Global reach
Search
Articles by: Grant Thornton Hungary

ESG: További pontosítások jelentek meg a magyarországi vállalatok számára

Megjelentek az ESG-beszámolóra vonatkozó kötelezettségeket szabályozó végrehajtási rendeletek

A vállalkozások számára talán kevésbé izgalmas ESG-tanácsadókat oktató intézményekre és az ESG-tanácsadókra vonatkozó részletszabályok után 2024. augusztus 15-én végre megjelentek az ESG-beszámoló készítésére és közzétételére, valamint a vállalkozások fenntarthatósági célú átvilágítási kötelezettségeire vonatkozó részletszabályok is.

A részletszabályok alapján az ESG-re kötelezett hazai vállalkozások pontos útmutatást kaptak arra vonatkozóan, hogy miként kell az ESG-beszámolót elkészíteni, közzétenni. A kihirdetett változások között vannak a vállalkozások fenntarthatósági célú átvilágítási kötelezettségeire vonatkozó részletszabályok is. A kötelezett vállalatok az idén megkezdhetik a felkészülést, és az ESG terén várhatóan tovább hódítanak a szoftveres-digitális megoldások.

Fenntarthatósági átvilágítás

Az átvilágítási kötelezettség kettős. A vállalkozásoknak olyan kockázatkezelési rendszert kell létrehozniuk, mely azonosítja és minimalizálja a fenntarthatóságot veszélyeztető kockázatokat mind

a) a saját üzleti tevékenységükben,

b) mind az ellátási láncaikban.

A beszállítói lánc átvilágítása rendkívül komplex feladat, ezért ehhez a jogalkotó két irányból is támogatást próbál nyújtani a szabályozáson keresztül. Egyrészt a végrehajtási rendelet tartalmaz egy maximum ESG átvilágítási kérdőívet, másrészt megteremti a szoftveres támogatás igénybevételének lehetőséget az ESG szoftverek nyilvántartási folyamatának elindításával.

De mit is takar a maximum ESG-kérdőív és a beszállítói átvilágítás?

A vállalkozások egy lényegességi vizsgálat során, melybe egy előminősítési lépcső is beépíthető, meg kell határozzák a kockázatos beszállítóik körét (pl. nagyobb környezeti hatással rendelkező tevékenységi körök). Ezen beszállítók fenntarthatósági átvilágítása során kötelező használni a hatóság által kiadott kérdőívet az alábbiak szerint:

  • a hatóság a kérdőív 12 variációját hozta létre a beszállító mérete (mikro, kis, közepes, vagy nagyvállalat) és földrajzi elhelyezkedése alapján;
  • a kérdőívek maximum kérdőívek, azaz nem kötelező a bennük szereplő összes kérdést feltenni a beszállítók részére;
  • a maximum kérdőívben nem szereplő kérdés viszont csak hatósági jóváhagyással lehetséges.

A kockázatok értékelésére a vállalkozásnak saját módszertant kell kidolgoznia, illetve létező kockázatkezelési rendszerét frissítenie. Az értékelés során figyelembe kell venni az azonosított kockázatok lehetséges hatását, az előfordulási valószínűséget, valamint a vállalkozás képességét azok kezelésére (pl. partneri etikai kódex elfogadásának elvárása, vagy veszélyes anyagok használata esetén megfelelő standardok és eljárások meglétének biztosítása).

Az azonosított kockázatokat a súlyosságuk és bekövetkezésük valószínűsége alapján a cégnek rangsorolnia kell, és az összes kockázatot kezelnie kell: azaz megelőzni, mérsékelni, megszüntetni, vagy minimálisra csökkenteni.

A fentiekből is látható, hogy a kötelezett vállalatok a kérdőív ajánlás ellenére is rendkívül széles skáláját hozhatják létre az átvilágítási kérdőíveknek, ami nagy mértékben megnövelheti az átvilágítással érintett beszállítók adminisztrációs terheit. Ennek következtében várhatóan azok a szoftveres támogató megoldások fognak előtérbe kerülni, amelyek biztosítják, hogy a beszállítók egy, akár a teljes hatósági kérdőívet tartalmazó átvilágítási kérdőív kitöltését követően minél több üzleti partnerük részére le tudják adni a kért információkat.

ESG-beszámoló

A rendelet kitér az ESG-beszámoló minimumkövetelményei, tartalma, formai követelményei, valamint közzétételének szabályaira is. Az ESG-beszámoló érdekessége, hogy annak kötelező mellékletét képezi a kockázatos beszállítókkal kötelezően kitöltendő központi kérdőív, azaz a nagyvállalatok számára az átvilágítási kérdőív kitöltése kötelező.

Az ESG-beszámolóban a vállalkozásoknak többek között részletesen be kell mutatniuk a létrehozott fenntarthatósági kockázatkezelése rendszert, a feltárt környezeti, társadalmi és irányítási kockázatokat, továbbá az ezek megelőzését, kezelését és csökkentését célzó stratégiákat, intézkedéseket, illetve ezek értékelését.

Ezen túlmenően az ESG-beszámolóban be kell mutatni a vállalkozás által alkalmazott panaszkezelési eljárás vagy rendszer kialakítása során figyelembe vett alapelveket, a megfogalmazott követelményeket, a panaszkezelési eljárás vagy rendszer végrehajtásának leírását, illetve eredményességének adatalapú értékelését.

A vállalkozásoknak az ESG Beszámolóval kapcsolatos feladatokat minden év június 30-ig kell teljesíteniük.

Mit keres a HR egy NIS2-projektben?

Hogyan lehet az, hogy egyes cégeknél a HR-vezetők és HR-menedzserek teszik meg az első lépést külső szakértők bevonására a NIS2 (Network and Information Security V2) felkészülés során? A válasz, hogy nagyon is sok keresnivalója lehet ennek a szakterületnek az információbiztonság ezen útvesztőjében. NIS2-mentoring szolgáltatásunk eddigi tapasztalatait alapul véve próbálunk választ adni a erre a kérdésre.

Az információbiztonság nem (csak) az IT belügye

A NIS2 (Network and Information Security V2) irányelv egyaránt szól az infrastruktúra és az információk védelméről.

Senkit ne tévesszen meg, hogy a hazai honosítása során a magyar NIS2-törvény végül olyan nevet kapott, amelyben már csak a kibervédelem maradt meg, a NIS2 ettől még Magyarországon is az információvédelemről szól.

A kibervédelem a kibertérből érkező támadások elhárításának művészete, míg az információvédelem a cégnél megfordult adatok kezelésének és tárolásának egy nagyon szabályozott, tudatos és professzionális eljárásrendszere. Ennek a kibervédelem is egy igen fontos eleme, azonban az annak csak egy szelete.

Az információbiztonság nem az IT-nál kezdődik, de nem is ott ér végett. Az IT természetesen egy nagyon fontos szereplője ennek, de az információbiztonság középpontjában még jelenleg az ember áll. Az az ember, akit a legtöbb jóindulat mellett is még mindig a védelem egyik leggyengébb pontjának tekinthető.

Akik a GDPR szabályain szocializálódottak

Ha mondani kellene egy jogszabályt, amelyet kifejezetten az információk védelmére alkottak meg az Európai Unióban, ma még szinte kivétel nélkül mindenkinek a GDPR jutna először eszébe. Nem csoda, hiszen az Általános Adatvédelmi Rendelettel (a GDPR-ral) 2018. május 25-óta minden olyan cégnek meg kellett ismerkednie, ahol személyes adatokat kezelnek, például alkalmazottakról vagy magánszemély ügyfelekről vezetnek nyilvántartást.

Mivel a HR-folyamatokban és eszközökben a személyes és a különleges adatok jelenléte általában jelentősen felülreprezentált a többi üzleti folyamatokhoz képest, a GDPR már évek óta jelentős hatást gyakorol a HR-részlegek mindennapjaira.

A GDPR előírások megismerése és a cég mindennapi működésébe való beillesztése a legtöbb HR-osztályon már megtörtént.

A NIS2 ugyan nem az új GDPR (erről egy korábbi cikkben olvashattál), de a GDPR-tapasztalatok birtokában  nem csoda, ha a néhol a HR-csapatok értik meg és ismerik fel elsőként az információvédelemhez kapcsolódó új előírások jelentőségét és válnak elsőként kíváncsivá az azoknak való megfelelés kihívásaira.

Szervezetben való gondolkozás

A társaságok csak úgy érthetik meg és fordíthatják le a saját helyzetükre a NIS2 követelményrendszerét, ha azt egy szervezeti egységeket feletti álló információbiztonsági irányítási rendszerként kezelik. Nagyon nehéz, de sok esetben nem is lehet az információk védelmére hozott intézkedéseket és azok működtetését kizárólag egyetlen szervezeti egységhez delegálni.

Egy korszerű és jól működő HR-csapatban sok esetben magasabb szinten jelenik meg a szervezetben való gondolkodás képessége és a szervezeti silók lebontásának igénye, mint egy hagyományos IT-részleg esetében.

Ebből kiindulva egészen logikusnak és indokoltnak tűnhet az a következmény, hogy számos esetben a NIS2-követelmények pontosabb megismerése kapcsán a HR-csapatok veszik át a kezdeményezést.

Ugyanakkor nem arról van szó, hogy a HR-részlegen dolgozó kollégák egyedül is késznek érzik magukat arra, hogy a szükséges tudással és tapasztalattal felvértezve kezdjenek neki NIS2-kihívások teljesítésének. Ehelyett inkább egy koordináló szerepet vállalnak fel az IT, a belső üzleti folyamatok felelősei és egy esetleges külső tanácsadó partner között.

És ott vannak még a képzések is

Nem lehet eléggé hangsúlyozni, hogy habár a NIS2 egy alapvetően technológia természetű követelményrendszer, nem feledkezhetünk meg az információbiztonság emberi oldaláról sem.

A munkatársak vagy a vezetők által elkövethető hibák még a leggondosabb tervezéssel kialakított, a szinte tökélyre fejlesztett folyamatok és szoftverek mellett is óriási veszélyt jelentenek az információ biztonságára, ami várhatóan a jövőben sem fog változni.

A NIS2-követelmények egyik fejezete kifejezetten a képzésekről szól, és arról, hogy folyamatosan erősíteni kell a cégek biztonságtudatosságát mind az egyén, mind a szervezet szintjén. A kollégák ezirányú folyamatos és hatékony felkészítése, az úgynevezett kiberhigéniai gyakorlatok szervezése pedig kifejezetten jó, ha a HR hatáskörébe kerül, hiszen sok esetben ők képesek leginkább egy cégben az eredményes és hatékony oktatások lebonyolítására.

Nem állítjuk, hogy minden társaság esetében a személyzeti ügyekre specializálódott csapat lenne a legideálisabb szereplő a NIS2-felkészülés koordinálására, de az szinte bizonyos, hogy egy proaktív és felkészült HR-részleg sokban tud hozzájárulni ahhoz, hogy a NIS2 komplex követelményeinek a teljesítése a meglévő szervezeti kultúrára a legkevesebb negatív hatást gyakorolja.

Megjelentek a nyári extra adóváltozások

A Magyar Közlöny 2024. július 8-án megjelent 74. számában három kormányrendelet került kihirdetésre, amelyek az adózás rendjét, a szociális hozzájárulási adót, valamint az extraprofitadókat illetően vezetnek be változásokat, illetve újabb adókötelezettségeket. Jelen bejegyzésünkben összefoglaljuk a három rendeletben bevezetett legfontosabb szabályokat és segítséget nyújtunk a rendeletek értelmezésében.

Az adózás rendjét érintő változások

2024. augusztus 1-jétől számos mulasztás esetében jelentősen megemelkedik a kiszabható mulasztási bírság legmagasabb összege:

  • Általános esetben a természetes személy adózó 200 ezer forint helyett 400 ezer forintig, nem természetes személy adózó 500 ezer forint helyett egymillió forintig terjedő mulasztási bírsággal sújtható.
  • Az eddigi egymillió forint helyett kétmillió forintig terjedő mulasztási bírsággal kell sújtani azt az adózót, amely be nem jelentett foglalkoztatottat alkalmaz, vagy alkalmazott.
  • Az adózó egymillió forint helyett kétmillió forintig terjedő mulasztási bírsággal sújtható, ha
    • a számla-, egyszerűsített számla-, nyugtakibocsátási kötelezettségét elmulasztja, vagy a számlát, egyszerűsített számlát, nyugtát nem a tényleges ellenértékről bocsátja ki, vagy
    • iratmegőrzési kötelezettségének nem tesz eleget.

A szociális hozzájárulási adót (Szocho) érintő változások

2024. augusztus 1-jétől, az ezen időponttól létesített munkaviszony esetében szűkül a munkaerőpiacra lépők után érvényesíthető Szocho kedvezmény lehetősége:

A Szocho kedvezmény szempontjából munkaerőpiacra lépőnek már csak az a magyar állampolgár és Magyarországgal határos, nem EGT-állam állampolgára minősülhet, aki a foglalkoztatás kezdetének hónapját megelőző 365 napon belül (ez korábban csupán 275 nap volt) legfeljebb 92 napig rendelkezett a Tbj. szerint biztosítási kötelezettséggel járó munkaviszonnyal, egyéni, társas vállalkozói jogviszonnyal.

Lényegesen lerövidül a Szocho-kedvezmény érvényesítési időszak:

  • A foglalkoztatás első két éve helyett már csak az első évében lehet a bruttó munkabér, de legfeljebb a minimálbér 13%-át adókedvezményként érvényesíteni.
  • A foglalkoztatás harmadik éve helyett már csak az első évét követő 6 hónapban lehet a minimálbér 13%-ának 50%-át adókedvezményként igénybe venni.

A hitelintézetek és a pénzügyi vállalkozások különadóját érintő változások:

Részben pontosításra, részben korlátozásra került, milyen módon tudják a hitelintézetek és a pénzügyi vállalkozások a 2024. december 10-ig fizetendő különadó kötelezettségüket csökkenteni, amennyiben a tulajdonukban lévő állampapíroknak a 2023. január 1-je és 2023. április 30-a közötti napi átlagos állományához viszonyítva a 2024. január 1-je és 2024. november 30-a közötti időszakra vonatkozó napi átlagos állománya növekszik.

Nem változik, hogy az adóalap 20 milliárd forintot meg nem haladó része után 13%, az e feletti összegre 30% a különadó mértéke. Nem változik az adóalap sem: a 2022. adóévi éves beszámoló alapján meghatározott adózás előtti eredmény,

csökkentve a 2022. adóévben elszámolt:

  • kapott osztalékkal,
  • nem a szokásos tevékenység keretében keletkezett áruértékesítésből, szolgáltatásnyújtásból származó nyereséggel,

növelve a 2022. adóévben ráfordításként elszámolt:

  • pénzügyi szervezetek különadójával,
  • pénzügyi tranzakciós illetékkel,
  • hitelintézetek és pénzügyi vállalkozások különadójával.

Pontosításra került, hogy az állampapírok napi átlagos állományának kiszámításához az állampapírok névértékét kell figyelembe venni (nem a bekerülési értékét, nem a napi piaci értékét stb.).

További korlátozások kerültek bevezetésre, hogy milyen módon megszerzett állampapírokat nem lehet figyelembe venni a különadót csökkentő tétel számítása során. A kivételek felsorolása, az eddigi repóügyleteken, és vétel-eladás (buy-sell back) ügyleteken túl kiegészült az értékpapírkölcsön ügyletekkel és az értékpapír-finanszírozási ügyletekkel.

A hitelintézetek és a pénzügyi vállalkozások 2024. évi különadóját csökkentő tételként az állampapír-állomány névértéknövekményének 10%-a, de legfeljebb e csökkentés figyelembevétele nélkül számított, adóévre fizetendő adó összegének 50%-a érvényesíthető.

A kőolajtermék-előállító (MOL) különadóját érintő változások

2024. augusztus 1-jétől 2,5 amerikai dollárnak megfelelő forint összeggel növekszik a MOL-nak a tárgyhónapban beszerzett, az Oroszországi Föderációból származó nyersolaj hordóban mért mennyisége után fizetendő különadó kötelezettsége, ugyanis 7,5 amerikai dollárról 5 amerikai dollárra módosul a kőolaj világpiaci árkülönbözete számításánál érvényesített csökkentő tétel.

A pénzügyi tranzakciós illetéket érintő változások:

2024. augusztus 1-jétől két esetben csökken a pénzügyi tranzakciós illetékről szóló 2012. évi CXVI. törvény (Pti. tv.) szerinti pénzügyi tranzakciós illeték alapja:

  • a Posta Elszámoló Központot működtető intézmény útján kezdeményezett készpénzbefizetés esetén a Posta Elszámoló Központot működtető intézménynél kezdeményezett befizetés 50 ezer forintot meghaladó összege (ez jelenleg 20 ezer forint),
  • magánszemély fizetési számlájáról (kivéve a magánszemély egyéni vállalkozói számlájáról) történő átutalás esetén átutalásonként az 50 ezer forintot meghaladó összeg (ez jelenleg 20 ezer forint).

2024. augusztus 1-jétől emelkedik a pénzügyi tranzakciós illeték mértéke:

  • Főszabály szerint az illeték mértéke 0,3%-ról 0,45%-ra és tranzakciónkénti maximum összege 10 ezer forintról 20 ezer forintra növekszik.
  • 0,6%-ról 0,9%ra emelkedik az illeték a fizetési számláról történő készpénzkifizetés, illetve a készpénz-helyettesítő fizetési eszköz útján történő készpénzkifizetés esetén.

2024. augusztus 1-jétől módosuló értékpapír tranzakciós illeték szabályok:

  • A befektetési szolgáltatást végzők illetékének mértéke 0,3%-ról 0,45%-ra és vételenkénti maximum összege 10 ezer forintról 20 ezer forintra növekszik.
  • Mentesül az értékpapír tranzakciós illeték alól a pénzügyi eszköz vétele, ha magánszemély (kivéve egyéni vállalkozói minőségében) javára vételenként 50 ezer forintot meg nem haladó értékben történik (ez jelenleg 20 ezer forint).

Kiegészítő pénzügyi tranzakciós illeték

2024. október 1-jei hatállyal kiegészítő tranzakciós illeték szabályok kerülnek bevezetésre

  • a Magyarországon székhellyel vagy fiókteleppel rendelkező pénzforgalmi szolgáltatóra, a pénzforgalmi szolgáltatónak nem minősülő, hitelt és pénzkölcsönt nyújtó pénzügyi intézményre, a pénzváltási tevékenység végzésére jogosult hitelintézetre, valamint a pénzváltás közvetítésére jogosult kiemelt közvetítőre,
  • a pénzforgalmi szolgáltatási, hitel- és pénzkölcsönnyújtási, pénzváltási, pénzváltás-közvetítési tevékenységeket Magyarországon határon átnyúló szolgáltatásként végző, külföldi székhellyel, fiókteleppel rendelkező személyre,
  • a Magyarországon székhellyel vagy fiókteleppel rendelkező befektetési szolgáltatási tevékenység végzésére jogosult befektetési vállalkozásra és hitelintézetre,
  • a befektetési szolgáltatási tevékenységet Magyarországon határon átnyúló szolgáltatásként végző, külföldi székhellyel, fiókteleppel rendelkező személyre.

Az új szabályok nem vonatkoznak az MNB-re.

A kiegészítő tranzakciós illetéket a különböző pénznemek közötti átváltást (konverziót) tartalmazó alábbi ügyletek után kell megfizetni:

    1. a) a Pti. tv. 3. § (1) – (3) bekezdése szerinti fizetési művelet, továbbá a Pti. tv. 3. § (4) bekezdés a) pontja és – a pénzforgalmi szolgáltató által más belföldi és külföldi hitelintézet, illetve a központi szerződő fél részére vezetett fizetési számla terhére megvalósított fizetési művelet kivételével – a Pti. tv. 3. § (4) bekezdés e) pontja szerinti fizetési művelet,
    2. b) a Pti. tv. 8/A. § (1) bekezdése szerinti pénzügyi eszköz vétel,
    3. c) az ügyfél javára, továbbá – a hitelintézetek kivételével – más belföldi, illetve külföldi pénzforgalmi szolgáltató, pénzügyi intézmény, befektetési vállalkozás, befektetési alapkezelő, valamint befektetési alap javára a befektetési szolgáltatást nyújtó által csereügyletre vonatkozó megbízás végrehajtása esetében.

Amennyiben egy ügylet vonatkozásában több jogcímen is keletkezne kiegészítő pénzügyi tranzakciós illetékfizetési kötelezettség, akkor a kötelezettséget csak a c) pont alapján kell teljesíteni. A kiegészítő pénzügyi tranzakciós illeték kötelezettség az a) és b) pont szerinti ügylet teljesítésének napján, a c) pont esetében, amennyiben a csereügylet egy azonnali és egy határidős adásvételi ügyletből áll, akkor az azonnali ügylet értéknapján, amennyiben a csereügylet több határidős ügyletből áll, akkor az első határidős ügylet értéknapján keletkezik. A forintra történő átszámításnál is ezen a napon érvényes MNB által közzétett hivatalos devizaárfolyamot kell használni.

Nem terheli kiegészítő pénzügyi tranzakciós illetékfizetési kötelezettség:

  • a fizető fél által a kedvezményezett útján kezdeményezett fizetést és
  • a Pti. tv. 3. § (4) bekezdése szerinti műveletet.

A kiegészítő pénzügyi tranzakciós illetékfizetési kötelezettség alapja

  • főszabály szerint a Pti. tv. 6. § (1) bekezdés a) –g) és i) pontja szerinti adóalap,
  • pénzügyi eszköz vétel esetében a Pti. tv. 8/A. § (2) bekezdése szerinti adóalap,
  • csereügylet esetében az az összeg, amelyre a csereügyletre vonatkozó megbízás vonatkozik.

A kiegészítő pénzügyi tranzakciós illetékfizetési kötelezettség mértéke 0,45%, de fizetési műveletenként legfeljebb 20 ezer forint.

A kiegészítő pénzügyi tranzakciós illetékfizetési kötelezettséget a pénzügyi tranzakciós illetékkel azonos módon kell megállapítani, bevallani és megfizetni.

***

­Jelen szakmai összefoglalónk a megjelenése napján elérhető információk alapján és kizárólag általános tájékoztatási céllal íródott, így semmilyen tekintetben nem minősül személyre szabott adótanácsadásnak és nem is helyettesíti azt.

Megjelent a NIS2-törvény IT-követelményeket tartalmazó rendelete

 Június 24-én hatályossá vált a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” IT-követelményrendszerét tartalmazó kormányrendelete. A NIS2 törvényhez kapcsolódó végrehajtási rendelet megjelenése egyformán jelentős lépés a jogszabállyal érintett cégek, a leendő auditorok és a tanácsadók számára is.

 A 120 oldalas dokumentum pontosan tartalmazza ugyanis azokat a követelményeket, amelyek alapján az érintett cégek felkészülése/felkészítése már elindítható, valamint a 2025-ben induló hatósági kiberbiztonsági audituk pedig megtervezhetővé válik.

Széles célcsoportnak készítettek szabályokat

A rendeletben egy olyan közös követelményjegyzékről van szó, ami a NIS2-törvény hatálya alá tartozó, közel 100 tevékenységi kör valamelyiket végző társaságra egyaránt alkalmazható kell legyen. Emiatt egy meglehetősen hosszú, általános de ugyanakkor kellően részletes anyag született.

A NIS2 hatálya alá tartozik minden olyan társaság, amely

  • több mint 50 főt foglalkoztat,
  • vagy több mint 10 millió euró éves árbevétellel rendelkezik és
  • a stratégiai szempontból kockázatos ágazatok valamelyikében működik.

Előzetes becslések szerint mintegy 2500-3000 gazdálkodó lehet érintett közvetlenül, de közvetve ennek akár a többszöröse is kapcsolatba kerülhet ezzel az új rendelkezéssel.

Három fejezetet találunk a csomagban

A rendelet egyrészt ismertet egy kockázatmenedzsment keretrendszert, másrészt tartalmaz egy intézkedéskatalógust és egy fenyegetéskatalógust, amelyeknek bevezetésre és alkalmazásra kell kerülni a jogszabállyal érintett vállalatoknál.

A kockázatmenedzsment fejezet azokat az alapvető lépéseket tartalmazza, amelyek ahhoz szükségesek, hogy az információs rendszereket osztályokba lehessen sorolni, és nyomon lehessen követni a hozzájuk kapcsolódó biztonsági intézkedések megvalósítását. Ez a fejezet tehát a megalapozó intézkedések szabályozását jelenti. Azon cégek esetében, amelyek eddig még nem foglalkoztak mélyebben információbiztonsággal kapcsolatos kockázatkezeléssel, a fejezetet tekinthetjük egyfajta segítségnek is.

A kockázatkezelés során megszületik egy nyilvántartás a társaság által használt információs rendszerekről és minden ide bekerült rendszer besorolásra kerül a rendeletben szereplő biztonsági osztályok egyikébe (alap, jelentős, magas). Ez a három osztály, illetve maga a rendeletben szereplő kockázatmenedzsment keretrendszer is több hasonlóságot mutat már meglévő nemzetközi kockázatkezelési sztenderdekkel, ami segítheti majd az ezek közötti átjárást.

Megdöbbentően sok az elvárt biztonsági intézkedés

Az osztályba sorolás alapján kerülnek kijelölésre a rendszerekhez bevezetendő védelmi intézkedések, amelyeket a kötelező auditokon is keresni és vizsgálni fognak. Ez az “alap” védelmi osztály esetében több, mint 160, a “jelentős” esetében több, mint 300, a “magas” védelmi osztály esetében pedig már közel 400 kötelezően vizsgálandó és kontrollpontot és hozzájuk kapcsolódó intézkedést tartalmaz. Összehasonlításképen az ISO 27001 információbiztonsági szabvány 2022 évi, legutolsó verziója 93 kontrollpontot fogalmaz meg.

Ezen kívül további, mintegy 530 olyan védelmi intézkedést is szerepeltetnek a rendeletben, amelyek használata általános esetben nem kötelező, ugyanakkor ágazattól és tevékenységi köröktől függően a társaságok megvizsgálhatják azok beépítését is az információbiztonsági irányítási rendszerükbe.

A jobb átláthatóság érdekében a védelmi intézkedéseket 19 kategóriába rendezték, úgy mint például: hozzáférés-felügyelet, képzések, rendszerek felügyelete, üzletfolytonosság, biztonsági események kezelése, ellátási lánc biztonsága stb.

Minden kategória esetében elmondható, hogy a jogszabály nem csak megfelelő dokumentáltságot és világos felelősségi szerepköröket vár el az érintett társaságoktól, de szervezeti intézkedésekre és megfelelő technológiai felkészültségre is szükség lesz az auditokon való sikeres szerepléshez.

Kötelezőek, de helyettesíthetőek

A speciális esetekre is gondolva a rendelet lehetővé teszi, hogy a társaságok bizonyos esetekben eltérhessenek a kiadott védelmi intézkedés katalógusban szereplő szabályoktól. Ilyen eset lehet például, ha az alkalmazott technológia, a működési környezet a fizikai infrastruktúra vagy egy nyilvános szolgáltatásra való tekintettel nem lehet bizonyos intézkedéseket bevezetni.

A speciális esetekben a társaság saját, helyettesítő biztonsági intézkedéseket alkalmazhat, de ebben az esetben még azt is dokumentálnia kell, hogy az általa alkalmazott intézkezdések mivel jobbak, mint a rendeletben foglaltak. Ezen túlmenően gondoskodnia kell a dokumentáció rendszeresen felülvizsgálatáról, hiszen a körülmények idővel változhatnak. Helyettesítő intézkedéseket a társaságok csak saját felelősségükre és a felelős vezetőjük írásos jóváhagyásával vezethetnek be.

Fájdalmas lehet a megfelelés

A megjelent rendelet is rávilágít arra, hogy a NIS2 hatálya alá tartozó társaságok egy jelentős részének komoly kihívást fog okozni a jogszabálynak való megfelelés. Számukra a kötelező védelmi intézkedések kialakítása jelentősebb erőforrásokat és leginkább számottevő időt fog igényelni, ezért célszerű minél előbb elindítani a felkészülést annak érdekében, hogy 2025-ben esedékes első hatósági auditot sikeresen teljesíthessék.

Podcast: ESG és NIS2 – Az új EU-s szabályozások tanácsadói szemmel 1. rész

Az idei évben vállalati és tanácsadói oldalról kétségkívül a két leginkább felkapott hívószóvá az ESG és a NIS2 vált. Mit látnak szakértőink, hol tartanak az ügyfelek a felkészüléssel? Hogyan járul hozzá a NIS2 és az ESG a vállalatok versenyképességének növeléséhez? Hogyan áll a NIS2 és az ESG jogszabályalkotás? Mik a legfontosabb feladatok, amiket egy vállalatnak elsőként kell elvégeznie a megfelelés érdekében?

Hallgassák meg szakértőink, dr. Balásfalvi-Kiss András és Kóczé Péter beszélgetéssorozatának első részét.

NIS2 Kiberbiztonsági tanúsítás: tények és tervek

2024. január eleje óta hatályos, a NIS2 közösségi irányelv alapján létrejött kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.). Rémisztőnek és komplexnek tűnhetnek az ebben megfogalmazott feladatok azok számára, akik korábban még nem foglalkoztak információbiztonsággal.

Az is nehezíti a tisztánlátást, hogy a jogszabály több végrehajtási rendelete még hiányzik.

Ezek jelenleg minisztériumi vagy hatósági egyeztetések alatt állhatnak, tartalmukba pedig csak innen-onnan, társadalmi egyeztetéseken és az illetékes hatóság (SZTFH – Szabályozott Tevékenységek Felügyeleti Hatósága) tájékoztató előadásain kaphattunk részleges betekintést.

Emiatt rendelkezünk egyfelől biztosnak tekinthető NIS2 információkkal, amelyek az EU 2022/2555 irányelvéből és a fent említett hazai jogszabályból olvashatunk ki, másfelől rendelkezünk még bizonytalan információkkal is, amik a még ki nem hirdetett rendeletek tervezeteiből származnak. Ráadásul kevés szakember és társaság mondhatja el magáról, hogy olyan szinten foglalkozott volna eddig az információbiztonsággal, amilyen szinten azt a NIS2 követelményrendszere a jövőben elvárja, így a várakozás mellett egyfajta folyamatos közösségi edukáció is megfigyelhető már a NIS2 előadásokat és konferenciákat járva.

Ebben a cikkben azokat a tudnivalókat gyűjtöttük össze, amelyek a Grant Thornton Magyarország eddigi tapasztalatai alapján a legfontosabbnak gondolunk és amelyek aktív szerepet játszottak a Grant Thornton által kidolgozott NIS2 mentorálás szolgáltatás kialakításában.

Az EU Kiberbiztonsági Stratégiája

A NIS2 célja tiszta és egyértelmű. Az EU azt szeretné ha minden, a területén működő  alapvető és fontos társaság rendelkezne olyan kibervédelmi rendszerrel, amely amellett, hogy megnehezíti a támadók dolgát, lehetővé teszi, hogy az esetlegesen bekövetkezett támadásokról gyors és teljes körű jelentés készüljön és kerüljön megosztásra a nemzeti incidenskezelő központok között.

Ez utóbbi a több országot is érintő kibertámadásokkal szembeni összehangolt fellépés érdekében fontos.

A nemzeti jogszabályokban (nálunk a Kibertan. tv.) megfogalmazott elvárások és az azok alapján kialakított információvédelmi intézkedések is mind ennek a célnak az elérését  hivatottak támogatni, azaz hogy

  • csökkentsük a cégekben az incidensek esélyét;
  • minél hamarabb észleljék a cégek egy incidens bekövetkeztét;
  • minél gyorsabban és hatékonyabban reagáljanak egy bekövetkezett incidensre (ide értve az arról való kötelező jelentéstételt is).

A NIS2 kiterjesztett hatókörébe nagyon sok olyan társaság is bekerült, amely számára várhatóan egy jó hosszú felkészülési út vezet majd a fenti célok elérésig. Több lépésben és több hónapos felkészüléssel tudják csak kialakítani a követelményeknek megfelelő információbiztonsági irányítási rendszerüket.

Ennek során nem csak technológiai, hanem jogi, folyamatszervezési, HR és más adminisztrációs kihívásokkal is találkozni fognak.

A követelmények egy része már ismert, de egy másik része még csak terv formájában létezik.

Önazonosítás és regisztráció

Az első feladat, hogy az érintettek magukra ismerjenek. Ehhez meg kell vizsgálni a KKV törvény szerinti besorolásukat, valamint azt, hogy végzik-e a Kibertan. tv. mellékleteiben meghatározott valamely tevékenységet. Akár csak egyetlen ilyen tevékenység is akad, az a teljes cég érintettségét fogja jelenteni és innentől kezdve elkerülhetetlenné válik a megfeleléssel való foglalkozás.

Az érintett cégeknek június 30-ig kell regisztrálniukaz SZTFH 420 jelű nyomtatvány kitöltésével. Ebben a kérdőívben nem csak adminisztratív, de technológiai kérdéseket is találhatunk, valamint a belső információbiztonsági felelős személyes adatait és elérhetőségét is pontosan fel kell itt tüntetni.

A regisztráció egy nagyon fontos lépés, mivel az illetékes hatóság nem fogja maga felkeresni a Kibertan. tv. hatálya alá került társaságokat, a cégeknek kell bejelentkezniük a hatóságnál. Az elmaradt regisztrációért ugyanakkor várhatóan mulasztási bírság kerül majd kiszabásra, aminek részletei viszont még nem ismertek, mivel azt az egyik még hiányzó rendelet fogja szabályozni.

Ezzel kapcsolatban milliós összegről lehet hallani a hatóság képviselőitől.

A kötelező regisztráció célja, hogy annak segítségével egy európai szintű nyilvántartást is létre lehessen hozni a NIS2 hatálya alá tartozó cégekről.

A felkészülés menete

A további lépésekről egyelőre csak rendelettervezetekből tájékozódhatunk. Ezek alapján az várható, hogy

  1. az érintett cégeknek össze kell majd írniuk az általuk használt elektronikus információs rendszereket
  2. azokat három védelmi osztályba kell sorolniuk: alap, jelentős és magas. A besorolást attól függően kell megtegyék, hogy azokban milyen adatokat dolgoznak fel vagy tárolnak és azok milyen kockázatokat hordoznak a cégre, illetve a társadalomra nézve. A besorolás módszertanára egy ajánlást is megfogalmaz majd a rendelettervezet, ezzel is csökkentve annak szubjektivitását.
  3. A felhasznált rendszerek besorolása alapján már nagyjából egyértemű lesz, hogy  milyen kötelezően alkalmazandó védelmi intézkedéseket kell kialakítani velük kapcsolatban. Erre egy intézkedési katalógus áll majd a cégek rendelkezésére, amelyről jelenleg szintén egy még hiányzó rendelet tervezetéből informálódhatunk. A katalógus alapján az várható, hogy meg lesz kötve a társaságok keze  az információbiztonsági keretrendszerük részleteinek kidolgozásakor.

A kötelezően alkalmazandó védelmi intézkedések katalógusa már hónapok óta társadalmi egyeztetésen van. A végleges verzióját még nem adták ki, a munkapéldány alapján azonban egy igen komplex követelményrendszerre lehet számítani.

A NIS2 auditorok több száz kontrollpont alapján fogják majd vizsgálni a cégek felkészültségét, amelyben többek között fontos szerepet kap az adathordozók és a fizikai környezet védelme, a személyi biztonság, az ellátási lánc védelme, a felhasználók képzése, harmadik féltől igénybe vett szolgáltatások kockázatelemzése, a hozzáférés-felügyelet, az üzletfolytonosság és az incidenskezelés tervezése, az informatikai rendszerek működésének folyamatos naplózása és monitorozása.

Ugyan részletszabályzatok végleges verziói még nem kerültek kiadásra, de a már hatályos NIS2 irányelv, a Kibertan. törvény, a részletszabályokat tartalmazó rendelettervezetek, valamint az információbiztonsági irányítási rendszerek több évtizedes jógyakorlataimár megfelelő kiindulási pontot jelentenek a felkészülést elkezdésére.

Az érintett cégek 2024. év végéig kell eljussanak a felkészültség azon fokára, ahol már szerződni tudnak az általuk kiválasztott NIS2 auditorral és érdemben ütemezni is tudják megfelelésük ellenőrzését.

Az eredeti cikket a Digitrendi.hu Vendégoldalán olvashatjátok: https://digitrendi.hu/nis2-kiberbiztonsagi-tanusitas-tenyek-es-meg-tobb-terv/

További hasznos linkek:

  • HU
  • EN
  • DE
    • Global reach