Eva Csomor
Vice President, Corporate Client Practice
Az országgyűlés 2023. május 3-i ülésnapján elfogadta a kiberbiztonsági tanúsítási és felügyeleti törvényt. A 2023. évi XXIII. törvény a Magyar Közlöny 2023. május 15-i számában jelent meg és május 23-án lépett hatályba.
A kiberbiztonsági törvény definiálja a nemzeti kiberbiztonsági tanúsítási keretrendszert és meghatározza, hogy annak felügyeletét a 2021-ben létrehozott Szabályozott Tevékenységek Felügyeleti Hatósága (SZFTH) látja el. A keretrendszer rögzíti az infokommunikciós termékek kiberbiztonsági tanúsítására vonatkozó alapvető szabályokat, melyeknek célja, hogy megteremtsék a feltételeit annak, hogy a fogyasztók vásárláskor figyelembe vehessék a termékek kiberbiztonsági szintjét. Mindezek keretében természetesen az érintett ágazatokban tevékenykedők számára számos teendőt, azok elmulasztása esetén pedig következményt határoz meg.
Mely ágazatokra vonatkozik a törvény?
Két csoportra oszlanak azok az ágazatok – kockázatos és kiemelten kockázatos -, amelyekre a hatálya kiterjed. Az alábbi területeken működő szervezetek és szolgáltatók elektronikus információs rendszereire kell alkalmazni a törvényben foglaltakat.
Kiemelten kockázatos ágazatok:
A kockázatos ágazatok pedig az alábbiak:
Mik a teendők ezekben az ágazatokban?
A fenti ágazatokban működő szervezeteknek gondoskodniuk kell az elektronikus információs rendszereik és azok fizikai környezetének a biztonságáról, a kiberfenyegetések által okozható károk mértékével arányos módon. Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
A védelem sokrétűen értelmezendő, hiszen ki kell, hogy terjedjen:
Ki kell jelölni az elektronikus információs rendszerek biztonságáért felelős személyt, és meghatározni a feladatait, felelősségi körét. Ugyanígy meghatározandóak az érintett rendszerek felhasználóira vonatkozó szabályok, és gondoskodni kell a munkatársak rendszeres információbiztonsági képzéséről is.
Az elektronikus információs rendszereket és az azokon tárolt adatokat meghatározott szempontrendszer alapján biztonsági osztályba kell sorolni. Az egyes osztályokban (alap, jelentős vagy magas) alkalmazandó konkrét védelmi intézkedéseket pedig a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter által hozott rendelet szerint szükséges megtenni.
A domainnevekről a legfelső szintű domainnév-nyilvántartónak központi nyilvántartást kell vezetnie, ami tartalmazza a domainnevet, a regisztráció dátumát, a használó nevét, kapcsolattartási adatait, a domainnevet kezelő adminisztratív kapcsolattartó nevét és adatait.
Kétévente kötelező kiberbiztonsági auditot végezni, amelyet a kiberbiztonsági követelményeknek való megfelelésről a tevékenység végzésére jogosult, független auditor folytathat le. Az audit eredményét pedig meg kell küldeni a felügyeleti szerv számára.
A kiberbiztonság felügyelete
A kockázatos ágazatokban tevékenykedő szervezetek, valamint azok elektronikus információs rendszereinek kiberbiztonsági felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága látja el. Az SZTFH hatósági ellenőrzést végezhet, valamint jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.
Ha a szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem tartja be, az SZTFH jogosult figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az azokhoz kapcsolódó eljárási szabályok teljesítésére. Elrendelheti az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát. Eltilthatja a szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.
Bírságot szabhat ki, ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az azokhoz kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba. Elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását a potenciális fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.
A törvény kapcsán releváns határidőkről a törvény szövegéből érdemes tájékozódni.
Megalakult a Kiberkoalíció
Nem sokkal a kiberbiztonsági törvény hatálybalépését követően, 2023. május 31-én a „Híd a kibertér biztonságáért” címmel megrendezett konferencián megalakult az állami és a gazdasági felek közötti együttműködést támogató Kiberkoalíció, melynek célja, hogy nyílt szakmai fórumot teremtsen a legfőbb kiberbiztonsági kihívások megismerésére és az azokra adott válaszok kidolgozására. A Kiberkoalíció létrehozói az SZTFH, a Digitális Magyarország Ügynökség (DMÜ) valamint az információs és kommunikációs technológiai (IKT) szektor egyes szereplői.
A kiberkockázat továbbra sem csak informatikai kérdés
Ahogy már korábban is felhívtuk rá a figyelmet, a kiberkockázat nem csak informatikai kérdéskör, bár a frissen elfogadott törvény is elsősorban ezt az oldalát szabályozza. Fontos azonban hangsúlyozni, hogy a törvényben megjelenik a kiberkockázat-kezelés fogalomköre és a kockázatcsökkentés igénye.
Maga az SZTFH is azt az az álláspontot képviseli, hogy „a cégeknek két típusa van: amelyeket már ért kibertámadás és amelyeket támadás fog érni.” A mi megfogalmazásunkban ez így hangzik: nem az a kérdés, hogy egy kiberbiztonsági incidens bekövetkezik-e, hanem csupán az, hogy mikor.
Lényeges, hogy a lehető legtöbb intézkedést megtegyük annak érdekében, hogy a kiberincidenst elhárítsuk, de teljes mértékben megelőzni képtelenség. Ezért a szükséges IT intézkedések, valamint a törvény által előírt fontos és szükséges lépések megtétele mellett nem szabad elfeledkezni a cyber biztosításról sem. A kiberbiztosítás a már bekövetkezett károkat hivatott enyhíteni, és segít minél hamarabb helyreállítani a megszokott üzletmenetet.
A szerző Orbán Éva, a Marsh Kft. cyber biztosítási szakértője.
Vice President, Corporate Client Practice