A 2025. évi CXXXV. törvény megjelenése után sok szervezetben felmerült a kérdés, hogy szűkül-e a NIS2 hatálya, és vajon kikerülhetnek-e a kötelezettek köréből azok a vállalkozások, amelyek önálló adataik alapján nem érik el az 50 fős vagy 10 millió eurós küszöbértéket. A jogszabály szövegének első olvasata valóban kelthet ilyen benyomást, a részletes értelmezés azonban egészen más következtetésre vezet.
A módosítás nem szűkíti, hanem fenntartja és egyértelműsíti a Magyarország kiberbiztonságáról szóló törvény hatálya alá tartozó szervezetek körét. A középvállalkozásnak minősülő, kockázatos vagy kiemelten kockázatos tevékenységet végző cégek továbbra is kötelezettek maradnak, mégpedig a Kkv. törvény szerinti konszolidált adatok figyelembevételével. Ez azt jelenti, hogy az anya-, leány- és kapcsolt vállalkozások létszámát és árbevételét továbbra is együtt kell vizsgálni. A jogszabály-módosítás egyik legfontosabb eleme, hogy önálló méretküszöböket vezetett be bizonyos szervezeti körök számára. Az új da) és db) alpontok alapján azok a szervezetek is egyértelműen a törvény hatálya alá kerülnek, amelyek nem tartoznak a Kkv. törvény hatálya alá, de elérik az 50 fős létszámot vagy a 10 millió eurónak megfelelő bevételi küszöböt, és kockázatos vagy kiemelten kockázatos tevékenységet végeznek. Ide tartozhatnak például egyes költségvetési intézmények, köztestületek vagy nagyobb civil szervezetek is.
Fontos hangsúlyozni, hogy a módosított szöveg nem szünteti meg a konszolidációs logikát. A Kkv. törvény továbbra is irányadó a középvállalkozások meghatározásánál, és egyértelműen előírja a partner- és kapcsolódó vállalkozások adatainak beszámítását. A jogalkotó célja nem az volt, hogy „kiskaput” nyisson a kötelezettségek alól való kibújásra, hanem az, hogy jogalkalmazási szempontból egyértelműbbé tegye, kik tartoznak a hatály alá.
Az európai uniós háttér is ezt az értelmezést támasztja alá. A NIS2 irányelv kifejezetten a középvállalkozási méretkategóriához és az azt meghaladó szervezetekhez köti a kötelezettségeket, és előírja a kapcsolt vállalkozások figyelembevételét. Egy olyan értelmezés, amely a leányvállalatokat mentesítené a hatály alól, ellentétes lenne az uniós jog céljával, és implementációs hiányosságot eredményezne.
A legfontosabb üzenet tehát az, hogy a 2025. évi CXXXV. törvény nem szűkítette a NIS2 kötelezettek körét, hanem pontosította és kiszélesítette a jogalkalmazás biztonságát. Azok a szervezetek, amelyek eddig érintettek voltak, jó eséllyel továbbra is azok maradnak, és új szereplők is egyértelműen a hatály alá kerülhetnek. A megfelelés megítélésénél ezért továbbra sem az egyedi számok „kozmetikázása”, hanem a tevékenység jellege, a méret és a konszolidált adatok együttes vizsgálata a döntő.
Készült a NIS2 Portal hivatalos forrása alapján.