Az országgyűlés 2023. május 3-i ülésnapján elfogadta a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvényt (a továbbiakban: Kibertan törvény), amely 2023. május 23-án lépett hatályba.
Az EU a kiberbiztonság témakörében korábban már elfogadott egy irányelvet, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló 2016/1148 (EU) irányelvet (Network Information System, a továbbiakban: NIS), amely közvetlen előzményeként szolgált a NIS2-nek, vagyis a felülvizsgált uniós kibervédelmi irányelvnek (a továbbiakban: Irányelv). Az Irányelv hazai jogba történő implementálása a Kibertan törvény.
Az Irányelvet egyébiránt az Európai Unió tagállamai közül Magyarország az elsők között ültette át a saját jogrendszerébe. Az Irányelv elsősorban a gazdaság nagyobb (fő)szereplőire tartalmaz előírásokat, de közvetve a cégeknek egy szélesebb spektrumára is hatást fejt ki. A Kibertan törvénnyel kapcsolatban érdemes megemlíteni, hogy a végrehajtási rendelete még nem került megalkotásra, amelynek okán számos nyitott kérdés van még a Kibertan törvény gyakorlati alkalmazhatósága terén.
Az Irányelv és ekként a Kibertan törvény alapvető célja, hogy az EU tagállamai a kritikus szektorokban működő állami, illetve magán tulajdonban lévő cégek egy magasabb szintre fejlesszék az ellenállóképességüket a kibertámadásokkal szemben.
Az Irányelv hatálya a minimum 50 munkavállalót foglalkoztató vagy 10 millió eurót meghaladó éves árbevétellel rendelkező cégekre terjed ki, továbbá minden olyan szervezet is az Irányelv hatálya alá tartozik, amelynek „az EU gazdasági és társadalmi fejlődése szempontjából nélkülözhetetlen funkciót látnak el”. A következő ágazatokat az Európai Unió kiemelten kockázatos ágazatokként azonosította: „energetika, közlekedés, egészségügy, ivóvíz, szennyvíz és a hírközlési szolgáltatás, kihelyezett ICT szolgáltatások, űrkutatás, valamint a digitális infrastruktúra”, ezek azok a szektorok, amelyek kritikusan veszélyeztetettek a kibertámadások terén
A magyar jogalkotó az Irányelv rendelkezéseitől némileg eltérően a Kibertan törvény hatályát, vagyis a kiberbiztonsági felügyelettel érintettek körét az alábbiak szerint állapította meg a Kibertan törvény 17. § (1) bekezdése szerint:
„Az e fejezetben foglaltakat
a) az 1. melléklet szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint
b) a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek
(a továbbiakban együtt: érintett szervezet) elektronikus információs rendszereire kell alkalmazni.”
A kiemelten kockázatos ágazatok közé az energetika, az egészségügy, a közlekedés, a hírközlési szolgáltatás, az ivóvíz-, űralapú szolgáltatások, a kihelyezett IKT szolgáltatások, illetve a digitális infrastruktúra került.
A kockázatos ágazatok közé sorolták a postai és futárszolgálatot, élelmiszerelőállítást, feldolgozást és forgalmazást, kutatást, hulladékgazdálkodást, vegyszerelőállítást és forgalmazást, valamint a digitális szolgáltatást.
A Kiemelten kockázatos, illetve a kockázatos ágazatok és ezen ágazatok alágazatainak pontos körét a Kibertan törvény 1., illetve 2. számú melléklete tartalmazza részletesen.
A Kibertan törvény 17. § (2) bekezdése szerint nem kell alkalmazni a rendelkezéseit, „a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet a) elektronikus hírközlési szolgáltató, b) bizalmi szolgáltató, c) DNS-szolgáltatást nyújtó szolgáltató, d) legfelső szintű domainnév-nyilvántartó vagy e) domainnév-regisztrációt végző szolgáltató.”
A Kibertan törvény nagyságrendileg egyébiránt 50 ágazatot és ehhez kapcsolódón megközelítőleg 150 alágazatot sorol fel tételesen, amely ágazatokban érintett szervezetnek kiberbiztonsági fejlesztések útján biztosítaniuk kell a Kibertan törvény 19. § -ban meghatározott alapvető kiberbiztonsági követelményeknek való megfelelést, illetve a Kibertan törvény 23. § (1) bekezdésére tekintettel kétévente foganatosított kiberbiztonsági auditokkal kell a folyamatos megfelelést biztosítaniuk.
Az érintett szervezetekről a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) nyilvántartást vezet, illetve ellátja a felügyeletüket. A nyilvántartásban érintett szervezetek kötelesek regisztrálni az SZTFH-nál. A témakörben jártas szakemberek becslése alapján előzetesen 3000 cég, illetve vállalat regisztrációjára számíthat az auditálással megbízott hatóság. Az SZTFH részére hatósági felügyeleti díjat kötelesek fizetni az érintett szervezetek, ennek a mértéke az adott cég előző évi árbevételének a maximum 0,015 %-a, de legfeljebb 10 millió forint. Az SZTFH nem csak az érintett szervezetekről, de az audit végrehajtására jogosult gazdálkodó szervezetekről is nyilvántartást vezet.
Az érintett szervezet kiberbiztonsági auditot köteles rendszeresen végeztetni, erre első alkalommal a nyilvántartásba vételt követő 2 éven belül köteles. A kiberbiztonsági audit lefolytatása érdekében a nyilvántartásba vételt követő 120 napon belül az érintett szervezet köteles egy nyilvántartott auditorral megállapodást kötni, amelynek végső határideje 2024. december 31. napja, míg az első audit lefolytatásának végső határideje 2025. december 31. napja. Az auditor feladata az Irányelvnek megfelelő kiberbiztonsági átvilágítás lefolytatása, illetve tanúsítvány kiállítása.
Az SZTFH által vezetett nyilvántartásban érintett szervezetek, amelyek 2024. január 1-je előtt kezdték meg a működésüket 2024. június 30. napjáig kell teljesítseniük a nyilvántartásba vételi kötelezettségüket. Az SZTFH-nál 2024. október 18. napjával indul az ellenőrzési folyamat. Érdemes megjegyezni, hogy a regisztrációra nyitva álló határidő elmulasztása jelentős bírságot keletkeztethet az ebben érintett cégek számára. Egyébiránt 2024. október 18. napja egyben az Irányelv szabályozásának való teljes megfelelés határideje is.
Az Irányelvvel összhangban a Kibertan törvény alapján az értintett cégeknek/szervezeteknek az információbiztonsági irányítás rendszer tekintetében kötelességük kialakítani a logikai, fizikai, illetve az adminisztratív jellegű védelmi intézkedéseket, továbbá meghatározni az elektronikus információs rendszerek biztonságáért felelős személy – ideértve a biztonsági vezetők – feladatait és felelősségi körét, és az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat is.
Az uniós szabályozással összhangban a Kibertan törvény 19. § (3) bekezdésével elvárja, hogy társaságok biztosítsák az üzletmenet folytonosságát, szimulációs gyakorlatokkal és képzések tartásával erősítsék a munkavállalók tudatosságát a kiberbiztonság vonatkozásában.
Az új kiberbiztonsági követelmények tekintetében az Irányelv egy határozott ellenőrzési és szankcionálási keretrendszert fogalmaz meg, azonban fontos megemlíteni, hogy a szankciókról szóló végrehajtási rendelet még nem került kihirdetésre. Az Irányelv meghatározza a kiszabható szankcióknak a kereteit, ennek megfelelően az SZTFH a kiberbiztonsági felügyelet, illetve ellenőrzés kapcsán az alábbi eszközökkel élhet: általános hatósági ellenőrzés, rendkívüli ellenőrzés elrendelése, figyelmeztetés, eltiltás (illetékes hatóságokkal együttműködve), bírság kiszabása. A szankciók, illetve a bírság mértéke kapcsán érdemes megjegyezni, hogy büntetésként adott esetben a szankcióval érintett cég éves árbevételének akár 2 %-a is kiszabható, amennyiben nem tesznek eleget az Irányelv rendelkezéseinek, és nem készülnek fel annak alkalmazására. A kiemelten kockázatos ágazatokban működő szolgáltatók esetében legfeljebb 10 millió euró, a kockázatos ágazatokban működő szolgáltatók esetében legfeljebb 7 millió euró lehet a maximális bírság.
Források:
2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
https://sztfh.hu/tevekenysegek/kiberbiztonsagi-tanusitas/kiberbiztonsagi-felugyelet/
https://www.ey.com/hu_hu/consulting/nis2-torveny-idoben-jott-ahhoz–hogy-elkerulje-a-kiberkatasztrof