – az 1. § (6) bekezdésében foglalt kivétellel – a megfizetésének módjáról.
(10) A (9) bekezdés szerinti esetben a kiberbiztonsági felügyeleti díjat a nyilvántartásból való törlésről szóló határozat kézhezvételétől számított 30 napon belül kell megfizetni.
(11) Ha a Hatóság a tárgyévben törli a szervezetet a nyilvántartásból, és a szervezet tárgyévre vonatkozó kiberbiztonsági felügyeleti díj fizetési kötelezettségét már teljesítette, akkor a Hatóság a nyilvántartásból való törlésről szóló határozatában tájékoztatja a szervezetet a tárgyévben a törlés napjáig időarányosan fizetendő kiberbiztonsági felügyeleti díj és a szervezet által a tárgyévre megfizetett kiberbiztonsági felügyeleti díj különbözetéről. A különbözet visszatérítésére a 4. § (2) bekezdése alkalmazandó.
3. § (1) A szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettségét évente, egy összegben, a Hatóság Magyar Államkincstár által vezetett, 10032000-00362887-00000000 számú előirányzat-felhasználási keretszámlájára átutalással teljesíti.
(2) A kiberbiztonsági felügyeleti díj megfizetésekor a pénzforgalmi szolgáltató által kiállított, az átutalás megindításának megtörténtét tanúsító igazolás közlemény rovatában fel kell tüntetni a „kiberbiztonsági felügyeleti díj” megjegyzést és
a) a 2. § (3) bekezdése szerinti esetben a Hatóság 2. § (3) bekezdése szerinti tájékoztatásának iktatószámát,
b) az 1. § (4) bekezdése szerinti szervezet esetén a nyilvántartásba vételi határozat iktatószámát,
c) az 1. § (5) bekezdése szerinti esetben a nyilvántartásból való törlésről szóló határozat iktatószámát vagy
d) a b) ponttól eltérően, ha az 1. § (4) bekezdése szerinti szervezet nem rendelkezik az 1. § (1) bekezdése szerinti árbevétellel, a Hatóság 2. § (7) bekezdése szerinti tájékoztatásának iktatószámát.
3. Hatósági feladatok
4. § (1) A Hatóság a kiberbiztonsági felügyeleti díjat szervezetenként – ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoport ellenőrzött tagja, helyette az uralkodó taghoz rendelten – és elszámolási időszakonként tartja nyilván.
(2) Túlfizetés esetén a Hatóság a kiberbiztonsági felügyeleti díj többletet visszatéríti a szervezet azon bankszámlájára, amelyről a befizetés érkezett, ha a befizetést igazoló iratok alapján megállapítható, hogy a kötelezett az e rendeletben meghatározott mértéket meghaladó összegű díjat fizetett.
4. Záró rendelkezések
5. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – a kihirdetését követő 3. napon lép hatályba.
(2) Az 1–3. alcím és a 6. § az e rendelet kihirdetését követő 31. napon lép hatályba.
6. § (1) A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékére, megfizetésére és kezelésére az 1–3. alcímben foglaltakat az e szakaszban foglalt eltérésekkel, kiegészítésekkel kell alkalmazni.
(2) Az 1. § (1) és (4) bekezdése szerinti esetben a 2024. évre vonatkozó kiberbiztonsági felügyeleti díjat a Hatóság a szervezet 2024. évet megelőző utolsó, Szt. alapján közzétett beszámolóval lezárt üzleti évről szóló beszámolója alapján állapítja meg. A 2024. évre vonatkozó kiberbiztonsági felügyeleti díjat a 2024. október 18-tól 2024. december 31-ig terjedő felügyeleti időszakra kell megfizetni.
(3) Ha az e rendelet hatálybalépésekor a nyilvántartásban szereplő szervezet nem rendelkezik a (2) bekezdés szerinti beszámolóval, a 2024. évre vonatkozóan kiberbiztonsági felügyeleti díj fizetési kötelezettsége nem áll fenn.
(4) A 2024. évre és a 2025. évre vonatkozóan
a) a 2. § (1) bekezdése szerinti nyilatkozatot 2025. március 15. napjáig,
b) a 2. § (4) bekezdése szerinti nyilatkozatot 2025. június 30. napjáig
kell benyújtani.
(5) A 2025. évre vonatkozóan a 2. § (2) bekezdése szerinti nyilatkozatot 2025. március 31. napjáig kell benyújtani.
(6) A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékéről és – az 1. § (6) bekezdésében foglalt kivétellel – megfizetésének módjáról a Hatóság a szervezetet – vagy elismert vállalatcsoportba tartozó szervezet esetében az uralkodó tagot – 2025. május 31-ig tájékoztatja.
(7) A (6) bekezdés szerinti kiberbiztonsági felügyeleti díjat 2025. július 31-ig kell megfizetni.
7. §1
8. §2
9. §3
10. §4
A 7. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 8. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 9. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 10. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás