Élelmiszer-feldolgozás

Az Európai Unió 2016/1148 (2016.07.06) irányelvében megfogalmazta a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedéseit (NIS), majd a 2019/881 (2019.04.17) EU rendelettel szabályozta az információs és kommunikációs technológiák kiberbiztonsági tanúsítását, valamint a 2022/2555 (2022.12.14) irányelvben hatályon kívül helyezte a NIS-t és bevezette a NIS 2 irányelvet.

Az EU-s előírások miatt Magyarország is megalkotta a kiberbiztonsági törvényét, melynek 2. számú melléklete alapján a kockázatos ágazatokban működő szolgáltatók és szervezetek közé sorolódnak az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerinti élelmiszer-vállalkozások. Az Európai Parlament és a Tanács 178/2002/EK rendelete (2022.01.28) alapján az élelmiszerek termelésével, feldolgozásával és forgalmazásával összefüggő tevékenységet folytató köz-vagy magánvállalkozások tartoznak ide, ezért a mezőgazdasági termelés kivételével a termékpályák további szereplői, tehát a feldolgozók és a kereskedelmi tevékenységet végzők.

Ennek megfelelően a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozások kivételével minden közepes és nagyméretű élelmiszer-vállalkozásnak meg kell vizsgálnia önmagát, hogy digitális rendszerei alapján a kiberbiztonsági törvény hatálya alá tartozik, vagy sem.

 Az érintett élelmiszervállalkozásoknak kiemelt figyelmet kell fordítaniuk a kiberbiztonsági fenyegetésekre, és megfelelő védelmi intézkedéseket kell bevezetniük a számítógépes rendszereik és hálózataik elleni támadásokkal szemben.

A kiberbiztonsági törvény rendelkezései és előírásai mellett az élelmiszer- vállalkozásoknak további szabályozásoknak és iparági irányelveknek is meg kell felelniük annak érdekében, hogy biztonságosan működhessenek és védjék az üzleti érdekeiket. A kiberbiztonsági intézkedéseket megfelelően kell végrehajtani, mert a büntetések is kidolgozásra kerültek, ha nem tesznek megfelelő intézkedéseket a kibertámadások elleni védelem érdekében.

Ahhoz, hogy el tudja dönteni egy élelmiszer-vállalkozás, hogy a törvény hatálya alá tartozik, érintett szervezet-e, részletes tájékoztatást talál a Szabályozott Tevékenységek Felügyeleti Hatóságnál. 

Ha a saját élelmiszer-vállalkozása érintett szervezet, akkor nyilvántartásba vételi kötelezettség terheli, amelynek határideje 2024. június 30.

A törvény értelmében az alábbi határidők vonatkoznak az érintett szervezetekre:

2024. január 1-től

• nyilvántartásba vételi kötelezettség (az a szervezet, mely 2024. január 1. előtt megkezdte tevékenységét ezen kötelezettségét 2024. június 30-ig kell teljesítse, minden más szervezet esetén a Kibertan.tv. 26. § (2) bekezdés szerinti 30 napos határidő áll rendelkezésére)
• elektronikus információs rendszereit biztonsági osztályba kell sorolja (polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendelete folyamatban

Jogszabályi háttér

• 23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról

2024. október 18-tól

• elektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedések alkalmazása
• felügyeleti díj fizetési kötelezettség (részletszabályozás folyamatban)

2024. december 31-ig

• szerződéskötés az érintett szervezet által választott auditorral

2025. december 31-ig

• az első kiberbiztonsági audit lefolytatása

NAK / Dr. Fogarassy Eszter