Hatály: közlönyállapot (2024.IV.17.) Váltás a jogszabály mai napon hatályos állapotára

 

2024. évi X. törvény

a pénzügyi közvetítő rendszert érintő törvények jogharmonizációs célú módosításáról * 

1. A Magyar Export-Import Bank Részvénytársaságról és a Magyar Exporthitel Biztosító Részvénytársaságról szóló 1994. évi XLII. törvény módosítása

1. § A Magyar Export-Import Bank Részvénytársaságról és a Magyar Exporthitel Biztosító Részvénytársaságról szóló 1994. évi XLII. törvény 1. §-a a következő (3b) bekezdéssel egészül ki:

„(3b) Az Eximbank vonatkozásában nem alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet.”

2. A Magyar Fejlesztési Bank Részvénytársaságról szóló 2001. évi XX. törvény módosítása

2. § A Magyar Fejlesztési Bank Részvénytársaságról szóló 2001. évi XX. törvény 1. §-a a következő (8) bekezdéssel egészül ki:

„(8) Az MFB Zrt. vonatkozásában nem alkalmazandó a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet.”

3. A tőkepiacról szóló 2001. évi CXX. törvény módosítása

3. § A tőkepiacról szóló 2001. évi CXX. törvény (a továbbiakban: Tpt.) 5. § (1) bekezdése a következő 64b. és 64c. ponttal egészül ki:

(E törvény és az e törvény felhatalmazása alapján kiadott jogszabályok alkalmazásában)

„64b. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom,

64c. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom,”

4. § A Tpt. 62. § (3b) bekezdése helyébe a következő rendelkezés lép:

„(3b) Az auditbizottság – a Ptk. 3:291. § (1) bekezdésében meghatározott feladatokon túl –

a) figyelemmel kíséri a közérdeklődésre számot tartó kibocsátó belső ellenőrzési, kockázatkezelési rendszereinek, a pénzügyi és a fenntarthatósági beszámolását befolyásoló belső ellenőrzésének hatékonyságát [beleértve az Szmt. 95/I. § (1) bekezdésében, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát is, anélkül, hogy korlátozná annak függetlenségét], valamint a pénzügyi beszámolás és a fenntarthatósági beszámolás folyamatát [beleértve az Szmt. 95/I. § (1) bekezdése, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát és a közérdeklődésre számot tartó kibocsátó által az Szmt. 95/D. § (1) bekezdés 3. pontja szerinti fenntarthatósági beszámolási standardoknak megfelelően közölt információk azonosítására szolgáló folyamatot] és szükség esetén ajánlásokat fogalmaz meg;

b) figyelemmel kíséri az éves és összevont (konszolidált) éves beszámoló jogszabályi kötelezettségen alapuló könyvvizsgálatát, a fenntarthatósági jelentésre és az összevont (konszolidált) fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenységet – különösen annak végrehajtását –, figyelembe véve a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló 2007. évi LXXV. törvény (a továbbiakban: Kkt.) szerinti könyvvizsgálói közfelügyeleti feladatokat ellátó hatóság által lefolytatott, a Kkt. szerinti minőségellenőrzési eljárás során tett megállapításokat és következtetéseket;

c) felülvizsgálja és figyelemmel kíséri a jogszabály szerint engedélyezett könyvvizsgáló vagy a könyvvizsgáló cég függetlenségét (ideértve a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására megválasztott könyvvizsgáló, illetve könyvvizsgáló cég függetlenségét is), különös tekintettel a közérdeklődésre számot tartó gazdálkodó egységek jogszabályban előírt könyvvizsgálatára vonatkozó egyedi követelményekről és a 2005/909/EK bizottsági határozat hatályon kívül helyezéséről szóló, 2014. április 16-i 537/2014/EU európai parlamenti és tanácsi rendelet 5. cikkében foglaltak teljesülését;

d) tájékoztatja a közérdeklődésre számot tartó kibocsátó legfőbb szervét a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység eredményéről, bemutatja, hogy a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység hogyan járult hozzá a pénzügyi, illetve a fenntarthatósági beszámolás integritásához, és azt, hogy az auditbizottság milyen szerepet töltött be a beszámolás folyamatában.”

5. § A Tpt. NYOLCADIK/A. RÉSZE a következő 296/C. §-sal egészül ki:

„296/C. § (1) A közösségi finanszírozási szolgáltató a jelentős IKT-vonatkozású eseményeket a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(2) Ha a közösségi finanszírozási szolgáltató a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti az Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

6. § (1) A Tpt. 316/A. § (1) bekezdése helyébe a következő rendelkezés lép:

„(1) A tőzsde által alkalmazott eljárás és rendszer biztosítja, hogy kereskedési rendszerei reziliensek legyenek – az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. fejezetében meghatározott követelményekkel összhangban kialakított és fenntartott működési rezilienciával összhangban –, rendelkeznek elegendő kapacitással csúcsterhelések esetére a megbízások és az üzenetek volumenét illetően, valamint képesek a szabályos kereskedést biztosítani jelentős piaci stressz esetén. A kereskedési rendszereket teljes körűen tesztelik ezen feltételek teljesítésének ellenőrzése érdekében. A kereskedési rendszer a meghibásodás esetére, az üzletmenet folyamatosságának biztosítása céljából hatékony eljárásokkal rendelkezik, ideértve az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 11. cikkének megfelelően létrehozott IKT-vonatkozású üzletmenet-folytonossági politikát és terveket, valamint IKT-vonatkozású reagálási és helyreállítási terveket.”

(2) A Tpt. 316/A. §-a a következő (1a) és (1b) bekezdéssel egészül ki:

„(1a) A tőzsde a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(1b) Ha a tőzsde a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

(3) A Tpt. 316/A. § (9) bekezdése helyébe a következő rendelkezés lép:

„(9) A tőzsde által alkalmazott eljárás és rendszer – ideértve a tőzsdei kereskedők arra való kötelezését, hogy végezzék el az algoritmusok megfelelő tesztelését, és biztosítsanak megfelelő környezetet az ilyen tesztelés elvégzésének megkönnyítéséhez – az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. és IV. fejezetében meghatározott követelményekkel összhangban hatékonyan biztosítja, hogy

a) az algoritmikus kereskedés rendszerei ne hozhassanak létre rendellenes kereskedési feltételeket a piacon, vagy ne járuljanak hozzá ilyen feltételek kialakulásához, és

b) kezelni tudja az algoritmikus kereskedési rendszerek által előidézett rendellenes kereskedési feltételeket.”

7. § A Tpt. 317. § (3) bekezdés a) pontja helyébe a következő rendelkezés lép:

(A tőzsdei szabályzatoknak biztosítaniuk kell, hogy)

„a) a tőzsde a működésével összefüggésben felmerülő lényeges kockázatok azonosítására, kezelésére és csökkentésére megfelelő rendszereket és megoldásokat alkalmazzon, és felkészüljön a felmerülő kockázatok kezelésére, ideértve az IKT-kockázatoknak az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. fejezet szerinti kezelését is,”

8. § A Tpt. 344. §-a helyébe a következő rendelkezés lép:

„344. § (1) Központi értéktár és központi szerződő fél – a 648/2012/EU rendeletben, a 909/2014/EU rendeletben foglaltakra figyelemmel – tevékenységét vagy szolgáltatását kiszervezheti.

(2) A központi értéktár és a központi szerződő fél a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(3) Ha a központi értéktár és a központi szerződő fél a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

9. § A Tpt. 400. §-a a következő (3d) bekezdéssel egészül ki:

„(3d) Az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló, 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2023/2631 rendelet] megsértése esetén a Felügyelet – a fokozatosság és arányosság figyelembevételével – az alábbi intézkedéseket, szankciókat alkalmazhatja:

a) előírja a kibocsátók számára, hogy tegyék közzé az (EU) 2023/2631 rendelet 10. cikke szerinti, európai zöldkötvényre vonatkozó adatlapokat, vagy ezen adatlapokon tüntessék fel az (EU) 2023/2631 rendelet I. mellékletében meghatározott információkat,

b) előírja a kibocsátók számára, hogy felülvizsgálatokat és értékeléseket tegyenek közzé,

c) előírja a kibocsátók számára, hogy éves allokációs jelentéseket tegyenek közzé, vagy az éves allokációs jelentésekben tüntessék fel az (EU) 2023/2631 rendelet II. mellékletében meghatározott információkat,

d) előírja a kibocsátók számára, hogy hatásjelentést tegyenek közzé, vagy a hatásjelentésben tüntessék fel az (EU) 2023/2631 rendelet III. mellékletében meghatározott információkat,

e) előírja a kibocsátók számára, hogy a közzétételről az (EU) 2023/2631 rendelet 15. cikk (4) bekezdésével összhangban értesítsék a Felügyeletet,

f) amennyiben a kibocsátók az (EU) 2023/2631 rendelet 21. cikkében meghatározott egységes mintadokumentumokat használják, előírja e kibocsátók számára, hogy az ott meghatározott elemeket tüntessék fel a kibocsátást követő rendszeres időközönkénti közzétételeikben,

g) előírja a könyvvizsgálók és a kibocsátó felső vezetése számára releváns információk és dokumentumok rendelkezésre bocsátását,

h) felfüggeszti az európai zöldkötvényekre vonatkozó ajánlattételt vagy azok szabályozott piacra történő bevezetését legfeljebb 10 egymást követő munkanapra, bármely olyan egyszeri alkalommal, amikor észszerű indokkal feltételezhető, hogy a kibocsátó nem felelt meg az (EU) 2023/2631 rendelet II. cím 2. fejezete vagy a 18. vagy 19. cikk szerinti valamely kötelezettségének,

i) megtiltja az európai zöldkötvényekre vonatkozó ajánlattételt vagy azok szabályozott piacra történő bevezetését, amennyiben észszerű indokkal feltételezhető, hogy a kibocsátó továbbra sem felel meg a h) pont szerinti valamely kötelezettségének,

j) felfüggeszti a hirdetéseket legfeljebb 10 egymást követő munkanapra, vagy előírja az európai zöldkötvények kibocsátói vagy az érintett pénzügyi közvetítők számára a hirdetések felfüggesztését legfeljebb 10 egymást követő munkanapra, bármely olyan esetben, amennyiben észszerű indokkal feltételezhető, hogy a kibocsátó nem felelt meg a h) pont szerinti valamely kötelezettségének,

k) betiltja a hirdetéseket, vagy előírja az európai zöldkötvények kibocsátói vagy az érintett pénzügyi közvetítők számára a hirdetések beszüntetését, amennyiben észszerű indokkal feltételezhető, hogy a kibocsátó továbbra sem felel meg a h) pont szerinti valamely kötelezettségének,

l) nyilvánosságra hozza azt a tényt, hogy az európai zöldkötvények valamely kibocsátója nem felel meg az (EU) 2023/2631 rendeletnek, és előírja az érintett kibocsátó számára, hogy tegye közzé ezt az információt a honlapján,

m) egy évet meg nem haladó időtartamra megtiltja valamely kibocsátó számára európai zöldkötvények kibocsátását, amennyiben az adott kibocsátó ismételten és súlyosan megsértette a h) pont szerinti valamely kötelezettséget,

n) az l) pont szerinti előírást követő három hónapos időszak elteltével közzéteszi azt a tényt, hogy az európai zöldkötvény kibocsátója már nem felel meg az (EU) 2023/2631 rendelet 3. cikkében az „európai zöldkötvény” vagy „EuGB” megnevezés használatára vonatkozóan előírt követelményeknek, és előírja az adott kibocsátó számára, hogy tegye közzé ezt az információt a honlapján,

o) helyszíni ellenőrzéseket és vizsgálatokat végezhet a természetes személyek lakóhelyétől eltérő helyszíneken, és e célból bizonyos helyiségekbe beléphetnek, hogy dokumentumokhoz és bármilyen formátumú adatokhoz hozzáférjenek, amennyiben fennáll az észszerű gyanúja annak, hogy az ellenőrzés vagy vizsgálat tárgyával összefüggő dokumentumok és egyéb adatok relevánsak lehetnek az (EU) 2023/2631 rendelet megsértése bizonyításának az alátámasztásához.”

10. § (1) A Tpt. 25. számú melléklete az 1. melléklet 1. pontja szerint módosul.

(2) A Tpt. 25. számú melléklete az 1. melléklet 2. pontja szerint módosul.

(3) A Tpt. 25. számú melléklete az 1. melléklet 3. pontja szerint módosul.

11. § Hatályát veszti a Tpt.

a) 317. § (4) bekezdés h) pontja,

b) 318/D. §-t megelőző alcímcíme, valamint

c) 318/D. §-a.

4. A foglalkoztatói nyugdíjról és intézményeiről szóló 2007. évi CXVII. törvény módosítása

12. § A foglalkoztatói nyugdíjról és intézményeiről szóló 2007. évi CXVII. törvény (a továbbiakban: Fnytv.) 2. §-a a következő 16a. és 16b. ponttal egészül ki:

(E törvény alkalmazásában:)

„16a. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom;

16b. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom;”

13. § Az Fnytv. 9/B. § (9) bekezdése helyébe a következő rendelkezés lép és a § a következő (10) és (11) bekezdéssel egészül ki:

„(9) A foglalkoztatói nyugdíjszolgáltató intézmény tevékenységének folyamatos és szabályszerű végrehajtása érdekében az intézmény méretének, belső szervezetének, tevékenysége nagyságrendjének, jellegének, mértékének és összetettségének megfelelő és arányos rendszereket, erőforrásokat és eljárásokat így különösen az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően létrehozott és működtetett hálózati és információs rendszereket alkalmaz. A foglalkoztatói nyugdíjszolgáltató intézmény tevékenységének végrehajtása érdekében készenléti terveket dolgoz ki.

(10) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó foglalkoztatói nyugdíjszolgáltató a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(11) Ha a foglalkoztatói nyugdíjszolgáltató a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

14. § Az Fnytv. 90. §-a a következő j) ponttal egészül ki:

(Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„j) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv.”

15. § Az Fnytv. 91. §-a helyébe a következő rendelkezés lép:

„91. § Ez a törvény

a) a páneurópai egyéni nyugdíjtermékről (PEPP) szóló, 2019. június 20-i (EU) 2019/1238 európai parlamenti és tanácsi rendelet, és

b) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet

végrehajtásához szükséges rendelkezéseket állapít meg.”

16. § Hatályát veszti az Fnytv. „Informatikai rendszer védelme” alcíme.

5. A befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény módosítása

17. § A befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (a továbbiakban: Bszt.) 4. § (2) bekezdése a következő 33b. és 33c. ponttal egészül ki:

(E törvényben és az e törvény felhatalmazása alapján kiadott jogszabályokban)

„33b. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom,

33c. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom,”

18. § (1) A Bszt. 17. § (3) bekezdése helyébe a következő rendelkezés lép:

„(3) A befektetési vállalkozás az általa végzett befektetési szolgáltatási tevékenységekben, kiegészítő szolgáltatásokban és az alkalmazott üzleti modellben rejlő kockázatok jellegével, nagyságrendjével, összetettségével arányos átfogó, hatékony és megbízható vállalatirányítási rendszerrel – ideértve a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] 7. cikkének megfelelően létrehozott és működtetett hálózati és információs rendszert – és a (4) bekezdés szerinti belső kontroll funkcióval rendelkezik, amelynek keretén belül

a) a szervezeti felépítését belső szabályzatban áttekinthetően rögzíti,

b) a felelősségi köröket, feladatokat egymástól elhatárolja és egyértelműen meghatározza,

c) a szervezeten belüli összeférhetetlenséget ellenőrzi, megelőzi és kiküszöböli,

d) a felmerülő kockázatok azonosítására, mérésére, kezelésére, nyomon követésére és jelentésére szolgáló hatékony eljárásokat alkalmaz,

e) a jogszabályoknak megfelelő belső ellenőrzési mechanizmusokat, adminisztratív és számviteli eljárásokat alkalmaz,

f) a befektetési vállalkozás a hatékony és eredményes kockázatkezeléssel összhangban álló, annak alkalmazását előmozdító, a 4. mellékletben meghatározott elveknek megfelelő, a nemek szempontjából semleges javadalmazási politikát és gyakorlatot valósít meg,

g) elősegíti a szervezet zavartalan és eredményes működését, az intézménnyel szembeni bizalom fenntartását, a tulajdonosok és az ügyfelek intézménnyel összefüggő gazdasági érdekeinek és társadalmi céljainak védelmét.”

(2) A Bszt. 17. §-a a következő (6)–(8) bekezdéssel egészül ki:

„(6) A befektetési vállalkozás megbízható biztonsági mechanizmusokkal rendelkezik, amelyek garantálják – az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben meghatározott követelményekkel összhangban – az információk továbbítására használt eszközök biztonságát és hitelesítését, minimalizálják az adatsérülés és jogosulatlan hozzáférés kockázatát és megelőzik az információk kiszivárgását, ezáltal biztosítva azok bizalmas jellegét.

(7) A befektetési vállalkozás a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(8) Ha a befektetési vállalkozás a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

19. § A Bszt. a „Belső ellenőrzési szervezeti egység” alcímet megelőzően a következő 18/A. §-val egészül ki:

„18/A. § Az árutőzsdei szolgáltató olyan informatikai rendszert működtet, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében az árutőzsdei szolgáltatónak adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését.”

20. § A Bszt. 20/C. § (3) bekezdése helyébe a következő rendelkezés lép:

„(3) Az auditbizottság – a Ptk. 3:291. § (1) bekezdésében meghatározott feladatokon túl –

a) figyelemmel kíséri a közérdeklődésre számot tartó befektetési vállalkozás belső ellenőrzési, kockázatkezelési rendszereinek, a pénzügyi és a fenntarthatósági beszámolását befolyásoló belső ellenőrzésének hatékonyságát [beleértve az Szmt. 95/I. § (1) bekezdésében, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát is, anélkül, hogy korlátozná annak függetlenségét], valamint a pénzügyi beszámolás és a fenntarthatósági beszámolás folyamatát [beleértve az Szmt. 95/I. § (1) bekezdése, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát és a közérdeklődésre számot tartó befektetési vállalkozás által az Szmt. 95/D. § (1) bekezdés 3. pontja szerinti fenntarthatósági beszámolási standardoknak megfelelően közölt információk azonosítására szolgáló folyamatot] és szükség esetén ajánlásokat fogalmaz meg;

b) figyelemmel kíséri az éves és összevont (konszolidált) éves beszámoló jogszabályi kötelezettségen alapuló könyvvizsgálatát, a fenntarthatósági jelentésre és az összevont (konszolidált) fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenységet – különösen annak végrehajtását –, figyelembe véve a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló 2007. évi LXXV. törvény (a továbbiakban: Kkt.) szerinti könyvvizsgálói közfelügyeleti feladatokat ellátó hatóság által lefolytatott, a Kkt. szerinti minőségellenőrzési eljárás során tett megállapításokat és következtetéseket;

c) felülvizsgálja és figyelemmel kíséri a jogszabály szerint engedélyezett könyvvizsgáló vagy a könyvvizsgáló cég függetlenségét (ideértve a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására megválasztott könyvvizsgáló, illetve könyvvizsgáló cég függetlenségét is), különös tekintettel a közérdeklődésre számot tartó gazdálkodó egységek jogszabályban előírt könyvvizsgálatára vonatkozó egyedi követelményekről és a 2005/909/EK bizottsági határozat hatályon kívül helyezéséről szóló, 2014. április 16-i 537/2014/EU európai parlamenti és tanácsi rendelet 5. cikkében foglaltak teljesülését;

d) tájékoztatja a közérdeklődésre számot tartó befektetési vállalkozás legfőbb szervét a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység eredményéről, bemutatja, hogy a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység hogyan járult hozzá a pénzügyi, illetve a fenntarthatósági beszámolás integritásához, és azt, hogy az auditbizottság milyen szerepet töltött be a beszámolás folyamatában.”

21. § (1) A Bszt. 26/B. § (1) bekezdése helyébe a következő rendelkezés lép:

„(1) Az algoritmikus kereskedést folytató befektetési vállalkozás az általa végzett üzleti tevékenységnek megfelelő, hatékony rendszerekkel és kockázatellenőrzési mechanizmussal rendelkezik, amelyek biztosítják, hogy kereskedési rendszerei az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. fejezetében meghatározott követelményekkel összhangban

a) reziliensek legyenek, és elegendő kapacitással rendelkezzenek,

b) megfelelő kereskedési küszöbértékek és limitek hatálya alá tartozzanak,

c) a hibás megbízások kiküldését vagy a rendszerek egyéb, potenciálisan rendellenes piaci helyzetet eredményező vagy ilyen helyzet kialakulását elősegítő működését megakadályozzák,

d) ne legyenek felhasználhatók olyan célra, amely ellentétes a piaci visszaélésekről (piaci visszaélésekről szóló rendelet), valamint a 2003/6/EK európai parlamenti és tanácsi irányelv és a 2003/124/EK, a 2003/125/EK és a 2004/72/EK bizottsági irányelv hatályon kívül helyezéséről szóló, 2014. április 16-i 596/2014/EU európai parlamenti és tanácsi rendelettel (a továbbiakban: 596/2014/EU rendelet) vagy annak a kereskedési helyszínnek a szabályaival, amelyhez kapcsolódnak.”

(2) A Bszt. 26/B. § (2) bekezdése helyébe a következő rendelkezés lép:

„(2) Az algoritmikus kereskedést folytató befektetési vállalkozás

a) az üzletvitel folyamatosságát biztosító hatékony megoldásokkal rendelkezik, amelyek alkalmasak a kereskedési rendszereiben fellépő bármely hiba kezelésére, ideértve az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 11. cikkének megfelelően létrehozott IKT-vonatkozású üzletmenet-folytonossági politikát és terveket, valamint IKT-vonatkozású reagálási és helyreállítási terveket, és

b) gondoskodik rendszereinek teljes körű teszteléséről és nyomon követéséről annak biztosítása érdekében, hogy az (1) bekezdés és e bekezdés követelményeinek, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. és IV. fejezetben meghatározott követelményeknek mindenkor megfeleljen.”

22. § A Bszt. 101. §-a helyébe a következő rendelkezés lép:

„101. § (1) A befektetési vállalkozás írásban rögzített hatékony stratégiákkal, eljárásrendekkel és szabályzatokkal rendelkezik a következő kockázatok azonosítására, mérésére, kezelésére és nyomon követésére:

a) az ügyfeleket érintő kockázat jelentős forrásai és hatásai, valamint a szavatoló tőkére esetlegesen gyakorolt jelentős hatásai,

b) a piaci kockázatok jelentős forrásai és hatásai, valamint a szavatoló tőkére esetlegesen gyakorolt jelentős hatásai,

c) a befektetési vállalkozást érintő kockázat jelentős forrásai és hatásai, különösen azok, amelyek a rendelkezésre álló szavatoló tőke jelentős csökkenéséhez vezetnek, valamint

d) a megfelelő időtávokon belüli – ideértve a napon belüli – likviditási kockázat annak biztosítása céljából, hogy a befektetési vállalkozás megfelelő szintű likviditást tartson fenn, többek között az a)–c) pont szerinti jelentős kockázati források fedezése érdekében.

(2) A stratégiáknak, eljárásrendeknek és szabályzatoknak arányban kell állniuk a befektetési vállalkozás méretével, tevékenységének jellegével, összetettségével, kockázati profiljával és tevékenységi körével, az irányítási jogkörrel rendelkező vezető testület által meghatározott kockázatvállalási limitjeivel, valamint a befektetési vállalkozás azon EGT-államban megállapítható rendszerszintű jelentőségével, amelyben befektetési szolgáltatási tevékenységet, kiegészítő szolgáltatást végez.

(3) Az (1) bekezdés alkalmazása során az ügyfelek védelme érdekében a befektetési vállalkozás megfontolja, hogy a kockázatkezelés hatékony eszközeként szakmai felelősségbiztosítást alkalmazzon.

(4) Az (1) bekezdés alkalmazása során a befektetési vállalkozást fenyegető jelentős kockázatként kell figyelembe venni többek között – adott esetben – az eszközök könyv szerinti értékében bekövetkező jelentős változásokat, beleértve a függő ügynökökkel szembeni esetleges követeléseket, az ügyfelek vagy szerződő felek csődjét, a pénzügyi eszköz-, deviza- és árupozíciókat, valamint a szolgáltatással meghatározott nyugdíjkonstrukció felé fennálló kötelezettségeket.

(5) A befektetési vállalkozásnak biztosítania kell, hogy megfelelő szintű szavatoló tőkével rendelkezzen abban az esetben is, ha a piaci kockázatokat nem fedezik kellőképpen az (EU) 2019/2033 rendelet 11. cikke szerinti szavatoló tőke követelmények szerinti tőkeelemek.

(6) A Felügyelet kötelezi a befektetési vállalkozást, hogy amennyiben annak felszámolása vagy a tevékenységével történő felhagyás szükséges – üzleti modellje és stratégiája életképességét és fenntarthatóságát figyelembe véve –, reális követelményekkel és erőforrásokkal számoljon mind az időtávot, mind pedig a szavatoló tőke és a likvid erőforrások fenntartását illetően, a piacról való kivonulás teljes folyamata során.”

23. § A Bszt. XXV/C. Fejezete a következő 154/I. §-val egészül ki:

„154/I. § (1) Az adatszolgáltató a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(2) Ha az adatszolgáltató a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

24. § A Bszt. 159/A. §-a a következő (6a) bekezdéssel egészül ki:

„(6a) A hatósági vizsgára jelentkező személyekről vezetett nyilvántartás az adott személy (6) bekezdés a), b), c) és e) pontjában meghatározott adatait tartalmazza.”

25. § A Bszt. 162. § (1) bekezdése helyébe a következő rendelkezés lép:

„(1) A Felügyelet a befektetési vállalkozás méretét, kockázati profilját és üzleti modelljét is figyelembe véve felülvizsgálja és értékeli a befektetési vállalkozás e törvény, továbbá a prudens működésre vonatkozó szabályok és az (EU) 2019/2033 rendelet összes követelményének való megfelelését.”

26. § (1) A Bszt. 183. § (1) bekezdése a következő o) ponttal egészül ki:

(E törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„o) a 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló, 2022. december 14-i (EU) 2022/2464 európai parlamenti és tanácsi irányelv,”

(2) A Bszt. 183. § (1) bekezdése a következő p) ponttal egészül ki:

(E törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„p) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv.”

(3) A Bszt. 183. § (2) bekezdése a következő h) ponttal egészül ki:

(Ez a törvény)

„h) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet”

(végrehajtásához szükséges rendelkezéseket állapít meg.)

27. § A Bszt.

a) 3/B. § (1) bekezdésében a „101. § (2), (4)–(9) bekezdésében” szövegrész helyébe a „101. § (1) bekezdés b) pontjában, a 101. § (2)–(6) bekezdésében” szöveg,

b) 159/A. § (7) bekezdésében a „(6) bekezdésben” szövegrész helyébe a „(6) és (6a) bekezdésben” szöveg,

c) 162. § (6) bekezdésében a „(6) bekezdés” szövegrész helyébe a „(3) bekezdés” szöveg,

d) 163/B. § (1) bekezdés b) pontjában a „101. § (1) bekezdés f) pontjában” szövegrész helyébe a „101. § (1) bekezdés d) pontjában” szöveg

lép.

28. § Hatályát veszti a Bszt.

a) „Az informatikai rendszer” alcíme,

b) 117. § (1) bekezdés e) pontja,

c) 159/A. § (6) bekezdésében az „, a hatósági vizsgára jelentkező személyekről” szövegrész,

d) 162. § (8), (13) és (15) bekezdése,

e) 162/A. § (1) bekezdés c) pontjában az „a 162. § (8) bekezdése alapján” szövegrész, valamint

f) 180. § (1) bekezdés a) és d) pontja és (4) bekezdése.

6. A pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény módosítása

29. § (1) A pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (a továbbiakban: Pft.) 1. § (6) bekezdése helyébe a következő rendelkezés lép:

„(6) A számlainformációs szolgáltatásra az 5. §, a 10. §, a 31. §, a 38/C. §, az 55/A. §, az 55/C. §, valamint azon rendelkezések alkalmazandók, ahol e törvény a számlainformációs szolgáltatást kifejezetten nevesíti.”

(2) A Pft. 1. §-a a következő (8) bekezdéssel egészül ki:

„(8) Az 55/B. § nem terjed ki a hitelintézetre, az elektronikuspénz-kibocsátó intézményre és pénzforgalmi intézményre.”

30. § A Pft. 36/A. §-a a következő (12) bekezdéssel egészül ki:

„(12) E fejezet alkalmazásában Magyarországon elhelyezett automata bankjegykiadó gépből készpénz-helyettesítő fizetési eszköz útján történő készpénzfelvételnek minősül a forintban vezetett fizetési számláról a Posta Elszámoló Központot működtető intézmény – ideértve a Posta Elszámoló Központot működtető intézmény pénzforgalmi közvetítőjét is – által üzemeltetett POS terminál útján történő készpénzfelvétel is.”

31. § A Pft. 55/A. §-a a következő (3) bekezdéssel egészül ki:

„(3) A hitelintézet, az elektronikuspénz-kibocsátó intézmény és a pénzfogalmi intézmény vonatkozásában az (1) bekezdés nem érinti a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. fejezetében foglalt kötelezettségek teljesítését.”

32. § A Pft. 62/B. § (2) bekezdése helyébe a következő rendelkezés lép:

„(2) A Központi Nyilvántartás célja, hogy az ingyenes készpénzfelvételi, illetve cash-back szolgáltatás igénybevételével történő készpénzátvételi jog jogszerű gyakorlásának biztosítása érdekében megállapítható legyen az, hogy a nyilatkozattevő tett-e nyilatkozatot vagy visszavonó rendelkezést, eltérő időkben és nyilatkozatadat-szolgáltatóknál tett nyilatkozatok esetében pedig annak megállapíthatósága, hogy mely nyilatkozata jogosítja őt a 36/A. § (1) bekezdése szerinti díjtól és költségtől mentes szolgáltatásra.”

33. § A Pft. 67. §-a helyébe a következő rendelkezés lép:

„67. § (1) Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:

a) a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és a 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről szóló, 2015. november 25-i (EU) 2015/2366 európai parlamenti és tanácsi irányelv,

b) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv.

(2) Ez a törvény

a) a kártyaalapú fizetési műveletek bankközi jutalékairól szóló, 2015. április 29-i (EU) 2015/751 európai parlamenti és tanácsi rendelet,

b) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet

végrehajtásához szükséges rendelkezéseket állapít meg.”

7. A Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény módosítása

34. § (1) A Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény (a továbbiakban: Mnbtv.) 40. §-a a következő (42) bekezdéssel egészül ki:

„(42) Az MNB a 39. § (1) bekezdés h) pontjában meghatározott feladatai során ellátja az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló, 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2023/2631 európai parlamenti és tanácsi rendelet] végrehajtását, ide nem értve az (EU) 2023/2631 európai parlamenti és tanácsi rendelet 44. cikk (3) bekezdése szerinti európaizöldkötvény-kibocsátók felügyeletét.”

(2) Az Mnbtv. 40. §-a a következő (43) bekezdéssel egészül ki:

„(43) Az MNB a 39. §-ban meghatározott feladatai során ellátja a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet végrehajtását.”

35. § Az Mnbtv. 76. §-a a következő (12) és (12a) bekezdéssel egészül ki:

„(12) Az (EU) 2023/2631 európai parlamenti és tanácsi rendelet 49. cikk (1) bekezdés a) pontjában meghatározott jogsértések esetén a bírság mértéke

a) természetes személy esetében legfeljebb 19 250 000 forint,

b) jogi személy esetében legfeljebb 192 500 000 forint vagy a döntéshozó szerv által legutoljára jóváhagyott éves beszámoló szerinti éves árbevétel 0,5 százaléka azzal, hogy ha a jogi személy anyavállalat vagy anyavállalat olyan leányvállalata, amelyik a számviteli jogszabályok alapján konszolidált beszámoló készítésére kötelezett, akkor a figyelembe veendő éves árbevétel a legutolsó, az anyavállalat döntéshozó szerve által jóváhagyott konszolidált beszámoló szerinti éves árbevétel vagy a számviteli jogszabályok szerinti, annak megfelelő bevétel.

(12a) A (12) bekezdésben meghatározott bírság esetén a bírság mértéke a jogsértésből származó nyereség vagy az amiatt elkerült veszteség legfeljebb kétszerese, ha a jogsértésből származó nyereség vagy az amiatt elkerült veszteség összegszerűen meghatározható.”

36. § (1) Az Mnbtv. 186. § (5) bekezdése a következő 26. ponttal egészül ki:

(A 40. §)

„26. (42) bekezdése az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló, 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet,”

(végrehajtásához szükséges rendelkezéseket állapít meg az MNB feladatkörében és eljárásában.)

(2) Az Mnbtv. 186. § (5) bekezdése a következő 27. ponttal egészül ki:

(A 40. §)

„27. (43) bekezdése a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet”

(végrehajtásához szükséges rendelkezéseket állapít meg az MNB feladatkörében és eljárásában.)

8. Az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény módosítása

37. § Az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény (a továbbiakban: Fsztv.) 3. §-a a következő 17a. és 17b. ponttal egészül ki:

(E törvény alkalmazásában:)

„17a. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom,

17b. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom,”

38. § Az Fsztv. 12/A. §-a helyébe a következő rendelkezés lép:

„12/A. § (1) A pénzforgalmi intézmény, elektronikus-pénz kibocsátó intézmény a jelentős IKT-vonatkozású eseményeket a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelőközpontnak (CSIRT)

(2) Ha a pénzforgalmi intézmény, elektronikus-pénz kibocsátó intézmény a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

39. § Az Fsztv. 14. § (4) bekezdése helyébe a következő rendelkezés lép:

„(4) A pénzügyi szolgáltatáshoz, kiegészítő pénzügyi szolgáltatáshoz kapcsolódó kritikus feladatok – ideértve az IKT-rendszerek kiszervezését – nem befolyásolhatják a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény belső ellenőrzési rendszerét, a könyvvizsgáló és a Felügyelet hatáskörének gyakorlását.”

40. § (1) Az Fsztv. 17. § (1) bekezdés e) pontja helyébe a következő rendelkezés lép:

(A pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény tevékenységre jogosító engedély iránti kérelméhez mellékeli:)

„e) a kérelmező vállalatirányítási és belső ellenőrzési rendszerének leírását, ideértve az adminisztratív, a kockázatkezelési és számviteli eljárásokat is, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően az IKT-szolgáltatások igénybevételére vonatkozó megállapodásokat bemutatva ezen vállalatirányítási, ellenőrzési eljárások arányosságát, helyénvalóságát és megbízhatóságát,”

(2) Az Fsztv. 17. § (1) bekezdés r) pontja helyébe a következő rendelkezés lép:

(A pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény tevékenységre jogosító engedély iránti kérelméhez mellékeli:)

„r) a biztonsági események és biztonsággal kapcsolatos ügyfélpanaszok monitorozására, kezelésére és nyomon követésére szolgáló eljárások leírását, ideértve az eseményjelentési eljárást is, amely figyelembe veszi a pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény (EU) 2022/2554 európai parlamenti és tanácsi rendelet III. fejezetében megállapított értesítési kötelezettségeit,”

(3) Az Fsztv. 17. § (1) bekezdés t) pontja helyébe a következő rendelkezés lép:

(A pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény tevékenységre jogosító engedély iránti kérelméhez mellékeli:)

„t) az üzletmenet-folytonossági mechanizmusok leírását, amely tartalmazza a kritikus műveletek, a hatékony IKT vonatkozású üzletmenet-folytonossági politikák és tervek, valamint IKT vonatkozású reagálási és helyreállítási tervek, továbbá az ilyen tervek megfelelőségének és hatékonyságának rendszeres tesztelésére és felülvizsgálatára szolgáló, az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelő eljárás egyértelmű azonosítását,”

(4) Az Fsztv. 17. § (2a) bekezdése helyébe a következő rendelkezés lép:

„(2a) Az (1) bekezdés v) pontjában meghatározott biztonsági ellenőrzési és kockázatmérséklési intézkedések leírásakor a kérelmező bemutatja, hogy azok hogyan biztosítják a magas szintű digitális működési rezilienciát az (EU) 2022/2554 európai parlamenti és tanácsi rendelet II. fejezetével összhangban, különösen a műszaki biztonságot és adatvédelmet, ideértve a kérelmező által, illetve a kérelmező működésének egy részét vagy egészét kiszervezett tevékenységként végző vállalkozás által alkalmazott szoftvereket, valamint IKT rendszereket. Ezen intézkedések között a Pft. 55/A. §-ában meghatározott biztonsági intézkedéseknek is szerepelniük kell.”

41. § (1) Az Fsztv. 90. § (1) bekezdése a következő d) ponttal egészül ki:

(Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„d) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv.”

(2) Az Fsztv. 90. § (1a) bekezdése a következő c) ponttal egészül ki:

„c) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.”

42. § Hatályát veszti az Fsztv.

a) 2. § (2) bekezdésében az „és (3)” szövegrész,

b) 12. § (3) bekezdése,

c) 60. § (1) bekezdés d) pontja, valamint

d) 88. § a) pontja.

9. A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény módosítása

43. § (1) A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (a továbbiakban: Hpt.) 6. § (1) bekezdése a következő 49a. és 49b. ponttal egészül ki:

(E törvényben, valamint az e törvény felhatalmazása alapján kiadott jogszabályok vonatkozásában)

„49a. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom;

49b. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom;”

(2) A Hpt. 6. § (4) bekezdés j) pontja helyébe a következő rendelkezés lép:

(Nem minősül pénzforgalmi szolgáltatásnak)

„j) a pénzforgalmi szolgáltatást támogató (járulékos) technikai szolgáltatás, ha ennek szolgáltatója nem rendelkezhet a fizetési művelet tárgyát képező pénzzel, valamint nem válhat a fizetési művelet tárgyát képező pénz birtokosává, ideértve az adatfeldolgozást, az adatok tárolását, hitelesítését, a bizalmi és a magánélet védelmével kapcsolatos szolgáltatásokat, az adatok és személyek hitelesítését, az információs és kommunikációs technológia (a továbbiakban: IKT) biztosítását, valamint – a fizetéskezdeményezési szolgáltatás és a számlainformációk összesítése kivételével – a pénzforgalmi szolgáltatáshoz használt terminálok és eszközök biztosítását és karbantartását is,”

44. § A Hpt. 67/A. §-a helyébe a következő rendelkezés lép:

„67/A. § (1) A pénzügyi vállalkozás vonatkozásában alkalmazandó (EU) 2022/2554 európai parlamenti és tanácsi rendelet (a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet.

(2) A pénzügyi vállalkozásnak meg kell felelnie az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti egyszerűsített IKT kockázatkezelési keretrendszer követelményeinek.

(3) A (2) bekezdésben foglaltaktól eltérően a fizetési rendszert működtető pénzügyi vállalkozásnak, a hitelintézettel egyenértékű prudenciális szabályozásnak megfelelő pénzügyi vállalkozásnak, valamint az olyan pénzügyi vállalkozásnak, amelyre az összevont alapú felügyelet kiterjed, meg kell felelnie az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti IKT kockázatkezelési keretrendszer követelményeinek.

(4) A hitelintézet és a pénzügyi vállalkozás a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(5) Ha a hitelintézet és a pénzügyi vállalkozás a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

45. § A Hpt. 107. § (1) bekezdés e) pontja helyébe a következő rendelkezés lép:

[A hitelintézet az általa végzett pénzügyi, kiegészítő pénzügyi szolgáltatási tevékenységekben és az alkalmazott üzleti modellben rejlő kockázatok jellegével, nagyságrendjével, összetettségével arányos átfogó, hatékony és megbízható vállalatirányítási rendszerrel és a (2) bekezdés szerinti belső kontroll funkcióval rendelkezik, amelynek keretén belül]

„e) a jogszabályoknak megfelelő belső ellenőrzési mechanizmusokat, adminisztratív és számviteli eljárásokat, továbbá az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően létrehozott és működtetett hálózati és információs rendszereket alkalmaz,”

46. § A Hpt. 108. §-a a következő (5c) bekezdéssel egészül ki:

„(5c) Az (5) bekezdés e) pontja szerinti vészhelyzeti és üzletmenet-folytonossági tervek keretében a hitelintézet rendelkezik az információközlésre használt technológia tekintetében az IKT-vonatkozású üzletmenet-folytonossági politikákkal és tervekkel, valamint IKT-vonatkozású reagálási és helyreállítási tervekkel. Ezen tervek kidolgozására, végrehajtására és tesztelésére az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 11. cikkének megfelelően kerül sor annak érdekében, hogy a hitelintézet súlyos üzletviteli zavar esetén tovább működjön, és a zavar során felmerülő veszteségeket mérsékelje.”

47. § A Hpt. 114. § (3) bekezdése q) pontja helyébe a következő rendelkezés lép:

(A helyreállítási terv a hitelintézet esetleges fizetésképtelenné válásának – más hitelintézetekre vagy a pénzügyi közvetítőrendszerrel való összefonódásából adódóan – a pénzügyi piacokra gyakorolható lehetséges hatásainak arányában a következőket tartalmazza:)

„q) feltételek és eljárások a tervben foglalt intézkedések hitelintézet által történő gyors végrehajtása biztosításához, továbbá a hitelintézet folyamatos működésének – ideértve az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően létrehozott és működtetett hálózati és információs rendszereket – fenntartásához szükséges feltételek és eljárások,”

48. § A Hpt. 157. § (3) bekezdése helyébe a következő rendelkezés lép:

„(3) Az auditbizottság – a Ptk. 3:291. § (1) bekezdésében meghatározott feladatokon túl –

a) figyelemmel kíséri a közérdeklődésre számot tartó hitelintézet belső ellenőrzési, kockázatkezelési rendszereinek, a pénzügyi és a fenntarthatósági beszámolását befolyásoló belső ellenőrzésének hatékonyságát [beleértve az Szmt. 95/I. § (1) bekezdésében, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát is, anélkül, hogy korlátozná annak függetlenségét], valamint a pénzügyi beszámolás és a fenntarthatósági beszámolás folyamatát [beleértve az Szmt. 95/I. § (1) bekezdése, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát és a közérdeklődésre számot tartó hitelintézet által az Szmt. 95/D. § (1) bekezdés 3. pontja szerinti fenntarthatósági beszámolási standardoknak megfelelően közölt információk azonosítására szolgáló folyamatot] és szükség esetén ajánlásokat fogalmaz meg;

b) figyelemmel kíséri az éves és összevont (konszolidált) éves beszámoló jogszabályi kötelezettségen alapuló könyvvizsgálatát, a fenntarthatósági jelentésre és az összevont (konszolidált) fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenységet – különösen annak végrehajtását –, figyelembe véve a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló 2007. évi LXXV. törvény (a továbbiakban: Kkt.) szerinti könyvvizsgálói közfelügyeleti feladatokat ellátó hatóság által lefolytatott, a Kkt. szerinti minőségellenőrzési eljárás során tett megállapításokat és következtetéseket;

c) felülvizsgálja és figyelemmel kíséri a jogszabály szerint engedélyezett könyvvizsgáló vagy a könyvvizsgáló cég függetlenségét (ideértve a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására megválasztott könyvvizsgáló, illetve könyvvizsgáló cég függetlenségét is), különös tekintettel a közérdeklődésre számot tartó gazdálkodó egységek jogszabályban előírt könyvvizsgálatára vonatkozó egyedi követelményekről és a 2005/909/EK bizottsági határozat hatályon kívül helyezéséről szóló, 2014. április 16-i 537/2014/EU európai parlamenti és tanácsi rendelet 5. cikkében foglaltak teljesülését;

d) tájékoztatja a közérdeklődésre számot tartó hitelintézet legfőbb szervét a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység eredményéről, bemutatja, hogy a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység hogyan járult hozzá a pénzügyi, illetve a fenntarthatósági beszámolás integritásához, és azt, hogy az auditbizottság milyen szerepet töltött be a beszámolás folyamatában.”

49. § A Hpt. 177. § (4) bekezdése helyébe a következő rendelkezés lép:

„(4) A Felügyelet a felülvizsgálati és értékelési eljárás során értékeli:

a) azon kockázatokat, amelyeknek a hitelintézet ki van, vagy ki lehet téve,

b) azon kockázatokat, amelyeket a stressz-teszt során a hitelintézet tevékenységének jellegét, nagyságrendjét és összetettségét figyelembe véve feltártak, és

c) azon kockázatokat, amelyeket a digitális működési reziliencia tesztelése által az (EU) 2022/2554 európai parlamenti és tanácsi rendelet IV. fejezetével összhangban tártak fel.”

50. § A Hpt. 204. § (1) bekezdés f) pontja helyébe a következő rendelkezés lép:

(A Felügyelet a pénzügyi közvetítő rendszer felügyeletével kapcsolatos feladatai ellátása céljából a 200–202. §-ban meghatározott, valamint az általa elrendelt adatszolgáltatások alapján nyilvántartja:)

„f) a pénzügyi intézmény részére kiszervezett tevékenységet végzőket, ideértve az (EU) 2022/2554 európai parlamenti és tanácsi rendelet V. fejezet szerinti IKT-szolgáltatókat is,”

51. § A Hpt. 204/A. §-a a következő (6a) bekezdéssel egészül ki:

„(6a) A hatósági vizsgára jelentkező személyekről vezetett nyilvántartás az adott személy (6) bekezdés a), b), c) és e) pontjában meghatározott adatait tartalmazza.”

52. § A Hpt. 93. alcíme a következő 227/A. §-val egészül ki:

„227/A. § Az OBA olyan informatikai rendszert működtet, amely biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint annak észrevétlen módosítását. Az informatikai rendszernek meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében az OBA-nak adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését.”

53. § A Hpt. 290. § (1) bekezdés c) pontja helyébe a következő rendelkezés lép:

(Felhatalmazást kap a Kormány arra, hogy rendeletben állapítsa meg:)

„c) a 3. § (1) bekezdésében, valamint a 3. § (2) bekezdésében meghatározott pénzügyi szolgáltatások, illetve kiegészítő pénzügyi szolgáltatások folytatásához szükséges személyi és tárgyi feltételekre”

(vonatkozó részletes szabályokat.)

54. § (1) A Hpt. 5. melléklete a 2. melléklet 1. pontja szerint módosul.

(2) A Hpt. 5. melléklete a 2. melléklet 2. és 3. pontja szerint módosul.

55. § A Hpt.

a) 5. § (1) bekezdésében a „hitelintézet és” szövegrész helyébe a „hitelintézet, jelzáloghitel közvetítői tevékenységet végző közvetítő és” szöveg,

b) 204/A. § (7) bekezdésében a „(6) bekezdésben” szövegrész helyébe a „(6) és (6a) bekezdésben” szöveg

lép.

56. § Hatályát veszti a Hpt.

a) 161. § (1) bekezdés d) pontja,

b) 204/A. § (6) bekezdésében az „, a hatósági vizsgára jelentkező személyekről” szövegrész.

10. A kollektív befektetési formákról és kezelőikről, valamint egyes pénzügyi tárgyú törvények módosításáról szóló 2014. évi XVI. törvény módosítása

57. § A kollektív befektetési formákról és kezelőikről, valamint egyes pénzügyi tárgyú törvények módosításáról szóló 2014. évi XVI. törvény (a továbbiakban: Kbftv.) 4. § (1) bekezdése a következő 53a. és 53b. ponttal egészül ki:

(E törvény és az e törvény felhatalmazása alapján kiadott jogszabályok alkalmazásában:)

„53a. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom;

53b. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom;”

58. § (1) A Kbftv. 18. § (3) bekezdése helyébe a következő rendelkezés lép:

„(3) A befektetési alapkezelőnek rendelkeznie kell olyan elektronikus portfólió-nyilvántartási rendszerrel, amely alkalmas az általa kezelt portfóliók vagyonváltozásainak, a jegyzési és visszavásárlási megbízásoknak naprakész – és az információs kötelezettség teljesítését lehetővé tevő – rögzítésére és kimutatására és a belső ellenőrzés, valamint a Felügyelet által történő ellenőrzés követelményeinek teljesítésére. A befektetési alapkezelő gondoskodik az elektronikus adatfeldolgozás magas szintű biztonságáról – többek között az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően létrehozott és működtetett hálózati és információs rendszerek tekintetében – és a rögzített információk védelméről és bizalmas kezeléséről.”

(2) A Kbftv. 18. §-a a következő (6) és (7) bekezdéssel egészül ki:

„(6) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó befektetési alapkezelő a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(7) Ha a befektetési alapkezelő a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

59. § (1) A Kbftv. 205. § (1) bekezdése a következő j) ponttal egészül ki:

(E törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„j) az Európai Parlament és a Tanács (EU) 2022/2556 irányelve (2022. december 14.) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK. a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról”

(2) A Kbftv. 205. § (2) bekezdése a következő o) ponttal egészül ki:

(E törvény)

„o) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet”

(végrehajtásához szükséges rendelkezéseket állapít meg.)

11. A pénzügyi közvetítőrendszer egyes szereplőinek biztonságát erősítő intézményrendszer továbbfejlesztéséről szóló 2014. évi XXXVII. törvény módosítása

60. § A pénzügyi közvetítőrendszer egyes szereplőinek biztonságát erősítő intézményrendszer továbbfejlesztéséről szóló 2014. évi XXXVII. törvény (a továbbiakban: Szantv.) 88. § (2) bekezdés a) pontja a következő ac) alponttal egészül ki:

(A szanálási intézkedések alkalmazása – és az ilyen intézkedés alkalmazásához közvetlenül kapcsolódó bármilyen esemény bekövetkezése – nem teszi lehetővé: felmondási, felfüggesztési, nettósítási vagy egymással szembeni elszámolási jog gyakorlását, többek között)

ac) az Európai Parlament és a Tanács (EU) 2022/2554 rendelete szerinti IKT szolgáltatások igénybevételére vonatkozó megállapodások tekintetében, ideértve azok módosítását is figyelemmel arra is, hogy a felmondási jogok gyakorlását a megállapodásokban az Európai Parlament és a Tanács (EU) 2022/2554 rendelete 30. cikk (2) bekezdés h) pontja szerint a Felügyelet és a szanálási feladatkörében eljáró MNB elvárásainak megfelelően kell kialakítani;”

61. § A Szantv. 151. § (1) bekezdése a következő d) ponttal egészül ki:

(Ez a törvény)

„d) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelvnek”

(való megfelelést szolgálja.)

62. § (1) A Szantv. 1. melléklete a 3. melléklet szerint módosul.

(2) A Szantv. 2. melléklete a 4. melléklet szerint módosul.

63. § Hatályát veszti a Szantv. 150/B. §-a.

12. A biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény módosítása

64. § A biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban: Bit.) 4. § (1) bekezdés 46. pontja helyébe a következő rendelkezés lép, továbbá a következő 46a. és 46b. ponttal egészül ki:

(E törvény alkalmazásában:)

„46. jegyzett tőke és saját tőke: a számvitelről szóló 2000. évi C. törvényben (a továbbiakban: Szmt.) meghatározottak szerinti jegyzett tőke és saját tőke;

46a. jelentős IKT-vonatkozású esemény: a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] ekképp meghatározott fogalom;

46b. jelentős kiberfenyegetés: az (EU) 2022/2554 európai parlamenti és tanácsi rendeletben ekképp meghatározott fogalom;”

65. § (1) A Bit. 77. § (2) bekezdése d) pontja helyébe a következő rendelkezés lép:

(A biztosító vagy a viszontbiztosító az irányítási rendszer keretén belül köteles)

„d) tevékenységei folyamatos és szabályszerű ellátása érdekében megfelelő és arányos rendszereket, erőforrásokat és eljárásokat (ideértve a készenléti tervet is), így különösen az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek megfelelően létrehozott és működtetett hálózati és információs rendszereket alkalmazni.”

(2) A Bit. 77. §-a a következő (5) és (6) bekezdéssel egészül ki:

„(5) A biztosító vagy a viszontbiztosító a jelentős IKT-vonatkozású eseményeket az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően bejelenti a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT).

(6) Ha a biztosító vagy a viszontbiztosító a jelentős kiberfenyegetést az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 19. cikkének megfelelően önkéntesen bejelenti a Felügyeletnek, a bejelentést ezzel egyidejűleg a nemzeti kiberbiztonsági incidenskezelő központnak (CSIRT) is megteszi.”

66. § A Bit. 116. § (7) bekezdése helyébe a következő rendelkezés lép:

„(7) Az auditbizottság – a Ptk. 3:291. § (1) bekezdésében meghatározott feladatokon túl –

a) figyelemmel kíséri a közérdeklődésre számot tartó biztosító, viszontbiztosító belső ellenőrzési, kockázatkezelési rendszereinek, a pénzügyi és a fenntarthatósági beszámolását befolyásoló belső ellenőrzésének hatékonyságát [beleértve az Szmt. 95/I. § (1) bekezdésében, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát is, anélkül, hogy korlátozná annak függetlenségét], valamint a pénzügyi beszámolás és a fenntarthatósági beszámolás folyamatát [beleértve az Szmt. 95/I. § (1) bekezdése, valamint az Szmt. 134/J. § (1) bekezdése szerinti elektronikus beszámolás folyamatát és a közérdeklősére számot tartó biztosító, viszontbiztosító által az Szmt. 95/D. § (1) bekezdés 3. pontja szerinti fenntarthatósági beszámolási standardoknak megfelelően közölt információk azonosítására szolgáló folyamatot] és szükség esetén ajánlásokat fogalmaz meg;

b) figyelemmel kíséri az éves és összevont (konszolidált) éves beszámoló jogszabályi kötelezettségen alapuló könyvvizsgálatát, a fenntarthatósági jelentésre és az összevont (konszolidált) fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenységet – különösen annak végrehajtását –, figyelembe véve a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről szóló 2007. évi LXXV. törvény (a továbbiakban: Kkt.) szerinti könyvvizsgálói közfelügyeleti feladatokat ellátó hatóság által lefolytatott, a Kkt. szerinti minőségellenőrzési eljárás során tett megállapításokat és következtetéseket;

c) felülvizsgálja és figyelemmel kíséri a jogszabály szerint engedélyezett könyvvizsgáló vagy a könyvvizsgáló cég függetlenségét (ideértve a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására megválasztott könyvvizsgáló, illetve könyvvizsgáló cég függetlenségét is), különös tekintettel a közérdeklődésre számot tartó gazdálkodó egységek jogszabályban előírt könyvvizsgálatára vonatkozó egyedi követelményekről és a 2005/909/EK bizottsági határozat hatályon kívül helyezéséről szóló, 2014. április 16-i 537/2014/EU európai parlamenti és tanácsi rendelet 5. cikkében foglaltak teljesülését;

d) tájékoztatja a közérdeklődésre számot tartó biztosító, viszontbiztosító legfőbb szervét a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység eredményéről, bemutatja, hogy a jogszabályi kötelezettségen alapuló könyvvizsgálói tevékenység és a fenntarthatósági jelentésre vonatkozó bizonyosság nyújtására irányuló tevékenység hogyan járult hozzá a pénzügyi, illetve a fenntarthatósági beszámolás integritásához, és azt, hogy az auditbizottság milyen szerepet töltött be a beszámolás folyamatában.”

67. § A Bit. a következő 374/A. §-val egészül ki:

„374/A. § A 77. § (5) és (6) bekezdésében foglaltak az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó biztosításközvetítőkre, viszontbiztosítás-közvetítőkre és kiegészítő biztosításközvetítői tevékenységet végző személyekre is megfelelően alkalmazandók.”

68. § A Bit. 391. § (6) bekezdése helyébe a következő rendelkezés lép:

„(6) A többes ügynök köteles tevékenységének felelősségbiztosítására mindenkor legalább

a) biztosítási eseményenkénti 1 564 610 euró, és évente együttesen legalább 2 315 610 euró összegű, az Európai Unió egész területére kiterjedő hatályú felelősségbiztosítással, vagy

b) 2 315 610 euró vagyoni biztosítékkal

rendelkezni.”

69. § A Bit. 403. § (1) bekezdése helyébe a következő rendelkezés lép:

„(1) Az alkusz köteles tevékenységének felelősségbiztosítására mindenkor legalább

a) biztosítási eseményenkénti 1 564 610 euró, és évente együttesen legalább 2 315 610 euró összegű, az Európai Unió egész területére kiterjedő hatályú felelősségbiztosítással, vagy

b) 2 315 610 euró vagyoni biztosítékkal

rendelkezni.”

70. § A Bit. 430. §-a a következő (6a) bekezdéssel egészül ki:

„(6a) A hatósági vizsgára jelentkező személyekről vezetett nyilvántartás az adott személy (6) bekezdés a), b), c) és e) pontjában meghatározott adatait tartalmazza.”

71. § (1) A Bit. 453. §-a a következő 14. ponttal egészül ki:

(Ez a törvény)

„14. a 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló, 2022. december 14-i (EU) 2022/2464 európai parlamenti és tanácsi irányelvnek”

(való megfelelést szolgálja.)

(2) A Bit. 453. §-a a következő 15. ponttal egészül ki:

(Ez a törvény)

„15. a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelvnek”

(való megfelelést szolgálja.)

72. § (1) A Bit. 453/A. §-a a következő 4. ponttal egészül ki:

(Ez a törvény)

„4. az (EU) 2016/97 európai parlamenti és tanácsi irányelvnek a biztosítás- és a viszontbiztosítás-közvetítők, valamint a kiegészítő biztosításközvetítői tevékenységet végző személyek szakmai felelősségbiztosítására és pénzügyi teljesítőképességére vonatkozó, euróban megállapított alapösszegeket kiigazító szabályozástechnikai standardok tekintetében történő módosításáról szóló, 2023. december 5-i (EU) 2024/896 felhatalmazáson alapuló bizottsági rendelet”

(végrehajtásához szükséges rendelkezéseket állapít meg.)

(2) A Bit. 453/A. §-a a következő 5. ponttal egészül ki:

(Ez a törvény)

„5. a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet”

(végrehajtásához szükséges rendelkezéseket állapít meg.)

73. § A Bit. 430. § (7) bekezdésében a „(6) bekezdésben” szövegrész helyébe a „(6) és (6a) bekezdésben” szöveg lép.

74. § Hatályát veszti a Bit.

a) 94. § (3)–(8) bekezdése,

b) 209. § (2) bekezdésében az „és a 94. § (4)–(6) bekezdésében” szövegrész,

c) 236. § (2) bekezdésében az „és a (3)–(6) bekezdését” szövegrész,

d) 430. § (6) bekezdésében az „, a hatósági vizsgára jelentkező személyekről” szövegrész,

e) 437. § c) pontja.

13. Záró rendelkezések

75. § (1) Ez a törvény – a (2)–(5) bekezdésben foglalt kivétellel – a kihirdetését követő 8. napon lép hatályba.

(2) A 4. §, a 20. §, a 48. §, a 66. §, a 68. §, a 69. § és a 72. § (1) bekezdés 2024. október 9-én lép hatályba.

(3) A 9. §, a 10. § (1) bekezdése, a 34. § (1) bekezdése, a 35. §, a 36. § (1) bekezdése és az 1. melléklet 1. pontja 2024. december 21-én lép hatályba.

(4) A 30. § 2025. január 1-jén lép hatályba.

(5) Az 1–3. §, az 5–8. §, a 10. § (3) bekezdése, a 11–19. §, a 21. §, a 23. §, a 26. § (2) és (3) bekezdése, a 28. § a), b), d) és f) pontja, a 29. §, a 31. §, a 33. §, a 34. § (2) bekezdése, a 36. § (2) bekezdése, a 37–47. §, a 49. §, az 50. §, az 52. §, az 53. §, az 54. § (2) bekezdése, az 56. § a) pontja, az 57–65. §, a 67. §, a 71. § (2) bekezdése, a 74. § a)–c) és e) pontja, az 1. melléklet 3. pontja, a 2. melléklet 2. és 3. pontja, a 3. melléklet és a 4. melléklet 2025. január 17-én lép hatályba.

14. Az Európai Unió jogának való megfelelés

76. § (1) Ez a törvény

a) a 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló, 2022. december 14-i (EU) 2022/2464 európai parlamenti és tanácsi irányelvnek;

b) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelvnek

való megfelelést szolgálja.

(2) Ez a törvény

a) az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló, 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet,

b) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet,

c) az (EU) 2016/97 európai parlamenti és tanácsi irányelvnek a biztosítás- és a viszontbiztosítás-közvetítők, valamint a kiegészítő biztosításközvetítői tevékenységet végző személyek szakmai felelősségbiztosítására és pénzügyi teljesítőképességére vonatkozó, euróban megállapított alapösszegeket kiigazító szabályozástechnikai standardok tekintetében történő módosításáról szóló, 2023. december 5-i (EU) 2024/896 felhatalmazáson alapuló bizottsági rendelet

végrehajtásához szükséges rendelkezéseket állapít meg.

1. melléklet a 2024. évi X. törvényhez

1. A Tpt. 25. számú melléklete a következő 15. ponttal egészül ki:

(Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„15. Az európai zöldkötvényekről és a környezeti szempontból fenntarthatóként forgalmazott kötvényekre és a fenntarthatósághoz kapcsolódó kötvényekre vonatkozó opcionális közzétételekről szóló, 2023. november 22-i (EU) 2023/2631 európai parlamenti és tanácsi rendelet.”

2. A Tpt. 25. számú melléklete a következő 33. ponttal egészül ki:

(Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„33. A 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló 2022. december 14-i, (EU) 2022/2464 európai parlamenti és tanácsi irányelv.”

3. A Tpt. 25. számú melléklete a következő 34. és 35. ponttal egészül ki:

(Ez a törvény a következő uniós jogi aktusoknak való megfelelést szolgálja:)

„34. A pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelv.

35. A pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet.”

2. melléklet a 2024. évi X. törvényhez

1. A Hpt. 5. melléklet 1. pontja a következő o) ponttal egészül ki:

(Ez a törvény)

„o) a 537/2014/EU rendeletnek, a 2004/109/EK irányelvnek, a 2006/43/EK irányelvnek és 2013/34/EU irányelvnek a fenntarthatósággal kapcsolatos vállalati beszámolás tekintetében történő módosításáról szóló, 2022. december 14-i (EU) 2022/2464 európai parlamenti és tanácsi irányelvnek,”

(való megfelelést szolgálja.)

2. A Hpt. 5. melléklet 1. pontja a következő p) ponttal egészül ki:

(Ez a törvény)

„p) a pénzügyi ágazat digitális működési rezilienciája tekintetében a 2009/65/EK, a 2009/138/EK, a 2011/61/EU, a 2013/36/EU, a 2014/59/EU, a 2014/65/EU, az (EU) 2015/2366 és az (EU) 2016/2341 irányelv módosításáról szóló, 2022. december 14-i (EU) 2022/2556 európai parlamenti és tanácsi irányelvnek”

(való megfelelést szolgálja.)

3. A Hpt. 5. melléklet 3. pontja a következő f) ponttal egészül ki:

(Ez a törvény)

„f) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek”

(a végrehajtásához szükséges rendelkezéseket állapítja meg.)

3. melléklet a 2024. évi X. törvényhez

1. A Szantv. 1. melléklet A) pont 3. alpontja helyébe a következő rendelkezés lép:

(Az egyedi szanálási terv tartalmazza legalább az alábbi tartalmi elemeket:)

„3. annak bemutatása, hogy a kritikus funkciók és a fő üzletágak jogilag és gazdaságilag hogyan különíthetők el más funkcióktól a szükséges mértékben annak érdekében, hogy az intézmény fizetésképtelensége esetén a folytonosság és a digitális működési reziliencia biztosítható legyen;”

2. A Szantv. 1. melléklet A) pont 15. alpontja helyébe a következő rendelkezés lép:

(Az egyedi szanálási terv tartalmazza legalább az alábbi tartalmi elemeket:)

„15. az intézmény működési eljárásainak folyamatos fenntartását szolgáló lényeges műveletek és rendszerek bemutatása, ideértve a pénzügyi ágazat digitális működési rezilienciájáról, valamint a 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletben [a továbbiakban: (EU) 2022/2554 európai parlamenti és tanácsi rendelet] meghatározott hálózati és információs rendszereket;”

4. melléklet a 2024. évi X. törvényhez

1. A Szantv. 2. melléklet 4. pontja helyébe a következő rendelkezés lép:

(A szanálási feladatkörében eljáró MNB-nek egy intézmény vagy csoport szanálhatóságának értékelésekor mérlegelnie kell azt, hogy)

„4. az intézmény által fenntartott szolgáltatási megállapodások – ideértve az IKT szolgáltatások igénybevételére vonatkozó megállapodásokat – mekkora hányada érvényesíthető teljes körűen az intézmény szanálása esetén;”

2. A Szantv. 2. melléklet a következő 4a. ponttal egészül ki:

(A szanálási feladatkörében eljáró MNB-nek egy intézmény vagy csoport szanálhatóságának értékelésekor mérlegelnie kell azt, hogy)

„4a. megfelelően biztosítják-e az intézmény kritikus funkcióit és fő üzletágait támogató hálózati és információs rendszerek digitális működési rezilienciáját, figyelembe véve a jelentős IKT-vonatkozású eseményjelentéseket és a digitális működési reziliencia (EU) 2022/2554 rendelet szerinti tesztelés eredményeit;”