Ez az oldal neobankok, fizetési feldolgozóknak és digitális kölcsönzési platformoknak szóló, akik az Annex II szerinti fontos entitásként NIS2 kötelezettségek alatt állnak. Megtudhatja, milyen konkrét ICT-biztonsági intézkedéseket kell végrehajtania és hogyan kell dokumentálnia a teljes megfelelőséget a SZTFH felé.
A NIS2 fintech szektorbeli kötelezettségei a 100+ alkalmazottal rendelkező fizetési feldolgozókat, neobankok kezelési rendszereit, valamint az 50 millió EUR feletti éves bevételű digitális kölcsönzési platformokat érintik. A Pénzügyi Szervezetek Felügyeleti Hatósága (PSZÁH) és a Nemzeti Adatvédelmi Hatóság (NAIH) közösen felügyeli ezeket a szervezeteket. A küszöbértékek alatti szolgáltatók is kötelesek, ha jelentős számú ügyféladat feldolgozásáért felelősek.
Fintech szervezeteknek dokumentált ICT kockázatfelmérést kell végezniük, amely kifejezetten a fizetési API-kat, mobilalkalmazásokat és adatkezelési folyamatokat értékeli. Az éves biztonsági teszteléseknek (penetration testing, statikus/dinamikus kódelemzés) kötelezően a termelésbe kerülés előtt meg kell történniük. A tesztelések eredményeit és a javasolt javítások implementációját dokumentálnia kell.
Minden felhőszolgáltatóval, adatközponttal és harmadik fél ICT-szolgáltatóval létesített szerződésben explicit biztonsági és incidensmeldési kötelezettségeket kell rögzíteni. A szállítók kötöttsége magában kell, hogy foglalja az adattitkosítás, hozzáférés-ellenőrzés és a SZTFH-nak történő incidensmeldés szabályait. Legalább évenként auditálnia kell a felhőszolgáltatók biztonsági intézkedéseit.
A NIS2 fintech kötelezettségek a PSD2 (zárt interfészek, erős ügyfél-autentikáció) és a GDPR adatvédelmi előírásaival párhuzamosan értelmezendők. Az ügyfélszámlákat és tranzakcióadatokat titkosítottan kell tárolnia, illetve az adatok hozzáférési jogait szigorúan korlátoznia kell. Szükséges az adatvédelmi hatásbecslés (DPIA) a fizetési feldolgozási folyamatokhoz.
Ha a fizetési feldolgozás vagy az alkalmazott ICT-rendszerek zavara okoz, a szervezet köteles ezt a SZTFH-nak bejelenteni, ha az a nagyjából kritikus hatást érinti. A bejelentés időkerete 24 óra, ha a zavar felépítésből több mint 100 ügyfelet érint vagy 4+ órás szolgáltatáskimaradást okoz. Az incidensnaplóban azonosítania kell az oka, időtartamát, érintett adatok körét és helyreállítási lépéseket.
A fintech szervezeteknek dedikált ICT biztonsági csapattal vagy kijelölt felelős személlyel kell rendelkezniük, aki a napi biztonsági feladatokat, incidens-kezelést és SZTFH-kommunikációt végzi. A szervezetben legalább évente kötelező kiberbiztonsági képzést kell tartani az alkalmazottaknak, különös tekintettel a fizetési rendszerekkel dolgozó csapatoknak.
Ha a fizetési feldolgozó ICT-zavarai 4 óránál hosszabban tartanak, vagy 100-nál több ügyfelet érintenek, akkor 24 órán belül be kell jelentenie a SZTFH-nak. Az 'érintett' ügyfél az, akinek a tranzakciói feldolgozatlan maradtak vagy nem tudott hozzáférni a számlájához a zavar alatt.
Igen, a NIS2 ICT kockázatfelmérést kifejezetten az operatív kritikus rendszerekre (fizetési API, mobilalkalmazás, felhasználókezelés) kell elvégezni. A GDPR DPIA az adatok feldolgozásának jogszerűségét értékeli, míg az NIS2 a kiberbiztonsági kockázatokat — ezek részben átfedésben vannak, de külön dokumentálás szükséges.
A SZTFH 2026. világától az Infotv. (törvényi kiberbiztonsági törvény) alapján legfeljebb 50 millió forint vagy az éves bevétel 4%-ának megfelelő pénzbírságot szabhat ki. A fennálló ICT-zavarokra és bejelentéshátráltatásra magasabb bírságok lehetségesek. A közvetett kár (ügyfélbizalom csökkenése, regulátori felügyelet) azonban a директниципáli és üzleti kockázat főbb összetevői.