Új, egységes szabályok a kiberbiztonság területén

2025. január 1-jével hatályba lépett a Magyarország kiberbiztonságáról szóló 2024. év LXIX. törvény (Kibertörvény), amely hatályon kívül helyezte a korábbi, kiberbiztonsági tárgyú törvényeket, így az állami és önkormányzati szervekre irányadó Ibtv.-t, valamint az alig másfél éve elfogadott Kibertantv.-t is, ezzel pedig egységesítette a kiberbiztonsági szabályozást Magyarországon.

A törvény az ún. Network and Information Security 2 (NIS2) irányelvet ülteti át a magyar jogba, és deklarált célja a kiberterek védelmének megvalósítása, így a hatálya alá tartozó szervezetek elektronikus információs rendszereiben (a továbbiakban az egyszerűség kedvéért rendszerekként fogunk mindezekre hivatkozni) kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása.

Kiket érint a szabályozás?

A Kibertörvény hatálya kiterjed:

  • közigazgatási ágazathoz tartozó szereplőkre: pl. főszabály szerint a központi államigazgatási szervek, ügyészségek, bíróságok
  • többségi állami befolyás alatt álló gazdálkodó szervezetekre, amelyek meghaladják a középvállalkozásokra előírt küszöbértékeket,
  • az ún. kiemelten kockázatos ágazatokban működő szolgáltatókra és szervezetekre, feltéve, hogy legalább középvállalkozásoknak minősülnek,
    • ilyenek például: villamos-energia vállalkozások, forgalomirányítást végző szervezetek, egészségügyi szolgáltatók, személyszállítási közszolgáltatást nyújtó vagy működtető szervezetek
  • az ún. kockázatos ágazatokban működő szolgáltatókra és szervezetekre, feltéve, hogy legalább középvállalkozásoknak minősülnek,
    • ilyenek például: postai szolgáltatók, nagykereskedelmi tevékenységgel foglalkozó élelmiszer-vállalkozások, vegyszerforgalmazók, villamos berendezések gyártását végző gazdálkodó szervezetek
  • méretüktől függetlenül az elektronikus hírközlési szolgáltatókra, bizalmi szolgáltatókra, DNS-szolgáltatókra, legfelső szintű doménnév-nyilvántartókra és a doménnév-regisztrációt végző szolgáltatókra, valamint
  • honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

A felsorolás nem zárt, ugyanis azon szervezetek is a Kibertörvény hatálya alá tartoznak, amelyeket a nemzeti kiberbiztonsági hatóság (Nemzetbiztonsági Szakszolgálat) vagy a honvédelmi kiberbiztonsági hatóság alapvető vagy fontos szervezetként azonosít.

Az alapvető vagy fontos szervezet különbségtétel adja a szabályozás gerincét, ugyanis eltérő kötelezettséget ír elő az egyes kategóriába tartozó szervezetekre. A minősítés részleteire jelen írás nem tér ki, példálódzó jelleggel azonban megállapítható, hogy alapvető szervezetnek minősülnek a közigazgatási ágazathoz tartozók és a kiemelten kockázatos ágazatban működő szervezetek, míg a kockázatos ágazatokban működő, a Kibertörvény hatálya alá tartozó szervezetek fontos szervezetek lesznek.

A Kibertörvény többek között a következő kötelezettséget rója az érintett szervezetekre:

  • Az érintett szervezet mindenekelőtt köteles a felügyeleti hatóságnál kérelmezni a nyilvántartásba vételét. Ennek határideje a magánszféra szervezeteinél főszabály szerint a működése megkezdését követő vagy az e törvény hatálya alá kerülést követő 30 nap.
  • Kockázatmenedzsment keretrendszert kell létrehoznia és folyamatosan működtetnie. Ez kiterjed különösen egy, a felhasználókra és az elektronikus információbiztonsági követelményekre vonatkozó információbiztonsági szabályzat kialakítására, működtetésére és legalább kétévente elvégzendő felülvizsgálatára. A keretrendszerben meg kell határozni a rendszerek védelmével kapcsolatos szerepköröket, felelősöket, feladatokat és az ehhez szükséges hatásköröket, valamint az alkalmazott védelmi intézkedéseket is.
  • A rendszerek létrehozására, karbantartására, javítására, incidenskezelésre, adatkezelésre, adatfeldolgozásra közreműködő is igénybe vehető, akivel szerződést is kell kötni és ebben a kiberbiztonságra vonatkozó garanciális intézkedéseket is le kell képezni annak érdekében, hogy a Kibertörvény előírásait a közreműködő is teljesítse a kérdéses tevékenység kapcsán.
  • Az érintett szervezet köteles munkavállalói kibervédelmi ismereteit naprakészen tartani: ennek keretében oktatásokat kell szerveznie, és adott esetben meghatározott kiberbiztonsági képzések, továbbképzéseken történő részvétel biztosítása útján kell ezen követelménynek eleget tennie.
  • A 7/2024. (VI. 24.) MK rendelet rendelkezései alapján az érintett szervezet köteles rendszereit biztonsági osztályokba sorolni és azokkal arányos védelmi intézkedéseket alkalmazni.
  • Az érintett szervezet köteles kijelölni egy, a rendszerek biztonságáért felelős személyt, feladatköreit pontosan meghatározni, és amennyiben egy szervezetet bíz ezzel meg az érintett szervezet, köteles azzal szerződést is kötni.
  • A kibervédelmi incindensek megelőzése érdekében az érintett szervezet köteles rendszerei nyomonkövethetőségét biztosítani, valamint létrehozni és működtetni egy kiberbiztonsági incidenskezelő rendszert, incidens bekövetkezése esetén pedig azt elsőkörben 24 órán belül bejelenteni a Nemzeti Kibervédelmi Intézetnek.
  • Az érintett gazdasági szereplőknek ezenfelül az éves árbevételük 0,015%-ának megfelelő, de legfeljebb 10 millió Ft éves kiberbiztonsági felügyeleti díjat kell fizetniük. Ennek pontos mértékéről az SZTFH elnöki rendelet fogja differenciálni.
  • A kiberbiztonsági követelményeknek való megfelelés bizonyítására kötelesek kétévente kiberbiztonsági auditot végeztetni egy, az SZTFH által meghatározott követelményekkel rendelkező és nyilvántartásba vett auditorral, akivel ezt megelőzően kötelesek szerződést is kötni. Azon szervezeteknek, amelyek 2025. január 1. előtt megkezdték működésüket, az első auditot december 31. napjáig el kell végezniük.

Az alapvető szervezeteknek – mindezen kötelezettségeken felül – a rendszereikben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából adatosztályozást is le kell lefolytatniuk. Emellett pedig kétévente – bevonva közreműködőit – rendszereik rezilienciáját tesztelő kiberbiztonsági gyakorlatot is le kell folytatniuk.

Meddig kell ezen kötelezettségeket teljesíteni? A rövid válasz: azonnal. Ugyanis a legtöbb kötelezettség már az Ibtv.-ben és a Kibertantv.-ben is szerepelt és már az új Kibertörvény hatályba lépésének napján is teljesítendő volt (például a nyilvántartásba vétel kezdeményezését 2024. június 20., a biztonsági osztályba sorolást 2024. október 18. napjáig kellett megtenni), és az új törvény általánosságában véve nem ad „haladékot” a megfelelésre, különösen az érintett gazdasági szereplők számára, így főszabály szerint 2025. január 1-jétől mindezen összetett követelményrendszert teljesíteni kell.

A kötelezettségek nemteljesítése súlyos jogkövetkezményeket vonhat maga után, így a figyelmeztetéstől kezdve az információbiztonsági felügyelő kirendelésén keresztül a felügyeleti hatóság bírságot is kiszabhat. Emellett pedig az incidenskezelési eljárás alatt ideiglenesen hozzáférhetetlenné tehet vagy el is távolíthat adatokat. A kiberbiztonsági bírság mértéke a 418/2024. (XII. 23.) Kormányrendeletben kerül rögzítésre, legmagasabb összege:

  • alapvető szervezetek esetén 10 millió eurónak megfelelő forintösszeg, vagy az érintett szervezet globális éves forgalom 2%-a, amelyik magasabb;
  • fontos szervezetek esetén 7 millió eurónak megfelelő forintösszeg, vagy a globális éves forgalom 1,4%-a, amelyik magasabb.

A Kibertörvény-nek való megfelelés azonban nemcsak a jogi megfelelés szempontjából fontos, hanem hosszú távon hozzájárulhat a Magyarország kiberbiztonságának növeléséhez, valamint általánosságában a cyber awareness minél szélesebb körű megvalósításához is. Az érintett szervezeteknek érdemes komolyan venniük a törvény előírásait, és proaktívan dolgozniuk a rendszereik fejlesztésén. Ezzel nemcsak a jogi követelményeknek tesznek eleget, hanem saját működésük biztonságát és megbízhatóságát is növelik, ami végső soron a teljes társadalom javát szolgálja.

dr. Kovács Ábel Bulcsú, ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez

Megosztás