2026. január 6-i hatállyal módosult a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény. A törvény hatályát érintő módosítás értelmezése kapcsán még a szakértők között is vita alakult ki atekintetben, hogy a módosítással bővült, szűkült e az érintett szervezetek köre, de van olyan álláspont is, miszerint lényegi változást nem eredményez az érintetti kör vonatkozásában.
Én a magam részéről azon az állásponton vagyok, hogy bizonyos értelemben szűkült a Kiberbiztonsági törvény hatálya alá tartozó szervezetek köre. Mire is alapítom ezt a véleményt?
Az 1. § (1) bekezdés d.) pontjának 2026. január 5. napjáig hatályban volt szövege alapján a Kiberbiztonsági törvény rendelkezéseit kellett alkalmazni azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény (Kkv. tv.) szerint középvállalkozásoknak minősülnek vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, és nem tartoznak az a) pont hatálya alá.
Eszerint a Kkv. tv. szerint középvállalatnak, vagy nagyvállalatnak minősülő szervezetek tartoztak a törvény hatálya alá, azaz, egy egyébként még a középvállalati küszöbértékeket el sem érő vállalat egy közép- vagy nagyvállalat kapcsolódó vállalkozásaként szintén a Kiberbiztonsági törvény hatálya alá tartozott.
Az 1. § (1) bekezdés d.) pontja 2026. január 6. napjával a következők szerint módosult: a Kiberbiztonsági törvény rendelkezéseit kellett alkalmazni azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá és a Kkv. tv. szerint középvállalkozásoknak minősülnek, valamint azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá, és amelyek vonatkozásában legalább az egyik feltétel teljesül a következők közül:
da) összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy
db) éves nettó árbevétele vagy éves költségvetési bevételi előirányzata meghaladja a 10 millió eurónak megfelelő forintösszeget, és – a számvitelről szóló 2000. évi C. törvény 8. § (2) bekezdése szerinti beszámoló készítésére köteles szervezet esetében – mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszeget.
A normaszöveg értelmezéséből a Kiberbiztonsági törvény hatálya alá tartoznak tehát:
– a Kkv. törvény szerinti középvállalkozások (1. tagmondat)
– azok a szervezetek, amelyek a saját adataik alapján elérik a da) vagy db) pontban rögzített küszöbértéket. (2. tagmondat)
Mindezeket én úgy értelmezem, hogy kikerültek a Kiberbiztonsági törvény hatálya alól azok a szervezetek, amely a saját adataik alapján nem érik el a da)–db) szerinti küszöbértékeket, és a Kkv törvény szerint sem minősülnek középvállalkozásnak, méghozzá abban az esetben is, ha kapcsolódó vállalkozásként egyébként meghaladják a középvállalati küszöbértéket (pl. egy nagyvállalati cégcsoportba tartozó mikro- vagy kisvállalat)
Az egyelőre nem világos, hogy mi volt ezzel a módosítással a jogalkotó szándéka, és miért csak a nagyvállalati cégcsoportok esetében biztosított kedvezményeket, és erre a kérdésre a törvénymódosítás indokolásában sem kapunk választ.