Törvény a kiberbiztonsági tanúsításról és a
kiberbiztonsági felügyeletről
A Magyar Országgyűlés 2023. május 3-i ülésén
elfogadta a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
szóló törvénytervezetet, amely 2023. május 23-án hatályossá is vált.
A hatályos szöveget ide kattintva nézheti meg.
A törvény alapján a kritikus ágazatokban működő
szervezeteknek
·
információbiztonsági irányítási rendszert kell
kialakítaniuk;
·
elektronikus biztonságért felelős személyt kell
kijelölniük;
·
el kell végezniük az elektronikus információs
rendszerek és az azokban kezelt adatok kockázatelemzését;
·
biztonsági osztályba kell sorolniuk az
elektronikus információs rendszereit és az azokban kezelt adatokat;
·
meg kell valósítaniuk az irányadó biztonsági osztályokra
előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.
A szervezeteknek gondoskodniuk kell
·
a biztonsági események
kezeléséről;
·
az üzletmenet folytonosság
megteremtetésről és fenntartásáról;
·
az információbiztonság
beépítéséről az elektronikus információs rendszerek és az ezek által használt
szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési
folyamataiban;
·
a szervezet munkatársainak
biztonsági képzéséről.
Kiberbiztonsági törvény hatálya
A törvényt a kiemelten kockázatos ágazatokban
működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő
szolgáltatók és szervezetek elektronikus információs rendszereire kell
alkalmazni.
A törvény melléklete alapján ezek a következő
szervezetek:
Kiemelten kockázatos ágazatok
·
Energetika
·
Közlekedés
·
Egészségügy
·
Ivóvíz, szennyvíz
·
Hírközlési szolgáltatás
·
Digitális infrastruktúra
·
Kihelyezett IKT szolgáltatások
·
Űralapú szolgáltatás
Kockázatos ágazatok
·
Postai és futárszolgálatok
·
Élelmiszer előállítása, feldolgozása és
forgalmazása
·
Hulladékgazdálkodás
·
Vegyszerek előállítása és forgalmazása
·
Gyártás
·
Digitális szolgáltatók
·
Kutatás
Tanúsítások és minősítések
Az érintett
ágazatok által alkalmazott IKT termékeket, szolgáltatásokat meg kell feleltetni
a törvény végrehajtási rendeletében szereplő követelményeknek, valamint
"alap" besorolás felett minősíttetni is kötelező lesz, mely
minősítést a Megfelelőségértékelő Szervezetek fogják ellátni. Szoftverek esetén
a minősítés alapja a sérülékenységek kezelése, a megfelelő dokumentáció,
illetve a forráskód elemzés.
Az elmúlt 5
évben különös hangsúlyt helyeztünk a forráskód elemzésre és kizárólagos
magyarországi disztribútorai vagyunk a világ egyik legnagyobb forráskódelemző
szoftvereket gyártó, svájci vállalatnak a SonarSource-nak, melynek keretében
értékesítünk és támogató tanácsadás keretében végzünk és végeztünk
forráskódelemzést, olyan partnereknek, mint a Magyar Nemzeti Bank, Oktatási
Hivatal és a Magyar Cetelem Bank Zrt.
A forráskódelemzéssel kapcsolatban a következő oldalakon talál több
információt:
https://sonarqube.hu/
https://www.sonarsource.com/
Kiberbiztonság felügyelete
A tervezet szerint a kiberbiztonság felügyeletét
a Szabályozott Tevékenységek Felügyeleti Hatósága látja el.
Az SZTFH kiberbiztonsági felügyeleti jogkörében
az érintett szervezet tekintetében
·
hatósági ellenőrzést végezhet,
·
jelentős biztonsági esemény bekövetkezése vagy a
biztonsági követelményeknek való nem megfelelés gyanúja esetén rendkívüli
ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el
Kötelező audit
Az érintett szervezet az e törvény szerinti
kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles
kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban:
auditor) által kiberbiztonsági auditot végeztetni.
Az auditornak az audit eredményét haladéktalanul
meg kell küldenie az SZTFH részére.
Szankciók, bírság
Ha az érintett szervezet a jogszabályokban
foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási
szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult
figyelmeztetni az érintett szervezetet a
jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó
eljárási szabályok teljesítésére,
határidő tűzésével elrendelni az ellenőrzés vagy
az audit során feltárt vagy tudomására jutott biztonsági hiányosságok
elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
a szervezet tevékenységét engedélyező vagy
felügyelő hatóság véleményének figyelembevételével eltiltani az érintett
szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető
tevékenységtől.
A fentiek alkalmazása ellenére, ha az érintett
szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez
kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem
hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes
körülményének mérlegelésével kormányrendeletben meghatározottak szerint
bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.
A bírság kiszabásáról és a kiszabást megalapozó
tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy
felügyelő hatóságot.
Az SZTFH elrendelheti az érintett szervezet által
nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális
érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző
intézkedések várható hatásairól.
Információgyűjtés és tanácsadás
Gyűjtse be a
kellő információkat és kérjen segítséget szakemberektől. Cégünk tanácsadói
több, mint 30 éve dolgoznak az informatikába és végeznek felkészítő feladatokat
információbiztonsággal kapcsolatosan.
Várjuk megkeresésüket a témával kapcsolatban:
Dr. Kabai Márton Tamás
marton.kabai@szitar.hu
Tel: +36-70-609-3338
