Kibertan törvény

Kibertan. törvény

Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan. törvény)

2023. május 15-én, a Magyar Közlöny 72-ik számában megjelent a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. törvény). A törvény a kihirdetést követő 8-ik napon lép hatályba.

A Kibertan. törvény alapján a kritikus ágazatokban működő szervezeteknek

  • információbiztonsági irányítási rendszert kell kialakítaniuk;
  • elektronikus biztonságért felelős személyt kell kijelölniük;
  • el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;
  • biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;
  • meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.

A szervezeteknek gondoskodniuk kell

  • a biztonsági események kezeléséről;
  • az üzletmenet folytonosság megteremtetésről és fenntartásáról;
  • az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;
  • a szervezet munkatársainak biztonsági képzéséről.

Kibertan. törvény hatálya

A Kibertan. törvényt a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni.

A törvény melléklete alapján ezek a következő szervezetek:

Kiemelten kockázatos ágazatok

  • Energetika
    • Villamos energia
    • Távfűtés és hűtés
    • Kőolaj
    • Földgáz
    • Hidrogén
  • Közlekedés
    • Légi közlekedés
    • Vasúti közlekedés
    • Közúti közlekedés
    • Vízi közlekedés
    • Tömegközlekedés
  • Egészségügy
  • Ivóvíz, szennyvíz
    • Vízközmű szolgáltatás
  • Hírközlési szolgáltatás
  • Digitális infrastruktúra
  • Kihelyezett IKT szolgáltatások
  • Űralapú szolgáltatás

Kockázatos ágazatok

  • Postai és futárszolgálatok
  • Élelmiszer előállítása, feldolgozása és forgalmazása
  • Hulladékgazdálkodás
  • Vegyszerek előállítása és forgalmazása
  • Gyártás
    • Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
    • Számítógép, elektronikai, optikai termék gyártása
    • Villamos berendezések gyártása
    • Máshova nem sorolt gépek és berendezések gyártása
    • Gépjárművek, pótkocsik és félpótkocsik gyártása
    • Egyéb szállítóeszközök gyártása

Kibertan. törvény felügyelete

A tervezet szerint a kiberbiztonság felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága fogja ellátni.

Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében

  • hatósági ellenőrzést végezhet,
  • jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el

Kötelező audit

Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

Az auditornak az audit eredményét haladéktalanul meg kell küldenie az SZTFH részére.

Kibertan. törvény által alkalmazható szankciók, bírságok

Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

  • figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
  • határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
  • a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

A fentiek alkalmazása ellenére, ha az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

A bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.

Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

Átmeneti rendelkezések

30. § (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

(2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

Az SZTFH a 22. § (5) bekezdése szerinti éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.

Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a 26. § (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

Felkészülés a Kibertan. törvény előírásaira

Kezdje el időben a felkészülést, mert a gyakorlati tapasztalatok alapján legalább 1 év kell ahhoz, hogy egy szervezet információbiztonsági irányítási rendszert vezessen be.

Bízzon meg minket a felkészülési feladatokkal, majd az információbiztonsági felelős feladatainak ellátásával.

Munkatársaink 20 éves információbiztonsági tapasztalattal rendelkeznek. Cégünk 10 év tapasztalattal rendelkezik az információbiztonsági törvény alkalmazásában, ügyfeleink több sikeres hatósági ellenőrzésen vettek részt.

Kérje ajánlatunkat a következő linkre kattintva.
Árajánlatkérés