Háttér

Hogyan értelmezzék a 2023. évi XXIII. törvényt (kibertan.tv) a szoftverfejlesztő cégek?

Háttér

Mit kell tennünk? Mit kell nyújtanunk?

forráskódelemzés, műszaki dokumentáció, teljes megfeleltetés

Hogyan értelmezzük a 2023. évi XXIII. törvényt?



1.    Amennyiben a szoftverfejlesztő cég középvállalkozás vagy annál nagyobb akkor egyértelműen a törvény hatálya alá tartozik.

 

A törvény kiemelten kockázatos ágazatnak minősíti a kihelyezett IKT szolgáltatásokat

kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató: olyan szervezet, amely az IKT-termék, hálózat, infrastruktúra, alkalmazás vagy bármely más elektronikus információs rendszer telepítésével, kezelésével, üzemeltetésével vagy karbantartásával kapcsolatos szolgáltatásokat nyújt a szolgáltatást igénybe vevő telephelyén vagy távolról,

 

 

2.    Amennyiben mikro vagy kisvállalkozás „csak” közvetetten tartozik a törvény hatálya alá.

 

2.1.  Az ügyfele, akinek szoftvert fejleszt/szolgáltat a törvény hatálya alá tartozik, mert a meghatározott ágazathoz tartozik és nem mikro vagy kisvállalkozás.

 

2.2.  Az ügyfele, akinek szoftvert fejleszt/szolgáltat a törvény hatálya alá tartozik, mert mikro és kisvállalkozás, de a szervezet

 

-         elektronikus hírközlési szolgáltató,

-         bizalmi szolgáltató,

-         DNS-szolgáltatást nyújtó szolgáltató,

-         legfelső szintű domainnév-nyilvántartó vagy

-         domainnév-regisztrációt végző szolgáltató.


 

3.    Mit kell tennie, ha közvetlenül vonatkozik rá a törvény hatálya?

 

-         információbiztonsági irányítási rendszert kell kialakítaniuk;

-         elektronikus biztonságért felelős személyt kell kijelölniük

-         el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;

-         biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;

-         meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket,

-         2 évente auditáltatni kell a rendszereit.

 

A szervezeteknek gondoskodniuk kell:

 

-         a biztonsági események kezeléséről;

-         az üzletmenet folytonosság megteremtetésről és fenntartásáról;

-         az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;

-         a szervezet munkatársainak biztonsági képzéséről.

 

4.    Időrendben, hogyan is néz ki ez pontosan?

 

-         Azonosítania kell saját magát, hogy a törvény hatálya vonatkozik rá és 2024.06.30-ig Szabályozott Tevékenységek Felügyeleti Hatóságának jeleznie kell ezt a tényt, hogy nyilvántartásba vegyék.

-         2024. októberétől fizetnie kell a felügyeleti díjat a Szabályozott Tevékenységek Felügyeleti Hatóságának.

-         2024. októberétől aktiválnia kell a védelmi intézkedéseket.

-         2024.12.31-ig le kell szerződnie olyan audit céggel, aki a Szabályozott Tevékenységek Felügyeleti Hatóságának nyilvántartásában szerepel.

-         2025.12.31-ig az első auditot le is kell folytatnia


 

5.    Mi a teendő, ha a szoftverfejlesztő cég ügyfelére is vonatkozik a törvény hatálya?

 

A szoftverfejlesztő cég által fejlesztett, rendelkezésre bocsátott ITK terméknek illeszkednie kell a nemzeti kiberbiztonsági tanúsítási rendszerekhez, amely az IKT-termékekre az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szintet határozhatnak meg.

A megbízhatósági szint arra vonatkozóan szolgál biztosítékkal, hogy az adott IKT-termékek teljesítik a vonatkozó biztonsági követelményeket, biztonsági funkciókat és olyan szintű értékelésen estek át, amely

a) „alap” megbízhatósági szinten a biztonsági eseményekkel és támadásokkal kapcsolatos alapvető, ismert kockázatok,

b) „jelentős” megbízhatósági szinten az ismert kiberbiztonsági kockázatok, valamint a korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők által végrehajtott biztonsági események és kiberbiztonsági támadások kockázatának,

c) „magas” megbízhatósági szinten a jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők által, a tudomány legutolsó állása szerinti technológiával végrehajtott kibertámadások kockázatának

minimalizálására törekszik.

A megbízhatósági szintnek a biztonsági események valószínűsége és hatása szempontjából arányban kell állnia az IKT-termék rendeltetés szerinti használatához kapcsolódó kockázat szintjével.

 

Összegezve az ügyfele befogja sorolni az IKT terméket, az „alap”, „jelentős” vagy „magas” biztonsági szint „alá”


 

6.    Mik az általános követelmények az „alap”, „jelentős” vagy „magas” biztonsági szinthez kapcsolódóan?

 

„alap” megbízhatósági szint esetén

 

-         a műszaki dokumentáció (az adott tanúsítási rendszer elvárásainak teljesítése szempontjából)

 

„jelentős” megbízhatósági szint esetén

 

-         a műszaki dokumentáció (az adott tanúsítási rendszer elvárásainak teljesítése szempontjából)

-         a közismert sebezhetőségek hiányának megállapítása;

-         annak megállapítására szolgáló tesztelést, hogy az IKT-termék megfelelően működteti-e a szükséges biztonsági funkciókat,

 

„magas” megbízhatósági szint esetén

 

-         a műszaki dokumentáció (az adott tanúsítási rendszer elvárásainak teljesítése szempontjából)

-         a közismert sebezhetőségek hiányának megállapítása;

-         annak megállapítására szolgáló tesztelést, hogy az IKT-termék megfelelően, a legfejlettebb technika szerint működteti-e a szükséges biztonsági funkciókat működteti-e a szükséges biztonsági funkciókat,

-         behatolásvizsgálatok révén annak értékelését, hogy az mennyire ellenálló a jól képzett elkövetők által végrehajtott támadásokkal szemben.

 

7.    Hogyan lehet igazolni, hogy az IKT-termék megfelel az „alap” biztonsági szinthez támasztott követelményeknek?

 

Alap” biztonsági szint esetén alacsony kockázat alá besorolt IKT-termék esetén van lehetőség a Megfelelőségi önértékelésre

A gyártó nemzeti megfelelőségi nyilatkozatot állít ki arról, hogy megtörtént annak vizsgálata, hogy a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülnek. A vizsgálatnak tartalmaznia kell a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülésének a tanúsítási rendszerben meghatározott módszertan szerinti értékelését.

A megfelelőségi nyilatkozatot 15 napon belül, nyilvántartásba vétel céljából – elektronikusan kereshető formában is – meg kell küldeni a tanúsító hatóság (Szabályozott Tevékenységek Felügyeleti Hatóság) részére

 

-         a megfelelőségi nyilatkozat másolati példányát,

-         a műszaki dokumentációt, a nemzeti kiberbiztonsági;

-         tanúsítási rendszerben meghatározott értékelési módszer alapján elkészített értékelési jelentést a megjelölt tanúsítási rendszernek való megfeleléssel kapcsolatos összes egyéb lényeges értékelési információt.

 

A nyilvántartásba vétel alapján a Hatóság ellenőrzi a nyilatkozatnak való megfelelést.

 

8.    Hogyan tud a Szitár-Net Kft. segítséget nyújtani a megfelelőségi önértékelés elvégzésében?

 

Cégünk a Szitár-Net Kft. Magyarországon egyedüli SVAR (kiemelt technikai támogató partner) minősítéssel rendelkezik a legismertebb forráskódelemző rendszer a SonarQube vonatkozásában. Több, mint 5 éve foglalkozunk forráskódelemzéssel és tanácsadói segítséget tudunk nyújtani a vizsgálandó rendszer megfelelőségi önértékelésével kapcsolatban.

 

9.    Hogyan lehet igazolni, hogy az IKT-termék megfelel a „jelentős” és ”magas” biztonsági szinthez támasztott követelményeknek?

 

A „jelentős” és a „magas” biztonsági szinthez támasztott követelményeknek való megfelelést csak a Szabályozott Tevékenységek Felügyeleti Hatóságának nyilvántartásába felvett megfelelőségértékelő szervezetek igazolhatnak.

 

Jelenleg nyilvántartásban szereplő megfelelőségértékelő szervezet:

 

HUNGUARD Számítástechnikai-, informatikai kutató - fejlesztő és általános szolgáltató Korlátolt Felelősségű Társaság

 

10.        Hogyan tud a Szitár-Net Kft. segítséget nyújtani a „jelentős” és ”magas” biztonsági szinthez támasztott követelményeknek való megfelelésben?

 

A megfelelőségértékelő szervezetek vizsgálati metodikájában is az egyik legfontosabb pont a forráskódelemzés és az ehhez kapcsolódó kiberbiztonsági aspektusok.


Kérdés, kérés esetén állunk rendelkezésükre:


Dr. Kabai Márton Tamás

marton.kabai@szitar.hu

+36706093338