Mi a 7/2024. (VI. 24.) MK rendelet?

A 7/2024. (VI. 24.) MK rendelet a magyar kiberbiztonsági szabályozás egyik legfontosabb végrehajtási rendelete. Meghatározza, hogy a szervezetek elektronikus információs rendszereit milyen biztonsági osztályba kell sorolni, valamint azt is, hogy az egyes osztályok esetében milyen adminisztratív, fizikai és technikai védelmi intézkedéseket kell alkalmazni.

A rendelet a NIS2 hazai végrehajtásának egyik alapdokumentuma, amely részletes követelményeket ír elő többek között a kockázatkezelés, az információbiztonsági szabályozás, a hozzáférés-kezelés, a naplózás, a konfigurációkezelés, az eseménykezelés, az üzletmenet-folytonosság és a sérülékenységkezelés területén.

A szervezetek számára a megfelelés nem csupán jogszabályi kötelezettséget jelent, hanem hozzájárul az informatikai rendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának biztosításához is. A rendelet három biztonsági osztályt határoz meg: Alap, Jelentős és Magas, amelyekhez eltérő szintű védelmi intézkedések kapcsolódnak.

Hogyan segít a MISec?

A MISec támogatást nyújt a 7/2024. MK rendelet követelményeinek teljesítésében, többek között:

• érintettség és kötelezettségek meghatározása;
• biztonsági osztályba sorolás;
• kockázatelemzés készítése;
• információbiztonsági szabályzatok kidolgozása;
• hiányosságok feltárása és intézkedési terv készítése;
• auditfelkészítés;
• külső információbiztonsági felelősi (IBF) szolgáltatás.

Célunk, hogy ügyfeleink számára a jogszabályi megfelelés ne adminisztratív teher, hanem a biztonságos és fenntartható működés alapja legyen.

17/2025. (VII. 24.) EM rendelet – Képzési és továbbképzési követelmények

A 17/2025. (VII. 24.) EM rendelet a Magyarország kiberbiztonságáról szóló törvény végrehajtásához kapcsolódóan meghatározza a szervezeti vezetők és az elektronikus információs rendszer biztonságáért felelős személyek (IBF) képzési, továbbképzési, végzettségi és szakmai követelményeit. A rendelet célja, hogy a kiberbiztonsági feladatokért felelős személyek naprakész szakmai ismeretekkel rendelkezzenek, és képesek legyenek a szervezetet érintő kockázatok kezelésére.

Vezetők képzési kötelezettsége

A Kiberbiztonsági törvény hatálya alá tartozó szervezetek vezetői számára a rendelet legalább 8 órás kiberbiztonsági alapképzés elvégzését írja elő. A képzés célja, hogy a vezetők megismerjék a rájuk vonatkozó kiberbiztonsági kötelezettségeket, a kockázatkezelési feladatokat, valamint az incidensek kezelésével kapcsolatos vezetői felelősséget. A képzést követően évente legalább 4 órás továbbképzés teljesítése szükséges. A 2025. december 31. előtt kinevezett vezetők első képzési határideje 2026. december 31.

Az IBF-ek továbbképzési kötelezettsége

Az elektronikus információs rendszer biztonságáért felelős személyek számára a rendelet évente legalább 20 óra szakmai továbbképzést ír elő. A továbbképzésnek többek között ki kell terjednie a kiberbiztonsági trendekre, a jogszabályi változásokra, az incidenskezelésre, a technológiai újdonságokra és a hatóságokkal való együttműködésre.

Végzettségi és szakmai követelmények

A rendelet meghatározza az IBF feladatok ellátásához elfogadható végzettségek, szakképzettségek és nemzetközi tanúsítványok körét is. Az elfogadható képesítések listáját a Nemzeti Koordinációs Központ (NCC-HU) teszi közzé és rendszeresen felülvizsgálja.

Miért fontos a szervezetek számára?

A kiberbiztonsági megfelelőség ma már nem kizárólag informatikai kérdés. A jogszabály egyértelműen előírja, hogy a vezetőknek is rendelkezniük kell a szükséges kiberbiztonsági ismeretekkel, míg az IBF-eknek folyamatosan naprakész szakmai tudást kell fenntartaniuk. A képzési kötelezettségek teljesítése a hatósági ellenőrzések és a kiberbiztonsági auditok során is vizsgált terület lehet.

Hogyan segít a MISec?

• képzési kötelezettségek értelmezése;
• vezetői és IBF követelmények áttekintése;
• megfelelőségi hiányosságok feltárása;
• auditfelkészítés;
• külső IBF szolgáltatás;
• folyamatos szakmai támogatás a Kiberbiztonsági törvény követelményeinek teljesítéséhez.

418/2024. (XII. 23.) Korm. rendelet – A Kiberbiztonsági törvény végrehajtási rendelete

A 418/2024. (XII. 23.) Korm. rendelet a 2024. évi LXIX. törvény végrehajtási szabályait tartalmazza. Míg a Kiberbiztonsági törvény meghatározza az alapvető kötelezettségeket, a végrehajtási rendelet részletesen szabályozza azok gyakorlati végrehajtását.

A rendelet legfontosabb területei

Nyilvántartásba vételi kötelezettség

A rendelet meghatározza az érintett szervezetek nyilvántartásba vételének részletes szabályait, a bejelentendő adatokat, az adatszolgáltatás módját, valamint a változásbejelentési kötelezettségeket.

Biztonsági osztályba sorolás felülvizsgálata

Rögzíti a biztonsági osztályba sorolás felülvizsgálatának szabályait, a felülvizsgálat eredményének dokumentálását és a hatóság felé történő megküldésének határidejét.

Adatosztályozás

A rendelet előírja, hogy a szervezeteknek az általuk kezelt információkat és adatokat azok fontossága, érzékenysége és védelmi igénye alapján osztályozniuk kell. Az adatosztályozás célja annak meghatározása, hogy egy adott információ milyen szintű védelmet igényel a bizalmasság, sértetlenség és rendelkezésre állás szempontjából. Az osztályozás eredménye hatással lehet többek között a hozzáférés-kezelésre, a mentésekre, a titkosítási követelményekre, az adattovábbításra és a megőrzési szabályokra is.

Kiberbiztonsági incidensek kezelése

Szabályozza a kiberbiztonsági események és incidensek bejelentésének rendjét, az értesítési kötelezettségeket, valamint a nemzeti incidenskezelő szervekkel történő együttműködés kereteit.

Hatósági felügyelet

Meghatározza a kiberbiztonsági hatóság ellenőrzési és felügyeleti eljárásainak szabályait, az adatszolgáltatási kötelezettségeket, valamint a szervezetek együttműködési kötelezettségeit a hatósági eljárások során.

Sérülékenységvizsgálatok

A rendelet külön szabályokat tartalmaz a sérülékenységvizsgálatok végrehajtására, nyilvántartására és a kapcsolódó hatósági folyamatokra.

Kiberbiztonsági bírságok

Részletesen meghatározza a hatóság által alkalmazható jogkövetkezményeket és a különböző szervezeti kategóriákra vonatkozó bírságolási szabályokat.

Ágazati és speciális szabályok

A rendelet számos ágazat – többek között a közszféra, energetika, élelmiszerlánc, felsőoktatás és egyéb kiemelt szektorok – számára tartalmaz speciális végrehajtási rendelkezéseket.

Miért fontos a szervezetek számára?

A gyakorlatban a szervezetek többségének a napi megfelelési feladatait nem maga a Kiberbiztonsági törvény, hanem a végrehajtási rendelet részletszabályai határozzák meg. A nyilvántartásba vétel, az incidensjelentés, a biztonsági osztályba sorolás felülvizsgálata, a hatósági adatszolgáltatás és számos egyéb megfelelőségi kötelezettség konkrét végrehajtási szabályait ez a rendelet tartalmazza.

Hogyan segít a MISec?

• érintettség és kötelezettségek meghatározása;
• nyilvántartásba vételi és adatszolgáltatási kötelezettségek támogatása;
• biztonsági osztályba sorolás és felülvizsgálat;
• incidenskezelési folyamatok kialakítása;
• dokumentációk elkészítése;
• külső IBF szolgáltatás;
• auditfelkészítés és hatósági megfelelés támogatása.

SZTFH rendeletek

Az alábbi SZTFH rendeletek elsősorban a kiberbiztonsági audit lefolytatására kötelezett szervezetekre, valamint az auditokat végző auditorokra vonatkoznak. A rendeletek meghatározzák az auditorok nyilvántartásának szabályait, az auditok végrehajtásának rendjét, a hatósági felügyelet részletszabályait, valamint a felügyeleti díj megfizetésének feltételeit.

A kiberbiztonsági audit célja annak igazolása, hogy a szervezet megfelel a Kiberbiztonsági törvény, a végrehajtási rendeletek és a vonatkozó biztonsági követelmények előírásainak.

7/2024. (VI. 24.) SZTFH rendelet

A rendelet meghatározza a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásának szabályait, valamint az auditorokkal szemben támasztott szakmai, szervezeti és függetlenségi követelményeket.

1/2025. (I. 31.) SZTFH rendelet

A kiberbiztonsági audit végrehajtásának részletes szabályait tartalmazza. Meghatározza többek között:

• az audit folyamatát;
• az auditálási terv tartalmát;
• a dokumentum- és bizonyítékvizsgálat szabályait;
• a helyszíni ellenőrzések rendjét;
• a technikai vizsgálatok kereteit;
• az auditjelentés kötelező tartalmát;
• az audit legmagasabb díját.

2/2025. (I. 31.) SZTFH rendelet

A kiberbiztonsági felügyeleti díj mértékét, megfizetésének módját és a kapcsolódó adminisztratív szabályokat tartalmazza.

3/2025. (IV. 17.) SZTFH rendelet

A kiberbiztonsági hatósági felügyelet, a hatósági ellenőrzések, valamint az információbiztonsági felügyelő tevékenységének részletszabályait határozza meg.

Miért fontosak ezek a rendeletek?

Míg a Kiberbiztonsági törvény és a 7/2024. MK rendelet azt határozza meg, hogy mit kell megvalósítani, addig az SZTFH rendeletek azt szabályozzák, hogy az auditorok és a hatóság milyen módon vizsgálják a megfelelőséget, milyen bizonyítékokat kérhetnek be, és milyen eljárásokra számíthat a szervezet a kiberbiztonsági audit során.

A szervezet vezetőinek kötelezettségei a Kiberbiztonsági törvény alapján

A 2024. évi LXIX. törvény (Kiberbiztonsági törvény) alapján a kiberbiztonság már nem kizárólag informatikai kérdés, hanem vezetői felelősség is. A szervezet vezetése köteles biztosítani, hogy a szervezet elektronikus információs rendszerei megfeleljenek a jogszabályi követelményeknek, és a szükséges védelmi intézkedések megvalósuljanak.

A vezetők főbb kötelezettségei:

• az elektronikus információs rendszerek biztonságáért felelős személy (IBF) kijelölése;
• a kiberbiztonsági feladatokhoz szükséges erőforrások biztosítása;
• az információbiztonsági szabályzatok jóváhagyása és működtetése;
• a kockázatkezelési és védelmi intézkedések végrehajtásának felügyelete;
• a munkavállalók kiberbiztonsági tudatosságának és képzésének biztosítása;
• a jogszabályban előírt bejelentési és adatszolgáltatási kötelezettségek teljesítése;
• a kiberbiztonsági auditokra való felkészülés és az auditorral történő együttműködés.

A jogszabály külön hangsúlyozza a vezetői szerepvállalást: a vezetőknek megfelelő kiberbiztonsági ismeretekkel kell rendelkezniük, ezért számukra kötelező képzési és továbbképzési követelmények kerültek meghatározásra.

A megfelelőségért végső soron a szervezet vezetése felel. Az információbiztonsági felelős, az informatikai szakemberek és a külső tanácsadók támogatják a feladatok végrehajtását, azonban a szükséges döntések meghozatala és a megfelelő erőforrások biztosítása vezetői feladat.