A Magyar Országgyűlés 2023. május 3-i ülésén elfogadta a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénytervezetet, amely 2023. május 23-án hatályossá is vált.

A hatályos szöveget ide kattintva nézheti meg.

A törvény alapján a kritikus ágazatokban működő szervezeteknek

·        információbiztonsági irányítási rendszert kell kialakítaniuk;

·        elektronikus biztonságért felelős személyt kell kijelölniük;

·        el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;

·        biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;

·        meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.

A szervezeteknek gondoskodniuk kell

·        a biztonsági események kezeléséről;

·        az üzletmenet folytonosság megteremtetésről és fenntartásáról;

·        az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;

·        a szervezet munkatársainak biztonsági képzéséről.

Kiberbiztonsági törvény hatálya

A törvényt a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni.

A törvény melléklete alapján ezek a következő szervezetek:

Kiemelten kockázatos ágazatok

·        Energetika

·        Közlekedés

·        Egészségügy

·        Ivóvíz, szennyvíz

·        Hírközlési szolgáltatás

·        Digitális infrastruktúra

·        Kihelyezett IKT szolgáltatások

·        Űralapú szolgáltatás

Kockázatos ágazatok

·        Postai és futárszolgálatok

·        Élelmiszer előállítása, feldolgozása és forgalmazása

·        Hulladékgazdálkodás

·        Vegyszerek előállítása és forgalmazása

·        Gyártás

·        Digitális szolgáltatók

·        Kutatás

Tanúsítások és minősítések

Az érintett ágazatok által alkalmazott IKT termékeket, szolgáltatásokat meg kell feleltetni a törvény végrehajtási rendeletében szereplő követelményeknek, valamint "alap" besorolás felett minősíttetni is kötelező lesz, mely minősítést a Megfelelőségértékelő Szervezetek fogják ellátni. Szoftverek esetén a minősítés alapja a sérülékenységek kezelése, a megfelelő dokumentáció, illetve a forráskód elemzés.

Az elmúlt 5 évben különös hangsúlyt helyeztünk a forráskód elemzésre és kizárólagos magyarországi disztribútorai vagyunk a világ egyik legnagyobb forráskódelemző szoftvereket gyártó, svájci vállalatnak a SonarSource-nak, melynek keretében értékesítünk és támogató tanácsadás keretében végzünk és végeztünk forráskódelemzést, olyan partnereknek, mint a Magyar Nemzeti Bank, Oktatási Hivatal és a Magyar Cetelem Bank Zrt.

A forráskódelemzéssel kapcsolatban a következő oldalakon talál több információt:

https://sonarqube.hu/

https://www.sonarsource.com/

Kiberbiztonság felügyelete

A tervezet szerint a kiberbiztonság felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága látja el.

Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében

·        hatósági ellenőrzést végezhet,

·        jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nem megfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el

Kötelező audit

Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

Az auditornak az audit eredményét haladéktalanul meg kell küldenie az SZTFH részére.

Szankciók, bírság

Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint

a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

A fentiek alkalmazása ellenére, ha az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

A bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.

Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

Információgyűjtés és tanácsadás

Gyűjtse be a kellő információkat és kérjen segítséget szakemberektől. Cégünk tanácsadói több, mint 30 éve dolgoznak az informatikába és végeznek felkészítő feladatokat információbiztonsággal kapcsolatosan.

Várjuk megkeresésüket a témával kapcsolatban:

Dr. Kabai Márton Tamás

marton.kabai@szitar.hu

Tel: +36-70-609-3338