Skip to main content

Milyen teendőink vannak a kiberbiztonsági törvény kapcsán?

2023. május második felében hatályba lépett a kiberbiztonsági tanúsításról és felügyeletről szóló törvény, ami számos teendőt ír elő az érintett ágazatokban működő cégek és intézmények számára, valamint meghatározza a kiberbiztonsági felügyeleti tevékenységet és annak következményeit.
Close-up view of a modern GPU card circuit with cyber security activated

Az országgyűlés 2023. május 3-i ülésnapján elfogadta a kiberbiztonsági tanúsítási és felügyeleti törvényt. A 2023. évi XXIII. törvény a Magyar Közlöny 2023. május 15-i számában jelent meg és május 23-án lépett hatályba.

A kiberbiztonsági törvény definiálja a nemzeti kiberbiztonsági tanúsítási keretrendszert és meghatározza, hogy annak felügyeletét a 2021-ben létrehozott Szabályozott Tevékenységek Felügyeleti Hatósága (SZFTH) látja el. A keretrendszer rögzíti az infokommunikciós termékek kiberbiztonsági tanúsítására vonatkozó alapvető szabályokat, melyeknek célja, hogy megteremtsék a feltételeit annak, hogy a fogyasztók vásárláskor figyelembe vehessék a termékek kiberbiztonsági szintjét. Mindezek keretében természetesen az érintett ágazatokban tevékenykedők számára számos teendőt, azok elmulasztása esetén pedig következményt határoz meg.

Mely ágazatokra vonatkozik a törvény?

Két csoportra oszlanak azok az ágazatok – kockázatos és kiemelten kockázatos -, amelyekre a hatálya kiterjed. Az alábbi területeken működő szervezetek és szolgáltatók elektronikus információs rendszereire kell alkalmazni a törvényben foglaltakat.

Kiemelten kockázatos ágazatok:

  • Energetika (Villamos energia, Távfűtés és hűtés, Kőolaj, Földgáz, Hidrogén)
  • Közlekedés (Légi közlekedés, Vasúti közlekedés, Közúti közlekedés, Vízi közlekedés, Tömegközlekedés)
  • Egészségügy
  • Ivóvíz, szennyvíz (Vízközmű szolgáltatás)
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT (információs és kommunikációs technológia) szolgáltatások
  • Űralapú szolgáltatás

A kockázatos ágazatok pedig az alábbiak:

  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, Számítógép, elektronikai, optikai termék gyártása, Villamos berendezések gyártása, Máshova nem sorolt gépek és berendezések gyártása, Gépjárművek, pótkocsik és félpótkocsik gyártása, Egyéb szállítóeszközök gyártása, Cement-, gipsz-, mészgyártás)
  • Digitális szolgáltatók

Mik a teendők ezekben az ágazatokban?

A fenti ágazatokban működő szervezeteknek gondoskodniuk kell az elektronikus információs rendszereik és azok fizikai környezetének a biztonságáról, a kiberfenyegetések által okozható károk mértékével arányos módon. Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

A védelem sokrétűen értelmezendő, hiszen ki kell, hogy terjedjen:

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  • a kockázatok csökkentésére irányuló intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  • az üzletmenet folytonosság biztosítására, illetve
  • az elektronikus információs rendszerek, valamint az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, üzemeltetésére.

Ki kell jelölni az elektronikus információs rendszerek biztonságáért felelős személyt, és meghatározni a feladatait, felelősségi körét. Ugyanígy meghatározandóak az érintett rendszerek felhasználóira vonatkozó szabályok, és gondoskodni kell a munkatársak rendszeres információbiztonsági képzéséről is.

Az elektronikus információs rendszereket és az azokon tárolt adatokat meghatározott szempontrendszer alapján biztonsági osztályba kell sorolni. Az egyes osztályokban (alap, jelentős vagy magas) alkalmazandó konkrét védelmi intézkedéseket pedig a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter által hozott rendelet szerint szükséges megtenni.

A domainnevekről a legfelső szintű domainnév-nyilvántartónak központi nyilvántartást kell vezetnie, ami tartalmazza a domainnevet, a regisztráció dátumát, a használó nevét, kapcsolattartási adatait, a domainnevet kezelő adminisztratív kapcsolattartó nevét és adatait.

Kétévente kötelező kiberbiztonsági auditot végezni, amelyet a kiberbiztonsági követelményeknek való megfelelésről a tevékenység végzésére jogosult, független auditor folytathat le. Az audit eredményét pedig meg kell küldeni a felügyeleti szerv számára.

A kiberbiztonság felügyelete

A kockázatos ágazatokban tevékenykedő szervezetek, valamint azok elektronikus információs rendszereinek kiberbiztonsági felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága látja el. Az SZTFH hatósági ellenőrzést végezhet, valamint jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.

Ha a szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem tartja be, az SZTFH jogosult figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az azokhoz kapcsolódó eljárási szabályok teljesítésére. Elrendelheti az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát. Eltilthatja a szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

Bírságot szabhat ki, ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az azokhoz kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba. Elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását a potenciális fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

A törvény kapcsán releváns határidőkről a törvény szövegéből érdemes tájékozódni.

Megalakult a Kiberkoalíció

Nem sokkal a kiberbiztonsági törvény hatálybalépését követően, 2023. május 31-én a „Híd a kibertér biztonságáért” címmel megrendezett konferencián megalakult az állami és a gazdasági felek közötti együttműködést támogató Kiberkoalíció, melynek célja, hogy nyílt szakmai fórumot teremtsen a legfőbb kiberbiztonsági kihívások megismerésére és az azokra adott válaszok kidolgozására. A Kiberkoalíció létrehozói az SZTFH, a Digitális Magyarország Ügynökség (DMÜ) valamint az információs és kommunikációs technológiai (IKT) szektor egyes szereplői.

A kiberkockázat továbbra sem csak informatikai kérdés

Ahogy már korábban is felhívtuk rá a figyelmet, a kiberkockázat nem csak informatikai kérdéskör, bár a frissen elfogadott törvény is elsősorban ezt az oldalát szabályozza. Fontos azonban hangsúlyozni, hogy a törvényben megjelenik a kiberkockázat-kezelés fogalomköre és a kockázatcsökkentés igénye.

Maga az SZTFH is azt az az álláspontot képviseli, hogy „a cégeknek két típusa van: amelyeket már ért kibertámadás és amelyeket támadás fog érni.” A mi megfogalmazásunkban ez így hangzik: nem az a kérdés, hogy egy kiberbiztonsági incidens bekövetkezik-e, hanem csupán az, hogy mikor.

Lényeges, hogy a lehető legtöbb intézkedést megtegyük annak érdekében, hogy a kiberincidenst elhárítsuk, de teljes mértékben megelőzni képtelenség. Ezért a szükséges IT intézkedések, valamint a törvény által előírt fontos és szükséges lépések megtétele mellett nem szabad elfeledkezni a cyber biztosításról sem. A kiberbiztosítás a már bekövetkezett károkat hivatott enyhíteni, és segít minél hamarabb helyreállítani a megszokott üzletmenetet.

A szerző Orbán Éva, a Marsh Kft. cyber biztosítási szakértője.

Szerző(k)

Eva Orban

Eva Csomor

Vice President, Corporate Client Practice