Háttér

Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről

Háttér

Kiberbiztonság 2024

Elkezdted a felkészülést?

Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről


A Magyar Országgyűlés 2023. május 3-i ülésén elfogadta a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénytervezetet.


A törvény alapján a kritikus ágazatokban működő szervezeteknek


  • információbiztonsági irányítási rendszert kell kialakítaniuk;
  • elektronikus biztonságért felelős személyt kell kijelölniük;
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.


A szervezeteknek gondoskodniuk kell


  • a biztonsági események kezeléséről;
  • az üzletmenet folytonosság megteremtetésről és fenntartásáról;
  • az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;
  • a szervezet munkatársainak biztonsági képzéséről.


Kiberbiztonsági törvény hatálya


A törvényt a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni.

A törvény melléklete alapján ezek a következő szervezetek:


Kiemelten kockázatos ágazatok


  • Energetika
  • Közlekedés
  • Egészségügy
  • Ivóvíz, szennyvíz
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT szolgáltatások
  • Űralapú szolgáltatás


Kockázatos ágazatok


  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás


Kiberbiztonság felügyelete


A tervezet szerint a kiberbiztonság felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága fogja ellátni.

Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében


  • hatósági ellenőrzést végezhet,
  • jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el


Kötelező audit


Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

Az auditornak az audit eredményét haladéktalanul meg kell küldenie az SZTFH részére.


Szankciók, bírság


Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult


  • figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
  • határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
  • a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.


A fentiek alkalmazása ellenére, ha az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.


A bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.


Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.


Hatályba lépés


A jogalkotó szándéka alapján az előterjesztés egyes paragrafusai 2024. január 1-jén, illetve 2024. október 18-án lép hatályba.


Az előterjesztés teljes szövegét ide kattintva olvashatják a Parlament oldalán.


Információgyűjtés


Gyűjtse be a kellő információkat és kérjen segítséget szakemberektől. Cégünk tanácsadói több, mint 30 éve dolgoznak az informatikába és végeznek felkészítő feladatokat információbiztonsággal kapcsolatosan.