418/2024. (XII. 23.) Korm. rendelet

1. § (1) E rendeletnek a szervezetek kötelezettségeire és a kiberbiztonság hatósági felügyeletére vonatkozó rendelkezéseit – a (2) bekezdésben foglalt kivétellel – a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (1) bekezdés a)–c) pontja szerinti szervezetekre kell alkalmazni.

(2) E rendeletnek az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó rendelkezéseit az alábbi szervezetekre kell alkalmazni:

(3) E rendeletnek a kiberbiztonsági gyakorlatokra, valamint a kiberbiztonsági bírságokra vonatkozó rendelkezéseit a Kiberbiztonsági tv. 1. § (1) bekezdése szerinti szervezetekre kell alkalmazni.

(4) E rendelet kiberbiztonsági tanúsításra vonatkozó rendelkezéseit az információs és kommunikációs technológiai (a továbbiakban: IKT) termékek, IKT-szolgáltatások vagy IKT-folyamatok (a továbbiakban együtt: IKT-termék) tanúsításával kapcsolatos tevékenység vonatkozásában kell alkalmazni.

(5) E rendelet sérülékenységvizsgálatra vonatkozó rendelkezései

(6) E rendelet kiberbiztonsági incidenskezelésre, valamint a kiberbiztonsági válsághelyzet kezelésére vonatkozó rendelkezéseit

(7) E rendelet sebezhetőségek kezelésére vonatkozó rendelkezései

2. § E rendelet alkalmazásában

3. § (1) A Kiberbiztonsági tv. 9. §-a szerint adatosztályozásra köteles szervezet az adatok osztályozását az 1. mellékletben meghatározott szempontok alapján végzi el.

(2) A szervezet vezetőjének a tervezett külföldi adatkezelésre vagy nem privát felhőhasználatra irányuló döntését megelőzően

(3) A költség-haszon elemzés keretében a szervezet vizsgálja és kimutatja az aktuálisan alkalmazott technológiához képest a nem privát felhőszolgáltatás igénybevételével járó előnyöket és hátrányokat, a kilépési terv keretében megtervezi a felhőszolgáltatás alkalmazásáról a helyi környezetre vagy privát felhő használatára történő visszaállás lépéseit, annak következményeit és költségvonzatát.

(4) A Kiberbiztonsági tv. 1. § (1) bekezdés a) pontja szerinti szervezet vezetője abban az esetben dönthet a külföldi adatkezelés vagy a nem privát felhőszolgáltatás igénybevétele mellett, amennyiben a költség-haszon elemzés és a kilépési terv eredményei alapján a külföldi adatkezelés vagy a nem privát felhőszolgáltatás igénybevétele a szervezet számára megalapozottan előnyökkel jár.

(5) A szervezet az adatosztályozás eredményét a biztonsági osztályba sorolás eredményének bejelentése keretében jelenti be a 16. § (1) bekezdése szerinti nemzeti kiberbiztonsági hatóság (a továbbiakban: nemzeti kiberbiztonsági hatóság) részére.

4. § (1) A védelmi intézkedések meghatározása és megfelelőségének mérlegelése során – amennyiben rendelkezésre áll – a szervezet figyelembe veszi az Európai Bizottság és az ENISA által, a kritikus ellátási láncok vonatkozásában elvégzett összehangolt biztonsági kockázatértékelések eredményeit.

(2) Ha a szervezet vagy a kiberbiztonsági audit során az auditor az adott elektronikus információs rendszerre vonatkozó biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során hiányosságot állapít meg, akkor a szervezet – a vizsgálat vagy a kiberbiztonsági audit eredményének kézhezvételét követő 90 napon belül – intézkedési tervet készít a hiányosság megszüntetésére, amelyet jóváhagyásra benyújt a nemzeti kiberbiztonsági hatóság részére.

5. § (1) A szervezet soron kívül felülvizsgálja a biztonsági osztályba sorolást, ha az elektronikus információs rendszer kockázati környezetében vagy az adatosztályozásban változás következik be.

(2) A biztonsági osztályba sorolás felülvizsgálatának eredményét a szervezet 15 napon belül megküldi a nemzeti kiberbiztonsági hatóság részére.

6. § A szervezet az információbiztonsági szabályzatot soron kívül felülvizsgálja és módosítja

7. § A Kiberbiztonsági tv. 8. § (7) bekezdése szerinti kiberbiztonsági információmegosztási megállapodások keretében az információmegosztás során a szervezetek az információk érzékeny jellegét tiszteletben tartva járnak el.

8. § (1) A szervezet a nemzeti kiberbiztonsági hatóság – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóság – által meghatározott és közzétett formátumban, elektronikus úton tesz eleget bejelentési és adatszolgáltatási kötelezettségének, ezzel egyidejűleg megküldi a bejelentett adatokat igazoló dokumentumokat.

(2) A Kiberbiztonsági tv. 8. § (4) bekezdés f) pontja szerinti bejelentés keretében a szervezet megküldi a nemzeti kiberbiztonsági hatóságnak

9. § (1) A szervezet jogutódlással történő megszűnése esetén a jogutód a változást követő 15 napon belül köteles nyilvántartásba vétel céljából bejelenteni a jogutódlást a nemzeti kiberbiztonsági hatóság részére.

(2) A szervezet a jogutódlás nélkül történő megszűnését – legkésőbb a megszűnés időpontjáig – köteles bejelenteni a nemzeti kiberbiztonsági hatóság részére.

(3) Ha a nemzeti kiberbiztonsági hatóság tudomást szerez a szervezet jogutódlás nélkül történő megszűnéséről, hivatalból intézkedik a megszűnés tényének nyilvántartásban történő rögzítéséről.

10. § (1) A Kiberbiztonsági tv. 1. § (1) bekezdése szerinti szervezet

(2) A szervezet a kiberbiztonsági gyakorlat lefolytatásába – szükség szerint – bevonja az elektronikus információs rendszer üzemeltetésében, a kapcsolódó szolgáltatások nyújtásában részt vevő közreműködőit.

(3) A szervezet által önállóan szervezett gyakorlatot a szervezet maga folytatja le vagy e célból közreműködőt vehet igénybe. Az önállóan szervezett gyakorlat lefolytatása vonatkozásában a Központ módszertant határoz meg, amelyet a honlapján közzétesz.

(4) A szervezet az önállóan lefolytatott gyakorlatról – a Központ honlapján közzétett módszertan alapján – készített értékelő beszámolót a gyakorlat lefolytatását követő 30 napon belül megküldi a Központ részére. A beszámoló tartalmazza legalább a gyakorlat forgatókönyvét, résztvevőit, a lezajlott eseményeket, a gyakorlat eredményességének értékelését.

(5) A gyakorlat megfelelőségét a Központ értékeli. Ha a gyakorlat során vagy az önállóan lefolytatott gyakorlatról beküldött beszámoló alapján a Központ hiányosságokat állapít meg, a jelzése alapján a nemzeti kiberbiztonsági hatóság felszólítja – a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezet kivételével – a szervezet vezetőjét a nem megfelelő védelmi intézkedések módosítására, és a szervezetet a gyakorlat megismétlésére kötelezheti.

(6) Az (1) bekezdés b) és c) pontja szerinti kötelezés esetén a szervezet kiberbiztonsági gyakorlaton való részvétele kötelező.

11. § (1) Az elektronikus információs rendszer biztonságáért felelős személy feladatát a szervezet igényeihez igazodva és annak rendelkezése szerint látja el.

(2) A szervezet vezetője az elektronikus információs rendszer biztonságáért felelős személy kijelölését vagy megbízását

(3) Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó bejelentés magában foglalja a vonatkozó munka-, megbízási szerződés vagy más megállapodás másolatának hatóság számára történő megküldését olyan módon, hogy abból csak a hatóság számára releváns, a feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A megállapodáshoz csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat, vagy nyilatkozat másolatát.

(4) Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó megállapodásnak legalább a következőket kell tartalmaznia:

(5) Az elektronikus információs rendszer biztonságáért felelős személy büntetlen előéletét a szervezet vezetője – a nemzeti kiberbiztonsági hatóság, honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóság által meghatározott módon – igazolja.

(6) A szervezet vezetője az elektronikus információs rendszer biztonságáért felelős személyt kötelezheti, hogy a szervezettel fennálló jogviszonya alatt a büntetlen előélet követelményének való megfelelést igazolja.

12. § (1) Az elektronikus információs rendszer biztonságáért felelős személy az e feladatkörében a nemzeti kiberbiztonsági hatóság előtti eljárásra a nemzeti kiberbiztonsági hatóság általi nyilvántartásba vételét követően válik jogosulttá, és képviseleti joga megszűnésének bejelentéséig vagy a nemzeti kiberbiztonsági hatóság általi hivatalból való törléséig képviseletre jogosult személynek kell tekinteni.

(2) Az elektronikus információs rendszer biztonságáért felelős személy

(3) Ha az elektronikus információs rendszer biztonságáért felelős személy feladatait a szervezeten kívüli személy végzi, feladatait alapvető szervezeteknél legalább kéthavonta egy napon, fontos szervezeteknél legalább háromhavonta egy napon – dokumentált módon – az érintett szervezetnél való fizikai jelenlét mellett köteles ellátni.

13. § (1) A szervezet az elektronikus információs rendszer fejlesztésére, továbbfejlesztésére (a továbbiakban együtt: fejlesztés) irányuló szerződésekben köteles meghatározni a fejlesztő részére a sérülékenységvizsgálat során feltárásra kerülő sérülékenységek javítására vonatkozó feltételeket.

(2) A szervezet az elektronikus információs rendszer fejlesztése esetén a tervezési életciklusban elvégzett adatosztályozás és osztályba sorolás eredményét és indokolását a nemzeti kiberbiztonsági hatóság – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóság – által a honlapján közzétett nyomtatványon és mellékleteivel együtt nyújtja be a nemzeti kiberbiztonsági hatóság részére.

(3) A nemzeti kiberbiztonsági hatóság az adatosztályozást és a biztonsági osztályba sorolást felülbírálhatja, és indokolt esetben magasabb vagy alacsonyabb szintű besorolást is megállapíthat.

(4) A szervezet vezetője biztosítja, hogy a biztonsági osztályhoz kapcsolódó védelmi követelmények a fejlesztés során megvalósuljanak.

(5) A szervezet a fejlesztés során felülvizsgálja

(6) A szervezet a felülvizsgálat eredményeként kapott besorolást a nemzeti kiberbiztonsági hatóságnak jóváhagyásra benyújtja. A biztonsági osztályba sorolás vizsgálata során a nemzeti kiberbiztonsági hatóság a 30. § szerint jár el.

14. § (1) Az elektronikus információs rendszer használatbavétele, illetve meglévő elektronikus információs rendszer továbbhasználata kapcsán a szervezet vezetője által hozott döntésnek a nemzeti kiberbiztonsági hatóság általi jóváhagyását a szervezet a nemzeti kiberbiztonsági hatóság – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóság – honlapján közzétett nyomtatványon kérelmezi.

(2) A kérelemnek tartalmaznia kell a biztonsági osztályba sorolás eredményeként kapott, elvárt védelmi intézkedések megvalósításáról készült valamennyi dokumentációt.

(3) A nemzeti kiberbiztonsági hatóság a jóváhagyását adja, ha meggyőződött róla, hogy az érintett elektronikus információs rendszer valamennyi elvárt kiberbiztonsági kritériumot teljesíti és ezzel egyidőben nyilvántartásba veszi az elektronikus információs rendszert. Ellenkező esetben a hatóság hiánypótlásra, a hiányosságok javítására, pótlására szólít fel és megtilthatja az elektronikus információs rendszer használatba vételét, továbbhasználatát.

15. § (1) A felhasználó szervezet, ha a rendelkezésében lévő elektronikus információs rendszerhez kapcsolódóan központi szolgáltatást vesz igénybe, megküldi a központi szolgáltatónak az elektronikus információs rendszer

(2) A központi rendszer felett rendelkezési jogot gyakorló szervezet vagy a központi szolgáltató a központi rendszerként, támogató rendszerként vagy központi szolgáltatásként való minősülés megállapítása érdekében előzetesen egyeztet a nemzeti kiberbiztonsági hatósággal. A nemzeti kiberbiztonsági hatóság az egyeztetésbe bevonhatja a felhasználó szervezeteket.

(3) A szolgáltatást nyújtó szolgáltatáskatalógusában rögzíti a központi szolgáltatás megnevezését, valamint, hogy

(4) Több szolgáltató által együttesen nyújtott központi szolgáltatás vonatkozásában a szolgáltatók megállapodásban rögzítik az általuk nyújtott szolgáltatásrészek tekintetében a felelősségi határokat, valamint az adott szolgáltatásrész által biztosított védelmi intézkedéseket.

16. § (1) A Kormány

(2) A Kormány a Kiberbiztonsági tv. 23. § (2) bekezdése szerinti honvédelmi kiberbiztonsági hatóságként a honvédelemért felelős minisztert jelöli ki.

(3) A honvédelmi kiberbiztonsági hatóság tevékenységére – a 18. § e) pontjában, a 25. §-ban, a 39. § (3) és (4) bekezdésében foglaltak kivételével – a nemzeti kiberbiztonsági hatóságra vonatkozó rendelkezéseket kell alkalmazni.

17. § (1) A nemzeti kiberbiztonsági hatóság jogosult

(2) Ha a nemzeti kiberbiztonsági hatóság a hatósági tevékenysége során

18. § A nemzeti kiberbiztonsági hatóság feladatai ellátása során együttműködik az elektronikus információbiztonság területén

19. § Ha a szervezet jelentős kiberbiztonsági incidensről értesíti a nemzeti kiberbiztonsági hatóságot, a nemzeti kiberbiztonsági hatóság a kézhezvételt követően továbbítja az értesítést a Központnak.

20. § (1) A nemzeti kiberbiztonsági hatóság és a Kszetv. szerinti kijelölő hatóság együttműködése keretében

(2) A nemzeti kiberbiztonsági hatóság és a Vbö. szerinti kijelölő hatóság együttműködése keretében az (1) bekezdés szerint jár el az ország védelme és biztonsága szempontjából jelentős szervezetek vonatkozásában.

(3) A nemzeti kiberbiztonsági hatóság az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatósággal történő együttműködés keretében tájékoztatja az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 32. cikk (1) bekezdése szerint létrehozott felvigyázási fórumot, amikor hatósági felügyeleti intézkedést tesz annak érdekében, hogy a Kiberbiztonsági tv. hatálya alá tartozó, az (EU) 2022/2554 európai parlamenti és tanácsi rendelet 31. cikke szerint kritikus harmadik fél IKT-szolgáltatónak kijelölt alapvető szervezetek megfeleljenek az (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek.

(4) A honvédelmi kiberbiztonsági hatóság és a Vbö. szerinti honvédelmi ágazati kijelölő hatóság együttműködése keretében az (1) bekezdés szerint jár el.

21. § (1) Ha egy szervezet egynél több európai uniós tagállamban nyújt szolgáltatásokat, vagy egy vagy több európai uniós tagállamban nyújt szolgáltatásokat, és hálózati és információs rendszerei egy vagy több másik uniós tagállamban találhatóak, a nemzeti kiberbiztonsági hatóság szükség szerint együttműködik a másik tagállam illetékes hatóságával. Az együttműködés keretében a nemzeti kiberbiztonsági hatóság

(2) A nemzeti kiberbiztonsági hatóság nem utasíthatja el a megkeresést, kivéve, ha megállapítja, hogy nem rendelkezik hatáskörrel a kért segítség nyújtására, a kért segítség nem arányos a nemzeti kiberbiztonsági hatóság felügyeleti feladataival, vagy a megkeresés olyan információra vonatkozik, vagy olyan tevékenységeket foglal magában, amelyek közlése vagy végrehajtása ellentétes lenne Magyarország nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel. A megkeresés elutasítása előtt a nemzeti kiberbiztonsági hatóság konzultálhat más illetékes hatósággal, valamint az Európai Bizottsággal és az ENISA-val.

(3) A nemzeti kiberbiztonsági hatóság – közös megegyezés alapján – közös felügyeleti intézkedéseket hajthat végre más európai uniós tagállamok illetékes hatóságaival.

22. § (1) A nemzeti kiberbiztonsági hatóság eljárásaiban

(2) A nemzeti kiberbiztonsági hatóság mellőzi az ismételt hiánypótlást, amennyiben a hiánypótlásra ugyanazon szervezet vonatkozásában ugyanazon hiányosságra figyelemmel kerülne sor.

(3) A nemzeti kiberbiztonsági hatóság az eljárását lezáró döntésének meghozatala előtt a szervezettel egyeztetést folytathat le.

23. § (1) A nemzeti kiberbiztonsági hatóság kiberbiztonsági incidens esetén hatósági eljárást indít abban az esetben, ha

(2) A honvédelmi kiberbiztonsági hatóság a tudomására jutott kiberbiztonsági incidens kivizsgálása érdekében hatósági eljárást indít.

24. § A nemzeti kiberbiztonsági hatóság az alapvető vagy fontos szervezetek nyilvántartásából történő törlésről

25. § (1) Az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas személyek nyilvántartásába való felvételét kérheti – a hatóság honlapján közzétett formanyomtatványon – a nemzeti kiberbiztonsági hatóságtól az érintett, amennyiben megfelel a Kiberbiztonsági tv.-ben és az e rendeletben foglalt feltételeknek.

(2) Az (1) bekezdés szerinti kérelem tartalmazza az elektronikus információs rendszer biztonságáért felelős természetes személy

(3) Ha az elektronikus információs rendszer biztonságáért felelős természetes személy a Kiberbiztonsági tv.-ben és az e rendeletben meghatározott feltételeket nem teljesíti, a nemzeti kiberbiztonsági hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be.

(4) A nyilvántartásba vételt követően a nemzeti kiberbiztonsági hatóság a honlapján közzéteszi az elektronikus információs rendszer biztonságáért felelős természetes személy nevét és elektronikus levelezési címét.

(5) A nyilvántartásba vett elektronikus információs rendszer biztonságáért felelős természetes személynek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 11. § (3) és (8) bekezdésében, valamint az e rendeletben meghatározott feltételeknek.

(6) Az elektronikus információs rendszer biztonságáért felelős természetes személy a bejelentett adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a nemzeti kiberbiztonsági hatóság részére.

(7) A nemzeti kiberbiztonsági hatóság törli a nyilvántartásból az elektronikus információs rendszer biztonságáért felelős természetes személyt

(8) A nemzeti kiberbiztonsági hatóság törölheti a nyilvántartásból az elektronikus információs rendszer biztonságáért felelős természetes személyt, ha

26. § (1) A nemzeti kiberbiztonsági hatóság megvizsgálja az alapvető vagy fontos szervezetként történő azonosítás lehetőségét, amennyiben

(2) Ha a Kszetv. alapján kritikus szervezetként, valamint a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetként való kijelölésre irányuló eljárás alapján a szervezet nem került kritikus szervezetként, illetve az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölésre, vagy a kijelölés visszavonásra kerül, a Kszetv., valamint a Vbö. szerinti kijelölő hatóság e döntésről tájékoztatja a nemzeti kiberbiztonsági hatóságot.

(3) Ha az azonosítás feltételei fennállnak, a nemzeti kiberbiztonsági hatóság eljárást indít, amelyben közli az érintett szervezettel azokat az adatokat, amelyek szerint megfelel az alapvető vagy fontos szervezetként történő azonosítás kritériumainak.

(4) Ha a szervezet az eljárást megindító végzés tartalmával egyetért, erről 20 napon belül tájékoztatja a nemzeti kiberbiztonsági hatóságot.

(5) Ha a szervezet az eljárást megindító végzés tartalmával nem ért egyet, 20 napon belül köteles a részletes indokolással ellátott véleményét a nemzeti kiberbiztonsági hatóság részére megküldeni. A részletes indokolással ellátott vélemény tartalmazza a szervezet

(6) A nemzeti kiberbiztonsági hatóság az érintett szervezet által megküldött információkat a Kiberbiztonsági tv. 1. § (6) bekezdésében foglalt szempontok szerint mérlegelve a hatósági eljárást lezáró érdemi döntésében rendelkezik az alapvető vagy fontos szervezetként történő azonosításról vagy annak mellőzéséről.

27. § (1) A nemzeti kiberbiztonsági hatóság

(2) A felülvizsgálat eredményétől függően fenntartja vagy visszavonja az azonosításra vonatkozó döntését.

28. § Az azonosított alapvető vagy fontos szervezet soron kívül bejelenti a nemzeti kiberbiztonsági hatóság részére, ha a működési körülményeiben olyan változás áll be, amely befolyásolja vagy befolyásolhatja az alapvető vagy fontos szervezeti státuszát.

29. § (1) A nemzeti kiberbiztonsági hatóság az adatosztályozás eredményét – a nem privát felhőszolgáltatás igénybevétele, illetve a külföldi adatkezelés jogszerűségének megállapítása érdekében – a biztonsági osztályba sorolás megalapozottságának vizsgálatára irányuló eljárás keretében értékeli.

(2) Ha a vizsgálat eredménye alapján nem egyértelmű az adatosztályozás szerinti besorolás, a nemzeti kiberbiztonsági hatóság eljárása keretében tisztázza, hogy a szervezet milyen és mekkora mennyiségű adatot kezel vagy tervez kezelni az elektronikus információs rendszerben.

(3) Ha a nemzeti kiberbiztonsági hatóság nem ért egyet az adatosztályozás eredményével, kötelezheti a szervezetet az adatosztályozás felülvizsgálatára, ismételt elvégzésére.

(4) Ha a vizsgálat eredménye alapján az elektronikus információs rendszerben kezelt vagy kezelni tervezett adatok köre alapján azok külföldi kezelése vagy azok vonatkozásában nem privát felhőszolgáltatás igénybevétele az 1. mellékletben foglaltak szerint nem lehetséges, a nemzeti kiberbiztonsági hatóság nem hagyja jóvá az elektronikus információs rendszer használatát.

30. § (1) Az elektronikus információs rendszerek biztonsági osztályba sorolásának vizsgálata a nemzeti kiberbiztonsági hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.

(2) Ha az elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolást – ideértve az adott elektronikus információs rendszerre vonatkozó biztonsági osztály meghatározásánál feltárt hiányosság megszüntetésére irányuló intézkedési tervet – a nemzeti kiberbiztonsági hatóság jóváhagyja, az erre irányuló döntés a biztonsági osztályba sorolás későbbi önálló, illetve az érintett szervezet vagy szervezeti egység ellenőrzése során történő felülvizsgálatát nem zárja ki.

(3) A nemzeti kiberbiztonsági hatóság a szervezet által megállapított biztonsági osztályt felülbírálhatja és indokolással magasabb biztonsági osztályba sorolást is megállapíthat.

(4) Ha a nemzeti kiberbiztonsági hatóság az eljárása során az elektronikus információs rendszerre vonatkozó, a szervezet vezetője által megállapított és bejelentett biztonsági osztályba sorolásnál magasabb biztonsági osztályt állapít meg, a következő biztonsági osztályhoz tartozó követelmények elérésére irányadó határidő alkalmazása tekintetében a nemzeti kiberbiztonsági hatóság döntésének megfelelő osztályt kell alapul venni.

(5) Ha a nemzeti kiberbiztonsági hatóság az elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolásnál alacsonyabb osztály alkalmazásának lehetőségét látja, arra javaslatot tesz a szervezetnek.

31. § (1) Az éves ellenőrzési tervet a nemzeti kiberbiztonsági hatóság előzetes kockázatértékelést követően a tárgyévet megelőző év november 30-áig állítja össze, amelynek összeállításához bevonhatja a Kszetv. szerinti kijelölő hatóságot és a Vbö. szerinti kijelölő hatóságot.

(2) A nemzeti kiberbiztonsági hatóság az éves ellenőrzési terv végrehajtását a tárgyévet követő év március 1-jéig értékeli.

(3) A nemzeti kiberbiztonsági hatóság az éves ellenőrzési tervet a végrehajtás során felülvizsgálja, és szükség szerint módosítja.

(4) A nemzeti kiberbiztonsági hatóság az ellenőrzési tervben foglaltaktól eltérhet, ha olyan azonnali ellenőrzéseket vagy eljárásokat kell lefolytatnia, amelyek a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és az állampolgárok számára kiemelten fontos elektronikus információs rendszereket fenyegető súlyos biztonsági események elhárítását szolgálják.

(5) A honvédelmi kiberbiztonsági hatóság az éves ellenőrzési terve összeállításához adatot kér a Vbö. szerinti honvédelmi ágazati kijelölő hatóságtól. A honvédelmi kiberbiztonsági hatóság éves ellenőrzési tervét, valamint a (3) bekezdés szerinti módosítást a honvédelemért felelős miniszter jóváhagyja.

32. § (1) A nemzeti kiberbiztonsági hatóság ellenőrzést

(2) A nemzeti kiberbiztonsági hatóság soron kívüli ellenőrzést végezhet, ha azt jelentős kiberbiztonsági incidens bekövetkezése, annak veszélye, vagy a jogszabályi követelményeknek a szervezet általi megsértése indokolja, továbbá olyan tény, körülmény jut a tudomására, amely azt indokolttá teszi.

33. § (1) A nemzeti kiberbiztonsági hatóság az ellenőrzés elrendeléséről az érintett szervezet vezetőjét elektronikus úton az ellenőrzés megkezdése előtt legalább tíz nappal értesíti. Az értesítésnek tartalmaznia kell az ellenőrzés célját, tárgyát, az elrendelésre okot adó körülményeket, az elrendelést megalapozó jogszabályhelyek megjelölését, az ellenőrzés várható időtartamát és az ellenőrzés módját.

(2) Az (1) bekezdés szerinti értesítés mellőzhető, ha

(3) A nemzeti kiberbiztonsági hatóság az ellenőrzést ellátó munkatársa részére megbízólevelet állít ki.

34. § (1) A nemzeti kiberbiztonsági hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – az ellenőrzés keretében jogosult önállóan vagy más hatósággal együtt

(2) A nemzeti kiberbiztonsági hatóság az elektronikus információs rendszerek, és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, az elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek.

(3) Az ellenőrzés nem eredményezheti a titkos információgyűjtő munkára, a leplezett eszköz alkalmazására és az abban együttműködő személyekre, továbbá a titkos információgyűjtés és leplezett eszköz alkalmazásának eszközeire és módszereire vonatkozó adat megismerését.

35. § (1) Az ellenőrzéssel érintett szervezet vezetője, munkatársa, alkalmazottja, illetve szerződéses jogviszony alapján az elektronikus információbiztonság tekintetében érintett egyéb közreműködő és az elektronikus információs rendszer biztonságáért felelős személy köteles a nemzeti kiberbiztonsági hatósággal együttműködni.

(2) Az elektronikus információs rendszer biztonságáért felelős személy köteles az ellenőrzésen részt venni.

(3) A szervezet köteles a nemzeti kiberbiztonsági hatóság által benyújtani kért dokumentumokat rendezett, átlátható formában átadni.

36. § Az ellenőrzésről a nemzeti kiberbiztonsági hatóság jegyzőkönyvet készít, amelyet az ellenőrzés lezárását követő 15 napon belül írásban észrevételezésre megküld a szervezetnek. A szervezet azzal kapcsolatban 15 napon belül írásban tehet – a hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a nemzeti kiberbiztonsági hatóság egyeztetést kezdeményezhet a szervezettel.

37. § (1) A nemzeti kiberbiztonsági hatóság az információbiztonsági követelmények teljesülése érdekében – megfelelő határidő kitűzése mellett – felszólítja a szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértése megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, valamint az elvárt intézkedés megtételére.

(2) A nemzeti kiberbiztonsági hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos kiberbiztonsági incidens bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé.

(3) A nemzeti kiberbiztonsági hatóság az incidenskezelő központ értesítése esetén megfelelő határidő tűzése mellett felszólítja a szervezetet vagy a közvetítő szolgáltatót a jogszabálysértő tevékenység, vagy a jogsértő állapot megszüntetésére, ennek keretében bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.

(4) A hatósági döntés megtámadására nyitva álló keresetindítási határidő lejártáig, illetve közigazgatási per indítása esetén a bíróság jogerős határozatáig a vitatott jogszabálysértésekkel érintett adatok nem törölhetőek, illetve nem semmisíthetőek meg.

38. § (1) A nemzeti kiberbiztonsági hatóság a jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe:

(2) Súlyos jogsértésnek minősülnek:

39. § (1) A Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezetnek minősülő szervezet esetében a Kiberbiztonsági tv. 7. §-a, 8. § (5) bekezdése és 16. §-a szerinti rendelkezések nemteljesítése vagy nem határidőben történő teljesítése esetén az SZTFH megkeresheti a nemzeti kiberbiztonsági hatóságot a felügyeleti intézkedések megtétele érdekében.

(2) A nemzeti kiberbiztonsági hatóság tájékoztatja

(3) A nemzeti kiberbiztonsági hatóság indokolatlan késedelem nélkül tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot, amennyiben a feladatellátása során a szervezet általi olyan jogsértésről szerez tudomást, amely személyes adatok sérelmével járt, illetve járhat a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet [a továbbiakban: (EU) 2016/679 európai parlamenti és tanácsi rendelet] 4. cikk 12. pontjában meghatározottak szerint és az adatvédelmi incidenst a szervezet nem jelentette be a Nemzeti Adatvédelmi és Információszabadság Hatóságnak.

(4) Ha az (EU) 2016/679 európai parlamenti és tanácsi rendelet alapján illetékes felügyeleti hatóság más uniós tagállamban található, a nemzeti kiberbiztonsági hatóság tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot a személyes adatok (3) bekezdésben említett potenciális sérelméről.

(5) Ha a Nemzeti Adatvédelmi és Információszabadság Hatóság a jogsértésért bírságot szab ki, az ugyanazon magatartásból eredő jogsértésért a nemzeti kiberbiztonsági hatóság nem szab ki bírságot, azonban indokolt esetben más jogkövetkezményt alkalmazhat.

40. § (1) A szervezethez kirendelésre kerülő információbiztonsági felügyelőt a nemzeti kiberbiztonsági hatóság pártatlan, objektív eljárás keretében választja ki.

(2) Az információbiztonsági felügyelő – ha a kirendelés indokai ezt lehetővé teszik – egyidejűleg több érintett szervezethez is kirendelhető.

(3) Határozott időtartamú kirendelés esetén a kirendelés meghosszabbítására a kirendelés idejének lejárta előtt, legfeljebb egy alkalommal kerülhet sor, a folyamatban lévő intézkedések lezárásáig. A kirendelés időtartamának meghatározásakor figyelemmel kell lenni az érintett szervezet kötelezettségszegésének súlyára és a fenyegetés elhárításához szükséges védelmi intézkedésekre.

(4) A kirendelésről szóló határozat tartalmazza a kirendelés célját, tárgyát, az információbiztonsági felügyelő személyazonosításához szükséges adatokat, a kirendelésre okot adó körülményeket, a jogszabályi hivatkozást, a kirendelés időtartamát, a tevékenység ellátásának módjára és rendszerességére vonatkozó adatokat, az információbiztonsági felügyelő díjának mértékét.

(5) Az információbiztonsági felügyelő a nemzeti kiberbiztonsági hatóság és az érintett szervezet bevonásával a nemzeti kiberbiztonsági hatóság által meghatározott határidőn belül intézkedési tervet készít a nemzeti kiberbiztonsági hatóság által megjelölt hiányosságok felszámolása érdekében. Az információbiztonsági felügyelő a hatóság által jóváhagyott intézkedési terv alapján jár el.

(6) Információbiztonsági felügyelőnek nem rendelhető ki az a személy, aki

41. § (1) Az információbiztonsági felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben

(2) Az információbiztonsági felügyelő pénzügyi kötelezettségvállalásra nem jogosult.

(3) Az információbiztonsági felügyelő köteles

(4) A szervezet vezetője, az elektronikus információs rendszer biztonságáért felelős személy, valamint a szervezet munkatársai kötelesek az információbiztonsági felügyelővel együttműködni, részére a szükséges információkat megadni, dokumentumokat átadni.

(5) A nemzeti kiberbiztonsági hatóság az információbiztonsági felügyelő alkalmazásának indokoltságát felülvizsgálhatja.

(6) Az információbiztonsági felügyelő kirendelésének megszűnésére a megbízólevélben meghatározott időtartam letelte előtt akkor kerülhet sor, ha

(7) Az információbiztonsági felügyelőt a nemzeti kiberbiztonsági hatóság visszahívja, ha

(8) A (7) bekezdésben meghatározott esetben a nemzeti kiberbiztonsági hatóság jogosult új információbiztonsági felügyelőt kirendelni.

(9) Az információbiztonsági felügyelő kirendelésének megszűnéséről a nemzeti kiberbiztonsági hatóság írásban haladéktalanul tájékoztatja az érintett szervezet vezetőjét.

(10) Az információbiztonsági felügyelő tevékenységének ellátásáért – a mindenkori minimálbér hétszerese szerinti havi díjazást alapul véve – a kirendelésben meghatározott időtartammal arányos mértékű díjazásra, valamint igazolt költségeinek megtéríttetésére jogosult.

(11) Az információbiztonsági felügyelő díját és igazolt költségeit az érintett szervezet viseli.

45. § A Kormány a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok tekintetében a Kiberbiztonsági tv. 45. § (1) bekezdés b) pontja szerinti tanúsító hatóságként a honvédelemért felelős minisztert jelöli ki.

48. § (1) A Kormány a Kiberbiztonsági tv. 57. § (1) bekezdés a) pontja szerinti állami szervként a Nemzetbiztonsági Szakszolgálatot jelöli ki (a továbbiakban: sérülékenységvizsgálat végzésére jogosult állami szerv).

(2) A honvédelmi célú elektronikus információs rendszerek vonatkozásában a sérülékenységvizsgálat lefolytatására a Katonai Nemzetbiztonsági Szolgálat jogosult.

(3) A Katonai Nemzetbiztonsági Szolgálat sérülékenységvizsgálati tevékenységére a sérülékenységvizsgálat végzésére jogosult állami szervre vonatkozó rendelkezéseket kell alkalmazni.

(4) A Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja szerinti gazdálkodó szervezet által végzett sérülékenységvizsgálat során az e fejezetben foglaltak alkalmazandók.

49. § (1) A sérülékenységvizsgálat célja a szervezet elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt sérülékenységek elhárítására vonatkozó megoldási javaslatok kidolgozása az elektronikus információs rendszerek, rendszerelemek védelmének és biztonságának megerősítése érdekében.

(2) A sérülékenységvizsgálat tárgya az adatok, információk kezelésére használt elektronikus információs rendszerek, rendszerelemek, eszközök, eljárások és kapcsolódó folyamatok vizsgálata, valamint az ezeket kezelő személyek és a szervezet általános informatikai felkészültségének vizsgálata.

50. § (1) Teljeskörű sérülékenységvizsgálat során a sérülékenységvizsgálati eljárást megalapozó alapdokumentumban meghatározottak szerint az alábbi vizsgálatok elvégzésére kerül sor:

(2) A sérülékenységvizsgálat az (1) bekezdésben meghatározott irányultságok tekintetében három típusú jogosultsági fázist tartalmazhat:

51. § (1) Teljeskörűnek nem minősülő sérülékenységvizsgálati módszerek:

(2) Az (1) bekezdés szerinti sérülékenységvizsgálati módszerek a teljeskörű sérülékenységvizsgálat részét képezhetik, alkalmazásuk azonban nem váltja ki a teljeskörű sérülékenységvizsgálatot.

52. § (1) A sérülékenységvizsgálat végzésére jogosult állami szerv által elvégzett sérülékenységvizsgálat határideje a sérülékenységvizsgálati alapdokumentumban vagy a nemzeti kiberbiztonsági hatóság határozatában meghatározott időponttól számítva legfeljebb 90 nap.

(2) Ha a szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen eltér, és emiatt egyedi sérülékenységvizsgálati eljárás szükséges, a sérülékenységvizsgálati határidő legfeljebb 120 nap lehet.

(3) A sérülékenységvizsgálat végzésére jogosult állami szerv a sérülékenységvizsgálatra irányadó határidőt, annak letelte előtt egy alkalommal legfeljebb 30 nappal meghosszabbíthatja, és erről értesíti a szervezetet, valamint a nemzeti kiberbiztonsági hatóságot.

(4) A szervezet elektronikus információs rendszere az átlagostól jelentősen eltér, ha

53. § (1) A sérülékenységvizsgálat előkészítése során a sérülékenységvizsgálat végzésére jogosult állami szerv, valamint a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja szerinti, sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet (a továbbiakban együtt: sérülékenységvizsgálatot végző szerv) sérülékenységvizsgálati alapdokumentumot készít.

(2) A sérülékenységvizsgálati alapdokumentumban rögzíteni kell legalább

(3) Ha a sérülékenységvizsgálatot a nemzeti kiberbiztonsági hatóság rendeli el, a sérülékenységvizsgálati alapdokumentumban a hatósági döntésben rögzített vizsgálati feladatokat is rögzíteni kell, valamint nem kell feltüntetni a (2) bekezdés 14. pontjában foglaltakat.

(4) Ha a sérülékenységvizsgálatot a sérülékenységvizsgálat végzésére jogosult állami szerv indítja, nem kell feltüntetni a (2) bekezdés 14. pontjában foglaltakat.

54. § (1) A sérülékenységvizsgálat szervezet általi kezdeményezése esetén a vizsgálati feladatokra a szervezet javaslatot tehet, amelyről a sérülékenységvizsgálatot végző szerv dönt.

(2) A sérülékenységvizsgálati alapdokumentumot a sérülékenységvizsgálatot végző szerv – legalább a sérülékenységvizsgálat megkezdését megelőzően 8 nappal – megküldi az érintett szervezet részére. Az érintett szervezet a sérülékenységvizsgálati alapdokumentum tartalmára a kézhezvételtől számított 5 napon belül észrevételt tehet. Az észrevétel nem érintheti a nemzeti kiberbiztonsági hatóság által elrendelt vizsgálatokat. Az észrevételekről a sérülékenységvizsgálatot végző szerv dönt.

55. § (1) Ha a sérülékenységvizsgálati alapdokumentum aláírását követően a sérülékenységvizsgálati alapdokumentumban rögzítettekben változás következik be, a sérülékenységvizsgálatot végző szerv – a változás jelentőségének, súlyának figyelembevételével – az érintett elektronikus információs rendszer felett rendelkezési joggal rendelkező szervezettel folytatott egyeztetés alapján

(2) A sérülékenységvizsgálati alapdokumentum aláírását követően a sérülékenységvizsgálati módszerben vagy módszertanban történő módosítási igény esetén a sérülékenységvizsgálatot végző szerv megszünteti vagy az aláírt sérülékenységvizsgálati alapdokumentumban foglaltak szerint lezárja a sérülékenységvizsgálatot.

(3) Ha a sérülékenységvizsgálati alapdokumentumban, valamint az e rendeletben foglalt feltételek hiánytalanul nem állnak rendelkezésre, a sérülékenységvizsgálat nem hajtható végre vagy a végrehajtását fel kell függeszteni.

56. § (1) A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálat során kellő gondossággal eljárva köteles a vizsgált elektronikus információs rendszer által nyújtott szolgáltatásoknak a feltétlenül szükségesnél nem nagyobb mértékű korlátozására, a sérülékenységvizsgálatnak a szolgáltatás szempontjából nem kritikus időszakban történő elvégzésére. A sérülékenységvizsgálatot végző szerv köteles a korlátozás várható mértékéről és időtartalmáról az érintett szervezetet előzetesen tájékoztatni.

(2) A sérülékenységvizsgálatot végző szerv tájékoztatja a sérülékenységvizsgálattal érintett szervezetet az általa a vizsgálathoz használt IP címről vagy más egyedi technikai azonosítóról, amelyet a szervezet a vizsgálat időtartama alatt nem tilthat ki a szolgáltatás eléréséből, illetve gondoskodnia kell a szolgáltatásnak a sérülékenységvizsgálatot végző szerv általi eléréséről.

(3) A sérülékenységvizsgálatot végző szerv a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszerei vonatkozásában lehetőség szerint gondoskodik arról, hogy az azokon tárolt adatok megismerése nélkül hajtsa végre a sérülékenységvizsgálatot.

57. § A gazdálkodó szervezet által végzendő sérülékenységvizsgálat megkezdését a szervezet bejelenti a sérülékenységvizsgálat végzésére jogosult állami szerv részére.

58. § (1) A szervezet köteles – a sérülékenységvizsgálati alapdokumentumban vagy a sérülékenységvizsgálat végzésére jogosult állami szerv általi elrendelés esetén az elrendelésben foglaltak szerint – a sérülékenységvizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a sérülékenységvizsgálatot végző szerv rendelkezésére bocsátani, valamint tűrni a sérülékenységvizsgálatból fakadó, a vizsgált elektronikus információs rendszeren bekövetkezett szolgáltatáscsökkenést, illetve -kiesést.

(2) Regisztrált felhasználói jogosultság nélküli vizsgálat esetén az érintett szervezet

(3) Regisztrált felhasználói jogosultsággal rendelkező vizsgálat esetén az (1) bekezdésben meghatározottakon túl az érintett szervezet a sérülékenységvizsgálatot végző szerv részére megküldi

(4) Adminisztrátori jogosultsággal rendelkező vizsgálat esetén a szervezet megküldi a sérülékenységvizsgálatot végző szerv részére a (2) és (3) bekezdésben foglaltakon túl a rendszertervet is.

(5) A szervezet a sérülékenységvizsgálati alapdokumentum elkészítését megelőzően legalább 8 nappal a sérülékenységvizsgálatot végző szerv részére jelzi azon időszakokat, amelyek a szervezet által nyújtott szolgáltatások vagy működése szempontjából nem megfelelőek a sérülékenységvizsgálat elvégzésére. A megjelölt időszakok nem tartoznak bele a sérülékenységvizsgálat e rendeletben meghatározott időtartamába.

(6) A sérülékenységvizsgálat alatt a szolgáltatások elérhetőségében bekövetkező változás esetén a bejelentést haladéktalanul, legkésőbb 3 napon belül meg kell tenni.

(7) Ha a szervezet nem vagy hibásan adja meg a sérülékenységvizsgálat elvégzéséhez szükséges adatokat, a sérülékenységvizsgálat végzésére jogosult állami szerv nem végzi el vizsgálatot vagy – a sérülékenységvizsgálat végzésére jogosult állami szerv vagy a nemzeti kiberbiztonsági hatóság által elrendelt sérülékenységvizsgálat esetén – kezdeményezi a nemzeti kiberbiztonsági hatóságnál a szervezet kötelezését az együttműködésre és az adatszolgáltatásra.

(8) A honvédelmi célú elektronikus információs rendszerek esetén a (2)–(6) bekezdésben meghatározott adatokat a honvédelmi kiberbiztonsági incidenskezelő központnak kell bejelenteni.

59. § (1) A szervezet köteles a sérülékenységvizsgálattal érintett elektronikus információs rendszer működésében érintett valamennyi szervezetet írásban tájékoztatni a tervezett sérülékenységvizsgálatról, valamint a tájékoztatásban foglaltakban bekövetkezett változásokról.

(2) A tájékoztatásnak tartalmaznia kell

(3) A sérülékenységvizsgálattal érintett elektronikus információs rendszer

(4) A nemzeti kiberbiztonsági hatóság kérésére a szervezet bemutatja a tájékoztatást, valamint a hozzájárulásról vagy a tudomásul vételről szóló nyilatkozatot.

60. § (1) A sérülékenységvizsgálattal érintett elektronikus információs rendszer üzemeltetésében érintett szervezet a sérülékenységvizsgálatot nem akadályozhatja és köteles a sérülékenységvizsgálat lefolytatásához szükséges megfelelő hozzáféréseket biztosítani.

(2) Ha a sérülékenységvizsgálattal érintett elektronikus információs rendszer működésében érintett szervezet a sérülékenységvizsgálat elvégzését akadályozza, a sérülékenységvizsgálattal érintett elektronikus információs rendszer felett rendelkezési jogot gyakorló szervezet értesíti a nemzeti kiberbiztonsági hatóságot – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóságot –, amely indokolt esetben kötelezheti az akadályozó szervezetet a sérülékenységvizsgálat tudomásul vételére és az akadályozó körülmény megszüntetésére. Hatáskör hiányában a nemzeti kiberbiztonsági hatóság kezdeményezheti az arra jogosult hatóság intézkedését a kötelezés érdekében.

61. § A sérülékenységvizsgálat nemzetközileg elfogadott sérülékenységvizsgálati és kockázatértékelési módszertanok mentén folytatható. A sérülékenységvizsgálat során kizárólag olyan kockázatértékelési módszertan alkalmazható, amely figyelembe veszi legalább a sérülékenység hatásának mértékét, valamint a kihasználásának komplexitását.

62. § (1) A sérülékenységvizsgálat lezárásakor a sérülékenységvizsgálatot végző szerv az általa készített állásfoglalást 8 napon belül – amennyiben az érintett szervezet elektronikus információs rendszere az átlagostól jelentősen eltér, úgy 21 napon belül – megküldi az érintett szervezet és a nemzeti kiberbiztonsági hatóság – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági hatóság – részére.

(2) Az állásfoglalásban fel kell tüntetni legalább az alábbiakat:

(3) Az állásfoglalás tervezetét a sérülékenységvizsgálatot végző szerv megküldi a szervezet részére véleményezésre, amelyre egy ízben, 8 napon belül, a szervezet vezetője észrevételt tehet. Ebben javaslatot tehet a kockázat felülvizsgálatára és legfeljebb egy szintet módosíthat a kockázati besoroláson. A vélemény elfogadásáról a sérülékenységvizsgálatot végző szerv dönt.

(4) A kiberbiztonsági auditjelentésben foglaltakat a nemzeti kiberbiztonsági hatóság abban az esetben fogadja el a (2) bekezdés szerinti sérülékenységvizsgálati állásfoglalással azonos értékűnek, ha az tartalmazza (2) bekezdésben meghatározott szempontokat és információkat.

(5) A honvédelmi célú elektronikus információs rendszerek vonatkozásában lefolytatott sérülékenységvizsgálat állásfoglalás tervezetét az érintett szervezet a szakmai irányítását ellátó szervvel vagy a tulajdonosi joggyakorlóval is megosztja.

63. § (1) Ha a sérülékenységvizsgálat során alkalmazott módszertan szerint kritikus vagy magas besorolásúnak minősülő sérülékenység kerül feltárásra, a szervezet köteles intézkedni a feltárt sérülékenységek kijavítása, kezelése vagy kockázatcsökkentő intézkedések megtétele érdekében

(2) Az (1) bekezdés b) pontja esetében a szervezet – a sérülékenységvizsgálatot végző szervezettel, valamint a nemzeti kiberbiztonsági hatósággal való egyeztetést követően – mérlegeli az elektronikus információs rendszer használata felfüggesztésének szükségességét.

(3) A sérülékenységvizsgálat során alkalmazott módszertan szerint alacsony besorolásúnak minősülő sérülékenységek indokolási kötelezettség nélkül felvállalhatók.

(4) Az érintett szervezet az állásfoglalás kézhezvételét követő 30 napon belül sérülékenységkezelési tervet készít és megküldi a nemzeti kiberbiztonsági hatóság részére, amely továbbítja a sérülékenységvizsgálat végzésére jogosult állami szerv részére.

(5) A sérülékenységkezelési terv tartalmazza a sérülékenységvizsgálat során feltárt sérülékenységet, a sérülékenységkezelési intézkedéseket és feladatokat, a feladatok teljesítésének mérföldköveit, a kapcsolódó végrehajtási határidőket, a javítás technikai részleteit és azok rendszerre gyakorolt hatását, valamint az ehhez szükséges erőforrásokat.

64. § (1) Ha a sérülékenységvizsgálatot végző szerv az állásfoglalásban javaslatot tesz utóvizsgálat lefolytatására, a sérülékenységek megszüntetésére vonatkozó sérülékenységkezelési tervre irányuló döntésében a nemzeti kiberbiztonsági hatóság nyilatkozik, kötelezi-e utóvizsgálat elvégzésére a szervezetet.

(2) Ha az állásfoglalás kritikus vagy magas besorolású sérülékenységet állapít meg, utóvizsgálat lefolytatása kötelező.

(3) Kötelezően elvégzendő utóvizsgálat esetén a szervezet a nemzeti kiberbiztonsági hatóság által jóváhagyott sérülékenységkezelési tervben szereplő, utolsóként teljesítendő határidő leteltét követően kezdeményezi az utóvizsgálatot.

(4) A szervezet az utóvizsgálatot saját maga is kezdeményezheti, ez esetben a kezdeményezéssel egyidejűleg – amennyiben erre még a kezdeményezést megelőzően nem került sor – megküldi a sérülékenységkezelési tervet a nemzeti kiberbiztonsági hatóság részére.

(5) Utóvizsgálat lefolytatására a sérülékenységkezelési terv kiberbiztonsági hatóság általi jóváhagyását követően vagy indokolt esetben a nemzeti kiberbiztonsági hatóság engedélyét követően kerülhet sor.

(6) Az utóvizsgálatról az utóvizsgálatot végző szerv utóvizsgálati állásfoglalást készít, amelyről tájékoztatja az érintett szervezetet és a nemzeti kiberbiztonsági hatóságot.

(7) Az utóvizsgálatra a sérülékenységvizsgálatra vonatkozó általános rendelkezések az irányadók.

(8) A honvédelmi célú elektronikus információs rendszerek vonatkozásában lefolytatott utóvizsgálati állásfoglalást az érintett szervezet a szakmai irányítását ellátó szervvel vagy a tulajdonosi joggyakorlóval is megosztja.

65. § (1) A Kormány a Kiberbiztonsági tv. 63. § (1) bekezdése szerinti nemzeti kiberbiztonsági incidenskezelő központként a Nemzetbiztonsági Szakszolgálatot jelöli ki.

(2) A Kormány a Kiberbiztonsági tv. 63. § (2) bekezdése szerinti honvédelmi kiberbiztonsági incidenskezelő központként a Katonai Nemzetbiztonsági Szolgálatot jelöli ki. A Katonai Nemzetbiztonsági Szolgálat a kiberbiztonsági incidensek és fenyegetések kezelését a szakmai irányítása és koordinálása alatt álló, szakfeladat szerint elkülönülő – a honvédelemért felelős miniszter irányítása, vezetése alatt álló szervnél, szervezetnél működő – incidenskezelő központokkal együtt látja el.

66. § (1) Ágazaton belüli kiberbiztonsági incidenskezelő központként működhet az a szervezet, amely a Központ vagy más független szervezet vizsgálata és a Központ jóváhagyása alapján megfelel a Központ által meghatározott nemzetközi vagy európai uniós szabványokon alapuló feltételeknek.

(2) A vizsgálat alapján az ágazaton belüli kiberbiztonsági incidenskezelő központ, valamint a Központ együttműködési megállapodást köt, amelyben rögzítésre kerülnek az ágazaton belüli kiberbiztonsági incidenskezelő központ incidenskezelést érintő képességei, valamint a két szervezet közötti feladatelhatárolás és együttműködés szabályai.

(3) Az ágazaton belüli kiberbiztonsági incidenskezelő központot a Központtal kötött együttműködési megállapodásban meghatározott feladatai ellátása során – jogszabály vagy az együttműködési megállapodás eltérő rendelkezése hiányában – az adott feladat vonatkozásában a Központot megillető jogosultságok illetik meg.

67. § (1) A Központ ellátja a következő feladatokat:

(2) A Központ a kiberbiztonsági incidensek és fenyegetések kezelése céljából együttműködik

(3) A Központ erőforrásai függvényében kockázatalapú megközelítés alapján rangsorolhatja a feladatai végrehajtását.

68. § (1) A honvédelmi kiberbiztonsági incidenskezelő központ a hatáskörébe tartozó elektronikus információs rendszerek tekintetében – a 67. § (1) bekezdés 1. pont f) alpontja, 67. § (1) bekezdés 2. pont l) alpontja, 67. § (1) bekezdés 3. pont a) alpontja, 67. § (1) bekezdés 4. pont b), c) és f) alpontja, 67. § (1) bekezdés 5. pont f) alpontja és 67. § (1) bekezdés 6. pont a)–i) alpontja kivételével – ellátja a 67. § szerinti feladatokat.

(2) A honvédelmi kiberbiztonsági incidenskezelő központ a 67. § (1) bekezdés 5. pont b) alpontja szerinti jelentést a honvédelemért felelős miniszternek küldi meg.

(3) A honvédelmi kiberbiztonsági incidenskezelő központ a hatáskörébe tartozó elektronikus információs rendszerek tekintetében nyilvántartást vezet a hatáskörébe tartozó szervekkel való kapcsolattartáshoz szükséges elérhetőségekről.

(4) A honvédelmi kiberbiztonsági incidenskezelő központ a Központ kérésére átadja a Kiberbiztonsági tv. 66. § (5) bekezdése szerint továbbított fenyegetések, kiberbiztonsági incidensközeli helyzetek és kiberbiztonsági incidensek kezelésével és kivizsgálásával kapcsolatos adatokat.

(5) A honvédelmi kiberbiztonsági incidenskezelő központ tevékenységére – az (1) bekezdésben, a 81. §-ban és a 89. §-ban foglaltak kivételével – a Központra vonatkozó rendelkezéseket kell alkalmazni.

69. § A Központnak meg kell felelnie a következő követelményeknek:

70. § (1) A Központ a hatáskörébe tartozó elektronikus információs rendszert működtető szervektől és a kiberbiztonsági incidenskezelő központoktól kért és kötelezően átadott információk és adatok alapján, az elektronikus információs rendszereket érintő, kiberbiztonsági incidensre vagy fenyegetésre utaló jeleket elemezi, értékeli. A kiberbiztonsági incidens bekövetkezésének veszélyéről vagy fennállásáról, valamint a javasolt intézkedésekről értesíti az elektronikus információs rendszer felett rendelkezési jogot gyakorló szervezetnek az elektronikus információs rendszer biztonságáért felelős személyét.

(2) A Központ a központosított informatikai és elektronikus hírközlési szolgáltatótól átvett műszaki adatok és információk folyamatos figyelésével értékelést végezhet, valamint keresheti a hálózatok, illetve szolgáltatások működését érintő kiberbiztonsági incidensre vagy fenyegetésre utaló jeleket.

(3) A Központ a kiberbiztonsági incidensre vagy fenyegetésre utaló tevékenységeket kivizsgálja, és figyelmeztetést adhat ki a szervezetek, a felhasználók, a kiberbiztonsági incidenskezelő központok, az illetékes hatóságok, valamint az egyedüli kapcsolattartó pont, valamint az érintett szervek felé.

71. § (1) A Központ által működtetett, fenyegetettségi információkat megosztó rendszer keretében az információgyűjtés kizárólag a szervezet elektronikus rendszereinek nyílt internet irányából elérhető portok és szolgáltatások típusára, és alapvető metaadataira vonatkozhat.

(2) A Kiberbiztonsági tv. 65. § (6) bekezdése szerinti tevékenységre internetes címenként kizárólag napi egy alkalommal kerülhet sor. A keletkezett adatokat a Központ öt évig őrzi meg.

72. § (1) A prevenciós célú eszközök alkalmazása és ezirányú szolgáltatások nyújtása (a továbbiakban: prevenciós eszközök) során a Központ kellő gondossággal eljárva köteles az érintett elektronikus információs rendszer által nyújtott szolgáltatásoknak a feltétlenül szükségesnél nem nagyobb mértékű korlátozására, és a prevenciós eszközöknek a szolgáltatás szempontjából nem kritikus időszakban történő alkalmazására.

(2) Az érintett szervezet köteles a prevenciós eszközök alkalmazásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a Központ rendelkezésére bocsátani, valamint tűrni a prevenciós eszközök alkalmazásából fakadó, az érintett elektronikus információs rendszeren bekövetkezett szolgáltatáscsökkenést, illetve -kiesést.

73. § (1) Ha valamely európai kiberbiztonsági tanúsítási rendszert kiadó európai uniós jogi aktus tartalmaz az IKT-termék vonatkozásában észlelt kiberbiztonsági sebezhetőségek bejelentésének és kezelésének módjára vonatkozó szabályokat, úgy az abban foglaltak szerint kell eljárni.

(2) A sebezhetőséget bejelentő személy (a továbbiakban: bejelentő) vagy a felfedezett sebezhetőséggel érintett IKT-termék gyártója vagy szolgáltatója (a továbbiakban együtt: gyártó) az (1) bekezdés szerinti esetben is köteles tájékoztatni a Központot a felfedezett sebezhetőségről és az érintett IKT-termékről, valamint a Központ által kért információkról.

74. § (1) Európai kiberbiztonsági tanúsítási rendszer hiányában az IKT-termék vonatkozásában a gyártó által a sebezhetőségekre vonatkozó információk harmadik felektől történő fogadására, kezelésére, a bejelentett sebezhetőség kijavítására és összehangolt közzétételére bevezetett eljárásrend az irányadó.

(2) A bejelentő vagy a felfedezett sebezhetőséggel érintett IKT-termékek gyártója az (1) bekezdés szerinti esetben is köteles tájékoztatni a Központot a felfedezett sebezhetőségről és az érintett IKT-termékről, valamint a Központ által kért információkról.

75. § (1) A honvédelmi célú elektronikus információs rendszer kivételével az elektronikus információs rendszer felett rendelkezési joggal bíró szervezet, valamint az IKT-termék gyártója, lehetőséget biztosíthat arra, hogy – az általa meghatározott eljárásrend betartásával – bárki felkutathassa az elektronikus információs rendszereinek, rendszerelemeinek sérülékenységére, illetve IKT-terméke sebezhetőségére vonatkozó információkat.

(2) Az a szervezet vagy gyártó, amely élni kíván az (1) bekezdésben foglalt lehetőséggel, kidolgozza és a honlapján közzéteszi az általa meghatározott elektronikus információs rendszerei, rendszerelem, IKT-termék sebezhetőségeinek felkutatására, a bejelentésének fogadására, a bejelentő és a szervezet egyeztetésére, a feltárt sebezhetőségek kijavítására, megosztására irányuló eljárásrendet és erről tájékoztatja a Központot.

(3) A szervezet vagy a gyártó – döntésétől függően – a bejelentő részére anyagi ellenszolgáltatást nyújthat.

(4) A szervezet által kidolgozásra kerülő eljárásrendben meg kell határozni legalább az alábbiakat:

(5) A sebezhetőség felkutatására vállalkozó személy a szervezet honlapján közzétett feltételek elfogadásával, illetve a szervezet és a személy közötti megállapodás alapján járhat el.

(6) Az (5) bekezdés szerinti megállapodásban a felek legalább az alábbi elemeket rögzítik:

(7) Az (1) bekezdést alkalmazó szervezet, amennyiben az elektronikus információs rendszerét, rendszerelemét, IKT-termékét érintően sebezhetőséget jelentenek be, köteles

(8) Ha az érintett szervezet a bejelentést követően – a megállapodásban vagy az általa kiadott eljárásrendben, illetve ezek hiányában 30 napon belül – nem tesz intézkedést a sebezhetőség kijavítása érdekében, a bejelentő jogosult értesíteni a Központot.

(9) Ha a bejelentő által felfedezett sebezhetőség más szervezet elektronikus információs rendszerét, rendszerelemét, IKT-termékét is érinti, úgy a szervezet bejelentése alapján a Központ a sebezhetőségről az érintett szervezetet tájékoztatja.

(10) A bejelentő köteles

(11) A Központ

76. § (1) Ha a 73–75. §-ban foglalt feltételek nem állnak fenn, a természetes vagy jogi személy által valamely elektronikus információs rendszer, IKT-termék vonatkozásában feltárt sebezhetőséget a Központ részére jelenti be. A bejelentést a Központ honlapján meghatározott módon kell megtenni.

(2) A Központ ajánlást adhat ki a sebezhetőségek jogszerű felderítési kereteinek, feltételeinek meghatározása érdekében.

(3) A bejelentő az (1) bekezdés szerinti bejelentés során

(4) A bejelentés alapján a Központ

(5) A Központ jelzése alapján a gyártó vagy az elektronikus információs rendszer felett rendelkezési joggal bíró szervezet 10 napon belül nyilatkozik, hogy a bejelentésben foglaltakat sebezhetőségnek tekinti-e, továbbá nyilatkozik a javítás vonatkozásában. A gyártó köteles a sebezhetőséget 30 napon belül kijavítani vagy javíthatatlan sebezhetőség esetén helyettesítő védelmi intézkedést bevezetni. A nyilatkozattételi vagy az intézkedési határidő eredménytelen elteltét követően a Központ intézkedhet a sebezhetőség publikálása iránt.

(6) Ha a bejelentő kihasznált sebezhetőséget jelent be a Központ részére, a Központ szükség szerint intézkedik

(7) Ha a bejelentett sebezhetőség több európai uniós tagállamban is jelentős hatást gyakorolhat a szervezetekre, a Központ együttműködik az érintett európai uniós tagállamok koordinátorként kijelölt CSIRT-jeivel a CSIRT-hálózaton belül.

(8) A nyilvánosan ismert sebezhetőség az európai sebezhetőség-adatbázisba történő önkéntes bejelentését a gyártó a Központon keresztül teszi meg annak érdekében, hogy lehetővé tegye az IKT-terméket használók számára a megfelelő mérséklési intézkedések megtételét.

77. § (1) A Kiberbiztonsági tv. 66. §-a szerinti bejelentés keretében a szervezet benyújt a Központ részére:

(2) Kiberfenyegetés, kiberbiztonsági incidensközeli helyzet és üzemeltetési kiberbiztonsági incidens bejelentése során az (1) bekezdés rendelkezései alkalmazandók, amennyiben azok az adott esemény kapcsán értelmezhetők.

(3) A szervezetnek nem kell bejelentenie azt a kiberbiztonsági incidensközeli helyzetet és üzemeltetési kiberbiztonsági incidenst, amely az incidenskezelési folyamatba kerülés során, automatizmus által kezelésre, elhárításra került és nem járt a szolgáltatás degradációjával. Az ismétlődő kiberbiztonsági incidensközeli helyzetet és üzemeltetési kiberbiztonsági incidenst a szervezet ez esetben is bejelenti.

(4) Az (1) bekezdés 3. pontjától eltérően a bizalmi szolgáltató indokolatlan késedelem nélkül és minden esetben az incidensről való tudomásszerzést követő 24 órán belül értesíti a Központot a bizalmi szolgáltatásai nyújtására hatást gyakorló kiberbiztonsági incidensekről.

78. § (1) A kiberfenyegetés, a kiberbiztonsági incidensközeli helyzet és a kiberbiztonsági incidens bejelentése a Központ – honvédelmi célú elektronikus információs rendszer vonatkozásában a honvédelmi kiberbiztonsági incidenskezelő központ – által meghatározott módon, elektronikus úton – amennyiben elérhető, a Központ által meghatározott elektronikus felületen – történik. Ha a szervezet elektronikus információs rendszere oly mértékben sérül, hogy az elektronikus úton történő bejelentés nem lehetséges, a bejelentés bármely más módon is megtehető.

(2) Jelentős vagy nagykiterjedésű kiberbiztonsági incidens esetén a szervezet a bejelentést a Központ felé haladéktalanul rövid úton, telefonon is megteszi.

(3) A kiberbiztonsági hatóság a hozzá érkezett bejelentést átteszi a Központhoz.

79. § (1) A Központ a bejelentésre haladéktalanul és – ha lehetséges – az első bejelentés kézhezvételétől számított 24 órán belül választ ad. Ennek keretében visszajelzést küld az incidensről a bejelentő szervezetnek, valamint – a szervezet kérésére – útmutatást vagy operatív tanácsokat nyújt a lehetséges mérséklési intézkedések végrehajtásáról.

(2) A Központ technikai támogatást nyújt, ha az érintett szervezet ezt kéri.

80. § (1) A szervezetek indokolatlan késedelem nélkül és térítésmentesen értesítik a szolgáltatásaikat igénybe vevőket azon kiberbiztonsági incidensekről, amelyek valószínűleg hátrányosan érintik a szolgáltatásnyújtásukat és a szolgáltatásaikat igénybe vevők részéről intézkedés megtétele szükséges.

(2) A szervezet indokolatlan késedelem nélkül – vagy amint az információ rendelkezésre áll – tájékoztatja a jelentős kiberfenyegetés által potenciálisan érintett szolgáltatásait igénybe vevőit azon intézkedésekről, illetve fenyegetést orvosló lehetőségekről, amelyeket a szolgáltatások igénybe vevői a fenyegetésre válaszul maguk megtehetnek, illetve amelyekkel élhetnek.

(3) Ha a kiberbiztonsági incidens megelőzéséhez vagy egy folyamatban lévő kiberbiztonsági incidens kezeléséhez lakossági figyelemfelkeltés szükséges, vagy ha a kiberbiztonsági incidens nyilvánosságra hozatala egyébként közérdek, a Központ – az érintett szervezettel szükség szerint folytatott konzultációt követően – tájékoztatja az illetékes kiberbiztonsági hatóságot a nyilvánosság tájékoztathatósága érdekében.

81. § (1) A Központ vizsgálja a kiberbiztonsági incidensek határon átnyúló hatását.

(2) Ha a jelentős kiberbiztonsági incidens két vagy több tagállamot érint, a Központ haladéktalanul tájékoztatja a jelentős eseményről a többi érintett európai uniós tagállamot és az ENISA-t.

(3) A Központ vagy az illetékes kiberbiztonsági hatóság kérésére az egyedüli kapcsolattartó pont a 77. § (1) bekezdése alapján kapott bejelentést továbbítja a kiberbiztonsági incidenssel érintett európai uniós tagállam egyedüli kapcsolattartó pontjának.

(4) A tájékoztatás során a Központ, valamint az egyedüli kapcsolattartó pont az érintett szervezet biztonsági és üzleti érdekeinek védelmére, valamint a benyújtott információk bizalmasságára figyelemmel jár el.

(5) A Központ feladatellátása során az Európai Unió tagállamai és harmadik országok nemzeti, számítógép-biztonsági eseményekre reagáló csoportjaival való kapcsolattartás, információcsere során a megfelelő információmegosztási protokollok – többek között a jelzőlámpa-protokoll (TLP) – használatával folytat információcserét, az adatvédelmi jogszabályokkal összhangban.

82. § (1) A kiberbiztonsági incidensekkel összefüggő adatok műszaki vizsgálatának célja, hogy

(2) A kiberbiztonsági incidens vizsgálatáról készült jelentésben a vizsgálatot végző rögzíti az (1) bekezdés szerinti szempontokat és javaslatokat. A vizsgálatot végző a jelentést a vizsgálatok befejezését követően haladéktalanul megküldi az érintett szervezet, a Központ és az illetékes hatóság részére.

83. § (1) A kiberbiztonsági incidens kezelése és kivizsgálása során az incidenssel érintett szervezet köteles együttműködni Központtal, amely együttműködés kiterjed

(2) Az (1) bekezdés g) pontja szerinti korai figyelmeztető- vagy csapdarendszerek, szenzorok telepítésére a szervezettel való előzetes egyeztetést követően kerülhet sor és a telepítés nem akadályozhatja vagy veszélyeztetheti a szervezet működését.

(3) A kiberbiztonsági incidenssel érintett szervezet a Központ kérésére köteles az incidens kezeléséhez szükséges műszaki, technikai adatokat, információkat összegyűjteni, és elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni.

(4) Ha a kiberbiztonsági incidenssel érintett szervezet bármely okból nem képes a (3) bekezdés szerinti adatok összegyűjtésére, a Központ képviselője helyszíni tanácsadás keretein belül, az érintett szervezet szakértőinek bevonásával javaslatot tesz a szükséges adatok összegyűjtésének és biztosításának módjára vagy a Központ begyűjtheti az adatokat. Az incidenssel érintett szervezet gondoskodik arról, hogy a Központ az adatokhoz hozzáférjen.

(5) Az érintett szolgáltatók a kiberbiztonsági incidensben érintett előfizetőkkel kapcsolatban a Központ kérésére kötelesek térítésmentesen – szükség szerint – tiltásokat bevezetni, felhasználói, előfizetői hozzáféréseket korlátozni, felfüggeszteni vagy megszüntetni.

84. § (1) A kiberbiztonsági incidenssel érintett szervezet – a Központ támogatásával – kidolgozza és haladéktalanul végrehajtja a kiberbiztonsági incidens felszámolásához szükséges intézkedéseket.

(2) A szervezet a feltárt hiányosságok megszüntetésére vonatkozó incidenskezelési tervről a vizsgálatok lezárását követően tájékoztatja az érintett hatóságot.

(3) A kiberbiztonsági incidenssel érintett szervezet az incidens felszámolását követően felülvizsgálja az elektronikus információs rendszerei kockázatelemzésének, kockázatkezelésének teljeskörűségét, és végrehajtja a szükséges módosításokat.

85. § A központi rendszer felett rendelkezési jogot gyakorló szervezet, valamint a központi szolgáltató az incidenskezelés során köteles

86. § (1) A kiberbiztonsági incidensek kezelése során a Központ szükség szerint megismerheti a közvetítő szolgáltatók különböző szolgáltatás- vagy üzletmenet folytonosságot biztosító szabályzóit, eljárásrendjeit, ideértve az üzletfolytonossági tervét, a katasztrófa helyreállítási tervét.

(2) A kiberbiztonsági incidens által érintett közvetítő szolgáltató a Központtal való együttműködés keretein belül a konkrét incidens kezelése érdekében a Központ kérésére az incidensben érintettek, a támadó és a támadott beazonosításához szükséges adatokat szolgáltat az incidenskezelő központ részére, valamint az incidensben érintett előfizetőkkel kapcsolatban szükség szerint tiltásokat vezet be, felhasználói, illetve előfizetői hozzáféréseket korlátoz, függeszt fel, vagy szüntet meg.

(3) Veszélyesnek vagy károsnak ítélt szolgáltatás biztosítása esetén a Központ kötelezheti a közvetítő szolgáltatót adott szolgáltatás tiltására.

87. § (1) A bejelentési, tájékoztatási, illetve együttműködési kötelezettségnek eleget nem tevő szervezetet, szolgáltatót a Központ jelenti a felügyeletét ellátó kiberbiztonsági hatóságnak.

(2) A Központ a kiberbiztonsági incidens kezelése, vizsgálata során tudomására jutott információk alapján kezdeményezheti a nemzeti kiberbiztonsági hatóságnál a kiberbiztonsági incidenssel érintett elektronikus információs rendszer sérülékenységvizsgálatának lefolytatására irányuló kötelezést.

88. § A Központ a kiberbiztonsági incidensről zárt kezelésű technológiai naplót vezet, amely tartalmazza az incidens kivizsgálásának támogatása során tett intézkedéseket és azok eredményét is.

89. § E fejezet rendelkezései az önkéntes bejelentések esetén is alkalmazandók.

90. § (1) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek kiberbiztonsági incidenseinek kezelése során – a 67. § (1) bekezdés 2. pont k) alpontja, valamint a 67. § (1) bekezdés 7. pont b) alpontja kivételével – a 65–67. §, a 73–76. §, a 78. §, a 79. §, a 81. §, a 83. § (1) bekezdés a)–f) pontja, a 83. § (2) és (3) bekezdése, a 84. § (1) bekezdése, valamint a 86–89. § szerinti rendelkezések alkalmazandók.

(2) Ahol e rendelet kiberbiztonsági hatóságot említi, ott az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek vonatkozásában az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóságot kell érteni.

(3) A kiberbiztonsági gyakorlaton való részvétel Központ általi elrendelése esetén a kiberbiztonsági gyakorlaton való részvétel kötelező. Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek kiberbiztonsági gyakorlat által érintett körét, valamint a kiberbiztonsági gyakorlat tervezett időpontját a Központ az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatósággal való előzetes egyeztetés alapján állapítja meg.

91. § (1) A kiberbiztonságért felelős biztos helyettest bízhat meg. A helyettes a megbízatása keretei között jár el.

(2) A kiberbiztonságért felelős biztost be kell vonni a kiberbiztonsággal kapcsolatos jogszabályok megalkotásába és felülvizsgálatába.

(3) A kiberbiztonságért felelős biztos a Nemzeti Kiberbiztonsági Munkacsoport döntése alapján kezdeményezheti az informatikáért felelős miniszternél a kiberbiztonsággal kapcsolatos jogszabályok felülvizsgálatát.

92. § (1) A Nemzeti Kiberbiztonsági Munkacsoport elnökét – akadályoztatása esetén – a 91. § (1) bekezdése szerint megbízott személy helyettesíti.

(2) A Nemzeti Kiberbiztonsági Munkacsoport tagjai:

(3) A (2) bekezdés a) pontja szerint a miniszterek a Nemzeti Kiberbiztonsági Munkacsoportba önállóan, egymástól függetlenül delegálnak tagokat.

(4) A (2) bekezdésben meghatározottakon túl a Nemzeti Kiberbiztonsági Munkacsoport tagjai a kiberbiztonságért felelős biztos által felkért személyek.

(5) A Nemzeti Kiberbiztonsági Munkacsoport tagjainak visszahívásáról a Nemzeti Kiberbiztonsági Munkacsoport elnökének javaslatára a tagot delegáló személy dönt.

(6) A Nemzeti Kiberbiztonsági Munkacsoport elnöke a Nemzeti Kiberbiztonsági Munkacsoport munkájáról legalább félévente beszámol az informatikáért felelős miniszternek.

93. § (1) Az Operatív Törzs vezetőjeként, elnökeként eljáró kiberbiztonságért felelős biztost – akadályoztatása esetén – a 91. § (1) bekezdése alapján megbízott személy helyettesíti.

(2) Az Operatív Törzs tagjai:

94. § A Nemzeti Kiberbiztonsági Munkacsoport által felkért egyetemi, kutatói, szakmai, gazdasági és más nem kormányzati szereplőkből álló Kiberbiztonsági Fórum (a továbbiakban: Fórum) vezetését a Nemzeti Kiberbiztonsági Munkacsoport elnöke, a Fórum munkájának szakmai koordinálását a kiberbiztonságért felelős biztos által kijelölt személy látja el.

95. § (1) A Nemzeti Kiberbiztonsági Munkacsoport koordinációs tevékenységét, valamint döntéseinek végrehajtását a Nemzeti Kibertér Munkacsoport és a Nemzetközi és Európai Uniós Kibertér Munkacsoport (a továbbiakban együtt: Kiberbiztonsági Almunkacsoportok) segíti.

(2) A Nemzeti Kibertér Munkacsoport vezetését a Nemzetbiztonsági Szakszolgálat vezetője által kijelölt, a Nemzetbiztonsági Szakszolgálat személyi állományába tartozó személy látja el.

(3) A Nemzetközi és Európai Uniós Kibertér Munkacsoport vezetését – az informatikáért felelős miniszterrel egyeztetve – a külpolitikáért felelős miniszter által kijelölt kibertér koordinátor látja el.

(4) A Kiberbiztonsági Almunkacsoportok tagjai a Kiberbiztonsági Almunkacsoportok vezetői által felkért állami szervek vagy szervezetek által delegált személyek és nem kormányzati szakértők, valamint a kiberbiztonságért felelős biztos. A Nemzeti Kiberbiztonsági Munkacsoport javaslatot tehet a Kiberbiztonsági Almunkacsoportok vezetői részére a Kiberbiztonsági Almunkacsoportok tagjainak a felkérésével összefüggésben.

(5) A Nemzeti Kibertér Munkacsoport javaslatára a Nemzeti Kiberbiztonsági Munkacsoport jogi kötelező erővel nem rendelkező ajánlásokat adhat ki a kibertámadások kezelése és az elektronikus információbiztonság területén alkalmazandó legjobb gyakorlatokról.

(6) A Nemzeti Kibertér Munkacsoport szükség szerint közreműködik a kiberbiztonsági válsághelyzetek ágazati és kormányzati kezeléséhez szükséges szakmai háttérfeladatok végrehajtásában, a kiberbiztonsági események kiberbiztonsági válsághelyzetté történő minősítéssel kapcsolatos és a Magyarország által képviselendő vonatkozó álláspontokkal összefüggő szakmai javaslatok és mandátumok kialakításában.

(7) A Nemzeti Kibertér Munkacsoport feladata a nemzeti kiberbiztonság erősítése valamennyi ágazatban.

(8) A Nemzetközi és Európai Uniós Kibertér Munkacsoport feladata az állami szervek közötti, a nemzetközi szervezetekben, az Európai Unióban, valamint a két- és többoldalú együttműködésekben zajló kiberbiztonsági munkával kapcsolatos rendszeres információcsere elősegítése és egyeztetés a Magyarország által képviselendő vonatkozó álláspontjának kialakítását illetően.

(9) A Nemzeti Kiberbiztonsági Munkacsoport kérésére a Kiberbiztonsági Almunkacsoportok keretében tematikus munkacsoportok is létrehozhatók.

96. § A Nemzeti Kiberbiztonsági Munkacsoport, a Fórum és a Kiberbiztonsági Almunkacsoportok működtetésével kapcsolatos adminisztratív teendőket a kiberbiztonságért felelős biztos irányításával, az informatikáért felelős miniszter által biztosított titkárság (a továbbiakban: Titkárság) látja el. A Titkárság ellátja a kiberbiztonságért felelős biztos szakértői támogatását is.

97. § (1) A Nemzeti Kiberbiztonsági Munkacsoport feladata a Magyarország Nemzeti Kiberbiztonsági Stratégiájában meghatározott cselekvési területeken a kormányzati tevékenység koordinációjának elősegítése és a végrehajtás figyelemmel kísérése, a kiberbiztonsággal kapcsolatos jogszabályok véleményezése.

(2) A Nemzeti Kiberbiztonsági Munkacsoport a Fórum javaslatainak és véleményének figyelembevételével, az (1) bekezdésben meghatározott cselekvési területekhez társított kormányzati intézkedéseket tartalmazó akciótervet (a továbbiakban: Nemzeti Kiberbiztonsági Akcióterv) a Kiberbiztonsági Almunkacsoportok és a kiberbiztonságért felelős biztos irányításával készíti el, melynek elfogadásáról a Kormány dönt. A Nemzeti Kiberbiztonsági Akciótervet a Nemzeti Kiberbiztonsági Munkacsoportnak évente felülvizsgálja.

(3) A Nemzeti Kiberbiztonsági Akcióterv éves felülvizsgálatának koordinációját – a Kiberbiztonsági Almunkacsoportok bevonásával – a Titkárság látja el.

98. § (1) A Nemzeti Kiberbiztonsági Munkacsoport a feladatai ellátásához igazodva szükség szerint, de legalább háromhavonta tart ülést, melyet a kiberbiztonságért felelős biztos hív össze.

(2) A Nemzeti Kiberbiztonsági Munkacsoport üléseit a Nemzeti Kiberbiztonsági Munkacsoport elnöke vagy helyettese vezeti. Az ülésekről emlékeztetőt a Titkárság készít.

99. § (1) Az Operatív Törzs a feladatai ellátásához igazodva szükség szerint, de legalább háromhavonta tart ülést, melyet a kiberbiztonságért felelős biztos hív össze.

(2) Az Operatív Törzs feladatai:

(3) Az Operatív Törzs tagjainak és az egyéb érintett szerveknek az Operatív Törzs részére történő tájékoztatási kötelezettsége nem érinti azok jogszabályban, más közjogi szervezetszabályozó eszközben előírt tájékoztató tevékenységét és egyéb kötelezettségeit.

(4) Az Operatív Törzs működési rendjét maga alakítja ki, az ülésére az állandó tagok napirend felvételét kezdeményezhetik. A napirendre vonatkozó javaslatot az elnökhöz írásban, indokolással ellátva kell benyújtani.

(5) Az Operatív Törzs tevékenységéről legalább félévente beszámol a Nemzeti Kiberbiztonsági Munkacsoport részére.

100. § (1) A Fórum a feladatai ellátásához igazodva szükség szerint, de legalább háromhavonta tart ülést. Üléseit a Nemzeti Kiberbiztonsági Munkacsoport elnöke vagy az általa kijelölt tag hívja össze.

(2) A Fórum üléseit a Nemzeti Kiberbiztonsági Munkacsoport elnöke vagy az általa kijelölt tag vezeti. Az ülésekről emlékeztetőt a Tikárság készít.

101. § (1) A Kiberbiztonsági Almunkacsoportok a feladataik ellátásához igazodva szükség szerint, de legalább háromhavonta tartanak ülést. Az üléseket a Kiberbiztonsági Almunkacsoportok vezetői hívják össze.

(2) A Kiberbiztonsági Almunkacsoportok üléseiről emlékeztetőt a Titkárság készít.

102. § A Nemzeti Kiberbiztonsági Munkacsoport, a Fórum és a Kiberbiztonsági Almunkacsoportok működésére vonatkozó eljárási szabályokat a tagok által készített és a Nemzeti Kiberbiztonsági Munkacsoport elnöke által jóváhagyott ügyrend tartalmazza.

103. § A Nemzeti Kiberbiztonsági Munkacsoport, a Fórum, a Kiberbiztonsági Almunkacsoportok és az Operatív Törzs tagjai, valamint a munkájukban közreműködő állami vezető, kormánytisztviselő, közalkalmazott, adó- és vámhatósági szolgálati jogviszonyban foglalkoztatott, hivatásos szolgálati jogviszonyban, rendvédelmi igazgatási alkalmazotti jogviszonyban, nemzetbiztonsági szolgálati jogviszonyban, nemzetbiztonsági alkalmazotti jogviszonyban foglalkoztatott, hivatásos katonai szolgálati viszonyban, honvédelmi alkalmazotti jogviszonyban, kizárólagos állami tulajdonban álló gazdasági társaság vezető tisztségviselője vagy munkavállalója díjazásban nem részesül.

104. § A Nemzeti Kiberbiztonsági Munkacsoporttal kapcsolatos kommunikációs feladatokat a kiberbiztonságért felelős biztos vagy helyettese látja el és felügyeli.

105. § A Kormány a Kiberbiztonsági tv. 75. §-a szerinti nemzeti koordinációs központként a Nemzetbiztonsági Szakszolgálatot jelöli ki.

106. § (1) A kiberbiztonsági válsághelyzet kezelésével kapcsolatos feladatokat az érintett személyek, szervek és szervezetek a Kiberbiztonsági tv.-ben és az e rendeletben meghatározottak figyelembevételével, a rájuk vonatkozó jogszabályi rendelkezések és közjogi szervezetszabályozó eszközben előírtak alapján hajtják végre.

(2) A kiberbiztonsági válsághelyzet feltételeinek a fennállását az Operatív Törzs folyamatosan figyelemmel kíséri, és ha a kiberbiztonsági válsághelyzet elrendelésének a feltételei már nem állnak fenn, kezdeményezi az informatikáért felelős miniszternél, hogy tegyen javaslatot a Kormánynak a kiberbiztonsági válsághelyzetet elrendelő kormányrendelet hatályon kívül helyezésére.

(3) A kiberbiztonsági válsághelyzet kezelésével kapcsolatos igazgatási és koordinációs feladatokat a Vbö. 52. § c) pontjában meghatározott nemzeti eseménykezelő központ (a továbbiakban: nemzeti eseménykezelő központ) biztosítja, az érintett kiberbiztonsági incidenskezelő központ aktív támogatásával.

(4) A kiberbiztonsági válsághelyzet kezelésével kapcsolatban megtett ágazati intézkedésekről a védelmi és biztonsági igazgatás központi szervét, valamint az informatikáért felelős miniszter előterjesztése útján a Védelmi Tanácsot haladéktalanul tájékoztatni kell.

(5) A kiberbiztonsági válsághelyzet kezelésével kapcsolatos nemzetközi együttműködéssel összefüggő feladatokat, az IPCR felületen történő tagállami információcsere koordinációját a védelmi és biztonsági igazgatás központi szerve végzi.

(6) A kiberbiztonsági válsághelyzet kezelésével kapcsolatos szakmai feladatokat Magyarország képviseletében az EU-CyCLONe-ban

107. § (1) Magyarország nemzeti kiberválságkezelési tervét (a továbbiakban: nemzeti kiberválságkezelési terv) a kiberbiztonságért felelős biztos koordinációjával a Központ – a Nemzeti Kiberbiztonsági Munkacsoport javaslatai alapján – készíti el.

(2) A nemzeti kiberválságkezelési tervet az Ország Összehangolt Védelmi Tervében foglaltakra figyelemmel, azzal összhangban kell elkészíteni.

(3) A nemzeti kiberválságkezelési terv legalább az alábbiakat határozza meg:

(4) A nemzeti kiberválságkezelési terv elfogadását követő három hónapon belül be kell nyújtani az Európai Bizottság és az EU-CyCLONe részére a (3) bekezdésben foglalt releváns információkat, amelyben nem szerepeltethetők a nemzetbiztonsági szempontból érzékeny információk, valamint amelyek közlése ellentétes lenne Magyarország nemzetbiztonsági, honvédelmi, közbiztonsági vagy alapvető érdekeivel vagy azokat sértené.

(5) A (4) bekezdés szerinti információkat a védelmi és biztonsági igazgatás központi szerve küldi meg az Európai Bizottság és az EU-CyCLONe részére a Védelmi Tanács véleményének kikérését követően.

108. § (1) A Kiberbiztonsági tv. 74. § (10) bekezdése szerinti kiberbiztonsági tervet a szakmai standardok és kormányzati iránymutatások alapján kell elkészíteni, amelynek folyamatos nyomonkövetéséről, valamint a kapcsolódó intézkedések felülvizsgálatáról a készítő szervezet vezetője gondoskodik.

(2) A kiberbiztonsági terv a szervezet Védelmi és Biztonsági Intézkedési Tervének része, amely a védelmi és biztonsági szervezet működésére jellemző speciális intézkedéseket tartalmazza.

109. § (1) Az Operatív Törzs a kiberbiztonsági válsághelyzetekre történő felkészülés érdekében

(2) Az (1) bekezdés a) pontja szerinti gyakorlatot az Operatív Törzs

(3) Az (1) bekezdés a) pontja szerinti gyakorlat, illetve az (1) bekezdés b) pontja szerinti oktatás, képzés által érintett szervezet köteles a gyakorlaton, illetve az oktatáson és a képzésen részt venni, valamint a szükséges feltételeket biztosítani.

110. § A kiberbiztonsági válsághelyzetekre történő felkészülés, valamint a kiberbiztonsági válsághelyzetek kezelése érdekében – a jogszabályban meghatározott kiberbiztonsági feladatokra figyelemmel – az elektronikus hírközlési szolgáltató, a közvetítő szolgáltató, a központi rendszer felett rendelkezési jogot gyakorló szervezet, valamint a központi szolgáltató együttműködik a nemzeti eseménykezelő központtal, a Központtal és az Operatív Törzzsel.

111. § (1) Az Európai Bizottságot, valamint az EU-CyCLONE vezető tisztviselői szintjét a nagyszabású kiberbiztonsági incidensekről a 106. § (6) bekezdés a) pontja szerint kijelölt személy tájékoztatja.

(2) Az érintett uniós tagállamok EU-CyCLONE-on keresztüli tájékoztatásának tartalmáról az Operatív Törzs javaslata alapján a kiberbiztonsági válsághelyzet kezelése érdekében a Kormány által kijelölt személy vagy szervezet vezetője dönt.

112. § (1) A nemzeti kiberbiztonsági hatóság, az SZTFH, a honvédelmi kiberbiztonsági hatóság, az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóság, az egyedüli kapcsolattartó pont, a Központ, a honvédelmi kiberbiztonsági incidenskezelő központ, valamint az ágazaton belüli kiberbiztonsági incidenskezelő központ együttműködik a jogszabályban meghatározott kötelezettségek végrehajtása érdekében.

(2) Az (1) bekezdésben említett szervezetek együttműködnek és együttműködési megállapodást köthetnek

(3) Az (1) bekezdés szerinti szervezetek és a 910/2014/EU európai parlamenti és tanácsi rendelet, az (EU) 2022/2554 európai parlamenti és tanácsi rendelet, valamint az (EU) 2018/1972 európai parlamenti és tanácsi irányelv szerinti hatóság rendszeresen információkat cserélnek, többek között a kiberbiztonsági incidensekkel és kiberfenyegetésekkel kapcsolatban.

(4) A nemzeti kiberbiztonsági hatóság, valamint a Központ az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóság nyilvántartásából megismerheti az alábbi adatokat:

113. § (1) Az SZTFH tájékoztatja az egyedüli kapcsolattartó pontot

(2) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóság tájékoztatja az egyedüli kapcsolattartó pontot kétévente március 15-ig az alábbi ágazatok szerinti szervezetek számáról:

(3) A nemzeti kiberbiztonsági hatóság tájékoztatja az egyedüli kapcsolattartó pontot:

(4) A Központ háromhavonta tájékoztatja az egyedüli kapcsolattartó pontot a bejelentett kiberbiztonsági incidensekről, kiberfenyegetésekről és majdnem bekövetkezett eseményekről a bejelentésekre vonatkozó statisztikai kimutatás megküldése útján.

114. § (1) Az egyedüli kapcsolattartó pont összekötő feladatokat lát el

(2) Az egyedüli kapcsolattartó pont a 113. § szerinti adatszolgáltatások alapján megküldi

(3) Az egyedüli kapcsolattartó pont – a Központ 113. § (4) bekezdése szerinti adatszolgáltatása alapján – háromhavonta összefoglaló jelentést nyújt be az ENISA-nak a bejelentett jelentős incidensekről, incidensekről, kiberfenyegetésekről és incidens közeli helyzetekről.

115. § (1) Az adatszolgáltatási és tájékoztatási kötelezettség teljesítése során érzékeny információ csak akkor osztható meg az Európai Bizottsággal és más európai uniós szervekkel, ha az információcsere az (EU) 2022/2555 európai parlamenti és tanácsi irányelv alkalmazásához szükséges. A megosztott információnak az információcsere célja szempontjából lényeges és arányos mértékre kell korlátozódnia.

(2) Az információcsere során meg kell őrizni a rendelkezésre bocsátott információk bizalmas jellegét, és óvni kell az érintett szervezetek biztonsági és üzleti érdekeit.

(3) Az adatszolgáltatás és tájékoztatás keretében nem szolgáltatható olyan adat vagy információ, amely ellentétes lenne Magyarország nemzetbiztonsági, honvédelmi vagy alapvető biztonsági érdekeivel vagy azt sértené.

116. § (1) A nemzeti kiberbiztonsági hatóság és a Központ – a Nemzeti Kiberbiztonsági Munkacsoport egyetértésével – kezdeményezhet és önkéntes alapon részt vehet az (EU) 2022/2555 európai parlamenti és tanácsi irányelv szerinti szakértői értékelésekben (a továbbiakban: európai szakértői értékelés). Az európai szakértői értékelés a következők legalább egyikéből áll:

(2) Az európai szakértői értékelést – a NIS Együttműködési Csoport által kidolgozott módszertan alapján – kiberbiztonsági szakértők végzik.

(3) A nemzeti kiberbiztonsági hatóság és a Központ az európai szakértői értékelés

117. § (1) A más európai uniós tagállam által kezdeményezett európai szakértői értékelés esetén a Magyarország részéről delegálandó kiberbiztonsági szakértő kiválasztása során a NIS Együttműködési Csoport által kidolgozott módszertanban meghatározott szempontok figyelembevételével kell eljárni.

(2) Az európai értékelésben résztvevő szakértő

118. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – 2025. január 1-jén lép hatályba.

(2) A 42–44. §, a 46. §, a 47. §, a 144. §, a 2. melléklet, a 3. melléklet és a 4. melléklet az e rendelet kihirdetését követő 16. napon lép hatályba.

119. § (1) A központi szolgáltató a 15. § (3) bekezdésében foglalt kötelezettséget a 2025. év folyamán akként teljesíti, hogy a központi szolgáltatással kapcsolatos, 15. § (3) bekezdésében foglalt információkat a szolgáltatáskatalógus helyett a felhasználó szervezet számára elérhetővé teszi.

(2) Az SZTFH a 113. § (1) bekezdése szerinti adatszolgáltatást első alkalommal 2025. március 31-ig teljesíti az egyedüli kapcsolattartó pont felé.

(3) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóság a 113. § (2) bekezdése szerinti adatszolgáltatást első alkalommal 2025. március 31-ig teljesíti az egyedüli kapcsolattartó pont felé.

(4) A nemzeti kiberbiztonsági hatóság a 113. § (3) bekezdés a) pontja szerinti adatszolgáltatást első alkalommal 2025. március 31-ig teljesíti az egyedüli kapcsolattartó pont felé.

(5) A Központ a 113. § (4) bekezdése szerinti adatszolgáltatást első alkalommal 2025. április 15-ig teljesíti az egyedüli kapcsolattartó pont felé.

(6) Az egyedüli kapcsolattartó pont

(7) Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet [a továbbiakban: 187/2015. (VII. 13.) Korm. rendelet] rendelkezései alapján folyamatban lévő hatósági ügyeket a nemzeti kiberbiztonsági hatóság a 187/2015. (VII. 13.) Korm. rendelet szerint zárja le.

120. § (1) Ez a rendelet

(2) Ez a rendelet