Az uniós előírások miatt Magyarország is megalkotta a kiberbiztonsági törvényét, melynek 2. számú melléklete alapján a kockázatos ágazatokban működő szolgáltatók és szervezetek közé sorolódnak az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerinti élelmiszer-vállalkozások. Az Európai Parlament és a Tanács 178/2002/EK rendelete alapján az élelmiszerek termelésével, feldolgozásával és forgalmazásával összefüggő tevékenységet folytató köz-vagy magánvállalkozások tartoznak ide, ezért a mezőgazdasági termelés kivételével a termékpályák további szereplői, tehát a feldolgozók és a kereskedelmi tevékenységet végzők - olvasható a Nemzeti Agrárgazdasági Kamara (NAK) oldalán. Ennek megfelelően a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozások kivételével minden közepes és nagyméretű élelmiszer-vállalkozásnak meg kell vizsgálnia önmagát, hogy digitális rendszerei alapján a kiberbiztonsági törvény hatálya alá tartozik, vagy sem.
Az érintett élelmiszervállalkozásoknak kiemelt figyelmet kell fordítaniuk a kiberbiztonsági fenyegetésekre, és megfelelő védelmi intézkedéseket kell bevezetniük a számítógépes rendszereik és hálózataik elleni támadásokkal szemben.
A kiberbiztonsági törvény rendelkezései és előírásai mellett az élelmiszer- vállalkozásoknak további szabályozásoknak és iparági irányelveknek is meg kell felelniük annak érdekében, hogy biztonságosan működhessenek és védjék az üzleti érdekeiket. A kiberbiztonsági intézkedéseket megfelelően kell végrehajtani, mert a büntetések is kidolgozásra kerültek, ha nem tesznek megfelelő intézkedéseket a kibertámadások elleni védelem érdekében. Ahhoz, hogy el tudja dönteni egy élelmiszer-vállalkozás, hogy a törvény hatálya alá tartozik, érintett szervezet-e, részletes tájékoztatást talál a Szabályozott Tevékenységek Felügyeleti Hatóságnál. Ha a saját élelmiszer-vállalkozása érintett szervezet, akkor nyilvántartásba vételi kötelezettség terheli, amelynek határideje 2024. június 30. A törvény értelmében a következő időszakban az alábbi határidők vonatkoznak az érintett szervezetekre:
- 20204. január 1-től a nyilvántartásba vételi kötelezettség vonatkozik azokra a szervezetekre, mely ezen dátum előtt megkezdték a tevékenységüket. A kötelezettség határideje, ahogy fentebb is írták, 2024. június 30-a, minden más szervezet esetén 30 napos határidő áll rendelkezésére. Az érintett vállalkozásoknak az elektronikus információs rendszereit biztonsági osztályba kell sorolniuk.
- 2024. október 18-tól alkalmazni kell azelektronikus információs rendszereit biztonsági osztályának megfelelő védelmi intézkedéseket, valamint be kell fizetni a felügyeleti díjat.
- 2024. december 31-ig szerződést kell kötni az érintett szervezet által választott auditorral.
- 2025. december 31-ig le kell folytatni az első kiberbiztonsági auditot.