Közlekedési operátorok, portkezelők és utazási szolgáltatók számára: megismerheti az operatív rendszerek védelméről szóló konkrét SZTFH-előírásokat, az incidensbejelentési kötelezettségeket és a 2026-os megfelelőségi határidőket.
A szabályozás kötelezően érint minden olyan légitársaságot, vasúti üzemeltetőt, közúti közlekedési szervezetet, hajózási vállalatot és kikötőkezelőt, amely Magyarországon vagy az EU-ban közszolgáltatás keretében utasok szállítását végzi, vagy éves szervezeti költségvetése meghaladja az 50 millió EUR-t. Függetlenül a mérettől, az összes repülőtéri koordinációs rendszert (ATC), jegyfoglalási és flottakezelési szoftvert biztosító szervezet esik a hatály alá.
Légi forgalmi irányító (ATC) koordinációs rendszereknek, jegyeladási platformoknak és flottakezelő szoftvereknek valós idejű kiberbiztonsági monitoringgal kell rendelkezniük. A közlekedési szervezeteknek megfigyelési funkciókat kell kiépíteniük az IT/OT határvonalon, ideértve a járműflotta vezérlőrendszereinek folyamatos vizsgálatát is.
Az utasok biztonságát vagy a határok közötti közlekedés zavartalan működését érintő biztonsági incidenseket 24 órán belül az SZTFH felé be kell jelenteni. A kikötők, vasúti rendszerek és légitársaságok közös incidensei esetén koordinált bejelentésre van szükség a tagállamok közötti kommunikáció biztosítása érdekében.
Minden harmadik fél által biztosított repülőgépi avionika, fedélzeti szoftver és biztonsági kritikus szállítási rendszer beszerzésénél biztonsági tanúsítványokat és megfelelőségi nyilatkozatokat kell gyűjteni. A szállítókat éves biztonsági auditokkal kell ellenőrizni, és a szerződésekbe be kell építeni az incidensbejelentési és adatmegosztási feltételeket.
Az utasforgalmi foglalási rendszerek (GDS/CRS), valamint az integráltjegyeladási platformok között végig titkosított adatátvitelre és többfaktoros hitelesítésre van szükség. Az ezen rendszereket kezelő szervezeteknek évente legalább egyszer behatolási tesztet kell végeztetniük, és dokumentálniuk az ügyféladata védelmét biztosító kriptográfiai megoldásokat.
Az összes közlekedési operátor számára az év során legalább 16 órás kiberbiztonsági képzést kell szervezni az operatív és biztonsági személyzet számára. A képzésnek ki kell terjednie a halál és sérüléshez vezető fertőzésekre, valamint a szoszvét működésének zavartalan üzemeltetésére vonatkozó specifikus forgatókönyvekre.
A szabályozás minden olyan légitársaságra, vasúti üzemeltetőre, közúti közlekedési szervezetre, hajózási vállalatra és kikötőkezelőre kötelezően vonatkozik, amely EU-ban közszolgáltatást nyújt vagy EU-n belüli utasok szállítása során operál. Az 50 millió EUR-s éves költségvetés küszöb nem releváns az infrastruktúra operátorok esetében — az ATC, jegyfoglalási és flotta-irányító szoftverek üzemeltetői minden méretben tartoznak a hatály alá.
Az incidenseket 24 órán belül az SZTFH-hoz kell bejelenteni, a bejelentésnek tartalmaznia kell az érintett rendszer azonosítóját (pl. GDS/CRS, ATC, flottaszoftver), az incidensek időpontját, érintett utasok számát, továbbá az azonnali enyhítésre megtett lépéseket. Ha a közlekedés több EU-tagállamot érint (nemzetközi járatok, határ menti vasúti vagy hajózási rendszerek), az adott partnerállamok hatóságaival is koordinálni kell.
A 2026. évi határidő után a nem megfelelő közlekedési szervezetekre az SZTFH által kiszabott büntetések az éves szervezeti költségvetés maximum 10%-áig terjedhetnek, illetve közszolgáltatás esetén a jogosítványok visszavonásának veszélyével kell számolni. Az operatív biztonsági incidensek bejelentésének elmulasztása további 500 000–5 000 000 HUF közötti közigazgatási bírsággal jár.