Kibertan törvény

Kibertan. törvény

Törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (Kibertan. törvény)

2023. május 15-én, a Magyar Közlöny 72-ik számában megjelent a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. törvény). A törvény a kihirdetést követő 8-ik napon lép hatályba.

A Kibertan. törvény alapján a kritikus ágazatokban működő szervezeteknek

információbiztonsági irányítási rendszert kell kialakítaniuk;
elektronikus biztonságért felelős személyt kell kijelölniük;
el kell végezniük az elektronikus információs rendszerek és az azokban kezelt adatok kockázatelemzését;
biztonsági osztályba kell sorolniuk az elektronikus információs rendszereit és az azokban kezelt adatokat;
meg kell valósítaniuk az irányadó biztonsági osztályokra előírt adminisztratív, fizikai és logikai védelmi intézkedéseket.

A szervezeteknek gondoskodniuk kell

a biztonsági események kezeléséről;
az üzletmenet folytonosság megteremtetésről és fenntartásáról;
az információbiztonság beépítéséről az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzési, fejlesztési és üzemeltetési folyamataiban;
a szervezet munkatársainak biztonsági képzéséről.

Kibertan. törvény hatálya

A Kibertan. törvényt a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint kockázatos ágazatokban működő szolgáltatók és szervezetek elektronikus információs rendszereire kell alkalmazni.

A törvény melléklete alapján ezek a következő szervezetek:

Kiemelten kockázatos ágazatok

Energetika
- Villamos energia
- Távfűtés és hűtés
- Kőolaj
- Földgáz
- Hidrogén
Közlekedés
- Légi közlekedés
- Vasúti közlekedés
- Közúti közlekedés
- Vízi közlekedés
- Tömegközlekedés
Egészségügy
Ivóvíz, szennyvíz
- Vízközmű szolgáltatás
Hírközlési szolgáltatás
Digitális infrastruktúra
Kihelyezett IKT szolgáltatások
Űralapú szolgáltatás

Kockázatos ágazatok

Postai és futárszolgálatok
Élelmiszer előállítása, feldolgozása és forgalmazása
Hulladékgazdálkodás
Vegyszerek előállítása és forgalmazása
Gyártás
- Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
- Számítógép, elektronikai, optikai termék gyártása
- Villamos berendezések gyártása
- Máshova nem sorolt gépek és berendezések gyártása
- Gépjárművek, pótkocsik és félpótkocsik gyártása
- Egyéb szállítóeszközök gyártása

Kibertan. törvény felügyelete

A tervezet szerint a kiberbiztonság felügyeletét a Szabályozott Tevékenységek Felügyeleti Hatósága fogja ellátni.

Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében

hatósági ellenőrzést végezhet,
jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nemmegfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el

Kötelező audit

Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

Az auditornak az audit eredményét haladéktalanul meg kell küldenie az SZTFH részére.

Kibertan. törvény által alkalmazható szankciók, bírságok

Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

A fentiek alkalmazása ellenére, ha az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

A bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.

Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

Átmeneti rendelkezések

30. § (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

(2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

Az SZTFH a 22. § (5) bekezdése szerinti éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.

Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a 26. § (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

Felkészülés a Kibertan. törvény előírásaira

Kezdje el időben a felkészülést, mert a gyakorlati tapasztalatok alapján legalább 1 év kell ahhoz, hogy egy szervezet információbiztonsági irányítási rendszert vezessen be.

Bízzon meg minket a felkészülési feladatokkal, majd az információbiztonsági felelős feladatainak ellátásával.

Munkatársaink 20 éves információbiztonsági tapasztalattal rendelkeznek. Cégünk 10 év tapasztalattal rendelkezik az információbiztonsági törvény alkalmazásában, ügyfeleink több sikeres hatósági ellenőrzésen vettek részt.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.