2024. évi LXIX. törvény

1. § (1) E törvénynek a szervezetek kötelezettségeire és a kiberbiztonsági hatósági felügyeletre vonatkozó rendelkezéseit kell alkalmazni

(2) A kritikus szervezetek ellenálló képességéről szóló törvény (a továbbiakban: Kszetv.) alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák (a továbbiakban együtt: kritikus szervezet), valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény (a továbbiakban: Vbö.) alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák (a továbbiakban együtt: az ország védelme és biztonsága szempontjából jelentős szervezet) vonatkozásában a szervezetnek az (1) bekezdés szerinti minősülése az irányadó e törvény rendelkezéseinek az alkalmazása során, kivéve, ha a kritikus szervezet vagy az ország védelme és biztonsága szempontjából jelentős szervezet az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozik.

(3) A szervezetek – az általuk nyújtott szolgáltatásnak az állam, a társadalom, a gazdaság működése szempontjából való kritikussága, valamint bizonyos esetekben a szervezet mérete alapján – alapvető vagy fontos szervezeteknek minősülnek.

(4) Az (1) bekezdés szerinti szervezetek közül alapvető szervezetnek minősülnek az alábbi szervezetek:

(5) Az (1) bekezdés szerinti szervezetek közül fontos szervezetnek minősülnek és a szervezetekre vonatkozó rendelkezéseket az e törvényben foglalt eltérésekkel kell alkalmazni az alábbi szervezetekre:

(6) Az (1) bekezdés c) pontja szerinti azonosítási eljárás feltétele, hogy a szervezet

(7) E törvény kiberbiztonsági tanúsításra vonatkozó rendelkezéseit az információs és kommunikációs technológiai (a továbbiakban: IKT) termékek, IKT-szolgáltatások vagy IKT-folyamatok tanúsításával kapcsolatos tevékenységre kell alkalmazni.

(8) E törvény poszt-kvantumtitkosításra vonatkozó rendelkezéseit a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) elnökének rendeletében meghatározott, a következő szervezetekre (a továbbiakban: poszt-kvantumtitkosítás alkalmazására kötelezett szervezet) és hatósági felügyeletükre irányuló tevékenységrekell alkalmazni:

(9) E törvény sérülékenységvizsgálatra vonatkozó rendelkezéseit kell alkalmazni:

(10) E törvény kiberbiztonsági incidenskezelésre vonatkozó rendelkezéseit kell alkalmazni:

(11) A (10) bekezdésben meghatározott szervezeteken kívüli szervezetek, illetve személyek által önkéntesen bejelentett kiberbiztonsági incidensek esetén a nemzeti kiberbiztonsági incidenskezelő központ az e törvényben meghatározottak szerint jár el.

2. § (1) E törvény rendelkezéseit kell alkalmazni

(2) Az (1) bekezdés c) pontja szerinti szervezet üzleti tevékenységének fő helye abban az esetben van Magyarországon, ha

3. § (1) E törvény hatálya nem terjed ki

(2) A Kormány rendeletében határozza meg az (1) bekezdés d) pontja szerinti kiberbiztonsági szolgáltatások körét és az igénybevételére kötelezett, illetve jogosult szervezetek körét.

(3) E törvény rendelkezéseit a honvédelmi célú elektronikus információs rendszerek vonatkozásában az e törvényben meghatározott eltérésekkel kell alkalmazni.

4. § E törvény alkalmazásában

5. § (1) Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell

(2) Az elektronikus információs rendszer védelme keretében az elektronikus információs rendszer felett rendelkezési jogosultsággal rendelkező szervezet, az adatkezelő vagy az adatfeldolgozó által, adott cél érdekében

(3) Megfelelő költségvetési forrást kell biztosítani

6. § (1) A szervezet elektronikus információs rendszerének kell tekinteni a szervezet rendelkezésében lévő elektronikus információs rendszert.

(2) A szervezet vezetője az elektronikus információs rendszerek védelme érdekében kockázatmenedzsment keretrendszert hoz létre és működtet a közvetlenül alkalmazandó európai uniós jogi aktusban, ennek hiányában és a közvetlenül alkalmazandó európai uniós jogi aktus által nem szabályozott kérdésekben az informatikáért felelős miniszter rendeletében foglaltak szerint.

(3) A (2) bekezdésben meghatározott tevékenység keretében a szervezet vezetője

(4) A (3) bekezdés 10. pontjában meghatározott feladatokat a szervezet vezetője legalább kétévente, a biztonsági osztályba sorolás felülvizsgálatával egyidejűleg hajtja végre.

(5) A szervezet vezetője az elektronikus információs rendszer védelmének biztosítása érdekében

(6) A (3)–(5) bekezdésben meghatározott feladatokért a szervezet vezetője az (5) bekezdés d) pontjában meghatározott esetben is felelős, kivéve – az igénybe vett szolgáltatások mértékéig – azokat az esetköröket, amikor központi szolgáltatót vagy központi rendszert kell a szervezetnek igénybe vennie.

(7) Az (5) bekezdés e) pontja szerinti jelentési kötelezettség teljesítése nem érinti a más törvény alapján fennálló jelentési kötelezettségeket.

(8) Az (1)–(5) bekezdés szerinti egyes követelményeknek való megfelelés igazolására – ha rendelkezésre áll – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.

(9) Az informatikáért felelős miniszter rendeletében – a honvédelmi célú elektronikus információs rendszerek tekintetében a honvédelmi miniszter rendeletében – meghatározott, 1. § (1) bekezdés a)–c) pontja szerinti szervezetek, valamint az SZTFH elnökének rendeletében meghatározott, 1. § (1) bekezdés d) és e) pontja szerinti szervezetek kötelesek az európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított – az informatikáért felelős miniszter, a honvédelmi miniszter vagy az SZTFH elnöke rendeletében meghatározott – IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni.

(10) Az 1. § (1) bekezdés a) és c) pontja hatálya alá tartozó fontos szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet rendelkezésében lévő elektronikus információs rendszerek vonatkozásában

(11) A honvédelmi célú elektronikus információs rendszer felett rendelkezési jogosultsággal bíró szervezet a honvédelmi célú elektronikus információs rendszer vonatkozásában a hatósági eljárásban a honvédelmi kiberbiztonsági hatóságot keresi meg, az e törvény által előírt bejelentési és egyéb kötelezettségeket a honvédelmi kiberbiztonsági hatóság felé teljesíti.

(12) A hazai kiberbiztonsági gyakorlatok megtartásának részletszabályait, valamint az 1. § (1) bekezdés a)–c) pontja hatálya alá tartozó szervezetek kötelezettségeire vonatkozó részletes rendelkezéseket kormányrendelet határozza meg.

7. § (1) Az SZTFH kiberbiztonsági felügyeleti tevékenységéért az 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a 2. és 3. melléklet szerinti szervezet is, valamint az 1. § (1) bekezdés d) és e) pontja szerinti szervezet – ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoport (a továbbiakban: elismert vállalatcsoport) ellenőrzött tagja, helyette az uralkodó tag – az SZTFH elnökének rendeletében – a (2) bekezdésben foglaltak alapján – meghatározott mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.

(2) Az éves kiberbiztonsági felügyeleti díj mértéke az (1) bekezdés szerinti szervezet előző üzleti évi nettó árbevételének – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének – legfeljebb 0,015 százaléka, de legfeljebb 10 millió forint. Az ugyanazon elismert vállalatcsoportban vagy az ugyanazon, a Polgári Törvénykönyvről szóló törvény szerinti tényleges vállalatcsoportban, vagy a számvitelről szóló törvény szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő szervezetek tekintetében a fizetendő éves kiberbiztonsági felügyeleti díj együttes mértéke nem haladhatja meg az 50 millió forintot. A tényleges vállalatcsoportként vagy az egy konszolidációs körbe tartozó vállalkozáscsoportként való működés tényét az (1) bekezdés szerinti szervezet az SZTFH elnökének rendeletében foglaltak szerint igazolja.

(3) A kiberbiztonsági felügyeleti díjat az (1) bekezdés szerinti kötelezett az SZTFH elnökének rendeletében meghatározott módon és időpontban köteles megfizetni az SZTFH részére.

8. § (1) Az e törvény hatálya alá tartozó elektronikus információs rendszert működtető, nem Magyarországon bejegyzett szervezetnek Magyarország területén működő képviselőt kell írásban kijelölnie, aki az e törvényben foglaltak végrehajtásáért a szervezet vezetőjére vonatkozó szabályok szerint felel. A képviselő kijelölése nem érinti a szervezet, illetve a szervezet vezetőjének felelősségét.

(2) A szervezet vezetője köteles gondoskodni arról, hogy a szervezet együttműködjön a kiberbiztonsági hatósággal.

(3) Az együttműködés során a szervezet vezetője

(4) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet – az 51. alcímben foglalt kivételekkel – az e törvény hatálya alá kerülését követő

(5) Az 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg 2. és 3. melléklet szerinti szervezetnek minősülő szervezet, valamint az 1. § (1) bekezdés d) és e) pontja szerinti szervezet köteles a működése megkezdését követő vagy az e törvény hatálya alá kerülést követő 30 napon belül a 29. § (1) bekezdés a) pontjában meghatározott adatokat – a 29. § (1) bekezdés a) pont ab) alpontja szerinti adatok kivételével – megküldeni az SZTFH részére a nyilvántartásba vétel érdekében.

(6) A (4) és (5) bekezdés alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja

(7) A szervezet a kiberbiztonsági információk megosztása érdekében az informatikáért felelős miniszter rendeletében meghatározott együttműködések megvalósítása céljából – a honvédelmi célú elektronikus információs rendszerekre vonatkozó információk kivételével – kiberbiztonsági információmegosztási megállapodásokat köthet. A szervezet kiberbiztonsági információmegosztási megállapodás megkötéséről, ilyen megállapodásban való részvételéről vagy annak felmondásáról tájékoztatja a kiberbiztonsági hatóságot.

9. § (1) Annak érdekében, hogy a szervezet által kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, az 1. § (1) bekezdés a) pontja szerinti szervezet köteles az általa az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint.

(2) Az 1. § (1) bekezdés b) és c) pontja szerinti szervezet az adatosztályozást nem privát felhőszolgáltatás igénybevétele és külföldi adatkezelés megvalósítása esetén köteles elvégezni, a külföldi vagy nem privát felhőszolgáltatás igénybevételével történő adatkezelés kockázatainak felmérése érdekében.

(3) Az adatosztályozás során figyelembe kell venni a logikailag együtt, egységben kezelt elektronikus adatok – ideértve az adatbázist, adattárat, egyedi dokumentumot és egyéb adatállományt – együttes biztonsági igényét.

(4) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet kizárólag az adatosztályozás alapján, annak eredményére figyelemmel vehet igénybe nem privát felhőszolgáltatást, vagy kezelhet külföldön adatot, amennyiben más jogszabály a felhőszolgáltatás igénybevételét, vagy a külföldi adatkezelést nem tiltja vagy korlátozza.

(5) A szervezet a biztonsági osztályba sorolás keretében, valamint abban az esetben vizsgálja felül az adatosztályozást, amennyiben az elektronikus információs rendszerben kezelendő adatok körében változás következik be.

10. § (1) A szervezet elektronikus információs rendszerei, valamint az azokban kezelt adatok, a nyújtott szolgáltatások kockázatokkal arányos védelmének biztosítása érdekében a szervezet az e törvény hatálya alá tartozó, a szervezet rendelkezésében lévő elektronikus információs rendszereit „alap”, „jelentős” vagy „magas” biztonsági osztályba sorolja az érintett elektronikus információs rendszer sértetlensége és rendelkezésre állása, valamint az általa kezelt adat bizalmassága, sértetlensége és rendelkezésre állásának kockázata alapján, szigorodó védelmi előírásokkal.

(2) A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolás eredményét a szervezet az elektronikus információs rendszerek nyilvántartásában vagy egyéb belső szabályzatban rögzíti.

(3) A biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket az informatikáért felelős miniszter rendeletben határozza meg.

(4) A szervezet az elektronikus információs rendszer biztonsági osztálya alapján meghatározza és megvalósítja az informatikáért felelős miniszter rendeletében előírt védelmi intézkedéseket az adott elektronikus információs rendszerre vonatkozóan.

(5) Az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja szerinti szervezet elektronikus információs rendszere vonatkozásában az e törvény hatálya alá kerüléskor teljesítenie kell legalább az informatikáért felelős miniszter rendeletében az „alap” biztonsági osztály vonatkozásában előírt védelmi intézkedéseket.

(6) Ha az (5) bekezdés szerinti elektronikus információs rendszer vonatkozásában a biztonsági osztályba sorolás alapján az „alap”-nál magasabb biztonsági osztály került meghatározásra, a védelem elvárt erősségének eléréséhez a szervezetnek a biztonsági osztályba sorolást követően legfeljebb két év áll rendelkezésére a biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére.

(7) A biztonsági osztályba sorolást legalább kétévente, vagy az elektronikus rendszer biztonságát érintő, jogszabályban meghatározott változás esetén soron kívül, dokumentált módon felül kell vizsgálni.

11. § (1) A szervezet vezetője az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.

(2) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezetek esetében az (1) bekezdés szerinti megállapodás kötelező tartalmi elemeit kormányrendelet tartalmazza. Megállapodás megkötése esetén is meg kell jelölni azt a természetes személyt, aki az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátja.

(3) Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy végezheti, aki

(4) Elektronikus információs rendszer biztonságáért felelős személyként – az (5) bekezdésben foglalt kivétellel – nem jelölhető ki vagy bízható meg a szervezet gazdasági vezetői feladatait ellátó személy vagy az a személy, aki a szervezeten belül informatikai üzemeltetéssel, informatikai fejlesztéssel kapcsolatos munkakört lát el, illetve ilyen személy közvetlen alárendeltségébe tartozik.

(5) A (4) bekezdést nem kell alkalmazni a következő szervezetek vonatkozásában:

(6) A szervezet vezetője biztosítja, hogy az elektronikus információs rendszer biztonságáért felelős személy

(7) Az elektronikus információs rendszer biztonságáért felelős személyt feladata ellátásával kapcsolatosan tudomására jutott adatok és információk tekintetében titoktartási kötelezettség terheli. A titoktartási kötelezettség alól a szervezet vezetője adhat felmentést.

(8) Az elektronikus információs rendszer biztonságáért felelős személy részt vesz az informatikáért felelős miniszter rendeletében meghatározott szakmai képzésen, továbbképzésen.

(9) Az elektronikus információs rendszer biztonságáért felelős személy jogosult a szervezet elektronikus információbiztonsági kötelezettségeinek, feladatainak teljesítésében közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban tájékoztatást kérni. Ennek keretében jogosult megismerni a követelményeknek való megfelelőség alátámasztásához szükséges közreműködői tevékenységgel kapcsolatos adatot, valamint az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot.

(10) Indokolt esetben a szervezet kijelölhet vagy megbízhat az elektronikus információs rendszer biztonságáért felelős személy helyettesítésére jogosult személyt, aki az elektronikus információs rendszer biztonságáért felelős személy tartós távolléte vagy akadályoztatása esetén ellátja az elektronikus információs rendszer biztonságáért felelős személy feladatait. Az elektronikus információs rendszer biztonságáért felelős személy és helyettese között a feladatok és felelősség megosztásáról a szervezet vezetője rendelkezik. A helyettesre az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó rendelkezéseket kell alkalmazni.

(11) Ha a szervezet elektronikus információs rendszereinek száma, mérete vagy biztonsági igényei indokolják, a szervezeten belül elektronikus információbiztonsági szervezeti egység hozható létre, amelyet az elektronikus információs rendszer biztonságáért felelős személy vezet.

(12) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet, a Kszetv. alapján kritikus szervezetként kijelölt szervezet, valamint a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölt szervezet esetében az elektronikus információs rendszer biztonságáért felelős személy feladat- és hatáskörére vonatkozó részletes szabályokat kormányrendelet határozza meg.

(13) A nemzeti kiberbiztonsági hatóság nyilvántartást vezet az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas személyekről.

(14) Az elektronikus információs rendszer biztonságáért felelős személyek nyilvántartásának célja, hogy a nyilvántartásban szereplő személyek közül a szervezetek a feladat ellátására alkalmas elektronikus információs rendszer biztonságáért felelős személyt választhassanak.

(15) Az elektronikus információs rendszer biztonságáért felelős személyek nyilvántartásába kerülés, illetve az onnan való törlés rendjét kormányrendelet határozza meg.

(16) A nemzeti kiberbiztonsági hatóság hatósági ellenőrzés keretében vizsgálja, hogy az elektronikus információs rendszer biztonságáért felelős személy megfelel-e a (3) bekezdés a) pontjában meghatározott büntetlen előéletre irányuló követelménynek. Ennek megállapítása érdekében adatot igényelhet a bűnügyi nyilvántartási rendszerből.

12. § (1) A kiberbiztonsággal kapcsolatos képzést folytató felsőoktatási intézmény a képzési tevékenység ellátásával összefüggésben

(2) A kiberbiztonsággal kapcsolatos képzést folytató szervezet

13. § (1) Új elektronikus információs rendszerek fejlesztése, vagy már meglévő elektronikus információs rendszerek továbbfejlesztése (a továbbiakban együtt: fejlesztés) vonatkozásában jelen alcím rendelkezéseit kell alkalmazni az alábbi, alapvető szervezetnek minősülő szervezetek esetében

(2) Elektronikus információs rendszer fejlesztése esetén a szervezet az információbiztonsági követelmények teljesülésének biztosítása és az elektronikus információs rendszer működésének nemzeti kiberbiztonsági hatóság általi jóváhagyása érdekében a kormányrendeletben meghatározottak szerint jár el.

(3) A fejlesztés során az elektronikus információs rendszer tervezési életciklusában végre kell hajtani – ahol az adatosztályozási kötelezettséget e törvény előírja – a rendszerben kezelni tervezett adatok osztályozását és az elektronikus információs rendszer biztonsági osztályba sorolását, amelyet a kormányrendeletben meghatározott módon a nemzeti kiberbiztonsági hatóságnak jóváhagyásra be kell nyújtani

(4) A szervezet rögzíti a fejlesztésre irányuló szerződésben a nemzeti kiberbiztonsági hatóság által jóváhagyott osztályba soroláshoz kapcsolódó követelményeket és a fejlesztés során intézkedik azok megvalósulása iránt a fejlesztést végző szervezet felé.

(5) A fejlesztést a nemzeti kiberbiztonsági hatóság által jóváhagyott, a biztonsági osztály vonatkozásában az informatikáért felelős miniszter rendeletében meghatározott védelmi követelményeknek megfelelően kell végrehajtani.

(6) Ha a fejlesztés során olyan körülmény jut a szervezet tudomására, amely befolyásolja az érintett elektronikus információs rendszer biztonságát, akkor a (2)–(4) bekezdésben meghatározott feladatokat ismételten el kell végezni.

(7) A nemzeti kiberbiztonsági hatóság eljárása során elrendelhet sérülékenységvizsgálatot.

(8) Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer továbbfejlesztése során a megállapított biztonsági osztályhoz tartozó követelményeket a rendszer használatbavételéig teljesíteni kell.

(9) A szervezet vezetőjének az elektronikus információs rendszer használatba vételére, további használatára irányuló, a 6. § (3) bekezdés 12. pontja szerinti döntése abban az esetben hozható meg, ha a nemzeti kiberbiztonsági hatóság által jóváhagyott biztonsági osztályba sorolásból következő követelmények a (8) bekezdés szerinti módon teljesültek.

(10) A 6. § (3) bekezdés 12. pontja szerinti döntéssel egyidejűleg gondoskodni kell az elektronikus információs rendszer kormányrendeletben meghatározott adatainak nemzeti kiberbiztonsági hatósághoz történő bejelentéséről.

(11) Központi rendszer fejlesztése esetén – az (1)–(10) bekezdésben foglaltakon túlmenően – az elektronikus információs rendszer felett rendelkezési jogosultsággal bíró szervezet köteles első alkalommal a tervezés fázisában és azt követően minden mérföldkő elérésekor tájékoztatni a nemzeti kiberbiztonsági hatóságot a központi rendszer biztonságát érintő kérdések vonatkozásában.

14. § (1) A 13. §-ban foglaltaktól eltérően, ha az elektronikus információs rendszer fejlesztése

(2) Az (1) bekezdés szerinti szervezet intézkedik a védelmi követelmények megvalósulása iránt a fejlesztést végző szervezet felé.

(3) Az (1) bekezdés szerinti szervezet köteles a kiberbiztonsági hatóság részére bejelenteni

(4) Indokolt esetben a kiberbiztonsági hatóság sérülékenységvizsgálatot rendelhet el.

(5) A biztonsági osztályhoz tartozó követelményeket a rendszer használatbavételéig teljesíteni kell, a szervezet vezetőjének az elektronikus információs rendszer használatba vételére, további használatára irányuló, 6. § (3) bekezdés 12. pontja szerinti döntése ezek teljesülése esetében hozható meg.

15. § (1) Ha az 1. § (1) bekezdés a)–c) pontja szerinti szervezet elektronikus információs rendszerének sérülékenységvizsgálata jogszabály vagy a nemzeti kiberbiztonsági hatóság döntése alapján kötelező, akkor a 6. § (3) bekezdés 12. pontja szerinti döntés feltétele a feltárt sérülékenységek vonatkozásában készített sérülékenységkezelési terv nemzeti kiberbiztonsági hatóság általi jóváhagyása.

(2) Az (1) bekezdés szerinti, „jelentős” és „magas” biztonsági osztályba tartozó elektronikus információs rendszer esetében kötelező a kormányrendelet szerinti teljes körű sérülékenységvizsgálat kezdeményezése. Sérülékenységvizsgálat végzésének kötelezettsége alól kormányrendeletben meghatározott, sérülékenységvizsgálat végzésére jogosult állami szerv döntése alapján mentesülhet a szervezet.

(3) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet elektronikus információs rendszerei fejlesztése során irányadó részletes szabályokat kormányrendelet tartalmazza.

16. § (1) Az 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a 2. és 3. melléklet szerinti szervezet is, valamint az 1. § (1) bekezdés d) pontja és – a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikrovállalkozás kivételével – az 1. § (1) bekezdés e) pontja szerinti szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente, illetve a 23. § (1) bekezdése szerint illetékes kiberbiztonsági hatóság általi elrendelés esetén kiberbiztonsági auditot végeztetni.

(2) A szervezet köteles

(3) A honvédelmi célú elektronikus információs rendszerek tekintetében kiberbiztonsági audit nem végezhető.

(4) Ha az (1) bekezdés szerinti szervezet honvédelmi célú elektronikus információs rendszer felett is rendelkezési jogosultsággal bír, a szervezet vezetője felelős a (3) bekezdésben foglalt rendelkezések teljesüléséért.

(5) A honvédelmi kiberbiztonsági hatóság a jogszabály szerint a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok és az ország védelme és biztonsága szempontjából jelentős kettős kijelöléssel nem érintett honvédelmi szervezet és honvédelmi infrastruktúra elektronikus információs rendszere esetében a honvédelmi célú elektronikus információs rendszerként történő nyilvántartásba vételről tájékoztatja az SZTFH-t.

17. § (1) A szervezetnek gondoskodnia kell arról, hogy a támogató rendszer is az általa támogatott elektronikus információs rendszernek megfelelő szintű védelemben részesüljön az informatikáért felelős miniszter rendeletében foglaltak alapján, ha az adott védelmi intézkedések kockázatarányosan alkalmazhatók az érintett támogató rendszer vonatkozásában. A szervezet köteles felmérni a támogató rendszerben használt védelmi intézkedéseket.

(2) Ha a szervezet a támogató rendszert szolgáltatásként nyújtja, tájékoztatja a támogató rendszert felhasználó szervezetet arról, hogy a támogató rendszer milyen biztonsági osztályhoz tartozó követelményeknek felel meg.

(3) Kizárólag olyan támogató rendszer vehető igénybe, amely megfelel az általa támogatott elektronikus információs rendszer védelmi igényeinek.

18. § (1) A központi rendszer felett rendelkezési jogot gyakorló szervezet az általa a felhasználó szervezet részére biztosított központi rendszer vonatkozásában

(2) A felhasználó szervezet által igénybe vett központi rendszer vonatkozásában a felhasználó szervezet

(3) Jogszabály alapján kötelezően igénybe vett felett rendelkezési jogot gyakorló szervezet esetén a központi rendszer szolgáltatója és a felhasználó szervezet közötti feladat- és felelősségmegosztást az adott központi rendszerre vonatkozó jogszabály rögzíti. Ennek hiányában, valamint önkéntesen igénybe vett központi rendszer esetében a központi rendszer felett rendelkezési jogot gyakorló szervezet és a felhasználó szervezet szolgáltatási szerződést köt.

(4) A központi rendszerekről a nemzeti kiberbiztonsági hatóság nyilvántartást vezet.

(5) A nemzeti kiberbiztonsági hatóság jogosult a központi rendszer vonatkozásában mind a központi rendszer szolgáltatójánál, mind a felhasználó szervezetnél az elektronikus információbiztonsági követelmények teljesülését ellenőrizni.

19. § (1) A központi szolgáltató tájékoztatja a felhasználó szervezetet arról, hogy az általa nyújtott szolgáltatás milyen biztonsági osztály követelményeinek megfelelő szolgáltatásokat tud nyújtani, vagy arról, hogy a központi szolgáltatásokat megvalósító rendszerek milyen biztonsági osztály követelményeinek felelnek meg. Amennyiben a központi szolgáltató által nyújtott szolgáltatással érintett elektronikus információs rendszer biztonsági osztályának megfelelnek a központi szolgáltató által biztosított védelmi intézkedések, a felhasználó szervezet igénybe veszi a szolgáltatást. Ellenkező esetben a felhasználó szervezet nem veszi igénybe a szolgáltatást, illetve kötelező igénybevétel esetén a felhasználó szervezet gondoskodik a felhasználó szervezet hatáskörében megvalósítható, kockázatarányos helyettesítő intézkedések alkalmazásáról.

(2) A központi szolgáltató

(3) A központi szolgáltató által a felhasználó szervezet részére biztosított központi szolgáltatás vagy támogató rendszer vonatkozásában a felhasználó szervezet

(4) Jogszabály alapján kötelezően igénybe vett központi szolgáltatás vagy támogató rendszer esetén a központi szolgáltató és a felhasználó szervezet közötti feladat- és felelősségmegosztást az adott központi szolgáltatásra vagy támogató rendszerre vonatkozó jogszabály rögzíti. Ennek hiányában, valamint önkéntesen igénybe vett központi szolgáltatás vagy támogató rendszer esetében a központi szolgáltató és a felhasználó szervezet direktfinanszírozási szerződést köt.

(5) A központi szolgáltató által az állami és önkormányzati feladatot ellátó szervezet részére jogszabály alapján kizárólagos joggal nyújtott informatikai és elektronikus hírközlési szolgáltatási feladatokra vonatkozó részletes szabályokat kormányrendelet határozza meg.

(6) A központi szolgáltató által nyújtott központi szolgáltatásokról és támogató rendszerekről a nemzeti kiberbiztonsági hatóság nyilvántartást vezet.

(7) A nemzeti kiberbiztonsági hatóság jogosult az elektronikus információbiztonsági követelmények teljesülését mind a központi szolgáltatónál, mind a felhasználó szervezetnél ellenőrizni.

20. § (1) A legfelső szintű domén alatt bejegyzett doménnevekről a legfelső szintű doménnév-nyilvántartó központi nyilvántartást vezet.

(2) A központi doménnév-nyilvántartás tartalmazza:

(3) A (2) bekezdés szerinti adatok kezelésének célja a doménnevet kezelő adminisztratív kapcsolattartó, valamint a doménnév-használó természetes vagy jogi személy azonosító és kapcsolattartási adatainak naprakészen tartása.

(4) A központi doménnév-nyilvántartás adatai hitelességének ellenőrzése és integritásának biztosítása érdekében a legfelső szintű doménnév-nyilvántartó köteles az ellenőrzésre vonatkozó – az SZTFH által előzetesen jóváhagyott – eljárásrendet nyilvánosan közzétenni.

(5) A legfelső szintű doménnév-nyilvántartó a központi doménnév-nyilvántartásban szereplő adatokat – a személyes adatok kivételével – nyilvánosan hozzáférhetővé teszi.

(6) A legfelső szintű doménnév-nyilvántartó a központi doménnév-nyilvántartásban szereplő adatokhoz az ügyészség, a nemzetbiztonsági szolgálatok, a nyomozó hatóságok és a büntetőeljárásról szóló törvény szerinti előkészítő eljárást folytató szervezetek, a kiberbiztonsági hatóság és a kiberbiztonsági incidenskezelő központ részére közvetlen hozzáférést biztosít.

21. § (1) Az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségét az auditor ellenőrzi a kiberbiztonsági audit végrehajtása során.

(2) Kiberbiztonsági auditot az az auditor végezhet, amely a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel rendelkezik, valamint az 57. § (1) bekezdés c) pontja szerinti gazdálkodó szervezetnek (a továbbiakban: sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet) minősül. Az auditorral szemben támasztott követelményeket az SZTFH elnöke rendeletben határozza meg.

(3) Az audit végrehajtására jogosult gazdálkodó szervezeteket a (2) bekezdés szerinti követelmények igazolt teljesítése esetén az SZTFH nyilvántartásba veszi az SZTFH elnökének rendeletében foglalt részletes szabályok szerint.

(4) A (3) bekezdés szerinti nyilvántartás tartalmazza:

(5) A szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól szóló törvénytől eltérően, ha a (3) bekezdés szerinti nyilvántartásba történő felvételről az SZTFH a rá irányadó ügyintézési határidőn belül nem döntött, a kérelmezőt nem illeti meg a kérelmében megjelölt tevékenység megkezdésének, illetve folytatásának joga, és az általános közigazgatási rendtartásról szóló törvénynek a hatóság mulasztására vonatkozó általános szabályait kell alkalmazni.

(6) Ha az auditor auditori tevékenységet már nem végez, akkor a (4) bekezdés szerinti adatokat az SZTFH a tevékenység befejezésének bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(7) Ha a (4) bekezdés szerinti adatok változását az auditor bejelenti, a nyilvántartásban a változás bejegyzését megelőzően szereplő adatot az SZTFH az adat változása bejegyzését követő öt év elteltével a nyilvántartásból törli.

(8) A (4) bekezdés szerinti adatok kezelésének célja az auditorokra vonatkozó információk naprakészen tartása, valamint az SZTFH ellenőrzési tevékenységének ellátása.

(9) A (4) bekezdés szerinti nyilvántartásból – ha jogszabály eltérően nem rendelkezik – adattovábbítás kizárólag a kiberbiztonsági hatóságok, valamint a kiberbiztonsági incidenskezelő központok részére végezhető.

22. § (1) A 21. § (1) bekezdése szerinti megfelelőség ellenőrzésére az auditor jogosult a tevékenység nyomon követésére alkalmas módon a következő vizsgálatokat elvégezni:

(2) Az audit eredményét az auditor az SZTFH és a szervezet részére az audit befejezését követően haladéktalanul megküldi.

(3) Az auditor írásban haladéktalanul tájékoztatja az SZTFH-t, ha a szervezet elektronikus információs rendszerével kapcsolatosan olyan tényt állapít meg, amely

(4) Az audit eredményét, valamint a (3) bekezdés szerinti tájékoztatást az SZTFH

(5) Az auditor az ellenőrzött szervezet kezelésében lévő, az audit lefolytatásához szükséges, az ellenőrzött szervezettől megkapott dokumentumokat – ideértve a személyes adatokat és az üzleti titoknak minősülő adatokat is – az audit során ellenőrzött követelmények teljesülésének vizsgálata céljából, az audit lefolytatásához szükséges mértékben, annak befejezéséig kezeli, azokat harmadik személy részére nem továbbíthatja.

(6) Az auditor köteles szabályzatban rögzíteni azokat a munkaköröket, amelyeket betöltő személyek az audit során az üzleti titkokhoz hozzáférhetnek, annak tartalmát megismerhetik. Az auditban részt vevő személyeket az audit során tudomásukra jutott személyes adatok, valamint üzleti titok tekintetében titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(7) A jelen alcím szerinti kiberbiztonsági audit nem érinti a más jogszabály által előírt tanúsítási kötelezettséget.

(8) Az auditor kötelezettségeinek teljesítését az SZTFH ellenőrzi a 25. § (1) és (3) bekezdésének alkalmazásával.

(9) Az SZTFH elnöke rendeletben határozza meg az audit – általános forgalmi adó nélkül számított – legmagasabb díját, valamint a kiberbiztonsági audit lefolytatásának rendjét.

23. § (1) Az e törvény hatálya alá tartozó elektronikus információs rendszerek kiberbiztonsági felügyeletét – a honvédelmi célú elektronikus információs rendszerek kivételével –

(2) A honvédelmi célú elektronikus információs rendszerek esetében az e törvény szerinti kiberbiztonsági felügyeletet ellátó honvédelmi kiberbiztonsági hatóságot a honvédelmi ágazaton belül a Kormány rendeletben jelöli ki. A honvédelmi kiberbiztonsági hatóság tevékenységére a nemzeti kiberbiztonsági hatóságra vonatkozó rendelkezéseket kell alkalmazni.

(3) A nemzeti kiberbiztonsági hatóság önálló feladattal és hatósági jogkörrel rendelkező szerv, amely hatósági tevékenysége során kizárólag a jogszabályoknak van alávetve, minden más szervtől független és a feladatkörébe tartozó hatósági ügyek tekintetében – a feladat elvégzésére vagy a mulasztás pótlására irányuló utasítás kivételével – nem utasítható.

24. § (1) A nemzeti kiberbiztonsági hatóság

(2) A nemzeti kiberbiztonsági hatóság az ellenőrzési feladatainak ellátása körében a Kszetv. és a Vbö. szerinti kijelölő hatóság javaslatainak előzetes kikérésével, kockázatelemzés alapján éves ellenőrzési tervet készít.

(3) A honvédelmi kiberbiztonsági hatóság ellátja az (1) bekezdés 1–11., 15–21. pontjában foglalt feladatokat, tevékenységére nem kell alkalmazni a 11. § (13) bekezdésének, valamint a 28. § (4) és (7) bekezdésének rendelkezéseit. A honvédelmi kiberbiztonsági hatóság az (1) bekezdés 10. pont esetén a honvédelmi kiberbiztonsági incidenskezelő központot tájékoztatja.

(4) A nemzeti kiberbiztonsági hatóság, valamint a honvédelmi kiberbiztonsági hatóság feladat- és hatáskörét, valamint az eljárására vonatkozó részletes szabályokat kormányrendelet tartalmazza.

(5) Az SZTFH

(6) Az SZTFH hatósági ellenőrzése lefolytatásának részletes szabályait az SZTFH elnökének rendelete határozza meg.

(7) A kiberbiztonsági hatóság jogosult felügyeleti intézkedések megtételére vagy jogkövetkezmények alkalmazására

(8) A kiberbiztonsági hatóság jogszabályban meghatározott feladatai ellátása érdekében jogosult kockázatelemzés alapján rangsorolni a felügyeleti feladatok végrehajtását.

(9) Az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerinti élelmiszerlánc-felügyeleti szerv minden év február 1. napjáig tájékoztatja az SZTFH-t – a 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági felügyelettel kapcsolatos feladatok ellátása céljából – a 3. mellékletben foglalt táblázat 3. sora szerinti szervezetek megnevezéséről és székhelyéről.

25. § (1) A kiberbiztonsági hatóság eljárása során a sommás eljárás alkalmazása kizárt.

(2) A nemzeti kiberbiztonsági hatóság által lefolytatott hatósági eljárás ügyintézési határideje a védelmi intézkedések teljesítésére irányuló ellenőrzés, valamint a kiberbiztonsági incidensek kivizsgálására irányuló hatósági eljárás esetén százhúsz nap.

(3) Az SZTFH által lefolytatott hatósági ellenőrzés ügyintézési határideje százhúsz nap, az auditorok, a sérülékenységvizsgálat végzésére, az incidens vizsgálatára jogosult gazdálkodó szervezet hatósági nyilvántartásával, valamint a poszt-kvantumtitkosítás alkalmazását tanúsító szervezet, illetve a poszt-kvantumtitkosítás alkalmazás nyújtására jogosult szervezetek ellenőrzésével kapcsolatos eljárás esetén kilencven nap.

(4) A (3) bekezdés szerinti eljárás felfüggeszthető a cégellenőrzés befejezéséig terjedő időtartamra.

26. § (1) A nemzeti kiberbiztonsági hatóság alapvető vagy fontos szervezetként azonosíthat (a továbbiakban: azonosítási eljárás) egy szervezetet, ha az nem tartozik az 1. § (1) bekezdésének hatálya alá, illetve nem került a Kszetv. alapján kritikus szervezetként vagy a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölésre és az 1. § (6) bekezdésében meghatározott feltételek közül legalább egy teljesül.

(2) Az 1. § (6) bekezdés 6–9. pontja szerinti feltételek együttes fennállása esetén a nemzeti kiberbiztonsági hatóság alapvető szervezetként azonosítja a szervezetet.

(3) A nemzeti kiberbiztonsági hatóság az azonosítási eljárás során a 2. §-ban foglalt rendelkezésekre figyelemmel jár el.

27. § (1) A nemzeti kiberbiztonsági hatóság az azonosítási eljárás során hivatalból jár el.

(2) A nemzeti kiberbiztonsági hatóság határozatban rendelkezik a szervezet alapvető vagy fontos szervezetek nyilvántartásába történő felvételéről, ennek keretében meghatározza a szervezetnek az e törvény alapján teljesítendő feladatait és erről tájékoztatja a szervezetet.

(3) Az azonosítási eljárás lefolytatása érdekében a nemzeti kiberbiztonsági hatóság – személyes adatok kivételével – jogosult

(4) Ha az alapvető vagy fontos szervezetként azonosított szervezet az azonosítással nem ért egyet, abban az esetben a szervezet köteles bizonyítani, hogy nem felel meg az alapvető vagy fontos szervezetként történő azonosításról szóló döntésben megállapított feltételeknek.

28. § (1) A nemzeti kiberbiztonsági hatóság az e törvényben meghatározott feladatainak végrehajtása céljából nyilvántartja és kezeli

(2) A honvédelmi kiberbiztonsági hatóság az e törvényben meghatározott feladatainak végrehajtása céljából nyilvántartja az (1) bekezdés 1. pont a)–m), o) és p) alpontja szerinti, továbbá a 2.–5. és 7. pontja szerinti adatokat.

(3) A nemzeti kiberbiztonsági hatóság, valamint a nemzeti kiberbiztonsági incidenskezelő központ a honvédelmi kiberbiztonsági hatóság nyilvántartásából az (1) bekezdés 1. pont a)–c), j)–k) és p) alpontjai szerinti adatokat megismerheti.

(4) A nemzeti kiberbiztonsági hatóság – az SZTFH által nyújtott adatszolgáltatást is figyelembe véve – összeállítja az alapvető és fontos szervezetek jegyzékét, és azt kétévente felülvizsgálja.

(5) Az (1) és a (2) bekezdés szerinti nyilvántartásból – ha jogszabály eltérően nem rendelkezik – adattovábbítás kizárólag

(6) A nemzeti kiberbiztonsági hatóság a kritikus szervezet és az ország védelme és biztonsága szempontjából jelentős szervezet által megküldött információbiztonsági szabályzatot továbbítja a Kszetv. és a Vbö. szerinti nyilvántartó hatóságnak.

(7) A nemzeti kiberbiztonsági hatóság a honlapján közzéteszi az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas természetes személyek listáját.

29. § (1) Az SZTFH – az e törvényben meghatározott feladatainak végrehajtása céljából – az SZTFH elnökének rendeletében foglaltak szerint nyilvántartja és kezeli

(2) Az SZTFH összeállítja az 1. § (1) bekezdés d) és e) pontja hatálya alá tartozó alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzékét, és azt kétévente felülvizsgálja. A jegyzék összeállítását és felülvizsgálatát követően az SZTFH tájékoztatja a nemzeti kiberbiztonsági hatóságot a kormányrendeletben meghatározott adatokról.

(3) Az (1) bekezdés szerinti nyilvántartásból – ha jogszabály eltérően nem rendelkezik – adattovábbítás kizárólag a kiberbiztonsági hatóságok, valamint a kiberbiztonsági incidenskezelő központok részére végezhető.

(4) Az SZTFH közvetlen hozzáférést biztosít a nemzeti kiberbiztonsági hatóság, valamint a nemzeti kiberbiztonsági incidenskezelő központ részére a szervezetnek az SZTFH által kezelt nyilvántartási adataihoz.

(5) Ha az (1) bekezdés a) pontja szerinti nyilvántartásban szereplő szervezet bejelenti, hogy már nem minősül az 1. § (1) bekezdés b), d) vagy e) pontja szerinti szervezetnek, akkor az (1) bekezdés a) pontja szerinti adatokat az SZTFH a bejelentést követő öt év elteltével köteles a nyilvántartásból törölni.

30. § (1) Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, a kiberbiztonsági hatóság

(2) Ha az (1) bekezdés szerinti intézkedések alkalmazása ellenére az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, a kiberbiztonsági hatóság az eset összes körülményének mérlegelésével kormányrendeletben meghatározott mértékű bírságot szabhat ki.

(3) Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a nemzeti kiberbiztonsági hatóság az eset összes körülményének mérlegelésével kormányrendeletben meghatározott mértékű bírsággal sújthatja, ismételt jogsértés esetén sújtani köteles.

(4) A kiberbiztonsági hatóság által kiszabható bírság mértékét, megállapításának szempontrendszerét, valamint a bírság megfizetése módjának részletes eljárási szabályait kormányrendelet határozza meg.

(5) A kiberbiztonsági hatóság

(6) Ha a nem közigazgatási szervnek minősülő alapvető szervezet a kiberbiztonsági hatóság által szabott határidőn belül nem tesz eleget a hatósági kötelezésnek, a kiberbiztonsági hatóság

(7) Az (1), (2), valamint a (5) és (6) bekezdésben foglalt jogkövetkezmények együttesen és ismételten is alkalmazhatóak.

(8) Ha a szervezet megteszi a szükséges intézkedéseket a hiányosságok orvoslása érdekében, illetve a hatósági kötelezést teljesíti, a kiberbiztonsági hatóság intézkedik a (6) bekezdés szerinti ideiglenes intézkedések megszüntetése iránt.

(9) A kiberbiztonsági hatóság a jogkövetkezmények alkalmazása során az arányosság és a fokozatosság szempontjait figyelembe véve jár el, szem előtt tartva a jogkövetkezmény hatékonyságát és visszatartó erejét.

(10) Ha a hatósági kötelezést az 1. § (1) bekezdés a)–c) pontja szerinti szervezet figyelmen kívül hagyja, vagy a nemzeti kiberbiztonsági hatóság által javasolt védelmi intézkedéseket önhibájából nem teljesíti és ezzel kiberbiztonsági incidens vagy kiberbiztonsági incidensközeli helyzet áll elő, a nemzeti kiberbiztonsági hatóság a szervezetet a kiberbiztonsági incidens vagy kiberbiztonsági incidensközeli helyzet bekövetkezésének elhárítására fordított költségének megtérítésére kötelezheti.

(11) Ha az 1. § (1) bekezdés d) és e) pontja szerinti szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH az (1)–(5) bekezdésben foglaltakon túl

31. § (1) A kiberbiztonsági hatóság a 30. § (1) bekezdés d) pontja szerinti információbiztonsági felügyelőt határozott időtartamra vagy meghatározott feltétel bekövetkezéséig rendeli ki. Az információbiztonsági felügyelő felügyeli a szervezetnél a jogszabályokban foglalt biztonsági követelmények teljesítését és az ehhez kapcsolódó eljárási szabályok betartását. Az információbiztonsági felügyelő tevékenységének szakmai irányítását a kiberbiztonsági hatóság látja el.

(2) Az 1. § (1) bekezdés

32. § (1) Ha az SZTFH azt észleli vagy – akár a nemzeti kiberbiztonsági hatóság jelzése alapján – tudomást szerez arról, hogy az auditor a jogszabályokban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

(2) Ha az (1) bekezdés szerinti intézkedések alkalmazása ellenére az auditor a jogszabályokban foglalt követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az azonosított hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

(3) Ha az SZTFH az (1) bekezdés szerint olyan jogsértést tár fel, amely hatással van az auditor által ellenőrzött szervezetre, az SZTFH az adott auditor által ellenőrzött szervezetnél kijelölt elektronikus információs rendszer biztonságáért felelős személyt haladéktalanul értesíti, és tájékoztatást ad az esetleges kiberbiztonsági incidens vagy adatszivárgás körülményeiről.

33. § (1) A kiberbiztonsági hatóság határozatban elrendelheti az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján közzétett adatnak, amely a magyar kibertér biztonságára fenyegetést jelent, és amellyel kapcsolatosan a nemzeti kiberbiztonsági incidenskezelő központ kiberbiztonsági incidenskezelést folytat.

(2) A honvédelmi kiberbiztonsági hatóság rendeli el az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján közzétett adatnak, amely honvédelmi érdeket sért vagy veszélyeztet, vagy honvédelmi célú elektronikus információs rendszer biztonságára fenyegetést jelent.

(3) Az elektronikus adat ideiglenes hozzáférhetetlenné tételét a kiberbiztonsági hatóság azonnal végrehajthatónak nyilvánított határozatában rendeli el. Az elektronikus adat ideiglenes hozzáférhetetlenné tételét a kiberbiztonsági hatóság legfeljebb kilencven napra rendeli el, amely időtartam indokolt esetben további kilencven nappal meghosszabbítható.

(4) Az elektronikus adat ideiglenes hozzáférhetetlenné tételét elrendelő határozatot a kiberbiztonsági hatóság hirdetményi úton közli, valamint megküldi a Nemzeti Média- és Hírközlési Hatóságnak (a továbbiakban: NMHH).

(5) A hirdetményt 3 napig kell a kiberbiztonsági hatóság honlapján közzétenni. A határozat közlésének napja a hirdetmény közzétételét követő nap.

(6) Az NMHH a határozatot az elektronikus hírközlésről szóló törvény szerinti kézbesítési rendszeren keresztül küldi meg a határozat kötelezettje részére.

(7) A (3) bekezdés szerinti határozat kötelezettje – annak határozatban történő megjelölése nélkül – valamennyi elektronikus hírközlési szolgáltató.

(8) Az ideiglenes hozzáférhetetlenné tétel végrehajtását az NMHH az elektronikus hírközlésről szóló törvény alapján szervezi és ellenőrzi.

(9) Az ideiglenes hozzáférhetetlenné tételre vonatkozó kötelezettség a határozatban megjelölt határidő leteltével megszűnik.

(10) Az ideiglenes hozzáférhetetlenné tételt a kiberbiztonsági hatóság annak megszűnése előtt megszünteti, ha

(11) Ha a kiberbiztonsági hatóság az (1) vagy (2) bekezdés alapján elektronikus adat hozzáférhetetlenné tételét rendelte el, és a határozat véglegessé válását követően megállapítja, hogy a határozatban foglalt elektronikus adat közzétételével megvalósult jogellenes tevékenység a jogellenesség megállapítása szempontjából azonos tartalommal más elektronikus adat – így különösen más IP-cím, domain-domain vagy domain-aldomain – hozzáférhetővé tételével vagy közzétételével is megvalósul, akkor ismételt hatósági eljárás és – a (3) bekezdés szerinti – döntéshozatal mellőzésével a hozzáférhetetlenné tételhez szükséges adatok megküldésével elektronikus úton, biztonságos kézbesítési szolgáltatás útján értesíti az NMHH-t (a továbbiakban: egyszerűsített utánkövetés), amely ezen adatokat kizárólag elektronikus úton közli a hozzáférést biztosító elektronikus hírközlési szolgáltatókkal. Az egyszerűsített utánkövetésre tekintettel megküldött, a hozzáférhetetlenné tételhez szükséges adatok szerinti elektronikus adat hozzáférhetetlenné tételét az elektronikus hírközlési szolgáltatók a kapcsolódó, (3) bekezdés szerint hozott határozat végrehajthatósága fennállásáig kötelesek biztosítani.

34. § (1) Jelentős kiberfenyegetés elhárítása vagy folyamatban lévő kiberbiztonsági incidenssorozat megszakítása érdekében a nemzeti kiberbiztonsági incidenskezelő központ vezetője azonnali hatállyal elrendelheti az ideiglenes hozzáférhetetlenné tételt a kiberbiztonsági hatóság döntéséig vagy legfeljebb hetvenkét óra időtartamban.

(2) Az azonnali hatályú ideiglenes hozzáférhetetlenné tételt a technika állása szerinti lehető legrövidebb idő alatt végre kell hajtani.

35. § (1) A kiberbiztonsági hatóság 1 millió forinttól 5 millió forintig terjedő bírsággal sújthatja azt az elektronikus hírközlési szolgáltatót, amely az ezen alcím szerinti kötelezettségének nem tesz eleget. A bírság a kötelezettség teljesítésére megszabott határidő eredménytelen elteleltét követően – újabb határidő megjelölése mellett – ismételten is kiszabható.

(2) A kiberbiztonsági hatóságot, az NMHH-t és az elektronikus hírközlési szolgáltatót nem terheli felelősség azért a kárért, amely abból származik, hogy a hozzáférhetetlenné tett elektronikus adat a 33. § (1) és (2) bekezdésében foglaltak mellett olyan egyéb tartalmat is magában foglal, amelynek technikai elválasztására nincs lehetőség, vagy az nem várható el a hozzáférhetetlenné tétel végrehajtása során.

36. § (1) Az elektronikus adat ideiglenes eltávolítására az érintett elektronikus adatot kezelő, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvényben meghatározott tárhelyszolgáltatót, illetve tárhelyszolgáltatást is végző közvetítő szolgáltatót (a továbbiakban együtt: eltávolításra kötelezett) kell kötelezni. Az eltávolításra kötelezett a határozat vele történő közlését követő egy munkanapon belül köteles az elektronikus adat ideiglenes eltávolítására.

(2) A (1) bekezdésben meghatározott határozatot az elektronikus adat felett rendelkezésre jogosultnak akkor kell kézbesíteni, ha az eljárás addigi adatai alapján személye és elérhetősége ismert.

(3) Az ideiglenes eltávolításra a 33. § (1)–(5) és (9)–(11) bekezdése, valamint a 34–35. § megfelelően alkalmazandó.

37. § Az e fejezetben szabályozott kiberbiztonsági tanúsításra, valamint az (EU) 2019/881 európai parlamenti és tanácsi rendelet szerinti nemzeti kiberbiztonsági tanúsító hatóság (a továbbiakban: tanúsító hatóság) tevékenységére nem kell alkalmazni a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseit.

38. § A nemzeti kiberbiztonsági tanúsítási rendszernek a következő biztonsági célokat kell teljesítenie:

39. § (1) A nemzeti kiberbiztonsági tanúsítási rendszernek tartalmaznia kell:

(2) Ha a nemzeti kiberbiztonsági tanúsítási rendszer több megbízhatósági szintre is érvényes, akkor a követelményeknek tartalmazniuk kell a különböző megbízhatósági szintekre vonatkozó elvárások pontos megkülönböztetését.

(3) A nemzeti kiberbiztonsági tanúsítási rendszerben meg kell határozni

40. § (1) A nemzeti kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szintet határozhatnak meg.

(2) A megbízhatósági szint arra vonatkozóan szolgál biztosítékkal, hogy az adott IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok teljesítik a vonatkozó biztonsági követelményeket, biztonsági funkciókat és olyan szintű értékelésen estek át, amely

(3) A megbízhatósági szintnek a biztonsági események valószínűsége és hatása szempontjából arányban kell állnia az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat rendeltetés szerinti használatához kapcsolódó kockázat szintjével.

(4) Az elvégzendő értékelési tevékenységeknek legalább a következőket kell magukban foglalniuk:

41. § (1) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban meg kell jelölni:

(2) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban fel kell tüntetni:

(3) A tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója vagy az olyan IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója, amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, köteles az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságát érintő sebezhetőségről vagy rendellenességről haladéktalanul tájékoztatni a tanúsító hatóságot.

42. § (1) Azon az IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban, amely tanúsított, vagy amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, – az SZTFH elnökének vagy a 45. § (1) bekezdés b) pontja szerinti esetben a Kormány rendeletében meghatározott módon és formában – megfelelőségi jelölést kell elhelyezni.

(2) Tilos az (1) bekezdés szerinti megfelelőségi jelölés jogosulatlan elhelyezése, valamint olyan jelölés elhelyezése, amely hasonlít a megfelelőségi jelölés formájára, vagy azt a látszatot kelti, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat tanúsított, vagy annak vonatkozásában megfelelőségi nyilatkozatot állítottak ki, és így harmadik felet megtéveszthet.

43. § (1) Megfelelőségi önértékelésre abban az esetben kerülhet sor, ha azt a nemzeti kiberbiztonsági tanúsítási rendszer az „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetővé teszi.

(2) A gyártó nemzeti megfelelőségi nyilatkozatot állít ki arról, hogy megtörtént annak vizsgálata, hogy a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülnek. A vizsgálatnak tartalmaznia kell a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülésének a tanúsítási rendszerben meghatározott módszertan szerinti értékelését.

(3) A megfelelőségi önértékelést végző gyártó a (2) bekezdés szerinti megfelelőségi nyilatkozat kiállítását követő 15 napon belül, nyilvántartásba vétel céljából – elektronikusan kereshető formában is – megküldi a tanúsító hatóság részére a megfelelőségi nyilatkozat másolati példányát, a műszaki dokumentációt, a nemzeti kiberbiztonsági tanúsítási rendszerben meghatározott értékelési módszer alapján elkészített értékelési jelentést, valamint a megjelölt tanúsítási rendszernek való megfeleléssel kapcsolatos összes egyéb lényeges értékelési információt.

44. § (1) Harmadik fél által végzett megfelelőségértékelési tevékenységet csak olyan szervezet végezhet,

(2) A megfelelőségi önértékelésre, a tanúsítási eljárásra, valamint a megfelelőségértékelő szervezetek kötelezettségeire és tevékenységére vonatkozó részletes szabályokat

(3) A szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól szóló törvénytől eltérően, ha az (1) bekezdés c) pontja szerinti nyilvántartásba történő felvételről a tanúsító hatóság a rá irányadó ügyintézési határidőn belül nem döntött, a kérelmezőt nem illeti meg a kérelmében megjelölt tevékenység megkezdésének, illetve folytatásának joga, és az általános közigazgatási rendtartásról szóló törvénynek a hatóság mulasztására vonatkozó általános szabályait kell alkalmazni.

45. § (1) A tanúsító hatóság feladatait

(2) A hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a nemzeti kiberbiztonsági tanúsítási rendszereket az SZTFH elnöke rendeletben határozza meg. A hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a nemzeti kiberbiztonsági tanúsítási rendszerekre figyelemmel a tanúsítási rendszereket a Kormány rendeletben határozza meg.

46. § (1) A tanúsító hatóság az európai kiberbiztonsági tanúsítási rendszerekkel kapcsolatosan

(2) A tanúsító hatóság a nemzeti kiberbiztonsági tanúsítási rendszerek fenntartásával kapcsolatosan

(3) Az (1) bekezdés b) és e) pontja szerinti feladatok tekintetében tanúsító hatóságként az SZTFH jár el.

47. § (1) A tanúsító hatóság eljárása során a sommás eljárás kizárt.

(2) A tanúsító hatóság ügyintézési határideje 120 nap.

(3) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a nemzeti akkreditáló szerv által akkreditált megfelelőségértékelő szervezetet a hatósági nyilvántartásba vételről szóló határozat véglegessé válásától számított 15 napon belül bejelenti az Európai Bizottság részére. A kérelmező szervezet az akkreditált státuszát a nemzeti akkreditáló szerv határozatának csatolásával igazolja.

(4) A tanúsító hatóság a megfelelőségértékelő szervezet vonatkozásában engedélyezési eljárást folytat le, ha az IKT-termékre, IKT-szolgáltatásra vagy IKT-folyamatra vonatkozó nemzeti vagy európai kiberbiztonsági tanúsítási rendszer

(5) A (4) bekezdés b) pontja szerinti esetben az engedély megadásának feltétele, hogy a megfelelőségértékelő szervezet az 57. § (1) bekezdés c) pontja szerinti gazdálkodó szervezetnek minősüljön.

(6) A (4) bekezdés szerinti engedélyezési eljárásban kiadott engedély hatálya legfeljebb az akkreditált státusz lejártáig terjedhet.

(7) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a (4) bekezdés szerinti engedélyezési eljárás lefolytatása esetén a megfelelőségértékelő szervezetet az engedély megadásáról szóló határozat véglegessé válását követő 15 napon belül bejelenti az Európai Bizottságnak.

(8) A tanúsító hatóság kiberbiztonsági tanúsítási felügyeleti feladatai keretében jogosult

(9) A tanúsító hatóság eljár azzal – a 44. § szerinti követelményeknek nem megfelelő – szervezettel szemben, amely jogosulatlanul végez megfelelőségértékelési tevékenységet.

(10) A 45. § (1) bekezdés b) pontja szerinti tanúsító hatóság által lefolytatott eljárásokért igazgatási szolgáltatási díjat kell fizetni. Az igazgatási szolgáltatási díj mértékét és az annak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat az e törvény végrehajtására a honvédelemért felelős miniszter által kiadott rendelet határozza meg.

48. § (1) A tanúsító hatóság nyilvántartja és kezeli:

(2) Az (1) bekezdés szerinti nyilvántartás az (1) bekezdés f) és g) pontja szerinti adatok tekintetében közhiteles nyilvántartásnak minősül.

(3) Az (1) bekezdés szerinti adatok kezelésének célja az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságával összefüggő információk naprakészen tartása, valamint az azokat érintő sebezhetőséggel vagy rendellenességgel kapcsolatos feladatok, továbbá a tanúsító hatóság ellenőrzési és felügyeleti hatósági tevékenységének ellátása.

(4) Az (1) bekezdés szerinti nyilvántartásban szereplő bármely adatot érintően – ha jogszabály eltérően nem rendelkezik – a következő szervezetek részére végezhető adattovábbítás:

(5) A megfelelőségértékelő szervezet és a gyártó az (1) bekezdés szerinti adatokat az adatok rendelkezésre állásától, valamint az adatok változását a változás bekövetkezésétől számított 8 napon belül megküldi a tanúsító hatóság részére a nyilvántartásba vétel érdekében.

49. § (1) Ha a tanúsító hatóság tudomására jut vagy az ellenőrzése során megállapítja, hogy a megfelelőségértékelő szervezet vagy a gyártó a vonatkozó európai uniós vagy magyar jogszabályokban foglalt biztonsági követelményeket és a kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, – a figyelmeztetést tartalmazó döntésében határidő tűzésével – felszólítja a megfelelőségértékelő szervezetet vagy a gyártót a vonatkozó európai uniós és magyar jogszabályokban foglalt biztonsági követelmények és a kapcsolódó eljárási szabályok teljesítésére.

(2) Ha az (1) bekezdésben meghatározottak ellenére a megfelelőségértékelő szervezet vagy a gyártó a jogszabályban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a tanúsító hatóság – az eset összes körülményének mérlegelésével a kormányrendeletben meghatározott mértékű – bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

(3) A tanúsító hatóság a jogosulatlan megfelelőségértékelési tevékenységet végző személlyel szemben a Kormány rendeletében meghatározott mértékű közigazgatási bírságot szabhat ki. A Hatóság a bírság összegének megállapításakor a közigazgatási szabályszegések szankcióiról szóló törvényben foglalt szempontokat mérlegeli. Figyelmeztetés közigazgatási szankció alkalmazásának nincs helye.

50. § (1) A tanúsító hatóság a feladatellátása során megismert minősített adatot, személyes adatot vagy különleges adatot, valamint az üzleti titoknak, banktitoknak, fizetési titoknak, biztosítási titoknak, értékpapírtitoknak, pénztártitoknak, orvosi titoknak és más hivatás gyakorlásához kötött titoknak minősülő és törvény által védett egyéb adatot kizárólag a feladat ellátásának időtartama alatt, a célhoz kötöttség elvének figyelembevételével kezeli. A tanúsító hatóság a hatósági ellenőrzés eredményeként tett megállapításokat alátámasztó adatokat rögzíti, és az így rögzített adatokat a megfelelőségértékelő szervezet akkreditált státuszának megszűnését követő 10. év utolsó napjáig, vagy a gyártó által kiadott megfelelőségi nyilatkozat hatályosságának megszűnését követő 10. év utolsó napjáig kezeli azzal, hogy ha az ellenőrzéssel érintett IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében megfelelőségértékelő szervezet által kiadott tanúsítvány és megfelelőségi önértékelés is rendelkezésre áll, az akkreditált státusz megszűnésének és a megfelelőségi nyilatkozat hatályossága megszűnésének időpontja közül a későbbi időpontot kell figyelembe venni. Ezt követően a tanúsító hatóság az adatokat az elektronikus információs rendszereiből és adathordozóiról törli.

(2) A tanúsító hatóság eljárása során keletkezett adatok – ha törvény eltérően nem rendelkezik – nem nyilvánosak.

(3) A tanúsító hatóság munkatársait az (1) bekezdés szerint megismert adatok tekintetében – a jogszabályban meghatározott kivételekkel – titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, minősített adatok tekintetében azok érvényességi idejének végéig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(4) A tanúsító hatóság a tanúsító hatósági tevékenységét, a hatósági ellenőrzést, valamint a nyilvántartás vezetésével kapcsolatos feladatainak ellátását az SZTFH elnöke – a 45. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány – rendeletében foglaltak szerint végzi.

(5) A gyártó a megfelelőségi önértékelés során, valamint a megfelelőségértékelő szervezet a tanúsítási eljárás során az SZTFH elnöke – a 45. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány – rendeletében foglaltak szerint jár el.

51. § A poszt-kvantumtitkosítás alkalmazására kötelezett szervezet elektronikus információs rendszere teljes életciklusában meg kell valósítani és biztosítani kell

52. § A poszt-kvantumtitkosítás alkalmazására kötelezett szervezet a jogszabályban meghatározott feladatainak ellátása körében köteles a fizikailag elkülönített helyszínei közötti kormányzati célú hálózaton, továbbá a publikus internet felületen zajló, az elektronikus hírközlési törvény szerinti szolgáltató igénybevételével vagy egyéb információs társadalommal összefüggő szolgáltatás igénybevétele esetén poszt-kvantumtitkosítás alkalmazást annak kiépítéséhez az alkalmazás nyújtására jogosult, nyilvántartásba vett szervezettől beszerezni, és a kezelésében álló hálózatain a védelmet kialakítani, annak érdekében, hogy az elektronikus úton történő információáramlás a kvantumszámítógép okozta kibertámadás ellen biztosított legyen.

53. § (1) Kizárólag olyan szervezet nyújthat poszt-kvantumtitkosítás alkalmazást (a továbbiakban: poszt-kvantumtitkosítás alkalmazást nyújtó szervezet) a poszt-kvantumtitkosítás alkalmazására kötelezett szervezet számára, amely

(2) Az (1) bekezdésben foglaltak alapján poszt-kvantumtitkosítás alkalmazás nyújtására vonatkozó tevékenységet kizárólag olyan szervezet végezhet,

(3) A poszt-kvantumtitkosítás alkalmazás nyújtására vonatkozó tevékenységet csak olyan szervezet végezhet, amely által használt elektronikus információs rendszer biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint annak észrevétlen módosítását. A poszt-kvantumtitkosítás alkalmazást nyújtó szervezet elektronikus információs rendszerének meg kell felelnie az e törvény szerinti követelményeknek.

54. § (1) Az 53. § (3) bekezdésében meghatározott követelményeknek való megfelelést a poszt-kvantumtitkosítás alkalmazást nyújtani kívánó szervezetnek az 56. § (3) bekezdés b) pontja szerinti nyilvántartásban szereplő tanúsító szervezet (a továbbiakban: tanúsító szervezet) által kiadott, az informatikai rendszerre vonatkozó zártsági tanúsítással kell igazolnia.

(2) A tanúsító szervezet szakvéleményt bocsát ki a poszt-kvantumtitkosítás alkalmazást nyújtani kívánó szervezetnek arra vonatkozóan, hogy a végpontok közötti alkalmazása kriptográfiai alkalmazáson felüli biztonságot nyújtó poszt-kvantumtitkosításra alkalmas.

(3) Ha tanúsító szervezet a tanúsított szervezet informatikai rendszerével kapcsolatosan olyan tényt állapít meg, amely a szervezet folyamatos működését kedvezőtlenül érinti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy ezek veszélyére utaló körülményeket észlel, haladéktalanul értesíti az SZTFH-t.

55. § (1) Tanúsító szervezet kizárólag olyan szervezet lehet, amely nemzetbiztonsági kockázatot nem jelent, és megfelel az 53. § (2) bekezdése szerinti követelményeknek.

(2) A tanúsító szervezet a poszt-kvantumtitkosítás alkalmazást nyújtani kívánó szervezet, vagy a tanúsított szervezet kezelésében lévő, a tanúsítás lefolytatásához szükséges adatokat – ideértve a megismert minősített adatot, személyes adatot vagy különleges adatot, üzleti titkot, banktitkot, fizetési titkot, biztosítási titkot, értékpapírtitkot, pénztártitkot, más hivatás gyakorlásához kötött titkot – kizárólag a tanúsítással igazolandó követelmények teljesülésének vizsgálata céljából, a tanúsítási eljárás lefolytatásához szükséges mértékben, a tanúsítási eljárás befejezéséig jogosult kezelni, azokat harmadik személy részére nem továbbíthatja.

(3) A tanúsító szervezet köteles szabályzatban rögzíteni azon munkaköröket, amelyeket betöltő személyek a tanúsítási eljárás során az üzleti titokhoz hozzáférhetnek, annak tartalmát megismerhetik. Az eljárásban részt vevő munkatársakat a tanúsítási eljárás során tudomásukra jutott üzleti titok tekintetében titoktartási kötelezettség terheli a poszt-kvantumtitkosítás alkalmazást tanúsító szervezetnél fennálló jogviszonyuk megszűnését követően is.

56. § (1) Az SZTFH a felügyeleti jogkörében a tanúsító szervezet, illetve a poszt-kvantumtitkosítás alkalmazás nyújtására jogosult szervezetek tekintetében

(2) A tanúsító szervezet, illetve a poszt-kvantumtitkosítás alkalmazás nyújtására jogosult szervezet kötelezettségeinek teljesítését az SZTFH ellenőrzi a 25. § (1) és (3) bekezdésének alkalmazásával az SZTFH elnökének rendeletében meghatározott részletes szabályok szerint.

(3) Az SZTFH – az e törvény szerinti ellenőrzési feladatainak végrehajtása céljából – nyilvántartást vezet

(4) A (3) bekezdés szerinti nyilvántartás tartalmazza:

(5) Ha a (3) bekezdés szerinti nyilvántartásban szereplő szervezet poszt-kvantumtitkosítás alkalmazás nyújtására vonatkozó tevékenységet vagy tanúsító tevékenységet már nem végez, akkor a (3) bekezdés szerinti adatokat az SZTFH a tevékenység befejezésének bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(6) Ha a (3) bekezdés szerinti adatok változását a poszt-kvantumtitkosítás alkalmazás nyújtására jogosult szervezet vagy a tanúsító szervezet bejelenti, a nyilvántartásban a változás bejegyzését megelőzően szereplő adatot az SZTFH az adat változása bejegyzését követő öt év elteltével a nyilvántartásból törli.

(7) A (3) bekezdés szerinti nyilvántartásból – ha jogszabály eltérően nem rendelkezik – adattovábbítás kizárólag a kiberbiztonsági hatóságok, valamint a kiberbiztonsági incidenskezelő központok részére végezhető.

57. § (1) Sérülékenységvizsgálat végzésére jogosult

(2) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet részéről kizárólag olyan személy végezheti a vizsgálatot,

(3) Az (1) bekezdés c) pontja szerinti nyilvántartásba vétel feltétele, hogy a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet legalább két fő, (2) bekezdés szerinti szakértőt foglalkoztasson. Az (1) bekezdés c) pontja és a (2) bekezdés d) pontja szerinti nyilvántartásba vétel részletes szabályait, a tevékenység végzéséhez szükséges infrastrukturális feltételeket és szakértelmet az SZTFH elnöke által – az informatikáért felelős miniszter véleményének kikérésével – kiadott rendelet határozza meg.

(4) Az (1) és (2) bekezdés szerinti nyilvántartásba történő felvételi eljárás során az SZTFH a feladat ellátásához szükséges szakértelem és infrastrukturális feltételek teljesülésének megállapítása érdekében bevonja a sérülékenységvizsgálat végzésére jogosult állami szervet.

(5) A sérülékenységvizsgálatot – a honvédelmi célú elektronikus információs rendszerek kivételével – a sérülékenységvizsgálat végzésére jogosult állami szerv végzi

(6) Ha a sérülékenységvizsgálat végzésére jogosult állami szervnek nem áll rendelkezésére elegendő humánerőforrás a sérülékenységvizsgálat elvégzésére, hozzájárulhat ahhoz, hogy az (5) bekezdésben meghatározott szervezet – a szervezet választása szerinti – sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezettel végeztesse el a sérülékenységvizsgálatot.

(7) Az állam, a gazdaság és a társadalom működése, biztonsága szempontjából kiemelkedő jelentőséggel bíró elektronikus információs rendszer sérülékenységvizsgálatát a sérülékenységvizsgálat végzésére jogosult állami szerv magához vonhatja vagy vizsgálatát támogathatja.

(8) A sérülékenységvizsgálatot a sérülékenységvizsgálat végzésére jogosult állami szerv végzi el, ha az (5) bekezdés a) pontja szerinti elektronikus információs rendszereken kívüli, a Kszetv. szerinti kritikus szervezet elektronikus információs rendszere tekintetében nincs a sérülékenységvizsgálat elvégzésére e törvényben meghatározott feltételeknek megfelelő, sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet.

(9) Az az (1) bekezdés szerinti szerv, amelynél a sérülékenységvizsgálatot kezdeményezték köteles vizsgálni a sérülékenységvizsgálat elvégzésére való jogosultságát, és ha más, az (1) bekezdés szerinti szerv kizárólagos jogosultságát állapítja meg, köteles a megkeresést az illetékes szervhez haladéktalanul továbbítani.

58. § (1) A nemzeti kiberbiztonsági hatóság a szervezetet kötelezheti arra, hogy sérülékenységvizsgálatot végeztessen. Ha a hatósági kötelezésnek a szervezet nem tesz eleget, a nemzeti kiberbiztonsági hatóság bírságot szabhat ki.

(2) Az (1) bekezdés szerinti hatósági kötelezés esetén a nemzeti kiberbiztonsági hatóság figyelembe veszi az elektronikus információs rendszernek az állam működése szempontjából való jelentőségét.

(3) A nemzeti kiberbiztonsági hatóság az (1) bekezdés szerinti kötelezésében meghatározza, hogy mely elektronikus információs rendszerre terjedjen ki a sérülékenységvizsgálat, valamint meghatározhatja az alkalmazandó sérülékenységvizsgálati eszközt vagy módszert is.

59. § A sérülékenységvizsgálat végzésére jogosult állami szerv saját kezdeményezésre is indíthat és lefolytathat sérülékenységvizsgálatot regisztrált felhasználói jogosultság birtokában, illetve annak hiányában is az 57. § (5) bekezdése szerinti szervezetek elektronikus információs rendszere vonatkozásában.

60. § (1) Az 1. § (1) bekezdés d) és e) pontja szerinti szervezetek kivételével a törvény hatálya alá tartozó szervezet vezetője sérülékenységvizsgálatot hatósági kötelezés nélkül is kezdeményezhet, kizárólag a biztonsági osztályba sorolt és a kiberbiztonsági hatóság által nyilvántartásba vett elektronikus információs rendszer vonatkozásában.

(2) A szervezet vezetője az (1) bekezdés szerinti sérülékenységvizsgálatot – annak tervezése és előkészítése érdekében – annak tervezett kezdetét megelőzően legalább hatvan nappal köteles kezdeményezni. A sérülékenységvizsgálat tervezett kezdeti időpontjának meghatározása során a szervezet – az elektronikus információs rendszer használatba vételének tervezett időpontját is szem előtt tartva – a sérülékenységvizsgálati módszer kormányrendeletben meghatározott időigényét is figyelembe veszi.

(3) A sérülékenységvizsgálat végzésére jogosult állami szerv a hozzá beérkezett igények közötti mérlegelést követően fontossági sorrendet állíthat fel, amely fontossági sorrendre figyelemmel a vizsgálat már korábban kijelölt kezdő időpontját legfeljebb tizenöt nappal későbbi időpontban is meghatározhatja.

(4) A sérülékenységvizsgálat végzésére jogosult állami szerv előnyben részesíti a szervezet általi kezdeményezésekkel szemben a kiberbiztonsági hatóság által elrendelt vagy a hivatalból indított sérülékenységvizsgálat lefolytatását. A sorrend felállítása során a rendelkezésre álló erőforrások, valamint az elektronikus információs rendszernek kockázatalapú megközelítés alapján, az állam működése szempontjából való jelentőségének mérlegelésével jár el. Ha a szervezet által kezdeményezett igény teljesítése nem akadályozza kötelező feladatainak ellátását, a sérülékenységvizsgálat végzésére jogosult állami szerv szabad kapacitásai függvényében elvégzi a sérülékenységvizsgálatot.

61. § E törvény hatálya alá nem tartozó elektronikus információs rendszerek vonatkozásában a sérülékenységvizsgálat végzésére jogosult állami szerv az elektronikus információs rendszer felett rendelkezési jogosultsággal rendelkező szervezettel kötött megállapodás alapján végezhet sérülékenységvizsgálatot.

62. § (1) A sérülékenységvizsgálat az elektronikus információs rendszer egy meghatározott részére is irányulhat.

(2) A sérülékenységvizsgálat a tevékenység jellegénél fogva szolgáltatáskiesést vagy -csökkenést eredményezhet, amelyből eredő károkért a sérülékenységvizsgálatot végző szervet – a szándékos károkozás kivételével – felelősség nem terheli.

(3) A sérülékenységvizsgálati módszereket és a sérülékenységvizsgálat végrehajtására vonatkozó részletszabályokat kormányrendelet határozza meg.

(4) A sérülékenységvizsgálat eredményéről a vizsgálatot végző szervezet állásfoglalást állít ki, amely tartalmazza a feltárt sérülékenységek besorolását is. Az állásfoglalás részletes tartalmi elemeit kormányrendelet határozza meg.

63. § (1) A Kormány – a honvédelmi célú elektronikus információs rendszerek kivételével – az 1. § (10) bekezdésében meghatározott szervezetek nyílt elektronikus információs rendszereit érintő fenyegetések, kiberbiztonsági incidensek és válságok kezelése érdekében nemzeti kiberbiztonsági incidenskezelő központot működtet az általa rendeletben kijelölt szerv útján.

(2) A Kormány a honvédelmi célú elektronikus információs rendszereket érintő fenyegetések, kiberbiztonsági incidensek és válságok kezelése érdekében kiberbiztonsági incidenskezelő központot működtet az általa rendeletben kijelölt szerv útján.

(3) A nemzeti kiberbiztonsági incidenskezelő központ jóváhagyásával – a honvédelmi ágazat kivételével – ágazaton belüli kiberbiztonsági incidenskezelő központ (a továbbiakban: ágazaton belüli kiberbiztonsági incidenskezelő központ) is létrehozható a kormányrendeletben meghatározottak szerint. A nemzeti kiberbiztonsági incidenskezelő központ elvégzi vagy elvégezteti az ágazaton belüli kiberbiztonsági incidenskezelő központ képességeinek felmérését és vizsgálatát, amely alapján együttműködési megállapodást kötnek. A vizsgálat során az SZTFH elnökének a 70. § (3) bekezdés b) pontja szerinti rendeletében meghatározott feltételeket is figyelembe kell venni.

64. § (1) A nemzeti kiberbiztonsági incidenskezelő központ ellátja:

(2) A nemzeti kiberbiztonsági incidenskezelő központ – a honvédelmi érdeket veszélyeztető kibertevékenységekkel és szervezetekkel kapcsolatos tevékenységek és a katonai kibertér műveletek kivételével –

(3) A nemzeti kiberbiztonsági incidenskezelő központ az 1. § (10) bekezdésében meghatározott szervezetek elektronikus információs rendszere, vagy az e törvény hatálya alá tartozó IKT-termék vagy IKT-szolgáltatás vonatkozásában bármely természetes vagy jogi személy által bejelentett sebezhetőség, sérülékenység kapcsán ellátja a kormányrendelet által meghatározott koordinációs és egyéb feladatokat. A sebezhetőségek, sérülékenységek felderítésének, bejelentésének részletes szabályait a Kormány rendeletben szabályozza. Az 1. § (10) bekezdésében fel nem sorolt szervezetek elektronikus információs rendszere, vagy az e törvény hatálya alá nem tartozó IKT-termék vagy IKT-szolgáltatás vonatkozásában bejelentett sebezhetőség, sérülékenység esetén a nemzeti kiberbiztonsági incidenskezelő központ a rendelkezésére álló erőforrások függvényében és a veszélyeztetettség mértékének mérlegelésével látja el a kormányrendeletben meghatározott feladatokat. Ez utóbbi bejelentések tekintetében a nemzeti kiberbiztonsági incidenskezelő központ csak akkor köteles eljárni, ha az nem jelent aránytalan vagy indokolatlan terhet a nemzeti kiberbiztonsági incidenskezelő központ számára vagy a bejelentés az e törvény hatálya alá tartozó szervezet elektronikus információs rendszerét érinti.

(4) A magyar kiberteret súlyosan veszélyeztető kiberbiztonsági incidensek kezelését és vizsgálatát a nemzeti kiberbiztonsági incidenskezelő központ magához vonhatja vagy azok kezelését és vizsgálatát támogathatja.

(5) A honvédelmi kiberbiztonsági incidenskezelő központ a honvédelmi ágazat tekintetében ellátja az (1) bekezdés szerinti feladatokat.

(6) Az ágazaton belüli kiberbiztonsági incidenskezelő központ a nemzeti kiberbiztonsági incidenskezelő központtal kötött együttműködési megállapodásban meghatározott feladatokat látja el.

(7) A nemzeti kiberbiztonsági incidenskezelő központ, valamint a honvédelmi kiberbiztonsági incidenskezelő központ feladat- és hatáskörét, feladatai ellátásának részletes szabályait, valamint a korai figyelmeztetés részletes szabályait, annak rendszerét, a rendszer üzemeltetőjének kijelölésére vonatkozó előírásokat, valamint a kapcsolódó korai figyelmeztető szolgáltatás igénybevételének rendjét kormányrendelet határozza meg.

65. § (1) A nemzeti kiberbiztonsági incidenskezelő központ a kibertérből érkező fenyegetettségek felderítésére irányuló, védelmi, prevenciós célú eszközöket alkalmazhat és ez irányú szolgáltatásokat (a továbbiakban együtt: prevenciós eszközök) nyújthat az 1. § (1) bekezdése szerinti szervezeteknek.

(2) A prevenciós eszközök alkalmazását az 1. § (1) bekezdése szerinti szervezet – saját költségére – kezdeményezheti a nemzeti kiberbiztonsági incidenskezelő központnál, amely a rendelkezésére álló erőforrások függvényében és a veszélyeztetettség mértékének mérlegelésével dönt a prevenciós eszközök alkalmazásáról.

(3) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezetet a nemzeti kiberbiztonsági incidenskezelő központ javaslata alapján a nemzeti kiberbiztonsági hatóság is kötelezheti prevenciós eszközök alkalmazására, valamint a nemzeti kiberbiztonsági incidenskezelő központ – kockázatelemzés alapján – saját maga is dönthet prevenciós eszközök alkalmazásáról az érintett szervezet előzetes tájékoztatását követően.

(4) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet a nemzeti kiberbiztonsági incidenskezelő központ megkeresése esetén köteles a prevenciós eszközök igénybevételére.

(5) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet a nemzeti kiberbiztonsági incidenskezelő központ megkeresése esetén köteles csatlakozni a nemzeti kiberbiztonsági incidenskezelő központ által működtetett, a fenyegetettségi információkat megosztó rendszerhez, valamint maga is kezdeményezheti az ezen rendszerhez történő csatlakozást. A nemzeti kiberbiztonsági incidenskezelő központ a veszélyeztetettség mértékének mérlegelésével és a rendelkezésére álló erőforrások figyelembevételével írja elő az 1. § (1) bekezdés a)–c) pontja szerinti szervezet csatlakozását vagy járul hozzá a csatlakozáshoz.

(6) A nemzeti kiberbiztonsági incidenskezelő központ jogosult valamennyi magyar felhasználású, geolokációjú internetes cím és rajta elhelyezett szolgáltatások vonatkozásában olyan kizárólag általános kiberbiztonsági célú információkat gyűjteni, amelyekből egyértelműen azonosíthat fenyegetéseket és kiberbiztonsági incidenseket.

(7) A (6) bekezdés szerinti tevékenység nem okozhat aránytalan sérelmet a szolgáltatás üzemeltetője számára és nem eredményezheti a szolgáltatás elérhetetlenségét.

(8) A sérülékenységvizsgálat során megállapított adatokat a nemzeti kiberbiztonsági incidenskezelő központ a kibertér állapotának értékelése céljából, kizárólag anonim módon hasznosíthatja és használhatja fel.

66. § (1) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezetek az elektronikus információs rendszereikben bekövetkezett, illetve a tudomásukra jutott fenyegetéseket, kiberbiztonsági incidensközeli helyzeteket és kiberbiztonsági incidenseket – beleértve az üzemeltetési kiberbiztonsági incidenst is – a nemzeti kiberbiztonsági incidenskezelő központ részére kötelesek haladéktalanul, a kormányrendeletben meghatározottak szerint bejelenteni.

(2) Az 1. § (1) bekezdés d) és e) pontja szerinti szervezetek az elektronikus információs rendszereikben bekövetkezett, illetve a tudomásukra jutott olyan fenyegetéseket, kiberbiztonsági incidensközeli helyzeteket és kiberbiztonsági incidenseket – beleértve az üzemeltetési kiberbiztonsági incidenst is –, amelyek a szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni hátrányt okoz, illetve jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára kötelesek a kormányrendeletben meghatározottak szerint bejelenteni a nemzeti kiberbiztonsági incidenskezelő központ részére.

(3) Az 1. § (1) bekezdés d) és e) pontja szerinti szervezetek a (2) bekezdés szerinti kiberbiztonsági incidensnek nem minősülő kiberbiztonsági incidenseket is bejelenthetik a nemzeti kiberbiztonsági incidenskezelő központ részére.

(4) A honvédelmi célú elektronikus információs rendszert érintő fenyegetést, kiberbiztonsági incidensközeli helyzetet és kiberbiztonsági incidenst a szervezet a Kormány rendeletében meghatározott honvédelmi kiberbiztonsági incidenskezelő központnak jelenti be.

(5) A honvédelmi kiberbiztonsági incidenskezelő központ és az ágazaton belüli kiberbiztonsági incidenskezelő központ a tudomására jutott fenyegetések, kiberbiztonsági incidensközeli helyzetek és kiberbiztonsági incidensek adatait köteles haladéktalanul a nemzeti kiberbiztonsági incidenskezelő központ részére továbbítani.

(6) Ha a nemzeti kiberbiztonsági incidenskezelő központ, a honvédelmi kiberbiztonsági incidenskezelő központ, valamint az ágazaton belüli kiberbiztonsági incidenskezelő központ illetékességének hiányát észleli, a bejelentést haladéktalanul megküldi az illetékes kiberbiztonsági incidenskezelő központnak.

67. § (1) Azok a szervezetek vagy személyek, amelyek nem tartoznak az 1. § (10) bekezdésének hatálya alá, önkéntes alapon bejelenthetik a nemzeti kiberbiztonsági incidenskezelő központnak az olyan fenyegetéseket, kiberbiztonsági incidensközeli helyzeteket, illetve kiberbiztonsági incidenseket, amelyek jelentős hatást gyakorolnak vagy gyakorolhatnak a magyar kibertér biztonságára.

(2) A nemzeti kiberbiztonsági incidenskezelő központ az e törvény hatálya alá tartozó szervezetek bejelentését előnyben részesítheti az önkéntes bejelentésekkel szemben. A nemzeti kiberbiztonsági incidenskezelő központ az önkéntes bejelentéseket a rendelkezésére álló erőforrások függvényében kezeli és a veszélyeztetettség mértékének mérlegelésével jár el.

(3) Az önkéntes bejelentésekkel összefüggésben a nemzeti kiberbiztonsági incidenskezelő központ csak akkor köteles eljárni, ha az nem jelent aránytalan vagy indokolatlan terhet a nemzeti kiberbiztonsági incidenskezelő központ számára vagy az önkéntes bejelentés az e törvény hatály alá tartozó szervezet elektronikus információs rendszerét érinti.

(4) Az önkéntes bejelentés eredményeként a bejelentő számára nem írható elő olyan kötelezettség, amely ne vonatkozott volna rá a bejelentés megtétele nélkül is.

68. § (1) Ha az elektronikus információs rendszert olyan jelentős kiberbiztonsági incidens éri vagy annak közvetlen bekövetkezése fenyegeti, amely a rendszer felett rendelkezési jogosultsággal rendelkező szervezet vagy a felhasználó szervezet működéséhez szükséges alapvető információk vagy személyes adatok sérülésével jár, a nemzeti kiberbiztonsági incidenskezelő központ a védelmi feladatainak ellátása érdekében kötelezheti a rendszer felett rendelkezési jogosultsággal rendelkező szervezetet, hogy a jelentős kiberbiztonsági incidens megszüntetése vagy a fenyegetettség elhárítása érdekében szükséges intézkedéseket tegye meg.

(2) Ha a szervezethez információbiztonsági felügyelő került kirendelésre, az (1) bekezdés szerinti körülmények felmerüléséről a nemzeti kiberbiztonsági incidenskezelő központot haladéktalanul tájékoztatja. Azonnali beavatkozást igénylő esetben a nemzeti kiberbiztonsági incidenskezelő központ – az információbiztonsági felügyelő útján – az információk sérülésének elkerüléséhez szükséges mértékben ideiglenes intézkedést alkalmazhat.

69. § (1) A 64. § (2) bekezdés d) pontja szerinti, a kibertérből érkező támadás megszakításához szükséges intézkedések végrehajtására a Kormány által kijelölt személy erre vonatkozó döntése alapján van lehetőség. A támadás megszakítását követően meg kell vizsgálni a védelem fokozásához szükséges további intézkedések lehetséges körét, illetve az ország védelmével összefüggő további döntések szükségességét.

(2) A 64. § (2) bekezdés d) pontja szerinti intézkedésnek

(3) Külföldről érkező jelentős kibertámadás esetén a foganatosított intézkedésekről és azok okairól tájékoztatni kell a külpolitikáért felelős minisztert a további intézkedések megtétele céljából.

70. § (1) Kiberbiztonsági incidens bekövetkezése esetén a szervezet intézkedik az érintett kiberbiztonsági incidens kezelése érdekében.

(2) A kiberbiztonsági hatóság kötelezheti a szervezetet arra, hogy az érintett kiberbiztonsági incidenst kezelje. Ha a hatósági kötelezésnek a szervezet nem tesz eleget, a kiberbiztonsági hatóság bírságot szabhat ki.

(3) Az érintett kiberbiztonsági incidens kezelését

(4) Az SZTFH nyilvántartást vezet a kiberbiztonsági incidens kezelésére jogosult gazdálkodó szervezetekről az SZTFH elnökének rendeletében foglalt részletes szabályok szerint.

(5) A (4) bekezdés szerinti nyilvántartás tartalmazza:

(6) A (4) bekezdés szerinti nyilvántartásba történő felvételi eljárás során az SZTFH a feladat ellátásához szükséges – az SZTFH elnökének rendeletében meghatározott – szakértelem és infrastrukturális feltételek teljesülésének megállapítása érdekében bevonja a nemzeti kiberbiztonsági incidenskezelő központot.

(7) Ha az 1. § (1) bekezdés d) és e) pontja szerinti szervezet a kiberbiztonsági incidens kezelését nem maga végzi, a (4) bekezdés szerinti nyilvántartásban szereplő gazdálkodó szervezetek közül választ. Ha a kiberbiztonsági incidens kezelése meghaladja a gazdálkodó szervezet kapacitásait, a szervezet megkeresheti az ágazaton belüli kiberbiztonsági incidenskezelő központot vagy a nemzeti kiberbiztonsági incidenskezelő központot az érintett kiberbiztonsági incidens kezelése érdekében.

(8) Ha az 1. § (1) bekezdés a)–c) pontja szerinti szervezet a kiberbiztonsági incidens kezelését nem maga végzi, a (4) bekezdés szerinti nyilvántartásban szereplő gazdálkodó szervezetek közül választ vagy megkeresi az ágazaton belüli kiberbiztonsági incidenskezelő központot vagy a nemzeti kiberbiztonsági incidenskezelő központot a kiberbiztonsági incidens kezelése érdekében.

(9) Az 1. § (1) bekezdés a)–c) pontja szerinti szervezet, a Kszetv. alapján kritikus szervezetként, valamint a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölt szervezet esetében a (3) bekezdés b) pontja szerinti gazdálkodó szervezet nevében és alkalmazásában kizárólag olyan személy végezheti az incidenskezelést, akinek a nemzetbiztonsági ellenőrzését elvégezték és a nemzetbiztonsági ellenőrzés során nemzetbiztonsági kockázatot nem állapítottak meg.

(10) A nemzeti kiberbiztonsági incidenskezelő központ az érintett kiberbiztonsági incidens kezelését a rendelkezésére álló erőforrások függvényében, a veszélyeztetettség mértékének mérlegelésével látja el.

(11) Az érintett kiberbiztonsági incidens kezelését a nemzeti kiberbiztonsági incidenskezelő központ végzi el, ha a Kszetv. szerinti kritikus szervezet elektronikus információs rendszere, vagy a Vbö. alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek tekintetében nincs a kiberbiztonsági incidenskezelés elvégzésére a jogszabályban meghatározott feltételeknek megfelelő gazdálkodó szervezet vagy nem rendelkezik elegendő kapacitással.

(12) A polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszerei vonatkozásában a kiberbiztonsági incidens kezelését kizárólag a nemzeti kiberbiztonsági incidenskezelő központ olyan munkatársa végezheti, akinek a nemzetbiztonsági ellenőrzését elvégezték és a nemzetbiztonsági ellenőrzés során nemzetbiztonsági kockázatot nem állapítottak meg.

(13) A nemzeti kiberbiztonsági incidenskezelő központ a tudomására jutott kiberbiztonsági incidensekről tájékoztathatja a 73. § (3) bekezdés szerinti Operatív Törzs vezetőjét, ha a kiberbiztonsági incidens az Operatív Törzs más tagja által képviselt szervezetet is érinti.

(14) Az érintett kiberbiztonsági incidensek kezelésére vonatkozó részletszabályokat kormányrendelet állapítja meg.

(15) Jelen § rendelkezéseit a kiberbiztonsági incidensközeli helyzetek kezelése vonatkozásában is alkalmazni kell.

71. § (1) Az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek kiberbiztonsági incidenseinek kezelése során a 63–64. §, a 67. §, a 68. § (1) bekezdése, a 69. §, valamint a 70. § (10), (13) és (14) bekezdése szerinti rendelkezések alkalmazandóak.

(2) Ha a kiberbiztonsági incidens kezelése meghaladja a (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezet vagy az általa igénybe vett közreműködő kapacitásait, a szervezet megkeresheti az ágazaton belüli kiberbiztonsági incidenskezelő központot vagy a nemzeti kiberbiztonsági incidenskezelő központot a kiberbiztonsági incidens kezelése érdekében.

72. § (1) A kiberbiztonságért felelős biztost az informatikáért felelős miniszter jelöli ki.

(2) A kiberbiztonságért felelős biztos felel az Európai Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv szerinti

(3) A kiberbiztonságért felelős biztos vezeti a Nemzeti Kiberbiztonsági Munkacsoportot.

73. § (1) A Kormány kiberbiztonsági kérdésekben javaslattevő, véleményező szerve a Nemzeti Kiberbiztonsági Munkacsoport.

(2) A Nemzeti Kiberbiztonsági Munkacsoport gondoskodik az e törvényben és végrehajtási rendeleteiben meghatározott tevékenységek összehangolásáról.

(3) A Nemzeti Kiberbiztonsági Munkacsoport tevékenységét Operatív Törzs, valamint a kiberbiztonsági almunkacsoportok és a nem kormányzati szereplőkkel való együttműködés kereteit biztosító Nemzeti Kiberbiztonsági Fórum támogatja.

(4) Az Operatív Törzs tevékenységét a kiberbiztonságért felelős biztos irányítja. Az Operatív Törzs – a védelmi és biztonsági igazgatás központi szerve bevonásával – minősíti a jelentős vagy nagyszabású kiberbiztonsági incidens miatt bekövetkezett védelmi és biztonsági eseményt, valamint kezdeményezi a válságkezelési vagy veszélyhelyzet-kezelési intézkedések megtételét.

(5) A Nemzeti Kiberbiztonsági Munkacsoport és annak működését támogató testületek létrehozásával, működtetésével kapcsolatos szabályokat, feladat- és hatásköröket kormányrendelet szabályozza.

74. § (1) Jelentős vagy nagyszabású kiberbiztonsági incidens esetén a nemzeti kiberbiztonsági incidenskezelő központ kezdeményezése alapján a Nemzeti Kiberbiztonsági Munkacsoport Operatív Törzse javaslatot tehet a kiberbiztonsági incidens kiberbiztonsági válsághelyzetté történő minősítésére.

(2) A kiberbiztonsági válsághelyzet olyan védelmi és biztonsági esemény, amely esetén a Kormány az informatikáért felelős miniszter előterjesztése alapján összehangolt védelmi tevékenységet rendelhet el.

(3) Kiberbiztonsági válsághelyzet esetén – ha e törvény vagy a végrehajtására kiadott kormányrendelet eltérően nem rendelkezik – a Vbö. rendelkezéseit kell alkalmazni.

(4) Kiberbiztonsági válsághelyzet és az az alapján elrendelt összehangolt védelmi tevékenység esetén a Kormány intézkedésként bevezetheti

(5) A (4) bekezdés 10–12. pontja szerinti tájékoztatás nyújtása során a minősített adatok védelmére vonatkozó uniós és nemzeti szabályokban és az általános adatvédelmi jogszabályokban foglalt rendelkezésekre tekintettel kell eljárni.

(6) A kiberbiztonsági válsághelyzet ideje alatt a kiberbiztonsági válsághelyzet megelőzése, megismerése, felderítése és továbbterjedésének megakadályozása, valamint az állami szervek összehangolt feladatellátásának megszervezése céljából az Operatív Törzs – a kiberbiztonsági válsághelyzettel összefüggően –

(7) Az Operatív Törzs a (6) bekezdés alapján kezelt adatokat a nemzetbiztonsági tevékenységre vonatkozó információk kivételével köteles átadni a nemzeti eseménykezelő központnak.

(8) Az Operatív Törzs a (6) bekezdés alapján kezelt adatokat – a kiberbiztonsági válsághelyzetre okot adó körülmények vizsgálata céljából – a nemzeti kiberbiztonsági incidenskezelő központnak átadhatja.

(9) Az Operatív Törzs vezetője a kiberbiztonsági válsághelyzeten a kiberbiztonsági válsághelyzetet kiváltó esemény kezelése érdekében jogosult

(10) Az 1. § (10) bekezdése hatálya alá tartozó szervezet – az 1. § (1) bekezdés d) és e) pontja szerinti szervezet kivételével – a kiberbiztonsági válsághelyzetre való felkészülés és annak kezelése érdekében kiberbiztonsági tervet készít, amelyben felméri a kibertérből érkező lehetséges kockázatokat és ezek alapján kidolgozza a működési területén foganatosítandó válságkezelési eljárási elemeket.

(11) A kiberbiztonsági válsághelyzettel érintett szervezet – a (12) bekezdésben foglalt kivétellel – a nemzeti kiberbiztonsági incidenskezelő központ, valamint a védelmi és biztonsági igazgatás központi szervének kérésére köteles a (10) bekezdésben meghatározott tervvel, valamint a kiberbiztonsági válsághelyzet kezelése érdekében bevezetett intézkedésekkel kapcsolatos adatokat, információkat összegyűjteni, és elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni.

(12) A honvédelmi célú elektronikus információs rendszerek tekintetében a (11) bekezdésben meghatározott adatokat a honvédelmi kiberbiztonsági incidenskezelő központ, valamint a védelmi és biztonsági igazgatás központi szerve számára kell – kérésük esetén – hozzáférhetővé tenni.

(13) A kiberbiztonsági válsághelyzetkezelésben részt vevő szervek vagy szervezetek kijelölését, feladat- és hatáskörét, a követendő eljárásrendet, az EU-CyCLONE-ban Magyarország képviseletét ellátó szerveket a Kormány rendeletben határozza meg.

75. § Az (EU) 2021/887 európai parlamenti és tanácsi rendelet szerinti, a kiberbiztonsági kompetenciaközösség számára kapcsolattartási pontként szolgáló nemzeti koordinációs központ feladatait a Kormány rendeletében kijelölt szerv az abban foglaltak szerint látja el.

76. § (1) A kiberbiztonsági hatóságok, a tanúsító hatóság, a poszt-kvantumtitkosítást felügyelő hatóság, a Kszetv. szerinti kijelölő hatóság, a Vbö. szerinti kijelölő hatóság, az (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatóság, a sérülékenységvizsgálat végzésére jogosult állami szerv, a kiberbiztonsági incidenskezelő központok, a nemzeti koordinációs központ, valamint az egyedüli kapcsolattartó pont kölcsönösen együttműködnek és tájékoztatják egymást az elektronikus információbiztonságot érintő megállapításaikról.

(2) Az (1) bekezdés szerinti tájékoztatást haladéktalanul meg kell tenni, ha annak tárgya az elektronikus információbiztonságot fenyegető veszélyforrást tár fel, vagy kiberbiztonsági incidensre utal. Az értesítés alapján a szervezetek a hatáskörükbe tartozó intézkedést – egymással együttműködve – azonnal megkezdik.

(3) Az (1) bekezdés szerinti szervezetek közötti együttműködés, az EU-CyCLONe-nal, a CSIRT-hálózattal, más európai uniós tagállamok és harmadik országok CSIRT-jeivel, hatóságaival, egyedüli kapcsolattartó pontjaival való együttműködés, valamint az Európai Bizottság és az ENISA részére történő tájékoztatás és adatszolgáltatás rendjére vonatkozó részletes szabályokat a Kormány rendeletben határozza meg.

77. § (1) A kiberbiztonsági hatóság, a sérülékenységvizsgálat végzésére jogosult szerv vagy gazdálkodó szervezet, a kiberbiztonsági incidenskezelő központ, az egyedüli kapcsolattartó pont, valamint nemzeti koordinációs központ az e törvényben meghatározott elektronikus információs rendszerek védelmével összefüggő feladatai ellátása során megismert minősített adatot, személyes adatot vagy védett adatot, üzleti titkot, banktitkot, fizetési titkot, biztosítási titkot, értékpapírtitkot, pénztártitkot, orvosi titkot és más hivatás gyakorlásához kötött titkot, illetve a feladatellátás során megismert egyéb adatot kizárólag a jogszabályban meghatározott feladatai ellátásának időtartama alatt, a célhoz kötöttség elvének figyelembevételével, az adatkezelésre vonatkozó jogszabályokban foglaltakkal összhangban jogosult kezelni.

(2) Az (1) bekezdés szerinti szervek a feladatellátás befejezését követően a feladatellátáshoz kapcsolódóan rögzített adatokat – a (3)–(6) bekezdésben meghatározott kivétellel – kötelesek az elektronikus információs rendszereikből és adathordozóikról törölni.

(3) A (1) bekezdés szerinti szerv az (1) bekezdésben meghatározott adatokat a hatósági döntés véglegessé válását, a sérülékenységvizsgálat lezárását, valamint a kiberbiztonsági incidens vagy kiberbiztonsági válsághelyzet vizsgálatának lefolytatását követő öt évig jogosult kezelni, és az öt év elteltével köteles az elektronikus információs rendszereiből és adathordozóiról törölni.

(4) Ha a szervezet e törvény hatálya alá tartozó tevékenységet már nem végez, akkor a kiberbiztonsági hatóság a szervezet vonatkozásában nyilvántartott adatokat a tevékenység befejezése bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(5) Ha az adatok változását a szervezet bejelenti, akkor az eredeti adatokat a kiberbiztonsági hatóság az adat változásának bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(6) A kiberbiztonsági incidenskezelő központ a prevenciós eszközök, szolgáltatások alkalmazása során keletkezett adatokat, továbbá a kiberbiztonsági incidenskezelő központ és az egyedüli kapcsolattartó pont a hozzá érkezett bejelentések adatait az adatok keletkezésétől, illetve a bejelentés beérkezésétől számított öt évig jogosult kezelni és megőrzi; ezt követően köteles az elektronikus információs rendszereiből és adathordozóiról törölni.

78. § (1) A kiberbiztonsági hatóság, a sérülékenységvizsgálat végzésére jogosult szerv vagy gazdálkodó szervezet, valamint a kiberbiztonsági incidenskezelő központ munkatársait a megismert adatok tekintetében írásba foglalt titoktartási kötelezettség terheli, amely

(2) A kiberbiztonsági hatóság, a sérülékenységvizsgálat végzésére jogosult szerv vagy gazdálkodó szervezet, valamint a kiberbiztonsági incidenskezelő központ eljárása során keletkezett adatok – a 79. §-ban foglaltak kivételével – nem nyilvánosak.

(3) A honvédelmi célú elektronikus információs rendszerek – e törvényben meghatározott – hatósági feladatainak ellátására Kormány által kijelölt szervnek a véglegessé vált határozata az ügyfélen, valamint az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény 33. § (3) bekezdése alapján iratbetekintésre jogosult személyen kívül más által nem ismerhető meg.

79. § (1) A sérülékenységvizsgálat végzésére jogosult állami szerv jogosult a sérülékenységvizsgálatok eredményéről anonimizált, a rendszerek sérülékenységére utalást nem tartalmazó statisztikákat közzétenni.

(2) A nemzeti kiberbiztonsági incidenskezelő központ jogosult a feladatellátása során keletkező adatokról, információkról, trendekről, levont következtetésekről statisztikákat, incidensek technikai leírásait anonimizált módon közzétenni.

80. § (1) A 77. § (1) bekezdése szerinti szervek tájékoztatási, adatszolgáltatási kötelezettségük teljesítése során a minősített adatok védelmére vonatkozó és az általános adatvédelmi jogszabályokban foglalt rendelkezésekre figyelemmel járnak el. A tájékoztatás és az adatszolgáltatás nem vonatkozhat olyan információk szolgáltatására, amelyek közzététele ellentétes lenne Magyarország nemzetbiztonsági, közbiztonsági vagy alapvető védelmi érdekeivel.

(2) Bizalmas információkat – beleértve az üzleti titoktartási szabályokat – kizárólag akkor lehet megosztani az Európai Bizottsággal és más érintett hatóságokkal, ha az információcsere az (EU) 2022/2555 európai parlamenti és tanácsi irányelv alkalmazásához szükséges. A megosztott információnak az információcsere célja szempontjából lényeges és arányos mértékre kell korlátozódnia. Az információcsere során meg kell őrizni a rendelkezésre bocsátott információk bizalmas jellegét, és óvni kell a szervezetek biztonsági és kereskedelmi érdekeit.

81. § (1) Felhatalmazást kap a Kormány, hogy rendeletben kijelölje

(2) Felhatalmazást kap a Kormány, hogy rendeletben megállapítsa

(3) Felhatalmazást kap az informatikáért felelős miniszter, hogy rendeletben meghatározza

(4) Az informatikáért felelős miniszter a (3) bekezdés a) pontja szerinti rendeletet az SZTFH elnöke véleményének kikérését követően adja ki.

(5) Felhatalmazást kap a honvédelemért felelős miniszter, hogy rendeletben meghatározza az adópolitikáért felelős miniszterrel egyetértésben a 45. § (1) bekezdés b) pontja szerinti tanúsító hatóság eljárásáért fizetendő igazgatási szolgáltatási díj mértékét, a díjak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat.

(6) Felhatalmazást kap az SZTFH elnöke, hogy rendeletben meghatározza

(7) Felhatalmazást kap az SZTFH elnöke, hogy rendeletben meghatározza

(8) Az SZTFH elnöke a (7) bekezdés szerinti rendeletet az informatikáért felelős miniszter véleményének kikérését követően adja ki.

82. § (1) Ez a törvény – a (2) bekezdésben foglalt kivétellel – 2025. január 1-jén lép hatályba.

(2) A 120. § (1) bekezdése 2025. január 2-án lép hatályba.

83. § (1) Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) szerinti nyilvántartásban 2024. december 31. napján szereplő – 8. § (4) bekezdés szerinti adatok körébe tartozó – adatokat nem kell ismételten bejelenteni, azokat a nemzeti kiberbiztonsági hatóság a 28. § (1) bekezdése szerinti nyilvántartás részeként kezeli.

(2) A 8. § (4) bekezdés szerinti adatszolgáltatási kötelezettséget az 1. § (1) bekezdés a) és b) pontja szerinti szervezet a 8. § (4) bekezdés szerinti határidőn belül teljesíti a nemzeti kiberbiztonsági hatóság részére, ha

(3) Ha az 1. § (1) bekezdés a) és b) pontja szerinti szervezet az elektronikus információs rendszer biztonságáért felelős személy adatait az Ibtv. alapján már bejelentette a nemzeti kiberbiztonsági hatóság részére, úgy annak ismételt bejelentésére nem köteles.

(4) Ha az 1. § (1) bekezdés a) és b) pontja szerinti szervezetnek az elektronikus információs rendszer biztonságáért felelős személye a törvény hatálybalépésekor nem felel meg a 11. § (4) bekezdése szerinti követelményeknek, az összeférhetetlenségi ok megszüntetésére 2 év áll rendelkezésére.

(5) Ha az 1. § (1) bekezdés a) és b) pontja szerinti szervezetnek a már működő elektronikus információs rendszerei első alkalommal történő biztonsági osztályba sorolását az Ibtv. alapján e törvény hatálybalépéséig már el kellett volna végeznie, úgy az első alkalommal történő biztonsági osztályba sorolást e törvény hatálybalépését követő 120 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – kell elvégeznie.

(6) Ha az 1. § (1) bekezdés a) és b) pontja szerinti szervezet elektronikus információs rendszerei biztonsági osztályba sorolásáról a kiberbiztonsági hatóság e törvény hatálybalépését megelőzően, az Ibtv. alapján hatósági döntést hozott, úgy a biztonsági osztályba sorolás felülvizsgálatát az e törvényben foglaltak szerint, a biztonsági osztályba sorolásról hozott hatósági döntés véglegessé válását követő két éven belül kell elvégezni. Ha ez alapján a felülvizsgálat esedékessége e törvény hatálybalépéséig már eltelt vagy e törvény hatálybalépésétől számított 180 napon belül van, a biztonsági osztályba sorolás felülvizsgálatára vonatkozó határidő meghosszabbodik olyan módon, hogy a rendelkezésre álló idő 180 nap legyen.

84. § Az Ibtv. szerinti 1. és 2. biztonsági osztály az „alap”, a 3. és 4. biztonsági osztály a „jelentős”, az 5. biztonsági osztály a „magas” biztonsági osztálynak felel meg.

85. § (1) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, és már teljesítette az elektronikus információs rendszerei biztonsági osztályához ott előírt követelményeket, az informatikáért felelős miniszter rendeletében előírt új védelmi intézkedések kivitelezésére e törvény hatálybalépésétől számított 1 év áll rendelkezésére.

(2) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, és még nem kellett teljesítenie az elektronikus információs rendszerei biztonsági osztályához ott előírt követelményeket, az informatikáért felelős miniszter rendeletében előírt védelmi intézkedések bevezetésénél alkalmazhatja a 10. § (6) bekezdése szerinti fokozatos kivitelezés lehetőségét. A fokozatosságot figyelembe vevő határidő számítás alapját a 84. § szerint meghatározott biztonsági osztály képezi, amelyhez tartozó követelményeket már teljesíteni kellett. A védelmi intézkedések kivitelezésére rendelkezésre álló idő nem lehet kevesebb, mint 1 év.

86. § (1) Az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet esetében e törvény új rendszer fejlesztésére vonatkozó előírásait kell alkalmazni az e törvény hatálybalépésekor még használatba nem vett,

(2) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet fejlesztett rendszere e törvény hatályba lépésekor túljutott az elektronikus információs rendszer fejlesztésének (1) bekezdésben meghatározott lépésein,

87. § Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, az elektronikus információbiztonsági követelményeknek való megfelelés ellenőrzése során az e törvényben meghatározott határidők elteltéig a kiberbiztonsági hatóság az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló rendeletben foglaltaknak való megfelelést vizsgálja, kivéve, ha a szervezet az informatikáért felelős miniszter rendeletében előírt védelmi intézkedések teljesítéséről nyilatkozott.

88. § (1) Az Ibtv. rendelkezései alapján folyamatban lévő hatósági ügyeket a kiberbiztonsági hatóság az Ibtv. szerint zárja le.

(2) A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény alapján kijelölt létfontosságú rendszerelem üzemeltetője a Kszetv.-ben, illetve a Vbö.-ben meghatározott kijelölési eljárásban hozott döntés véglegessé válásáig e törvény alkalmazásában kritikus szervezetnek minősül.

89. § (1) Az az 1. § (1) bekezdés b), d) vagy e) pontja szerinti szervezet, amely 2024. december 31. napján az SZTFH által a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 26. § (1) bekezdése szerint vezetett nyilvántartásban érintett szervezetként szerepel, nem köteles a 8. § (5) bekezdése szerinti bejelentés megtételére, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 26. § (1) bekezdése szerinti nyilvántartásban szereplő adatait az SZTFH a 29. § (1) bekezdés a) pontja szerinti nyilvántartás részeként kezeli. A 29. § (1) bekezdés a) pont ae) alpontja szerinti adatokat 2025. február 15. napjáig kell bejelenteni az SZTFH részére.

(2) Az az 1. § (1) bekezdés b), d) és e) pontja szerinti szervezet, amely 2025. január 1-je előtt megkezdte működését, a 16. § (1) bekezdése szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

(3) Az a gazdálkodó szervezet, amely a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 26. § (1) bekezdése szerint vezetett nyilvántartásban érintett szervezetként szerepel, és 2024. december 31. napjáig a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 20. § (1) bekezdése szerint az elektronikus információs rendszereinek, valamint az azon tárolt, továbbított vagy feldolgozott adatoknak a biztonsági osztályba sorolását elvégezte, nem köteles a 10. § (1) bekezdése alapján ismételten elvégezni a biztonsági osztályba sorolást.

(4) Az a gazdálkodó szervezet, amely 2024. december 31. napján a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 23. § (6) bekezdése szerinti nyilvántartásban auditorként szerepel, nem köteles ismételten kérni nyilvántartásba vételét, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 23. § (6) bekezdése szerinti nyilvántartásban szereplő adatait az SZTFH a 21. § (3) bekezdése szerinti nyilvántartás részeként kezeli.

(5) Az a szervezet, amely 2024. december 31. napján a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 14. § (1) bekezdése szerinti nyilvántartásban megfelelőségértékelő szervezetként szerepel, nem köteles ismételten kérni nyilvántartásba vételét, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 14. § (1) bekezdés c)–e), g)–j) és l) pontja szerinti adatait az SZTFH a 48. § (1) bekezdése szerinti nyilvántartás részeként kezeli.

(6) A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 14. § (1) bekezdése szerinti nyilvántartásban 2024. december 31. napján szereplő – (7) bekezdés szerinti adatok körébe nem tartozó – adatokat nem kell ismételten bejelenteni, azokat az SZTFH a 48. § (1) bekezdése szerinti nyilvántartás részeként kezeli.

(7) Az e törvény hatálybalépésekor a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény alapján folyamatban lévő hatósági eljárásokat az SZTFH a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény rendelkezéseinek alkalmazásával folytatja le azzal, hogy az e törvény hatálybalépésétől számított 30 napon belül az SZTFH jogosult hiánypótlást kibocsátani. Az eljárás eredményeként e törvény szerint nyilvántartandó adatokat az SZTFH az e törvény szerinti nyilvántartásokba jegyzi be.

(8) Az a szervezet, amely 2024. december 31. napján a sérülékenységvizsgálat lefolytatásának szabályairól szóló kormányrendelet szerinti, a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetekről vezetett nyilvántartásban szerepel, nem köteles ismételten kérni nyilvántartásba vételét, a nyilvántartásban szereplő adatait az SZTFH – az Alkotmányvédelmi Hivatal adatszolgáltatása alapján – az 57. § (1) bekezdés c) pontja szerinti nyilvántartás részeként kezeli.

(9) Az 57. § (1) bekezdés c) pontja szerinti nyilvántartásba a (8) bekezdés alapján bejegyzett szervezet az e törvényben és az e törvény végrehajtására kiadott jogszabályban a nyilvántartásba vétel feltételeként meghatározott követelmények teljesítését 2025. július 31. napjáig igazolja az SZTFH részére. Az igazolás elmulasztása esetén az SZTFH törli a szervezetet a nyilvántartásából.

90. § (1) A 93. § az Alaptörvény 46. cikk (6) bekezdése alapján sarkalatosnak minősül.

(2) A 97. § az Alaptörvény IX. cikk (6) bekezdése alapján sarkalatosnak minősül.

(3) A 118–121. § és a 123. § az Alaptörvény 23. cikk (4) bekezdése alapján sarkalatosnak minősül.

91. § (1) Ez a törvény

(2) Ez a törvény

92. § A 70. § tervezetének a belső piaci szolgáltatásokról szóló, 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént.