23/2023. (XII. 19.) SZTFH rendelet

az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (3) bekezdés f) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § (1)[1] A Szabályozott Tevékenységek Felügyeleti Hatósága mint a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági hatóság (a továbbiakban: felügyeleti hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a Kiberbiztonsági tv. 1. § (1) bekezdés b), d) és e) pontja szerinti szervezet (a továbbiakban együtt: szervezet) vonatkozásában a Kiberbiztonsági tv. 29. § (1) bekezdés a) pontja szerinti nyilvántartás (a továbbiakban: nyilvántartás) vezetését.

(2) A felügyeleti hatóság eljárása a felügyeleti hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.

2. § (1)[2] A szervezetnek a nyilvántartásba történő felvételére irányuló eljárás kérelemre indul, amelyet a szervezet nyújt be a felügyeleti hatósághoz.

(2) Az (1) bekezdés szerinti kérelem tartalmazza

a)[3] a szervezet

aa) megnevezését,

ab) adószámát,

ac) cégjegyzékszámát,

ad) székhelyének címét,

ae) alapításának dátumát,

af) a Kiberbiztonsági tv. 2. és 3. melléklete szerinti tevékenységeit,

ag) a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti besorolását és előző üzleti évi nettó árbevételét,

ah) elektronikus levelezési címét, amely a felügyeleti hatóság által tájékoztatási célra felhasználható a szervezet kérelemben rögzített hozzájárulása alapján,

ai) Kiberbiztonsági tv. hatálya alá kerülésének Kiberbiztonsági tv. 8. § (6) bekezdése szerinti időpontját,

b)[4] a magyarországi letelepedett képviselő nevét vagy cégnevét, levelezési címét, telefonszámát és elektronikus levelezési címét, ha a szervezet nem az Európai Unióban letelepedett szervezet, de Magyarországon belül kínál szolgáltatásokat, és magyarországi letelepedett képviselőt jelöl ki,

c)[5] az elektronikus információs rendszerek biztonságáért felelős személy természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint - ha az elektronikus információs rendszerek biztonságáért felelős személy nem a szervezet munkavállalója - az elektronikus információs rendszerek biztonságáért felelős személyt foglalkoztató jogi személy megnevezését, adószámát és cégjegyzékszámát,

d)[6] a szervezet következő technikai adatait:

da) a szervezet rendelkezésében lévő elektronikus információs rendszerek darabszámát,

db) az elektronikus információs rendszerei által nyújtott nyilvános szolgáltatásokat,

dc) az elektronikus információs rendszerei által használt, a szervezethez rendelt nyilvános, fix IP-címet,

dd) az elektronikus információs rendszerei által használt doménnevet,

de) az elektronikus információs rendszerei üzemeltetésében részt vevő vagy abban közreműködő jogi személy vagy jogi személyiséggel nem rendelkező szervezet megnevezését és adószámát,

df) az elektronikus információs rendszerei működtetéséhez igénybe vett elektronikus hírközlési szolgáltatást vagy közvetítő szolgáltatást és az e szolgáltatásokat nyújtó szolgáltató megnevezését és adószámát, valamint

e)[7] azon európai uniós tagállamok listáját, amelyekben a szervezet szolgáltatásokat nyújt.

(3)[8] A felügyeleti hatóság nyilvántartja a (2) bekezdés a) pont ad)-ai) alpontja és (2) bekezdés d) pontja szerinti adatokat, valamint az érintett szervezet nyilvántartásba vételekor kapott azonosító számát.

3. § (1)[9] A szervezet a nyilvántartásban szereplő adatait érintő változást a felügyeleti hatóság által e célra rendszeresített elektronikus űrlapon jelenti be a felügyeleti hatóság részére.

(2)[10] A szervezet a változás beálltát követő 8 napon belül bejelenti a felügyeleti hatóságnak, ha legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.

(3)[11] Ha a felügyeleti hatóság hivatalos eljárása során szerez tudomást a szervezet jogutód nélkül történő megszűnéséről, hivatalból intézkedik a szervezet nyilvántartásból történő törlése iránt.

4. §[12] A felügyeleti hatóság az Európai Bizottság felé fennálló bejelentési kötelezettség teljesítése érdekében jogosult a nyilvántartásban szereplő adatok szervezet általi rendkívüli felülvizsgálatát elrendelni.

5. § Ez a rendelet 2024. január 1. napján lép hatályba.

5/A. §[13] (1) Az egyes kiberbiztonsági tárgyú és fenntarthatósági célú átvilágítási kötelezettségekkel összefüggő rendeletek módosításáról szóló 8/2025. (VIII. 21.) SZTFH rendelettel (a továbbiakban: Módr.) módosított 2. § (2) bekezdés d) pont da) alpontját a Módr. hatálybalépését követően indult eljárásokra kell alkalmazni.

(2) Az a szervezet, amely nem az (1) bekezdés szerinti eljárás alapján került felvételre a Kiberbiztonsági tv. 29. § (1) bekezdés a) pontja szerinti nyilvántartásba, a Módr.-rel módosított 2. § (2) bekezdés d) pont da) alpontja szerinti adatot 2025. december 31. napjáig jelenti be a felügyeleti hatóság részére.

6. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

Dr. Biró Marcell s. k.,

elnök