189/2025. (VII. 3.) Korm. rendelet
a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet módosításáról
[1] A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet módosításának célja az egyes rendelkezéseknek a jogalkalmazói tapasztalatokra figyelemmel történő pontosítása, valamint az (EU) 2022/2555 európai parlamenti és tanácsi irányelvben foglalt rendelkezéseknek való teljes körű megfelelés biztosítása.
[2] A Kormány a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (1) bekezdés j) pontja és 81. § (2) bekezdés 2., 3., 5., 8., 10., 15., 16., 21., 22., 24. és 25. pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 17. § (1) bekezdés e) pontja helyébe a következő rendelkezés lép:
(A nemzeti kiberbiztonsági hatóság jogosult)
"e) a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti azon szervezet esetében, amely egyúttal a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezet is, a kiberbiztonsági audit eredményeképp előállított auditjelentést megalapozó bizonyítékokhoz hozzáférni, és ezeket bekérni, ezek tartalmát felülvizsgálni,"
2. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet a következő 18/A. §-sal egészül ki:
"18/A. § A Kormány a Kiberbiztonsági tv. 24. § (9) bekezdése szerinti adatszolgáltatást teljesítő élelmiszerlánc-felügyeleti szervként
a) a Nemzeti Élelmiszerlánc-biztonsági Hivatalt és
b) a Nemzeti Kereskedelmi és Fogyasztóvédelmi Hatóságot
jelöli ki."
3. § (1) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 25. § (2) bekezdés c) pontja helyébe a következő rendelkezés lép:
[Az (1) bekezdés szerinti kérelem tartalmazza az elektronikus információs rendszer biztonságáért felelős természetes személy]
"c) az informatikáért felelős miniszter rendeletében előírt végzettség, illetve a 105. § szerinti nemzeti koordinációs központ által közzétett szakképzettség, akkreditált nemzetközi képzettség vagy az informatikáért felelős miniszter rendeletében meghatározott szakterületen szerzett szakmai tapasztalat igazolására szolgáló adatokat és dokumentumokat."
(2) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 25. § (2) bekezdés c) pontja helyébe a következő rendelkezés lép:
[Az (1) bekezdés szerinti kérelem tartalmazza az elektronikus információs rendszer biztonságáért felelős természetes személy]
"c) az informatikáért felelős miniszter rendeletében előírt végzettség, illetve a 105. § szerinti nemzeti koordinációs központ által közzétett szakképzettség, akkreditált nemzetközi képzettség igazolására szolgáló adatokat és dokumentumokat."
4. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 30. §-a a következő (6) bekezdéssel egészül ki:
"(6) A nemzeti kiberbiztonsági hatóság kötelezheti a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti szervezetet, amely egyben a Kiberbiztonsági tv. 2. vagy 3. mellékletének hatálya alá tartozik az elektronikus információs rendszer biztonsági osztályának felülvizsgálatára és módosítására, ha a kiberbiztonsági audit lefolytatása során, a szervezet által megállapított biztonsági osztály megfelelőségének vizsgálata eredményeként az auditor "nem megfelelő" értékelést rögzített."
5. § (1) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 53. § (2) bekezdése a következő 11a. ponttal egészül ki:
(A sérülékenységvizsgálati alapdokumentumban rögzíteni kell legalább)
"11a. gazdálkodó szervezet esetében - "jelentős" vagy "magas" biztonsági osztályba sorolt elektronikus információs rendszerre kiterjedő sérülékenységvizsgálat esetén - az SZTFH elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti "jelentős" vagy "magas" megbízhatósági szintre nyilvántartásba vett vizsgáló laboratórium megnevezését és a vizsgáló laboratórium által a sérülékenységvizsgálat során elvégzendő tevékenységek körét,"
(2) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 53. § (2) bekezdés 14. pontja helyébe a következő rendelkezés lép:
(A sérülékenységvizsgálati alapdokumentumban rögzíteni kell legalább)
"14. a szervezet vezetőjének vagy az általa meghatalmazott, a szervezet vezetőjének szervezetszerű helyettesítésére jogosult vezető aláírását."
6. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 62. § (3) bekezdése helyébe a következő rendelkezés lép:
"(3) A sérülékenységvizsgálati alapdokumentum eltérő rendelkezése hiányában az állásfoglalás tervezetét a sérülékenységvizsgálatot végző szerv megküldi a szervezet részére véleményezésre, amelyre a szervezet vezetője egy alkalommal, 8 napon belül észrevételt tehet. Ebben javaslatot tehet a kockázat felülvizsgálatára, és legfeljebb egy szintet módosíthat a kockázati besoroláson. A vélemény elfogadásáról a sérülékenységvizsgálatot végző szerv dönt."
7. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 67. § (1) bekezdés 4. pontja a következő g) alponttal egészül ki:
(A Központ ellátja a következő feladatokat:
a sérülékenységeket, sebezhetőségeket érintő feladatkörében:)
"g) ellátja az (EU) 2024/2847 európai parlamenti és tanácsi rendelet 14. cikke szerinti koordinátor CSIRT feladatokat;"
8. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 77. § (2) bekezdése helyébe a következő rendelkezés lép:
"(2) Kiberfenyegetés, kiberbiztonsági incidensközeli helyzet és üzemeltetési kiberbiztonsági incidens bejelentése során az (1) bekezdés rendelkezései a Központ által meghatározott módon alkalmazandók, ha azok az adott esemény kapcsán értelmezhetők."
9. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 92. § (5) bekezdése helyébe a következő rendelkezés lép:
"(5) A Nemzeti Kiberbiztonsági Munkacsoport tagjának visszahívásáról a tagot delegáló személy dönt saját kezdeményezés vagy a Nemzeti Kiberbiztonsági Munkacsoport elnökének javaslata alapján."
10. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 100. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A Fórum a jogszabályban, illetve a kiberbiztonságért felelős biztos, a Nemzeti Kiberbiztonsági Munkacsoport vagy az Almunkacsoportok által meghatározott feladatai ellátásához igazodva szükség szerint, de legalább háromhavonta tart ülést. Az ülést a Nemzeti Kiberbiztonsági Munkacsoport elnöke vagy az általa kijelölt tag hívja össze."
11. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 101. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A Kiberbiztonsági Almunkacsoportok a jogszabályban, illetve a kiberbiztonságért felelős biztos, a Nemzeti Kiberbiztonsági Munkacsoport által meghatározott feladataik ellátásához igazodva szükség szerint, de legalább háromhavonta tartanak ülést. Az üléseket a Kiberbiztonsági Almunkacsoportok vezetői hívják össze."
12. § (1) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 114. § (1) bekezdés d) pontja helyébe a következő rendelkezés lép:
(Az egyedüli kapcsolattartó pont összekötő feladatokat lát el)
"d) az (EU) 2022/2555 európai parlamenti és tanácsi irányelv együttműködési csoportjával (a továbbiakban: NIS Együttműködési Csoport), valamint"
(2) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 114. §-a a következő (2a) bekezdéssel egészül ki:
"(2a) Az egyedüli kapcsolattartó pont a 113. § (1) bekezdés c) pontja szerinti adatszolgáltatás kézhezvételét követően haladéktalanul tájékoztatja az ENISA-t a szolgáltatói nyilvántartáshoz megküldött adatokban bekövetkezett változásról."
13. § (1) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 116. § (3) bekezdése a következő h) ponttal egészül ki:
(A nemzeti kiberbiztonsági hatóság és a Központ az európai szakértői értékelés)
"h) során - a bizalmas vagy minősített adatok védelmét szolgáló nemzeti vagy uniós jog sérelme nélkül, valamint Magyarország nemzetbiztonsági, közbiztonsági vagy alapvető védelmi érdekeinek sérelme nélkül - megadja az értékeléshez szükséges információkat a kijelölt kiberbiztonsági szakértőknek."
(2) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 116. §-a a következő (4) bekezdéssel egészül ki:
"(4) Az (1) bekezdés és a (3) bekezdés a) pontja alapján meghatározott, szakértői értékelésnek alávetett szempontokkal azonos szempontok további szakértői értékelésnek nem vethetők alá a szakértői értékelés lezárását követő két éven belül, kivéve, ha azt a nemzeti kiberbiztonsági hatóság vagy a Központ kéri, vagy arról a NIS Együttműködési Csoport javaslata alapján megállapodás született."
14. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 120. § (2) bekezdése a következő d) ponttal egészül ki:
(Ez a rendelet)
"d) a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendeletnek"
(a végrehajtásához szükséges rendelkezéseket állapít meg.)
15. § (1) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 1. melléklete az 1. melléklet szerint módosul.
(2) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 2. melléklete helyébe a 2. melléklet lép.
(3) A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 3. melléklete a 3. melléklet szerint módosul.
16. § A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet
1. 1. § (1) bekezdésében a "pontja" szövegrész helyébe az "és f) pontja, valamint 1. § (2a) bekezdése" szöveg,
2. 1. § (2) bekezdés a) pontjában a "pontja" szövegrész helyébe az "és f) pontja, valamint 1. § (2a) bekezdése" szöveg,
3. 1. § (5) bekezdés a) pontjában a "pontja" szövegrész helyébe az "és f) pontja, valamint 1. § (2a) bekezdése" szöveg,
4. 3. § (2) bekezdés b) pontjában a "pontja szerinti" szövegrész helyébe a "pontja, valamint a honvédelmi célú elektronikus információs rendszerei vonatkozásában az f) pontja szerinti" szöveg,
5. 8. § (2) bekezdés a) pontjában az "eredményét," szövegrész helyébe az "eredményét, ha annak végrehajtására kötelezett," szöveg,
6. 16. § (3) bekezdésében az "- a 18. § e) pontjában, a 25. §-ban, a 39. § (3) és (4) bekezdésében" szövegrész helyébe az "- a 17. § (1) bekezdés e) pontjában, a 18. § e) pontjában, a 25. §-ban, a 30. § (6) bekezdésében, a 39. § (3) és (4) bekezdésében" szöveg,
7. 23. § (1) bekezdés c) pontjában a "kezdeményezése esetén" szövegrész helyébe a "kezdeményezi" szöveg,
8. 31. § (4) bekezdésében a "biztonsági események" szövegrész helyébe a "kiberbiztonsági incidensek" szöveg,
9. 42. § (1) bekezdés a) pontjában a "pontja" szövegrész helyébe az "és f) pontja, valamint 1. § (2a) bekezdése" szöveg,
10. 68. § (1) bekezdésében a "c) és f)" szövegrész helyébe a "c), f) és g)" szöveg,
11. 95. § (1) bekezdésében a "koordinációs" szövegrész helyébe a "szakmai és koordinációs" szöveg,
12. 95. § (4) bekezdésében a "Munkacsoport javaslatot" szövegrész helyébe a "Munkacsoport elnöke javaslatot" szöveg,
13. 95. § (6) bekezdésében az "események" szövegrész helyébe az "incidensek" szöveg,
14. 113. § (3) bekezdés a) pont aa) alpontjában a "pontja" szövegrész helyébe az "és f) pontja, valamint 1. § (2a) bekezdése" szöveg,
15. 114. § (2) bekezdés d) pontjában a "b) pontja" szövegrész helyébe a "b) és c) pontja" szöveg,
16. 1. melléklet 3.1. pontjának címében a "VAGY" szövegrész helyébe az "ÉS" szöveg,
17. 1. melléklet 3.1. pontjában a "sértetlenségének vagy rendelkezésre" szövegrész helyébe a "sértetlenségének és rendelkezésre" szöveg, a "csak elhanyagolható" szövegrész helyébe a "nem jelentős" szöveg
lép.
17. § Hatályát veszti a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet
a) 25. § (8) bekezdés a) pontjában a "képzési," szövegrész,
b) 93. § (1) bekezdésében az " , elnökeként" szövegrész,
c) 97. § (2) bekezdésében a " , melynek elfogadásáról a Kormány dönt" szövegrész.
18. § (1) Ez a rendelet - a (2)-(4) bekezdésben foglalt kivétellel - a kihirdetését követő napon lép hatályba.
(2) A 15. § (2) és (3) bekezdése, a 16. § 9. pontja, a 2. melléklet és a 3. melléklet az e rendelet kihirdetését követő 16. napon lép hatályba.
(3) A 7. § és a 14. § 2026. szeptember 11-én lép hatályba.
(4) A 3. § (2) bekezdése 2028. január 1-jén lép hatályba.
19. § (1) Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
(2) Ez a rendelet a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendeletnek a végrehajtásához szükséges rendelkezéseket állapít meg.
Orbán Viktor s. k.,
miniszterelnök
1. melléklet a 189/2025. (VII. 3.) Korm. rendelethez
A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 1. melléklet 4. pontja helyébe a következő pont lép:
"4. Az adatosztályozás eredménye
4.1. Titkosítás
A B2 szintű adatok esetén: ha technológiai szempontból lehetséges, gondoskodni kell a titkosításról, amennyiben külföldi adatkezelés vagy nem privát felhőszolgáltatás igénybevétele valósul meg.
A B3-4 szintű adatok esetén: minden esetben gondoskodni kell a titkosításról, amennyiben külföldi adatkezelés vagy nem privát felhőszolgáltatás igénybevétele valósul meg.
4.2. Az adatkezelés helyszíne
4.2.1. SR2 besorolású adatok esetén: Ha jogszabály másként nem rendelkezik, az adatok kezelésére földrajzi korlátozással kerülhet sor. Az adatok csak EGT-tagállam területén tárolhatók. Külföldi adattárolás esetén egyidejűleg gondoskodni kell az adatnak Magyarország területén való rendelkezésre állásáról is.
4.2.2. A 4.2.1. alpontban foglaltakon túl az adatkezelés lehetséges helyszínének meghatározásához összeadandó az adat B és SR kategóriájának megnevezésében szereplő számértéke. Ha jogszabály másként nem rendelkezik, a kapott eredmény alapján az adatok az alábbi F1-F4 kategóriákba sorolhatók, melyekre a következő előírások alkalmazandók:
4.2.2.1. F1: ha a B és SR összesített értéke: 2
Az F1 besorolású adatok
- földrajzi korlátozás nélkül,
- nem privát felhőszolgáltatás igénybevétele esetén korlátozás nélkül
kezelhetők és tárolhatók.
4.2.2.2. F2: ha a B és SR összesített értéke: 3
Az F2 besorolású adatok
- SR1 besorolású adatok esetén földrajzi korlátozás nélkül, SR2 besorolású adatok esetén kizárólag EGT-tagállam területén,
- nem privát felhőszolgáltatás igénybevétele esetén
- EGT-tagállam területén kívül kizárólag az igénybe vett szolgáltatás vonatkozásában harmadik fél általi, a kiberbiztonsági hatóság honlapján közzétett lista szerinti kiberbiztonsági tanúsítással, audittal vagy engedélyezéssel rendelkező (a továbbiakban: harmadik fél által tanúsított) nem privát felhőben vagy
- EGT-tagállam területén belül akár nem tanúsított nem privát felhőben is kezelhetők és tárolhatók.
4.2.2.3. F3: ha a B és SR összesített értéke: 4
Az F3 besorolású adatok
- kizárólag EGT-tagállam területén belül
- nem privát felhőszolgáltatás igénybevétele esetén
- harmadik fél által tanúsított nem privát felhőben vagy
- nem tanúsított nem privát felhőszolgáltatás igénybevétele esetén kizárólag Magyarország területén
kezelhetők és tárolhatók.
4.2.2.4. F4: ha a B és SR összesített értéke: 5 vagy 6
Az F4 besorolású adatok
- kizárólag Magyarország területén,
- felhőszolgáltatás igénybevétele esetén
- harmadik fél által tanúsított privát felhőben vagy
- kormányzati felhőben
kezelhetők.
4.3. Az adatosztályozás eredményének összesítése:
| A | B | C | |
| 1 | SR1 | SR2 | |
| 2 | B1 | F1 | F2 |
| 3 | B2 | F2 | F3 |
| 4 | B3 | F3 | F4 |
| 5 | B4 | F4 | F4 |
"
2. melléklet a 189/2025. (VII. 3.) Korm. rendelethez
"2. melléklet a 418/2024. (XII. 23.) Korm. rendelethez
A Kiberbiztonsági tv. 1. § (1) bekezdés a)-c) és f) pontja és 1. § (2a) bekezdése szerinti szervezettel szemben kiszabható kiberbiztonsági bírság mértéke
| A | B | C | |
| 1 | A jogszabálysértés megnevezése | A bírság legkisebb mértéke (forint) | A bírság legnagyobb mértéke (forint) |
| 2 | a Kiberbiztonsági tv. 8. § (4) bekezdés a) pontja szerinti nyilvántartásba vétel érdekében történő adatszolgáltatás nem teljesítése | 200.000 | 2.000.000 |
| 3 | az elektronikus információs rendszer biztonságáért felelős személy hatósági nyilvántartásba vételére irányuló kérelem benyújtásának elmulasztása | 200.000 | 2.000.000 |
| 4 | információbiztonsági szabályzat hatósági nyilvántartásba vételére irányuló kérelem benyújtásának elmulasztása | 200.000 | 2.000.000 |
| 5 | a Kiberbiztonsági tv. 8. § (4) bekezdés f) pontja szerinti bejelentés benyújtásának elmulasztása | 200.000 | 4.000.000 |
| 6 | a 2-5. sor szerinti eseteken felüli, a Kiberbiztonsági tv. 8. § (3) bekezdés a) pontja szerinti adatváltozás bejelentésének elmulasztása | 50.000 | 1.000.000 |
| 7 | jogszabályban meghatározott arányos kiberbiztonsági intézkedések bevezetésének és alkalmazásának elmulasztása | 200.000 | a 42. § (2) bekezdése szerinti összeg |
| 8 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet esetében a Kiberbiztonsági tv. 8. § (5) bekezdése szerinti nyilvántartásba vétel érdekében történő adatszolgáltatás nem teljesítése | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet előző üzleti évi nettó árbevételének - árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének - vagy előző évi költségvetési bevételi előirányzatának 0,5%-a, de legalább 1.000.000 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet előző üzleti évi nettó árbevételének - árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének - vagy előző évi költségvetési bevételi előirányzatának legfeljebb 2%-a, de legfeljebb 150.000.000 |
| 9 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet esetében a Kiberbiztonsági tv. 8. § (5) bekezdése szerinti nyilvántartásba vétel érdekében történő adatszolgáltatás határidőn túl történő teljesítése | 50.000 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet előző üzleti évi nettó árbevételének - árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének - vagy előző évi költségvetési bevételi előirányzatának legfeljebb 0,1%-a, de legfeljebb 15.000.000 |
| 10 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet esetében a Kiberbiztonsági tv. 7. § (1) bekezdése szerinti felügyeleti díjfizetés elmulasztása | 500.000 | a Kiberbiztonsági tv. 7. §-a szerinti kiberbiztonsági éves felügyeleti díj maximum tízszerese |
| 11 | a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet esetében a Kiberbiztonsági tv. 16. § (1) bekezdése szerinti kiberbiztonsági audit határidőn belüli lefolytatásának elmulasztása | 1.000.000 | 50.000.000 |
| 12 | a nemzeti kiberbiztonsági hatóság végleges, végrehajtható határozatában foglalt kötelezésének nem teljesítése | 1.000.000 | 50.000.000 |
| 13 | az információbiztonsági felügyelővel való együttműködés elmulasztása | 1.000.000 | 40.000.000 |
| 14 | a szervezet által nyújtott szolgáltatás igénybe vevői, illetve az egyéb érintettek részére elrendelt tájékoztatási kötelezettség elmulasztása | 2.000.000 | 20.000.000 |
| 15 | kiberbiztonsági gyakorlatról készített értékelő beszámoló benyújtásának elmulasztása | 200.000 | 4.000.000 |
| 16 | kiberbiztonsági képzés, továbbképzés elvégzését igazoló okirat hiánya | 200.000 | 4.000.000 |
| 17 | sérülékenységkezelési terv benyújtásának elmulasztása | 200.000 | 10.000.000 |
| 18 | a Kiberbiztonsági tv. 66. §-a szerinti bejelentési kötelezettség elmulasztása | 500.000 | 5.000.000 |
| 19 | kiberbiztonsági incidenskezelő központtal való együttműködési kötelezettség elmulasztása | 500.000 | 50.000.000 |
| 20 | a nemzeti kiberbiztonsági hatóság vagy a sérülékenységvizsgálat végzésére jogosult állami szerv által elrendelt sérülékenységvizsgálati, illetve kiberbiztonsági incidens kezelési és kivizsgálási kötelezettség elmulasztása | 500.000 | 50.000.000 |
| 21 | zárójelentés elkészítésének elmulasztása, illetve nem megfelelő módon történő teljesítése | 500.000 | 5.000.000 |
| 22 | közvetítő szolgáltató együttműködési kötelezettségének megszegése | 1.000.000 | 40.000.000 |
"
3. melléklet a 189/2025. (VII. 3.) Korm. rendelethez
A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet 3. mellékletében foglalt táblázat 7. sora helyébe a következő rendelkezés lép, és a táblázat a következő 8. és 9. sorral egészül ki:
| (A | B | C | |
| 1. | A szabálytalanság megnevezése | A bírság legkisebb mértéke | A bírság legnagyobb mértéke) |
| 7. | A Kiberbiztonsági tv. 21. § (3) bekezdése szerinti nyilvántartásban szereplő auditorral a kiberbiztonsági audit elvégzésére irányuló megállapodás határidőben történő megkötésére vonatkozó kötelezettség teljesítésének elmulasztása | 1 000 000 forint | 15 000 000 forint |
| 8. | A Kiberbiztonsági tv. 16. § (1) bekezdése szerinti kiberbiztonsági audit határidőn belüli lefolytatásának elmulasztása | 1 000 000 forint | a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezet előző üzleti évi nettó árbevételének - árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének - vagy előző évi költségvetési bevételi előirányzatának legfeljebb 2%-a, de legfeljebb 150 000 000 forint |
| 9. | A Kiberbiztonsági tv. 66. § (2) bekezdése szerinti bejelentési kötelezettség elmulasztása | 500 000 forint | 5 000 000 forint |