A Magyar Közlöny 2025. évi 158. számában megjelent, az Európai Unió kiberrezilienciáról szóló rendeletének magyarországi végrehajtásáról és egyes kiberbiztonsági rendelkezések módosításáról szóló 2025. évi CXXXV. „salátatörvény” jelentősen módosítást eszközölt a hazai kiberbiztonsági szabályozásban.

A 2026. január 6. napjától hatályos módosítás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) személyi hatályában hozott érdemi változást.

A törvényjavaslat indokolása alapján a módosítás célja, hogy „az egyértelmű jogalkalmazás érdekében pontosításra kerüljenek a Kiberbiztonsági tv. hatálya alá tartozó szervezeteket meghatározó rendelkezések”. Ebből érdemi következtetéseket nem tudunk levonni, azonban ahogyan látni fogjuk, a módosítás érdemben szűkíti a kötelezett szervezetek körét.

A módosítás elemzése

Január 6. napja előtt (1. § (1) bekezdés d) pontja szerint) egy szervezet a leggyakoribb esetben akkor esett a Kiberbiztonsági tv. hatálya alá, ha a szervezet 2. vagy 3. mellékletekben meghatározott kiemelten kockázatos vagy kockázatos ágazatok valamelyikében tevékenykedett, és a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény (a továbbiakban: Kkvtv.) szerint középvállalkozásnak minősült vagy meghaladta a középvállalkozásokra vonatkozóan előírt küszöbértéket, illetve nem tartozott az 1. § (1) bekezdés a) pont hatálya alá.

Ezzel szemben a módosított Kiberbiztonsági tv. 1. § (1) bekezdés d) pontja alapján egy szervezet akkor köteles a kiberbiztonsági kötelezettségeknek eleget tenni, ha

• nem 1. § (1) bekezdés a) pontja (tipikusan közigazgatási ágazatban működő szervezetek) szerint esik a Kiberbiztonsági tv. hatálya alá;
• vagy 3. mellékletben meghatározott kiemelten kockázatos vagy kockázatos ágazatok valamelyikében tevékenykedik; és
• a Kkvtv. szerint középvállalkozásnak minősül, vagy meghaladja a Kiberbiztonsági tv.-ben meghatározott alábbi küszöbértékeket:
  • összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy
  • nettó árbevétele és mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszegeket.

Az első kritériumot 2025. május 31. napja előtt tételesen nem tartalmazta a Kiberbiztonsági tv., azt követően már megjelent ez a rendelkezés. A jelenlegi módosítás azonban még inkább egyértelműsítette az 1. § (1) bekezdésben meghatározott kritériumok közötti sorrendiséget. Ez alapján először azt kell elemezni, hogy a szervezet az 1. mellékletben felsorolt, a közigazgatási ágazathoz tartozó szervezetnek minősül-e. Az 1. mellékletben szereplő felsorolásban számos közjogi szervezet (pl. központi államigazgatási szervek, MNB, ÁSZ stb.) mellett olyan szervezetek is találhatóak, amelyek állami és önkormányzati feladatot ellátó szervezet részére jogszabály alapján kizárólagos joggal nyújtanak informatikai és elektronikus hírközlési szolgáltatást (központi szolgáltató), illetve, amelyek az egyes állami, önkormányzati feladatok ellátását segítő, zárt ügyfélkör számára központosítottan fejlesztett vagy működtetett elektronikus információs rendszerek felett rendelkezési jogot gyakorolnak (utóbbi rendszerek azok, amelyeken keresztül megvalósított funkciókat egy adott intézményi körben kötelezően vagy opcionálisan vesznek igénybe a felhasználó szervezetek (központi rendszer).

A második kritériumot tekintve nem történt változás: továbbra is szükséges kiemelten kockázatos vagy kockázatos ágazatban tevékenykednie a szervezetnek, hogy a Kiberbiztonsági tv. hatálya alá essen, a megjelölt szektorok köre sem változott.

A módosítás lényege a harmadik kritérium differenciálásában, illetőleg ezzel összefüggésben a Kkvtv. részletszabályaiban rejlik. A korábbi meghatározás minden, a Kkvtv.-ben foglalt küszöbértékek szerint legalább középvállalkozásnak minősülő szervezetet a törvény hatálya alá vont. A Kkvtv. a kis- és középvállalkozási kategórián belül nem definiálja a középvállalkozásokat, így középvállalkozásnak az a vállalkozás minősül, amely kkv-nak minősül, és nem mikro- vagy kisvállalkozás. A Kkvtv. mindegyik kategóriához meghatározott küszöbszámokat rendel, amelyek számítása során a vizsgált vállalkozáson kívül többek között a kapcsolódó- és partnervállalkozások adatait is figyelembe kell venni (egybeszámítás). Az egybeszámítás szabálya miatt azok a rendszerint multinacionális vállalatcsoportokba tartozó leányvállalkozások, amelyek esetében a fenti említett második kritérium teljesült, de a küszöbértékeket a vállalatcsoporti egybeszámítás eredményeként előálló adatokra tekintettel érték csak el, szintén a Kiberbiztonsági tv. hatálya alá estek és ennek megfelelően teljesíteniük kellett a kiterjedt kiberbiztonsági kötelezettségeket.

A módosítás ebben hozott alapvető változást. A korábbi „középvállalkozásnak minősül vagy meghaladja” fordulat helyett a „középvállalkozásnak minősül” fordulat alkalmazása következtében csak az a szervezet tartozik a törvény hatálya alá, amely középvállalkozás, tehát ha a vonatkozó küszöbértékeket meghaladja, már nem. Ebben az esetben a Kiberbiztonsági tv. ugyanúgy visszautal a Kkvtv.-re, így a küszöbértékek számításakor többek között az egybeszámítási szabályt is figyelembe kell venni. Ezen túlmenően egy másik esetkört is bevezetett a törvény, nevezetesen, ha a szervezet a Kiberbiztonsági tv. szövegébe implementált küszöbértékeket haladja meg, akkor is a törvény hatálya alá eshet. Ebben az esetben azonban a törvény nem utal vissza a Kkvtv.-re, így az egybeszámítás nem lesz alkalmazandó, azaz, csak akkor teljesíti ezt a feltételt a szervezet, ha saját értékeit figyelembe véve az összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy nettó árbevétele és mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszegeket.

Megjegyezzük, hogy a módosítás egy, a NIS2 irányelv hibás implementációjából eredő problémát is orvosolt. Korábban a Kiberbiztonsági tv. a Kkvtv. szerinti küszöbértékek figyelembevételére hivatkozott vissza, így az egyéb, a Kkvtv.-ben előírt esetleges speciális rendelkezéseket nem tekintette alkalmazandónak. A Kkvtv. azonban előírja, hogy ha az állam vagy az önkormányzat közvetlen vagy közvetett tulajdoni részesedése – tőke vagy szavazati joga alapján – a vállalkozásban külön-külön vagy együttesen eléri vagy meghaladja a 25%-ot, akkor a Kkvtv. alapján nem minősül a vállalkozás kkv-nek (állami kivétel). A NIS2 irányelv kifejezetten rögzíti, hogy hatályának megállapításakor nem alkalmazandó az állami tulajdonra vonatkozó kivétel. Figyelemmel az irányelvben foglalt minimumharmonizációs szabályra ezen rendelkezéstől tagállami jog nem térhet el. A Kiberbiztonsági tv. a Kkvtv.-re való hibás visszautalás végett nem tartalmazott olyan rendelkezést, amely alkalmazandónak tekintette volna a fenti szabályt, így a gyakorlatban komoly értelmezési nehézségeket okozott, hogy a Kiberbiztonsági tv. eltért a NIS2 irányelvtől. A módosított szövegrész ezt is orvosolta, így a jogszabály szövege már általánosságában utal vissza a Kkvtv.-re, ennélfogva az állami kivétel nem lesz alkalmazandó.

A módosítás feltételezett célja(i)

A NIS2 irányelv preambuluma alapelvi szinten tartalmazza, hogy a szabályozási terheket arányosan, a szervezetek tényleges kockázati profilját figyelembe véve kell meghatározni. Ugyanakkor az elmúlt hónapokban gyakorlatban sokszor az a tendencia volt megfigyelhető, hogy a fentiekben említett, önmagukban egyébként kis- vagy mikrovállalkozásoknak minősülő, kiemelten kockázatos, vagy kockázatos ágazatokban tevékenykedő, de sokszor a kiberbiztonság szempontjából releváns tevékenységet nem végző leányvállalatok kizárólag az egybeszámítás szabályát alkalmazva kötelesek lettek volna a szigorú kiberbiztonsági követelményeknek megfelelni, miközben rendszerint teljes mértékben a vállalatcsoportjuk informatikai infrastruktúráját vették igénybe, és ilyen szempontból semmilyen autonómiával, illetve a releváns erőforrásokkal sem rendelkeztek. Ezen vállalkozások számára kitettségükből eredően a megfelelés komoly nehézségeket okozott egy olyan helyzetben, amikor kiberbiztonsági szempontból releváns döntések meghozatalára érdemi kihatásuk nem volt. Bár a Kiberbiztonsági tv. – a NIS2 irányelvnek megfelelően – bizonyos digitális szolgáltatások nyújtóira nézve lehetőséget adott területi hatály részletszabályaiban a mentesülésre, ez a kötelezetti kör kis részét fedte csak le.

A módosítás célja tehát ezen vállalkozások tehermentesítésében, a szabályozási és compliance kötelezettségek multiplikációjának elkerülésében rejlik. A fentiekre figyelemmel emellett a hibás implementáció orvosolása, valamint az egyébként is leterhelt SZTFH munkaterhének csökkentése is a módosítás célját képezi.

A módosítás következményei

A Kiberbiztonsági tv. személyi hatályának módosulása szükségszerűen kihat a korábban elkészített hatályelemzésekre is. A gyakorlatban ez azt jelenti, hogy:

• a korábbi, hatályra vonatkozó elemzések nem tekinthetők automatikusan, a megváltozott szabályok alapján is helytállónak;
• ezért minden érintett szervezet esetében indokolt a hatályelemzés újbóli elvégzése; és
• ennek során különös figyelmet kell fordítani az egybeszámítási szabályok helyes alkalmazására, mivel ezek a minősítés kimenetelét érdemben befolyásolhatják.

Fontos hangsúlyozni, hogy a módosítás nem eredményezi a Kiberbiztonsági tv. „kiüresedését”, és nem jelenti a kiberbiztonsági követelmények tartalmának enyhítését. A jogalkotó célja sokkal inkább az volt, hogy a szabályozás címzettjeinek köre pontosabban illeszkedjen a tényleges kiberbiztonsági kockázatokhoz.

Azt is érdemes leszögezni, hogy a Kiberbiztonsági tv. hatálya alól való kikerülés nem jelenti automatikusan minden potenciális kiberbiztonsági kötelezettség megszűnését. Számos esetben fennmaradhatnak szerződéses és információbiztonsági kötelezettségek (pl. közreműködői státuszból eredően), ágazati szabályozásból eredő előírások, vagy egyéb, például adatbiztonsági megfelelési elvárások.

Záró gondolatok

A 2026. január 6‑tól hatályos módosítás egyik legfontosabb tanulsága, hogy a Kiberbiztonsági tv. alkalmazhatósága nem magától értetődő, hanem alapos, több szempontú jogi elemzést igényel. A személyi hatály helytelen meghatározása amellett, hogy jogértelmezési hiba, adott esetben jelentős üzleti és megfelelési kockázatokat is hordozhat: így például a szervezet már akkor is 150 millió forintig terjedő kiberbiztonsági bírsággal nézhet szembe, ha nyilvántartásba vételének kérelmezése iránti kötelezettségét nem teljesíti, és ekkor még nem is jutottunk el a konkrét kötelezettségeknek való megfelelésig.

A kiberbiztonsági megfelelés területén ezért a következő időszak egyik kulcskérdése nem az egyes kötelezettségek technikai teljesítése lesz, hanem annak átgondolása, hogy kiket terhelnek egyáltalán ezek a kötelezettségek. A Kibertv. módosítása erre a kérdésre ad pontosabb, ugyanakkor a jogalkalmazók számára nagyobb felelősséget is jelentő választ.

A cikk a Jogászvilág – A jövő jogásza rovatban jelent meg.

A cikk szerzője dr. Kovács Ábel Bulcsú, ügyvédjelölt – Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal. A Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal a jogászvilág.hu szakmai partnere.