2/2025. (I. 31.) SZTFH rendelet

a kiberbiztonsági felügyeleti díjról

[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a kiberbiztonsági felügyeleti tevékenységért fizetendő kiberbiztonsági felügyeleti díj mértékének és a megfizetésére vonatkozó rendelkezések megállapítása.

[2] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés a) pontjában kapott felhatalmazás alapján,

a 2. § (10) bekezdése és a 4. § tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján,

a 7-10. § tekintetében a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés e) pontjában kapott felhatalmazás alapján,

a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. A kiberbiztonsági felügyeleti díj mértéke

1. § (1) A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 7. § (1) bekezdése szerinti kiberbiztonsági felügyeleti díj (a továbbiakban: kiberbiztonsági felügyeleti díj) éves mértéke

a) a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezet is, valamint a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezet (a továbbiakban együtt: szervezet) tárgyévet megelőző évben közzétett utolsó, a számvitelről szóló 2000. évi C. törvény (a továbbiakban: Szt.) szerinti beszámolója szerinti nettó árbevételének 0,00015 százaléka, ha a szervezet tárgyévet megelőző éves nettó árbevétele nem éri el a 20 milliárd forintot,

b) a szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevételének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévet megelőző éves nettó árbevétele eléri vagy meghaladja a 20 milliárd forintot.

(2) Az (1) bekezdéstől eltérően, az (1) bekezdés szerinti árbevétel hiányában a kiberbiztonsági felügyeleti díj éves mértéke

a) a szervezet tárgyévi árbevétele egész évre vetített időarányos részének 0,00015 százaléka, ha a szervezet tárgyévi árbevétele egész évre vetített időarányos része nem éri el a 20 milliárd forintot,

b) a szervezet tárgyévi árbevétele egész évre vetített időarányos részének 0,0015 százaléka, de legfeljebb 10 millió forint, ha a szervezet tárgyévi árbevétele egész évre vetített időarányos része eléri vagy meghaladja a 20 milliárd forintot.

(3) A kiberbiztonsági felügyeleti díj számítása, megfizetése, nyilvántartása és elszámolása 1000 forintra kerekítve történik. A kiberbiztonsági felügyeleti díj 1000 forintra kerekített összegét az általános kerekítési szabályok alkalmazásával kell meghatározni.

(4) Ha a szervezet a tárgyévben kerül a Kiberbiztonsági tv. hatálya alá, a hatály alá kerülés Kiberbiztonsági tv. 8. § (6) bekezdése szerinti időpontjától kezdődően a szervezet tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevétele - árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos része - alapján időarányos mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.

(5) Ha a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) a tárgyévben törli a szervezetet a Kiberbiztonsági tv. 29. § (1) bekezdés a) pontja szerinti nyilvántartásból (a továbbiakban: nyilvántartás), és a szervezet tárgyévre vonatkozó kiberbiztonsági felügyeleti díj fizetési kötelezettségét még nem teljesítette, akkor a szervezet a nyilvántartásból való törlésének napjáig terjedő időszakra vonatkozóan, a tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója szerinti nettó árbevétele - árbevétel hiányában a tárgyévi árbevételének egész évre vetített időarányos része - alapján időarányos mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.

(6) Ha a tárgyévben fizetendő kiberbiztonsági felügyeleti díj összege nem éri el az 5000 forintot, a kiberbiztonsági felügyeleti díjat nem kell megfizetni. Ebben az esetben a Hatóság a 2. § (3), (6), (7) vagy (9) bekezdése szerinti tájékoztatása tartalmazza, hogy a szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettsége a tárgyévre nem áll fenn.

2. A kiberbiztonsági felügyeleti díj megfizetésének általános szabályai

2. § (1) Ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoportban, tényleges vállalatcsoportban vagy az Szt. szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban vesz részt, a szervezet a részvételét a Hatóság által e célra rendszeresített elektronikus űrlapon benyújtott - elismert vállalatcsoport esetében az uralkodó taggal közösen megtett - nyilatkozatával igazolja a Hatóság részére a tárgyév január 31. napjáig.

(2) Az 1. § (2) bekezdése szerinti esetben a szervezet a Hatóság által e célra rendszeresített elektronikus űrlapon nyilatkozatot nyújt be a Hatósághoz a tárgyévi árbevétele egész évre vetített időarányos részének összegéről a tárgyév február 28. napjáig.

(3) A Hatóság a (6)-(10) bekezdésben foglalt kivétellel a szervezetet - vagy elismert vállalatcsoportba tartozó szervezet esetében az uralkodó tagot - a tárgyévre fizetendő kiberbiztonsági felügyeleti díj mértékéről és - az 1. § (6) bekezdésében foglalt kivétellel - a megfizetésének módjáról a tárgyévet megelőző évben közzétett utolsó, Szt. szerinti beszámolója alapján a tárgyév március 31. napjáig tájékoztatja.

(4) Ha a Polgári Törvénykönyvről szóló törvény szerinti tényleges vállalatcsoportban vagy az Szt. szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő szervezetek által - a (3) bekezdés szerinti tájékoztatás alapján - a tárgyévben fizetendő éves kiberbiztonsági felügyeleti díj együttes mértéke meghaladja a Kiberbiztonsági tv. 7. § (2) bekezdése szerinti 50 millió forintot, akkor a szervezetek tárgyév április 30-ig közös nyilatkozatot nyújtanak be a Hatóság részére, amely tartalmazza az egyes szervezetek által megfizetésre kerülő kiberbiztonsági felügyeleti díj összegét, azzal, hogy a megfizetésre kerülő kiberbiztonsági felügyeleti díj együttes mértéke összesen 50 millió forint.

(5) A kiberbiztonsági felügyeleti díjat a (3) és (4) bekezdés szerinti esetben a tárgyév május 31. napjáig kell megfizetni.

(6) Az 1. § (4) bekezdése szerinti szervezetet a Hatóság - a (7) bekezdésben foglalt kivétellel - a nyilvántartásba vételi határozatában tájékoztatja a tárgyévben fizetendő kiberbiztonsági felügyeleti díj mértékéről és - az 1. § (6) bekezdésében foglalt kivétellel - a megfizetésének módjáról.

(7) Ha az 1. § (4) bekezdése szerinti szervezet nem rendelkezik az 1. § (1) bekezdése szerinti árbevétellel, a szervezet a nyilvántartásba vételétől számított 90 napon belül a Hatóság által e célra rendszeresített elektronikus űrlapon nyilatkozatot nyújt be a Hatósághoz a tárgyévi árbevétel egész évre vetített időarányos részének összegéről. A Hatóság a nyilatkozat kézhezvételétől számított 30 napon belül tájékoztatja a szervezetet az általa a tárgyévre fizetendő kiberbiztonsági felügyeleti díj mértékéről és - az 1. § (6) bekezdésében foglalt kivétellel - a megfizetésének módjáról.

(8) Az 1. § (4) bekezdése szerinti szervezet a nyilvántartásba vételi határozat kézhezvételétől - vagy a (7) bekezdés szerinti esetben a Hatóság tájékoztatásától - számított 90 napon belül fizeti meg a kiberbiztonsági felügyeleti díjat.

(9) Az 1. § (5) bekezdése szerinti esetben a Hatóság a nyilvántartásból való törlésről szóló határozatában tájékoztatja a szervezetet a tárgyévben fizetendő időarányos kiberbiztonsági felügyeleti díj mértékéről és - az 1. § (6) bekezdésében foglalt kivétellel - a megfizetésének módjáról.

(10) A (9) bekezdés szerinti esetben a kiberbiztonsági felügyeleti díjat a nyilvántartásból való törlésről szóló határozat kézhezvételétől számított 30 napon belül kell megfizetni.

(11) Ha a Hatóság a tárgyévben törli a szervezetet a nyilvántartásból, és a szervezet tárgyévre vonatkozó kiberbiztonsági felügyeleti díj fizetési kötelezettségét már teljesítette, akkor a Hatóság a nyilvántartásból való törlésről szóló határozatában tájékoztatja a szervezetet a tárgyévben a törlés napjáig időarányosan fizetendő kiberbiztonsági felügyeleti díj és a szervezet által a tárgyévre megfizetett kiberbiztonsági felügyeleti díj különbözetéről. A különbözet visszatérítésére a 4. § (2) bekezdése alkalmazandó.

3. § (1) A szervezet kiberbiztonsági felügyeleti díj fizetési kötelezettségét évente, egy összegben, a Hatóság Magyar Államkincstár által vezetett, 10032000-00362887-00000000 számú előirányzat-felhasználási keretszámlájára átutalással teljesíti.

(2) A kiberbiztonsági felügyeleti díj megfizetésekor a pénzforgalmi szolgáltató által kiállított, az átutalás megindításának megtörténtét tanúsító igazolás közlemény rovatában fel kell tüntetni a "kiberbiztonsági felügyeleti díj" megjegyzést és

a) a 2. § (3) bekezdése szerinti esetben a Hatóság 2. § (3) bekezdése szerinti tájékoztatásának iktatószámát,

b) az 1. § (4) bekezdése szerinti szervezet esetén a nyilvántartásba vételi határozat iktatószámát,

c) az 1. § (5) bekezdése szerinti esetben a nyilvántartásból való törlésről szóló határozat iktatószámát vagy

d) a b) ponttól eltérően, ha az 1. § (4) bekezdése szerinti szervezet nem rendelkezik az 1. § (1) bekezdése szerinti árbevétellel, a Hatóság 2. § (7) bekezdése szerinti tájékoztatásának iktatószámát.

3. Hatósági feladatok

4. § (1) A Hatóság a kiberbiztonsági felügyeleti díjat szervezetenként - ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoport ellenőrzött tagja, helyette az uralkodó taghoz rendelten - és elszámolási időszakonként tartja nyilván.

(2) Túlfizetés esetén a Hatóság a kiberbiztonsági felügyeleti díj többletet visszatéríti a szervezet azon bankszámlájára, amelyről a befizetés érkezett, ha a befizetést igazoló iratok alapján megállapítható, hogy a kötelezett az e rendeletben meghatározott mértéket meghaladó összegű díjat fizetett.

4. Záró rendelkezések

5. § (1) Ez a rendelet - a (2) bekezdésben foglalt kivétellel - a kihirdetését követő 3. napon lép hatályba.

(2) Az 1-3. alcím és a 6. § az e rendelet kihirdetését követő 31. napon lép hatályba.

6. § (1) A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékére, megfizetésére és kezelésére az 1-3. alcímben foglaltakat az e szakaszban foglalt eltérésekkel, kiegészítésekkel kell alkalmazni.

(2) Az 1. § (1) és (4) bekezdése szerinti esetben a 2024. évre vonatkozó kiberbiztonsági felügyeleti díjat a Hatóság a szervezet 2024. évet megelőző utolsó, Szt. alapján közzétett beszámolóval lezárt üzleti évről szóló beszámolója alapján állapítja meg. A 2024. évre vonatkozó kiberbiztonsági felügyeleti díjat a 2024. október 18-tól 2024. december 31-ig terjedő felügyeleti időszakra kell megfizetni.

(3) Ha az e rendelet hatálybalépésekor a nyilvántartásban szereplő szervezet nem rendelkezik a (2) bekezdés szerinti beszámolóval, a 2024. évre vonatkozóan kiberbiztonsági felügyeleti díj fizetési kötelezettsége nem áll fenn.

(4) A 2024. évre és a 2025. évre vonatkozóan

a) a 2. § (1) bekezdése szerinti nyilatkozatot 2025. március 15. napjáig,

b) a 2. § (4) bekezdése szerinti nyilatkozatot 2025. június 30. napjáig

kell benyújtani.

(5) A 2025. évre vonatkozóan a 2. § (2) bekezdése szerinti nyilatkozatot 2025. március 31. napjáig kell benyújtani.

(6) A 2024. évre és a 2025. évre vonatkozó kiberbiztonsági felügyeleti díj mértékéről és - az 1. § (6) bekezdésében foglalt kivétellel - megfizetésének módjáról a Hatóság a szervezetet - vagy elismert vállalatcsoportba tartozó szervezet esetében az uralkodó tagot - 2025. május 31-ig tájékoztatja.

(7) A (6) bekezdés szerinti kiberbiztonsági felügyeleti díjat 2025. július 31-ig kell megfizetni.

7. §[1]

8. §[2]

9. §[3]

10. §[4]

Dr. Nagy László s. k.,

elnök