Új törvény szabályozza a kiberbiztonsági tanúsítást és felügyeletet


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A kibertérben rejlő fenyegetések növekedése miatt egyre fontosabbak az erre irányuló szabályozások – ennek újabb része a nemzeti kiberbiztonsági tanúsítási keretrendszer.

kiberbiztonsági


Releváns jogszabályok:


A kiberbiztonság (ún. cybersecurity) napjainkban rendkívül fontos, mivel a digitális világban zajló folyamatos technológiai fejlődés (gondoljunk csak az elmúlt félév ChatGPT, és más generatív mesterséges intelligencia által okozott felhajtásra) és az egyre inkább összekapcsolódó rendszerek mellett a kibertérben rejlő fenyegetések is egyre komplexebbé és veszélyesebbé váltak.

A nemzeti kiberbiztonsági tanúsítási keretrendszer célja, hogy a digitalizáció eredményeként széles körben használt infokommunikációs termékek és szolgáltatások esetén megfelelő kiberbiztonsági elvárásokat és követelményeket határozzon meg. A gyakorlat dönti majd el, hogy az európai és magyar jogalkotás által hozott szabályok elegendőek-e a kiberbiztonsági kockázatok hatékony kezeléséhez és az adatok valódi védelméhez.

A magyar jogalkotó májusban fogadta el a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvényt, melynek általános indokolása alapján a jogszabály két fő tárgykört fed le:

  • kialakítja a kiberbiztonsági tanúsítás hazai keretrendszerét és emellett biztosítja az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és a tanácsi rendelet (kiberbiztonsági jogszabály) érvényesülését, és
  • a gazdasági élet jelentős ágazatainak szereplői számára kiberbiztonsági követelményeket határoz meg, és hatósági felügyeleti rendszert vezet be.

A törvény egy része már idén májusban, illetve június elején hatályba lépett, azonban sok része csak 2024. január 1-jén, illetve 2024. október 18-án lép majd hatályba.

A kiberbiztonsági rendszer és a tanúsítvány

Az értelmező rendelkezések alapján a nemzeti kiberbiztonsági tanúsítási rendszer az IKT-termékek (az IKT az információs és kommunikációs technológiák rövidítése), IKT-szolgáltatások és IKT-folyamatok tanúsítására, megfelelőségértékelésére Magyarországon alkalmazandó, az európai kiberbiztonsági rendszerek elvei alapján kidolgozott és a tanúsító hatóság által meghatározott szabályok, műszaki követelmények, szabványok és eljárások átfogó rendszere.

Maga a nemzeti kiberbiztonsági tanúsítvány egy olyan független, harmadik fél által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek.

Rögzítésre került a törvényben egyébiránt az európai kiberbiztonsági tanúsítási rendszerek elsőbbsége, vagyis hogy a nemzeti tanúsítási rendszer csak azon tárgykörökben és folyamatok esetében alkotható meg, amelyekre vonatkozóan nincs hatályos európai kiberbiztonsági tanúsítási rendszer. Ha van, vagy időközben hoznak ilyen szabályt, akkor a nemzeti tanúsítási rendszert a hatóság köteles hatályon kívül helyezni.

A tanúsító hatóság a Szabályozott Tevékenységek Felügyeleti Hatósága (kivéve a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok esetében, ahol a Katonai Nemzetbiztonsági Szolgálat látja el ezt a feladatot a Kormány kijelölése alapján).

A nemzeti kiberbiztonsági tanúsítási rendszer célja lényegében, hogy biztosítsa az adatok védelmét a teljes életciklus alatt, korlátozza a hozzáférést jogosult személyekre és gépekre, azonosítsa és dokumentálja a függőségeket és sebezhetőségeket, nyomon kövesse és ellenőrizze a felhasználást, garantálja az IKT-termékek és -szolgáltatások biztonságát, helyreállítsa a rendelkezésre állást fizikai vagy műszaki események esetén, biztosítsa a szoftverek és hardverek naprakészségét, és megelőzze a közismert sebezhetőségeket, valamint biztosítsa a biztonságos frissítési mechanizmusokat.

Megbízhatósági szintek és kiberbiztonsági felügyeleti szabályok

A nemzeti kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, -szolgáltatásokra és -folyamatokra három megbízhatósági szintek közül egy vagy több szintet határozhatnak meg:

  • alap
  • jelentős
  • magas.

A kiberbiztonsági felügyeletet kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni, a felügyeleti szerv az SZTFH.

Kivételt képeznek e főszabály alól a mikro- és kisvállalkozások, melyekre nem kell alkalmazni a fejezet szabályait. A kivételi szabály alól is van kivétel, azaz mégis kell alkalmazni, ha a szervezet:

  • elektronikus hírközlési szolgáltató,
  • bizalmi szolgáltató,
  • DNS-szolgáltatást nyújtó szolgáltató,
  • legfelső szintű domainnév-nyilvántartó vagy
  • domainnév-regisztrációt végző szolgáltató.

Kiberbiztonsági felügyeleti eszközök és felügyeleti díj

Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében:

  • hatósági ellenőrzést végezhet,
  • jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nem-megfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.

A felügyeletnek éves kiberbiztonsági felügyeleti díja van, melynek mértéke a vállalat előző üzleti évi nettó árbevételének – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének – legfeljebb 0,015 százaléka, de legfeljebb 10 millió forint, illetve egyes meghatározott esetekben az ugyanazon elismert vállalatcsoport esetén legfeljebb 50 millió forint.

Maga a szervezet is köteles kétévente auditot végeztetni arra felhatalmazott, független auditor által. Az audit végrehajtásának a célja az, hogy az érintett szervezet képes legyen felismerni az elektronikus információs rendszereit érintő kockázatokat, valamint a biztonsági követelményeknek való nemmegfelelés eseteit.

Kiberbiztonsági esemény és jelentése

Fontos fogalom még e tárgykörben a bizalmasság (az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról) és a sértetlenség, mely az adat tulajdonsága, ami arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.

A biztonsági esemény pedig olyan nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül.

Ha az elektronikus információs rendszerben olyan (kiber)biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget, amely

  • az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz vagy
  • jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára

az érintett szervezet köteles haladéktalanul bejelentést tenni.

Szankciók

Ha az érintett szervezet, vállalat a jogszabályokban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti, vagy nem tartja be, az SZTFH jogosult:

  • figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények vagy az ehhez kapcsolódó eljárási szabályok teljesítésére,
  • határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, vagy
  • a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

Ha ezen intézkedések alkalmazása ellenére az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével külön kormányrendeletben meghatározottak szerint bírságot szabhat ki, ami további nemteljesítés esetén megismételhető.




Kapcsolódó cikkek

2024. július 12.

Aki közterületi ingatlanon fakivágási engedéllyel vagy anélkül fát vág ki a kompenzációs intézkedés alanya lehet

A közterületi ingatlanon engedéllyel, vagy engedély nélkül végzett fakivágás esetén a pótlás mellett vagy helyett kompenzációs intézkedésként a károsult környezeti elem becsült költségével egyenértékű pénzbeli megváltás is előírható. Az a személy, aki közterületi ingatlanon fakivágási engedéllyel vagy fakivágási engedély nélkül fát vág ki a kompenzációs intézkedés alanya lehet – a Kúria eseti döntése.

2024. július 8.

Jogszabályfigyelő 2024 – 27. hét

Alábbi cikkünkben a 2024/71–72. számú Magyar Közlönyökben megjelent szakmai újdonságok és a Parlament honlapján megjelent közlemények közül válogattunk.