Az irányelv közvetlenül azokat a cégeket érinti, amiknek az éves nettó árbevétele meghaladja a 10 millió eurót és több, mint 50 főt foglalkoztatnak, illetve kritikus ágazatokban a kisebb cégeket is, de közvetve az ő beszállítóikat is érinti. Az irányelv célja, hogy azokat a cégeket kényszerítse a kiberbiztonság növelésére, melyek kiesése nagy hatással lenne társadalmunkra. Így az alábbi iparágak szereplőire hatályos:
Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek:
- Energetika (villamos energia, távfűtés- és hűtés, olaj, földgáz, hidrogén)
- Közlekedés (légi–, vasúti–, vízi–, közúti– és tömegközlekedés)
- Egészségügy
- Ivóvíz, szennyvíz
- Digitális infrastruktúra
- Kihelyezett IKT szolgáltatások
- Űralapú szolgáltatás
- Kockázatos ágazatokban működő szolgáltatók és szervezetek
- Postai és futárszolgáltatások
- Élelmiszer előállítása, feldolgozása és forgalmazása
- Hulladékgazdálkodás
- Vegyszerek gyártása, előállítása és forgalmazása
- Gyártás (orvostechnikai eszközök, számítógépek, elektronikai és optikai termékek, villamos berendezések, gépek és gépi berendezések, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása)
- Digitális szolgáltatók (online piacterek, online keresőmotorok, közösségimédia-szolgáltatási platform szolgáltatói)
- Kutatás (kutatóhelyek)
Az irányelv 2023. január 16-án lépett hatályba, de a rendelkezéseit 2024. október 18-tól kell alkalmazni. Ekkorra a szervezeteknek ki kell jelölniük olyan szakembert, aki ellátja az információbiztonsági felelős pozíciót, akinek fel kell készítenie a szervezetet a 2025.12.31-ig lefolytatandó auditra. Fontos azonban megjegyezni, hogy hazánkban körülbelül 2600 cég esik a törvény hatálya alá, az auditorokból és az auditra felkészítő, információbiztonsági szakemberekből, azonban hiány van, így nem javasolt az utolsó pillanatra hagyni a cselekvést.
A felügyeleti hatóság többféle szankciót alkalmazhat a követelményeket nem teljesítő szervezetekkel szemben:
- Szervezet figyelmeztetése
- Feltárt biztonsági hiányosságok elhárításának elrendelése
- Szervezet eltiltása a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől (a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével)
- Bírság kiszabása (max. 10 millió euró, vagy ha az magasabb, akkor az árbevétel 2% is lehet, ráadásul ismételhető módon)
- Szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatása az őket potenciálisan érintő fenyegetésről
Fontos határidők kiemelve:
- 2024.06.30-ig regisztrálni kell az SZTFH-nál, de a regisztációkor már meg kell adni az Információbiztonsági felelős személyi adatait.
- 2024.10.18-tól alkalmazni kell a törvény rendelkezéseit.
- 2024.12.31-ig szerződni kell az auditorral
- 2025.12.31-ig le kell bonyolítani az első auditot.
