418/2024. (XII. 23.) Korm. rendelet indokolás

Ezen indokolás a jogalkotásról szóló 2010. évi CXXX. törvény 18. § (6) bekezdése és a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A kormányrendelet hatálya a törvény hatályához hasonlóan kerül megbontásra.

A szervezetek kötelezettségei, valamint a kiberbiztonsági felügyeleti jogkör elsősorban a Magyarország kiberbiztonságáról szóló törvény (a továbbiakban: Kiberbiztonsági tv.) 1. § (1) bekezdés a)–c) pontja szerinti szervekre alkalmazandó. Ezen szervek vonatkozásában a hatósági felügyeletet a Nemzetbiztonsági Szakszolgálat látja el, illetve a honvédelmi célú elektronikus információs rendszerek tekintetében a honvédelemért felelős miniszter. A Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezetek tekintetében a hatósági jogkört a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZFTH) gyakorolja. Ezen szervezetek vonatkozásában a részletszabályokat az SZTFH elnökének rendelete állapítja meg, a kormányrendeletben meghatározott kivételekkel (pl. kiberbiztonsági gyakorlatok, kiberbiztonsági bírság).

Emellett a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezetek közül egyesekre jelentőségükre tekintettek speciális többletszabályok irányadóak. Ezek a kritikus szervezetek ellenálló képességéről szóló 2024. évi LXIX. törvény (a továbbiakban: Kszetv.) alapján kritikus szervezetként vagy kritikus infrastruktúraként vagy a védelmi és biztonsági tevékenységek összehangolásáról szóló 2021. évi XCIII. törvény (a továbbiakban: Vbö.) alapján az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák kijelölésre került szervezetek. Ezen szervezetek vonatkozásában az elektronikus információs rendszer biztonságáért felelős személyre irányadó rendelkezések is alkalmazandóak.

A kiberbiztonsági tanúsítás vonatkozásában a rendelet jogkövetkezményként az SZTFH által kiszabható bírságtételeket tartalmazza. A rendelet hatálya a törvényben meghatározottak szerint alakul a sérülékenységvizsgálat és a kiberbiztonsági incidenskezelés vonatkozásában.

Az értelmező rendelkezésekben azon új vagy módosított fogalmak jelennek meg, amelyek a végrehajtási rendelet alkalmazását segítik.

A szakaszok a szervezetek egyes kötelezettségeivel kapcsolatos részletszabályokat tartalmazzák.

Az adatosztályozással kapcsolatos részletes rendelkezések keretében előírásra kerül, hogy a szervezet vezetőjének a tervezett külföldi adatkezelésre vagy nem privát felhőhasználatra irányuló döntését megelőzően a Kiberbiztonsági tv. 1. § (1) bekezdés a) pontja szerinti szervezet költség-haszon elemzést és kilépési tervet készít. Annak a törvény alapján adatosztályozásra kötelezett szervezetnek, amely nem ebbe a körbe tartozik legalább kilépési tervet kell készítenie. A kilépési terv keretében a szervezet megtervezi a felhőszolgáltatás alkalmazásáról a helyi környezetre (on-premise megoldásra) vagy privát felhő használatára történő visszaállás lépéseit, hogy az milyen tevékenységeket, illetve milyen technológiát igényel, vizsgálja továbbá a visszaállás következményeit és költségvonzatát is.

Az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv (a továbbiakban: NIS 2 irányelv) a szervezet által az elektronikus információs rendszer védelme, kiberbiztonságának erősítése érdekében elvárja, hogy a használt termékek, igénybe vett szolgáltatások vonatkozásában is érvényesítésre kerüljenek a kiberbiztonsági szempontok. Ennek megfelelően a szállítói lánchoz tartozó beszállítók, szolgáltatók esetében is vizsgálni szükséges bizonyos szempontokat. Ilyenek a jelen §-ban, valamint a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló MK rendeletben meghatározott szempontok.

A védelmi intézkedések meghatározásakor az igénybe vett, venni tervezett beszállítók termékeinek, illetve a szolgáltatók által nyújtott szolgáltatásoknak a minőségét, valamint az általuk alkalmazott kiberbiztonsági gyakorlat milyenségét is figyelembe szükséges venni. Ez esetben nem tanúsításról vagy tanúsított termékek igénybevételének kötelezettségéről van szó, hanem arról, hogy a szervezet által vizsgálandó, hogy az igénybe vett termékek, szolgáltatások kiberbiztonsági szempontból mennyire megbízhatóak, kell-e kockázatokkal számolni és ezzel összefüggésben védelmi intézkedést meghatározni.

A NIS 2 irányelv emellett elvárja, hogy a szervezetek figyelembe vegyék az Európai Bizottság és az ENISA által a kritikus ellátási láncok vonatkozásában elvégzett összehangolt biztonsági kockázatértékelések eredményeit is a védelmi intézkedések értékelése során.

Ha a szervezet a védelmi intézkedések értékelése során vagy – auditkötelezett szervezet esetében – az auditor hiányosságot tapasztal, a szervezet ezek megszüntetése érdekében intézkedési tervet készít.

A rendelet megállapítja emellett a biztonsági osztályba sorolás, valamint az információbiztonsági szabályzat soron kívüli felülvizsgálatának eseteit.

A kiberbiztonsági gyakorlatok a kiberbiztonsági incidensek megelőzésének egyik legjelentősebb eszközei. Gyakorlatra kötelezett valamennyi, a Kiberbiztonsági tv. 1. § (1) bekezdésében meghatározott szervezet. A gyakorlat végrehajtására sor kerülhet a jogszabályban meghatározott kétéves rendszerességgel, illetve eseti jelleggel, a kiberbiztonsági hatóság kötelezése vagy az incidenskezelő központ elrendelése alapján.

Új elem a kiberbiztonsági gyakorlatokon történő részvételre kötelező hatósági döntések kibocsátására irányuló felhatalmazás, figyelemmel azon tapasztalatokra, mely szerint a hazai kibertér védelme szempontjából fontos szervezetek egy része a meghívása ellenére sem vett részt kibervédelmi gyakorlaton.

A gyakorlat a szervezet által önállóan vagy a kiberbiztonsági incidenskezelő központ által kerül megszervezésre és lefolytatásra. Az önállóan végzett kiberbiztonsági gyakorlathoz a szervezet közreműködőt is igénybe vehet, valamint a szolgáltatói (pl. üzemeltetői) is bekapcsolódnak.

Az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) vonatkozásában jelentőséggel bír, hogy feladatellátása folyamatos legyen a szervezetnél. Szerepe a hatósággal való együttműködésnél és az incidensek bejelentésénél bír különös jelentőséggel. Az IBF a feladatát végezheti a felek között létrejövő bármilyen jogviszony alapján, akár teljes munkaidőben, részmunkaidőben vagy a vonatkozó megállapodásban meghatározott időtartamban. Az IBF egyidejűleg több érintett szervezetnél is elláthatja feladatait.

Ugyanakkor az IBF feladatellátása vonatkozásában bevezetésre kerül egy fizikai jelenlétre irányuló elvárás. Mindezekre tekintettel a rendelkezésre álló munkanapok alapján egyazon IBF nem láthat el fizikailag kezelhetetlen számú szervezetnél IBF feladatokat, ami hozzájárulhat a keretrendszerből adódó szakmai ellenőrzési, nyomonkövetési feladatok minőségi ellátásához.

A szakaszok rögzítik az IBF által ellátandó feladatokat, valamint az IBF és a szervezet közötti megállapodás minimális tartalmi elemeit. Az IBF kijelölése a felek közötti megállapodással létrejön, de a hatóság irányába történő eljárásra a hatóság általi nyilvántartásba vételével válik jogosulttá. Az IBF-et mindaddig képviseletre jogosultnak tekinti a hatóság, ameddig változás bejelentésére nem kerül sor. A hatósági nyilvántartásba vétel, illetve az abból való törlés e szempontból deklaratív hatállyal bír.

Az elektronikus információs rendszer fejlesztése, továbbfejlesztése kapcsán a szervezet kötelezettségeként előírásra kerül, hogy a fejlesztésre, továbbfejlesztésre irányuló szerződésben a szervezet köteles megállapodni a fejlesztést végzővel, hogy amennyiben az elektronikus információs rendszer vonatkozásában elvégzésre kerülő sérülékenységvizsgálat sérülékenységet tár fel, úgy az a fejlesztő által garanciális javítás keretében kerüljön kijavításra.

A szakaszok rögzítik a hatóságnak való bejelentés rendjét és hogy mely esetekben szükséges a fejlesztett, továbbfejlesztett rendszer vonatkozásában az adatosztályozást vagy a biztonsági osztályba sorolást felülvizsgálni. Ilyen változás lehet például, ha megváltozik a rendszerben kezelni tervezett vagy kezelt adatok köre vagy a technológiaváltás, felhőszolgáltatás igénybevétele is.

A rendelkezés a központi rendszerek és a központi szolgáltatások vonatkozásában tartalmaz részletszabályokat.

A szakasz kijelöli a Kiberbiztonsági tv. szerinti nemzeti kiberbiztonsági hatóságként a Nemzetbiztonsági Szakszolgálatot, valamint a honvédelmi kiberbiztonsági hatóságként a honvédelemért felelős minisztert.

Emellett az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ekertv.) 15/B. §-a szerinti hatóságként ugyancsak a Nemzetbiztonsági Szakszolgálatot jelöli ki. Ez alapján, ha a közvetítő szolgáltató nem teljesíti a kiberbiztonsági incidensek kezelésével és kivizsgálásával kapcsolatos feladatait, a hatóság bírságot szabhat ki.

A hatóság jogosítványai az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) rendelkezéseit alapul véve kiegészítésre kerülnek új jogkörökkel, mint például az európai uniós normában meghatározott kiberbiztonsági követelményeknek való megfelelést részben vagy egészben az informatikáért felelős miniszter rendeletében meghatározott védelmi követelményeknek való megfelelésnek tekinteni, vagy az elektronikus információs rendszerek használatba vételének, továbbhasználatának jóváhagyása során helyszíni ellenőrzést tartani és sérülékenységvizsgálatot elrendelni.

A jogszabályhelyek rögzítik a nemzeti kiberbiztonsági hatóság más hatóságokkal való együttműködésének kereteit a NIS 2 irányelv elvárásainak megfelelően.

A szakaszok a nemzeti kiberbiztonsági hatóság eljárására alkalmazandó általános rendelkezéseket tartalmaznak. Új elemként jelenik meg, hogy a hatóság mellőzi az ismételt hiánypótlást, amennyiben a hiánypótlásra ugyanazon szervezet vonatkozásában ugyanazon hiányosságra figyelemmel kerülne sor. Megállapításra kerülnek azok az esetek, amikor a nemzeti kiberbiztonsági hatóság kiberbiztonsági incidens esetén hatósági eljárást indít. Idetartozik, amikor a szervezet önmaga vagy az általa igénybe vett gazdálkodó szervezet nem tudja a kiberbiztonsági incidenst megoldani, ennek keretében nem volt képes a kiberbiztonsági incidens okainak meghatározására, káros következmények felszámolására vagy annak elhárítására.

A norma meghatározza az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas személyek nyilvántartásába kerülés, valamint az onnan való törlés szabályait.

A szakasz a nemzeti kiberbiztonsági hatóság általi, alapvető vagy fontos szervezetként történő azonosítás eljárásrendjét, az azonosítás felülvizsgálatának eseteit taglalja.

A szervezet által elvégzett adatosztályozás eredményét a nemzeti kiberbiztonsági hatóság külön nem ellenőrzi. Erre a biztonsági osztályba sorolás megalapozottságának vizsgálata keretében kerül sor.

Az Ibtv. szerinti külföldi adatkezelés hatóság általi engedélyezésének jogintézménye megszűnik. Helyette az adatosztályozás eredménye az irányadó az elektronikus információs rendszeren tárolt adatok külföldön vagy a nem privát felhőszolgáltatás igénybevételével történő kezelése tekintetében. Ugyanakkor a hatóságnak megmarad az a jogköre, hogy az adatosztályozás eredményére figyelemmel a rendszer használatát megtiltsa.

Az elektronikus információs rendszer biztonsági osztályba sorolásának a nemzeti kiberbiztonsági hatóság általi vizsgálatának szabályait tartalmazza.

A nemzeti kiberbiztonsági hatóság éves ellenőrzési tervének miniszter általi jóváhagyása a jövőben nem szükséges, figyelemmel arra, hogy az felesleges adminisztratív terhet jelentett valamennyi szereplő számára. A terv felülvizsgálatának és módosításának lehetősége fennmarad.

A nemzeti kiberbiztonsági hatóság ellenőrzést az éves terv alapján vagy soron kívüli esetben végez. A rendelkezések – az Ibtv. szabályozásának megfelelően – határozzák meg a hatóság jogosultságait.

Új elemként kerül előírásra, hogy az elektronikus információs rendszer biztonságáért felelős személy köteles az ellenőrzésen részt venni, valamint, hogy a kiberbiztonsági hatóság által benyújtani kért dokumentumokat rendezett, átlátható formában kell átadni.

A norma rögzíti a jogkövetkezmények alkalmazása során figyelembe veendő szempontokat. Ilyen szempontokat a NIS 2 irányelv is tartalmaz.

Ha az elektronikus információs rendszer biztonságáért felelős személy személyes felelőssége megállapítható, a hatóság javaslatot tehet a munkáltatói jogkör gyakorlója felé a fegyelmi felelősség megállapítása érdekében. Idetartozik például, ha az elektronikus információs rendszer biztonságáért felelős személy a továbbképzési kötelezettségének nem tesz eleget, kiberbiztonsági incidens bejelentését elmulasztja, a kiberbiztonsági incidenskezelő központ információkérésének nem tesz eleget, vagy nem tesz eleget együttműködési, tájékoztatási kötelezettségének a hatóság vagy az incidenskezelő központ felé.

A hatósági együttműködés keretében – a NIS 2 irányelv elvárásainak megfelelően – a nemzeti kiberbiztonsági hatóság tájékoztatja a felügyeleti jogkörükbe tartozó szervezetet érintő intézkedések megtételéről, jogkövetkezmények alkalmazásáról az illetékes hatóságot.

Megújításra került az információbiztonsági felügyelő jogintézménye. A kirendelésére nem a miniszter, hanem a kiberbiztonsági hatóság lesz jogosult. Határozott időtartamra vagy feltétel bekövetkezéséig rendelhető ki, egyidejűleg akár több szervezethez is. Az információbiztonsági felügyelő személyére vonatkozó összeférhetetlenségi szabályok nem változtak.

Az információbiztonsági felügyelő díjazásának mértéke szenior, vezető IT biztonsági tanácsadók, felelősök vonatkozásában közzétett bérezési adatokat alapul véve került megállapításra, a 2024-ben irányadó bruttó minimálbérhez viszonyítottan.

A kiberbiztonsági felügyelő díját és költségét az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény 125. § (2) bekezdésének megfelelően az a szervezet viseli, amely vonatkozásában a felügyelő kirendelése szükségessé vált. (Az eljárás résztvevője viseli a jogellenes magatartásával okozott költségeket.)

Amennyiben a szervezet nem teljesíti önkéntesen az információbiztonsági felügyelő részére kifizetett díj és költség megfizetésének kötelezettségét, úgy a hatóság jogosult azt behajtani.

A felügyelő jogköreiben érdemi változás nem következett be (pénzügyi kötelezettségvállalásra nem jogosult, tájékoztatást/adatszolgáltatást kérhet, dokumentumba betekinthet, helyiségbe beléphet, intézkedést javasolhat, stb.).

A bírság legmagasabb mértékének minimumát a NIS 2 irányelv rögzíti, és e tekintetben az alapvető és a fontos szervezetek között különbséget tesz. A nemzeti kiberbiztonsági hatóság által kiszabható kiberbiztonsági bírság mértékét a 2. melléklet, míg az SZTFH által kiszabható bírság mértékét a 3. melléklet tartalmazza.

Az Ekertv. 15/B. § (4) bekezdése alapján a nemzeti kiberbiztonsági hatóság által a közvetítő szolgáltatóval szemben kiszabható bírság maximális mértékét is rögzíti.

A rendelkezések emellett a kiberbiztonsági bírság megfizetésének feltételeit is meghatározzák.

A Kiberbiztonsági tv. „általános” tanúsító hatóságként az SZTFH-t jelölte ki, a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok tekintetében a kijelölést kormányrendeletre utalta. Erre figyelemmel a rendeletben a Kormány a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok vonatkozásában tanúsító hatóságként a honvédelemért felelős minisztert jelöli ki.

A tanúsító hatóságok által kiszabható bírság mértékéről a 4. melléklet rendelkezik.

A Kiberbiztonsági tv. alapján a tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat (a továbbiakban együtt: IKT-termék) gyártója vagy az olyan IKT-termék gyártója, amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki az IKT-termék biztonságát érintő sebezhetőségről vagy rendellenességről haladéktalanul tájékoztatja a tanúsító hatóságot. A tanúsító hatóság a sebezhetőséggel vagy rendellenességgel kapcsolatos tevékenység ellátása érdekében adatot szolgáltathat a nyilvántartásából a kiberbiztonsági incidenskezelő központ részére.

A Kiberbiztonsági tv. 57. § (1) bekezdés a) pontja szerinti állami szervként a sérülékenységvizsgálat lefolytatására a Kormány a Nemzetbiztonsági Szakszolgálatot jelöli ki, a honvédelmi célú elektronikus információs rendszerek vonatkozásában pedig a Katonai Nemzetbiztonsági Szolgálatot.

A szakaszok rögzítik a sérülékenységvizsgálat célját. Kiemelendő, hogy sérülékenységvizsgálat során nem audit- vagy hatósági jellegű ellenőrzési tevékenység zajlik.

A sérülékenységvizsgálati módszerként meghatározott vizsgálatok köre kibővült. Emellett megkülönböztetésre kerültek a teljeskörű sérülékenységvizsgálatnak tekintett módszerek, valamint a teljeskörűnek nem minősülő sérülékenységvizsgálati módszerek. Utóbbiak kapcsán kiemelendő, hogy a teljeskörű sérülékenységvizsgálat részét képezhetik, alkalmazásuk azonban nem váltja ki a teljeskörű sérülékenységvizsgálatot.

A norma – elődjéhez hasonlóan – meghatározza az egyes sérülékenységvizsgálati módszerek időigényét, amellyel a sérülékenységvizsgálattal érintett szervezetnek számolnia szükséges a kezdeményezés vagy például projektjének tervezése során. A határidők számításánál figyelembe szükséges továbbá venni azt is, ha a szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen eltér és emiatt egyedi eljárás szükséges. Emellett a sérülékenységvizsgálatot végző szervnek lehetősége van a határidőt egy alkalommal 30 nappal meghosszabbítani.

A jogszabályban rögzítésre kerül a sérülékenységvizsgálati alapdokumentum tartalma. A szabályozás célja, hogy a sérülékenységvizsgálatra jogosult gazdálkodó szervezetek is tisztában legyenek a minimális elvárásokkal. A sérülékenységvizsgálat lefolytatásához szükséges feltételek alatt a logikai, a fizikai (ideértve az eszközöket is), személyi, adminisztratív feltételeket is érteni kell. A személyi feltételek között különösen a kapcsolattartási adatok feltüntetendők.

A sérülékenységvizsgálati alapdokumentumot az érintett szervezet véleményezheti; észrevételeiről a sérülékenységvizsgálatot végző szerv dönt.

Jelentős változás annak rögzítése, hogy ha a sérülékenységvizsgálati alapdokumentum aláírását követően az abban meghatározottak vonatkozásában változás következik be, milyen jogosultságai vannak a sérülékenységvizsgálatot végző szervnek (alapdokumentum módosításának kezdeményezése, a vizsgálat záródátumának módosítása, a sérülékenységvizsgálat szüneteltetése stb.). Egy-egy módosítás ugyanis jelentős kihatással lehet például a sérülékenységvizsgálat időigényére.

Ha a sérülékenységvizsgálati alapdokumentumban, valamint az e rendeletben foglalt feltételek hiánytalanul nem állnak rendelkezésre, a sérülékenységvizsgálat nem hajtható végre, vagy a végrehajtását fel kell függeszteni.

A szakaszokban rögzítésre kerültek sérülékenységvizsgálatot végző szerv, a sérülékenységvizsgálattal érintett szervezet, valamint az elektronikus információs rendszer üzemeltetésében érintett szervezet kötelezettségei jogai és kötelezettségei.

A sérülékenységvizsgálattal érintett szervezetnek tűrnie szükséges a sérülékenységvizsgálatból fakadó szolgáltatáscsökkenést, -kiesést, a vizsgálat nem akadályozható, a szervezetnek jeleznie kell azon időszakokat, amelyek a vizsgálat elvégzésére nem alkalmasak.

A szervezet köteles a sérülékenységvizsgálattal érintett elektronikus információs rendszer működésében érintett valamennyi szervezetet (ideértve az adatgazdát, üzemeltetőt stb.) tájékoztatni a sérülékenységvizsgálatról.

A sérülékenységvizsgálattal érintett elektronikus információs rendszer adatkezelője a sérülékenységvizsgálathoz hozzájárulást kell, hogy adjon, míg az üzemeltetésében érintett szervezet esetén elegendő, ha a tájékoztatás tudomásul vételéről nyilatkozik.

A sérülékenységvizsgálattal érintett elektronikus információs rendszer üzemeltetésében érintett szervezet a sérülékenységvizsgálatot nem akadályozhatja, és köteles a sérülékenységvizsgálat lefolytatásához szükséges megfelelő hozzáféréseket biztosítani. Akadályozás esetén a sérülékenységvizsgálattal érintett szervezet a hatósághoz fordulhat.

A sérülékenységvizsgálat nemzetközileg elfogadott sérülékenységvizsgálati és kockázatértékelési módszertanok mentén folytatható. A sérülékenységvizsgálat során kizárólag olyan kockázatértékelési módszertan alkalmazható, amely figyelembe veszi legalább a sérülékenység hatásának mértékét, valamint a kihasználásának komplexitását.

A sérülékenységvizsgálat során elfogadható vizsgálati módszertanok pl. az OWASP Testing Guide, NIST SP 800-115 (Technical Guide to Information Security Testing and Assessment), a NIST OSSTMM (Open Source Security Testing Methodology Manual), az ISECOM (Institute for Security and Open Methodologies) vagy a CREST Penetration Testing Guide.

Besorolási metodikaként például az OWASP Risk Rating, a CVSS (Common Vulnerability Scoring System) vagy a Tenable’s Vulnerability Priority Rating (VPR) módszertan alkalmazható.

A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálat lezárásakor állásfoglalást készít. Ennek minimális tartalmi követelményeit tartalmazza a rendelet. A szervezet részére a jogszabály lehetőséget biztosít az állásfoglalás vonatkozásában vélemény jelzésére. A vélemény elfogadásáról a sérülékenységvizsgálatot végző szerv dönt.

A kiberbiztonsági audit eredményét a nemzeti kiberbiztonsági hatóság abban az esetben fogadja el, ha az tartalmazza a rendeletben meghatározott szempontokat és információkat.

Ha az állásfoglalásban a sérülékenységvizsgálat során alkalmazott módszertan szerint kritikus vagy magas besorolásúnak minősülő sérülékenység kerül jelzésre, a szervezet köteles intézkedni a feltárt sérülékenységek kijavítása, kezelése vagy kockázatcsökkentő intézkedések megtétele érdekében. Ennek határidejét a rendelet rögzíti. Új rendszer esetében ahhoz fűződik érdek, hogy még a rendszer használatba vétele előtt a kritikus vagy magas hibák kezelésre kerüljenek.

Ugyanakkor a jogszabály lehetőséget biztosít arra is, hogy az alacsony besorolásúnak minősülő sérülékenységek indokolási kötelezettség nélkül felvállalhatók.

Az állásfoglalás kézhezvételét követő 30 napon belül sérülékenységkezelési tervet készít a szervezet és megküldi a kiberbiztonsági hatóság részére.

Új jogintézményként bevezetésre kerül az utóvizsgálati kötelezettség. Ennek eseteit a rendelet rögzíti. Kritikus vagy magas besorolású sérülékenység esetén mindenképpen kötelező, egyébként pedig akkor, ha az állásfoglalásban a sérülékenységvizsgálatot végző szerv erre javaslatot tesz, és ez alapján a kiberbiztonsági hatóság kötelezi a szervezetet az utóvizsgálat elvégeztetésére.

Az utóvizsgálatra a sérülékenységvizsgálatra vonatkozó általános rendelkezések az irányadók.

A Kormány – a jelenlegi feladatmegosztást megőrizve – nemzeti kiberbiztonsági incidenskezelő központként (a továbbiakban: Központ) a Nemzetbiztonsági Szakszolgálatot jelöli ki, honvédelmi kiberbiztonsági incidenskezelő központként pedig a Katonai Nemzetbiztonsági Szolgálatot.

Emellett megjelennek az ágazaton belüli kiberbiztonsági incidenskezelő központként való működés feltételeit tartalmazó részletesebb szabályok.

A szakasz a Kiberbiztonsági tv. 64. §-a szerinti bontásban tartalmazza a Központ részletes feladatait.

A jogszabályhely a honvédelmi kiberbiztonsági incidenskezelő központra vonatkozó speciális rendelkezéseket tartalmaz.

A szakasz az incidenskezelő központtal szembeni NIS 2 irányelvben megfogalmazott elvárásokat tartalmazza.

A prevenciós célú tevékenység részletszabályai kerülnek meghatározásra.

A rendelkezések az elektronikus információs rendszerek vonatkozásában – a sérülékenységvizsgálati tevékenység keretén túl – felfedezett sérülékenységek, illetve az IKT-termék vonatkozásában észlelt kiberbiztonsági sebezhetőségek bejelentésének és kezelésének módjára vonatkozó szabályokat határozzák meg.

Ennek keretében a szabályozás többirányú.

1. Előfordulhat olyan eset, amikor az IKT-termék vonatkozásában európai kiberbiztonsági tanúsítási rendszer került elfogadásra.

Az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet (Kiberbiztonsági jogszabály vagy CSA) ugyanis akként rendelkezik, hogy az európai kiberbiztonsági tanúsítási rendszereknek tartalmazniuk kell legalább az IKT-termék terén korábban nem észlelt kiberbiztonsági sebezhetőségek bejelentésének és kezelésének módjára vonatkozó szabályokat. Figyelemmel arra, hogy európai tanúsítási rendszer kiadása közvetlenül hatályosuló, kötelezően alkalmazandó bizottsági végrehajtási rendelettel kerül kiadásra, az abban foglalt szabályok – az uniós jog primátusa alapján – elsőbbséget élveznek a jelen kormányrendeletben foglalt rendelkezésekhez képest.

2. A digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendelet (a kiberrezilienciáról szóló rendelet vagy CRA) értelmében a digitális elemeket tartalmazó termékek gyártóinak a sérülékenységek összehangolt közzétételére vonatkozó szabályzatokat kell bevezetniük, hogy megkönnyítsék a sérülékenységek egyének vagy szervezetek általi bejelentését, akár közvetlenül a gyártó felé, akár közvetve, és kérés esetén névtelenül, a NIS 2 irányelv 12. cikk (1) bekezdésével összhangban a sérülékenységek összehangolt közzététele céljából koordinátorként kijelölt CSIRT-eken keresztül. A gyártók sérülékenységek összehangolt közzétételére vonatkozó szabályzatának olyan strukturált folyamatot kell meghatároznia, amelyen keresztül a sérülékenységeket oly módon jelentik be a gyártók számára, hogy a gyártó diagnosztizálni és orvosolni tudja a sérülékenységeket, mielőtt a sérülékenységre vonatkozó részletes információkat harmadik felekkel vagy a nyilvánossággal közölné.

3–4. A NIS 2 irányelv (60) preambulumbekezdésében kiemeli, hogy a tagállamok „fogadjanak el iránymutatásokat az információbiztonsági kutatók büntetőeljárás alá vonásának mellőzésére és a tevékenységeikkel kapcsolatos polgári jogi felelősség alóli mentességre vonatkozóan.” Erre figyelemmel szükséges megteremteni azokat a kereteket és feltételeket, amelyek teljesítése esetén valamely elektronikus információs rendszer, IKT-termék vonatkozásában potenciális sérülékenységet, sebezhetőséget bejelentő személy büntetőjogi felelősségre vonására ne kerüljön sor.

E célt szolgálja egyrészt azoknak a keretszabályoknak a megteremtése, amelyek keretében a sebezhetőség felderítése érdekében az elektronikus információs rendszer felett rendelkezési jogot gyakorló szervezettel vagy az IKT-termék gyártójával való megállapodás kerül megkötésre.

Másrészt – a NIS 2 irányelv elvárásaival összhangban – ilyen megállapodás, illetve tanúsítási rendszer vagy IKT-termék gyártói eljárásrend hiányában is biztosítani szükséges a bárki által feltárt sebezhetőségek bejelentési lehetőségét. Ez esetben a bejelentéseket a Központ fogadja és a sebezhetőségek jogszerű felderítési kereteinek, feltételeinek meghatározása érdekében ajánlást adhat ki.

A rendelet meghatározza a bejelentő, a Központ és az érintett gyártó vagy szervezet jogait, kötelezettségeit, feladatait.

A szervezet haladéktalanul bejelenti a Központ részére az elektronikus információs rendszereit érintő fenyegetést, kiberbiztonsági incidensközeli helyzetet és kiberbiztonsági incidenst, beleértve az üzemeltetési kiberbiztonsági incidenst is.

A kiberbiztonsági incidensek bejelentési eljárásának részletes rendelkezései a NIS 2 irányelvben foglaltakra figyelemmel kerültek meghatározásra. Az incidensek bejelentésének lényege a gyorsaság, melynek egyik alapvető eleme a közvetlen kommunikáció a kijelölt szakemberekkel, továbbá a fertőzöttségi mutatók (IoC) gyors megosztása. Erre figyelemmel a jelentős vagy nagykiterjedésű kiberbiztonsági incidens esetén a szervezet a bejelentést a Központ felé rövid úton, telefonon is megteszi.

Annak meghatározásában, hogy a szolgáltatás működési zavara súlyos-e, fontos szerepet játszhatnak olyan mutatók, mint a szolgáltatás működésére gyakorolt hatás mértéke, az esemény időtartama vagy a szolgáltatások érintett igénybe vevőinek száma [NIS2 (101) pr.bekezdés].

A Központ a bejelentésre haladéktalanul és – ha lehetséges – a korai előrejelzés kézhezvételétől számított 24 órán belül választ ad. Ennek keretében egy kezdeti visszajelzést küld az incidensről a bejelentő szervezetnek, valamint – a szervezet kérésére – útmutatást vagy operatív tanácsokat nyújt a lehetséges mérséklési intézkedések végrehajtásáról.

A norma rögzíti a szervezetek, valamint a Központ tájékoztatási kötelezettségét.

A jelzőlámpa-protokollt (TLP) olyan eszközként kell értelmezni, amely arra szolgál, hogy tájékoztatást nyújtson az információk további terjesztésének korlátairól. Használják szinte valamennyi számítógépbiztonsági eseményekre reagáló csoportban (CSIRT-ek), valamint egyes információelemző és -megosztó központokban.

Az incidenskezelés részét képezi az incidensek elemzése, vizsgálata. Ennek során a szervezet teljes mértékben köteles együttműködni a Központtal.

A kiberbiztonsági incidenssel érintett szervezet – a Központ támogatásával – kidolgozza és haladéktalanul végrehajtja a kiberbiztonsági incidens felszámolásához szükséges intézkedéseket.

A szervezet a feltárt hiányosságok megszüntetésére incidenskezelési tervet készít.

A jogszabály meghatározza az incidenssel érintett közvetítő szolgáltatók, központi szolgáltatók incidenskezelés esetén fennálló kötelezettségeit is.

A szakasz a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek kiberbiztonsági incidenseinek kezelése során alkalmazandó eltérő rendelkezéseket tartalmazza.

A kiberbiztonsággal kapcsolatos feladatok koordinációjának szervezetrendszere tekintetében a szabályok a kiberbiztonságért felelős biztos jogalkotási kezdeményezési jogosultságát, valamint helyettesítési lehetőségét állapítják meg, továbbá a Nemzeti Kiberbiztonsági Munkacsoport, az Operatív Törzs, az almunkacsoportok és a Kiberbiztonsági Fórum tagjait, feladatait és ülésezésük rendjét határozzák meg.

A szakasz a Nemzetbiztonsági Szakszolgálatnak a nemzeti koordinációs központként történő kijelölésről rendelkezik.

A jogszabályhelyek a kiberbiztonsági válsághelyzetek kezelésének szervezetrendszerére, a felkészülésre, tervezésre, kiberbiztonsági válsághelyzet kezelésében részvevő szervezetek feladat- és hatáskörére vonatkozó szabályokat állapítják meg.

Az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata két szinten működik. Egyrészt a szakértői (officer) szinten, másrészt a vezető tisztviselői/ügyvezetői (executive) szinten.

Mindkét szint más-más feladatot lát el. Szakértői szinten az operatív együttműködésen van a hangsúly, míg az executive szint a stratégiai kérdésekre fókuszál.

A rendelkezések a nemzeti együttműködés részletszabályait, az egyedüli kapcsolattartó pont feladatait, valamint a NIS 2 irányelvben foglaltakra figyelemmel az európai szakértői értékelés keretszabályait rögzítik.

A NIS 2 irányelv lehetővé teszi, hogy a tagállamok szakértői értékelést kezdeményezzenek, illetve ilyenekben részt vegyenek, a jogszabály által meghatározott tárgykörökben (pl. kockázatkezelési intézkedések, jelentéstételi kötelezettségek, hatósági tevékenység, CSIRT-képességek stb.). Az irányelv értelmében a NIS Együttműködési Csoport (NIS CG) 2025. január 17-ig az Európai Bizottság, az ENISA és adott esetben a CSIRT-hálózat segítségével kidolgozza a szakértői értékelések módszertanát és szervezeti vonatkozásait.

Kiemelendő, hogy a szakértői értékelésekben való részvétel önkéntes.

A kiberbiztonsági szakértőket legalább két, az értékelés alatt álló tagállamtól eltérő tagállamnak kell kijelölnie.

A NIS CG a tagállamok önértékelésének módszertanát az Európai Bizottság és az ENISA segítségével állapítja meg. A szakértői értékeléseknek részét képezik tényleges vagy virtuális helyszíni látogatások és a helyszínen kívüli információcsere.

Hatályba léptető rendelkezéseket tartalmaz.

Átmeneti rendelkezéseket tartalmaz.

Jogharmonizációs záradékot tartalmaz.

Hatályon kívül helyező rendelkezéseket, valamint módosító rendelkezéseket tartalmaz, melyek célja a fogalompontosításhoz kapcsolódó technikai, valamint a tervezet céljához és végrehajtásához szükséges tartalmi módosítások átvezetése.

Az adatosztályozás végrehajtásához irányadó szempontokat határozza meg.

B1 szintű adatok közé sorolhatók pl. közérdekű adatok, közérdekből nyilvános adatok, sajtóközlemények, nyilvánosságnak szánt tudatosító anyagok, cikkek stb.

B2 szintű adatok közé sorolhatók pl. napi operatív munkavégzéshez szükséges levelezés, megbeszélésmeghívók, belső intézményi használatra szánt dokumentumok, irányelvek, harmadik félhez tartozó adatok, amelyek nem képezik titoktartási megállapodás tárgyát, olyan dokumentumok/adatok, amelyek intézményi/kormányzati körön belül terjeszthetők, stb.

B3 szintű adatok közé sorolhatók pl. szervezeti szintű szabályzatok, projektdokumentumok, kis értékű beszerzések dokumentumai, árazási dokumentumok, ajánlatok stb.

B4 szintű adatok közé sorolhatók pl. különleges vagy tömeges személyes adatok, üzleti titok, előkészítési fázisban lévő törvénytervezetek, költségvetési számok, HR listák, fizetésjegyzékek, vezetői döntés-előkészítő anyagok, pénzügyi és kontrollingadatok, műszaki tervdokumentációk, biztonsági incidensekhez, azok kivizsgálásához kapcsolódó dokumentumok stb.

A kiberbiztonsági hatóság az elfogadható kiberbiztonsági nemzetközi szabványok, tanúsítványok, auditok, illetve engedélyek listáját a honlapján közzéteszi.

A Kiberbiztonsági tv. 1. § (1) bekezdés a)–c) pontja szerinti szervezettel szemben kiszabható kiberbiztonsági bírság mértékét határozza meg.

A Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja hatálya alá tartozó és egyidejűleg 2. és 3. melléklet szerinti szervezetnek minősülő szervezet, valamint a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti szervezettel szemben kiszabható kiberbiztonsági bírság mértékét határozza meg.

A tanúsító hatóság által kiszabható bírság mértékét határozza meg.