Kiberbiztonsági törvény

Összefoglaló Magyarország kiberbiztonságáról szóló törvénytervezetről

MAGYARORSZÁG KIBERBIZTONSÁGÁRÓL SZÓLÓ TÖRVÉNY

Magyarország Kormánya beterjesztette az Országgyűlés elé a Magyarország kiberbiztonságáról szóló törvénytervezetet (továbbiakban: a tervezet). A tervezet szövege a következő hivatkozáson keresztül olvasható:

https://www.parlament.hu/web/guest/folyamatban-levo-torvenyjavaslatok?p_p_id=hu_parlament_cms_pair_portlet_PairProxy_INSTANCE_9xd2Wc9jP4z8&p_p_lifecycle=1&p_p_state=normal&p_p_mode=view&p_auth=VrS8TTj0&_hu_parlament_cms_pair_portlet_PairProxy_INSTANCE_9xd2Wc9jP4z8_pairAction=%2Finternet%2Fcplsql%2Fogy_irom.irom_adat%3Fp_ckl%3D42%26p_izon%3D9716

HATÁLY

SZEMÉLYI HATÁLY

A tervezet alapján a törvény – többek között – a következő közigazgatási ágazathoz tartozó szervezetek elektronikus információs rendszereire terjed ki:

a központi államigazgatási szerv, a Kormány kivételével,
a Sándor-palota,
az Országgyűlés Hivatala,
az Alkotmánybíróság Hivatala,
az Országos Bírósági Hivatal és a bíróságok,
az ügyészségek,
az Alapvető Jogok Biztosának Hivatala,
az Állami Számvevőszék,
a Magyar Nemzeti Bank,
a Magyar Honvédség,
a fővárosi és vármegyei kormányhivatalok,
a vármegyei közgyűlések hivatalai,
a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
a települések képviselő-testületének hivatalai,
a központi szolgáltató,
a központi rendszerek szolgáltatói.

A tervezet apján a törvény hatálya ki fog terjedni azokra a szervezetekre (piaci szereplőkre) is, amelyek legalább 5, a törvény hatálya alá tartoznak olyan szervezetnek szolgáltatnak. Véleményem szerint ezek azok a piaci cégek lesznek, akik felhőalapon, szolgáltatásként nyújtanak elektronikus információs rendszert az ügyfeleik részére. A későbbiekben ezzel elkerülhetővé válnak azok a viták, melyek az ilyen elektronikus információs rendszerek biztonságával (kinek, mi a feladata, milyen követelményeket kell teljesíteni) kapcsolatban időről időre felmerülnek.

A tervezet alapján az új törvény hatálya kiterjed továbbá bizonyos piaci ágazatokra is, illetve foglalkozik az IKT folyamatok, IKT termékek és IKT szolgáltatások tanúsításával is, azonban ezeknek az előírásoknak az ismertetéséről – érintettség hiányában – a jelen levelemben eltekintenék.

IDŐBENI HATÁLY

A tervezet alapján az új törvény 2025. január 1-én lép hatályba és hatályon kívül helyezi többek között az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt.

KÖVETELMÉNYEK

Alapvető információbiztonsági követelmények

A tervezet alapján továbbra is (hasonlóan, mint a jelenlegi Ibtv. szerint) gondoskodni a szervezet elektronikus információs rendszereinek biztonságáról, azaz továbbra is

ki kell jelölni egy elektronikus információs rendszerek biztonságáért felelős személyt,
ki kell dolgozni az információbiztonsággal kapcsolatos szabályzatokat, eljárásrendeket;
biztonsági osztályba kell sorolni a szervezet elektronikus információs rendszereit;
meg kell valósítani az egyes biztonsági osztályokhoz rendelet (külön jogszabályban előírt) védelmi intézkedéseket;
gondoskodni kell a felhasználók biztonságtudatosságának megteremtéséről és fenntartásáról;
rendszeres kockázatelemzéssel fel kell tárni a szervezetet érő információbiztonsággal kapcsolatos kockázatokat stb.

A tervezet a hatósági feladatok ellátását – a kormány által később kijelölendő – nemzeti kiberbiztonsági hatósághoz – rendeli.

Új elemek a tervezetben

Biztonsági osztályba sorolás

A tervezet 10.§ alapján – az Ibtv.-ben előírt 5 fokozatú skála helyett – egy 3 fokozatú skálán (alap, jelentős, magas) biztonsági osztályba kell sorolni a szervezet elektronikus információs rendszereit.

Fontos változás, hogy a tervezet szerint csak a szervezet rendelkezésében lévő elektronikus információs rendszert kell biztonsági osztályba sorolni, a központi rendszereket nem.

A biztonsági osztályba sorolás követelményét és az egyes biztonsági osztályokhoz tartozó adminisztratív, fizikai és logikai védelmi intézkedéseket a korábbi levelemben már említett, a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet (továbbiakban: új vhr) tartalmazza.

Megj.: A korábbi levelemben jelzetteknek megfelelően az új vhr 2025. január 1-jével hatályon kívül helyezi a korábbi vhr-t (az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet).

Adatosztályozás

A szervezetnek nem csak az elektronikus információs rendszereit, hanem az azokban kezelt adatokat is biztonsági osztályba kell majd sorolnia külön kormányrendeletben foglaltak szerint.

Információbiztonsággal kapcsolatos költségek

A szervezet vezetője a tervezet 6.§ (4) bekezdése alapján az elektronikus információs rendszer védelmének biztosítása érdekében gondoskodik arról, hogy a szervezet éves IT fejlesztési költségvetésének legalább 5%-át kiberbiztonsági fejlesztésekre fordítsa.

Fejlesztések

A tervezet alapján (és az Ibtv. alapján is) új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer továbbfejlesztése során a megállapított biztonsági osztályhoz tartozó követelményeket a rendszer használatbavételéig teljesíteni kell.

A tervezet alapján már a tervezés fázisában be kell nyújtani a hatóságnak az elektronikus információs rendszer biztonsági osztályba sorolását és a rendszerben kezelendő adatok osztályozását és csak a hatóság jóváhagyását követően lehet a szerződést megkötni, illetve a fejlesztést megkezdeni.

A szervezetnek rögzítenie kell a fejlesztésre irányuló szerződésben a nemzeti kiberbiztonsági hatóság által jóváhagyott osztályba soroláshoz kapcsolódó követelményeket és a fejlesztés során intézkedik azok megvalósulása iránt a fejlesztést végző szervezet felé.

A fejlesztést a nemzeti kiberbiztonsági hatóság által jóváhagyott, a biztonsági osztály vonatkozásában az informatikáért felelős miniszter rendeletében meghatározott védelmi követelményeknek megfelelően kell végrehajtani.

A szervezet vezetőjének az elektronikus információs rendszer használatba vételére, további használatára irányuló döntése abban az esetben hozható meg, ha a nemzeti kiberbiztonsági hatóság által jóváhagyott biztonsági osztályba sorolásból következő követelmények teljesültek.

A „jelentős” és a „magas” biztonsági osztályba tartozó elektronikus információs rendszer esetében kötelező a kormányrendelet szerinti teljeskörű sérülékenységvizsgálat kezdeményezése.

TOVÁBBI JOGSZABÁLYOK

Felhatalmazást kap a Kormány, hogy – többek között – rendeletben megállapítsa

a kiberbiztonsági szolgáltatások részletes szabályait, a kiberbiztonsági szolgáltatások körét, az igénybevételére kötelezett, illetve jogosult szervezeteket, valamint a szolgáltatások igénybevételének rendjét;
az alapvető és fontos szervezetek kötelezettségeire vonatkozó részletes rendelkezéseket;
az elektronikus információs rendszereken kezelt adatok osztályozására vonatkozó részletes szabályokat;
az elektronikus információs rendszer biztonságáért felelős személy részletes feladat- és hatáskörét;
a központi szolgáltató e törvény alapján ellátandó feladataira vonatkozó részletes szabályokat;
a nemzeti kiberbiztonsági hatóság, valamint a honvédelmi célú elektronikus információs rendszerek tekintetében a hatósági feladatokat ellátó szerv feladat- és hatáskörét, valamint az eljárására és a nyilvántartásra vonatkozó részletes szabályokat;
a kiberbiztonsági hatóság által kiszabható bírság mértékét, megállapításának szempontrendszere a bírság kiszabásának és befizetésének részletes eljárási szabályait.

Felhatalmazást kap az informatikáért felelős miniszter, hogy – többek között – rendeletben meghatározza

az SZTFH elnöke véleményének kikérését követően a biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket;
az alapvető és fontos szervezet vezetőjének és az elektronikus információs rendszer biztonságáért felelős személynek a szakmai képzésére és továbbképzésére vonatkozó rendelkezéseket;
az elektronikus információs rendszer biztonságáért felelős személy feladatellátáshoz szükséges szakképzettséget vagy szakmai gyakorlatszerzés szempontjából elfogadható szakterületet.

HATÁRIDŐK, TOVÁBBI FELADATOK

Az új vhr-ben megjelennek a korábbihoz képest új követelmények, azonban a tervezet 84.§-a alapján ezeknek az új követelményeknek a teljesítésére 1 év áll a rendelkezésre.

A fentiek alapján a következő feladatok elvégzése szükséges:

Biztonsági osztályba sorolás és adatosztályozás elvégzése a törvény hatályba lépésétől számított 180 napon belül;
A meglévő védelmi intézkedések felvizsgálata;
Szabályzatok, eljárásrendek, kockázatelemzés felülvizsgálata;
Cselekvési terv készítése az esetleg még meglévő hiányosságok és az új követelmények teljesítésére;
A cselekvési terv végrehajtása 2025. december 31-ig.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.