2024. évi LXIX. törvény indokolás

Ezen indokolás a jogalkotásról szóló 2010. évi CXXX. törvény 18. § (6) bekezdése, valamint a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A jogszabály az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2022/2555 irányelv (a továbbiakban: NIS 2 irányelv) implementációjára szolgál, mindemellett az elődjét képező, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) alkalmazási tapasztalatait is beépíti.

Napjainkban a digitalizáció terjedésével egy szervezet „életének” mind nagyobb része az elektronikus információs rendszereken, illetve a kibertérben zajlik. Ezért a törvény célja, hogy a törvény hatálya alá tartozó szervezetek által használt elektronikus információs rendszerek kibervédelme biztosított legyen.

A jogszabály a NIS 2 irányelv implementációjára szolgál, valamint beépítésre kerülnek az elődjét képező, az Ibtv. alkalmazási tapasztalatai is.

A NIS 2 irányelv magyar jogrendbe ültetését a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertantv.) megkezdte. Ugyanakkor a különböző szektorokat ért kibertámadások és incidensek Európa-szerte megszaporodó számára tekintettel is időközben felülvizsgálatra került a kiberbiztonsággal foglalkozó állami szervezetrendszer, valamint célszerűvé vált a kiberbiztonságra vonatkozó alapvető szabályok egységesítése, egy törvényben való megjelenítése. Erre figyelemmel a Kibertantv. rendelkezései beépítésre kerültek a Magyarország kiberbiztonságáról szóló törvénybe.

A törvény hatályában megkülönböztetésre kerül a kiberbiztonságot érintő különböző tevékenységekre vonatkozó hatály (hatósági tevékenységre, kiberbiztonsági tanúsításra, poszt-kvantumtitkosításra, sérülékenységvizsgálatra és a kiberbiztonsági incidenskezelésre).

A szervezetek kötelezettségeire és a hatósági tevékenységet érintően megjelenítésre került mind a Kibertantv. kiberbiztonsági felügyeletre vonatkozó hatálya, mind az Ibtv. hatályában szereplő szervezetek.

A törvény hatálya vonatkozásában változatlan cél, hogy az állam biztonságos működése szempontjából jelentőséggel bíró szervezetek által használt elektronikus információs rendszerek kibervédelme biztosított legyen. Erre figyelemmel a hatály explicit módon kiterjesztésre került a többségi állami befolyás alatt álló azon gazdálkodó szervezetek elektronikus információs rendszereire, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket.

Emellett a NIS 2 irányelvnek megfelelően a kiberbiztonsági hatóság jogosultságot kap arra, hogy a törvényben meghatározott kritériumok teljesülése esetén valamely szervezetet – azonosítás útján – a jogszabály hatálya alá vonjon.

A kiberbiztonsági hatósági feladatok vonatkozásában nem történik változás, továbbra is négy felügyeleti szerv működik majd.

A kiberbiztonsági hatósági felügyeleti körbe tartozó szervezetek a NIS 2 irányelv alapján kerülnek meghatározásra, kiegészítve a hazai tapasztalatok alapján a többségi állami befolyás alatt álló gazdálkodó szervezetekkel.

A kritikus szervezetek ellenálló képességéről szóló törvény (a továbbiakban: Kszetv.) alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák (a továbbiakban együtt: kritikus szervezet), valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló 2021. évi XCIII. törvény (a továbbiakban: Vbö.) alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák (a továbbiakban együtt: az ország védelme és biztonsága szempontjából jelentős szervezet) vonatkozásában a hatósági felügyeleti tevékenység elhatárolása a fenti elvek mentén kerül megosztásra. A DORA rendelet hatálya alá tartozó kritikus szervezetekre, illetve az ország védelme és biztonsága szempontjából jelentős szervezetekre a törvény kiberbiztonsági felügyeleti rendelkezései nem alkalmazandóak, az incidenskezelési tevékenységre vonatkozó rendelkezések pedig a törvényben meghatározott eltérésekkel.

A NIS 2 irányelvre figyelemmel bevezetésre kerül a hatósági tevékenység hatálya alá tartozó szervezetek alapvető és fontos szervezetek szerinti kategorizálása. A két szervezettípus közötti különbségtétel a NIS 2 irányelv logikáját követi.

A NIS 2 irányelv a felügyeleti követelmények tekintetében tesz különbséget a két szervezettípus között, a fontos szervezetek esetében kizárólag utólagos hatósági felügyeleti követelményt támasztva.

A NIS 1 irányelv alapján a bejelentés-köteles szolgáltatást nyújtók számára bevezetett utólagos ellenőrzés azonban nem váltotta be a hozzá fűzött reményeket, amely tapasztalat a NIS 2 irányelv implementációja során figyelembevételre került. Emiatt a fontos szervezetek esetében az utókövetés helyett egy szigorúbb hatósági felügyeleti lehetőség kerül megteremtésre.

Ez összhangban van a NIS 2 irányelvvel, hiszen a minimális jogharmonizáció elvére figyelemmel szigorúbb követelmények állapíthatóak meg a magyar jogrendbe ültetés során.

A törvényben az alapvető és a fontos szervezetek közötti különbség elsődlegesen abban jelentkezik, hogy a fontos szervezetek esetében – a NIS 2 irányelv által is elvárt – kockázatarányosság szem előtt tartásával egyes, kockázatmenedzsment keretrendszerben feladatokat nem kötelező elvégezniük. Például nem kell biztonsági osztályba sorolniuk a rendszereiket. A jogszabály önmaga rögzíti, hogy legalább „alap” biztonsági osztályba tartozó védelmi követelményeket kell megvalósítaniuk.

A NIS 2 irányelv a központi és regionális szintű közigazgatási szervekre is alkalmazandó. A központi közigazgatási szervek mindenképpen az alapvető szervezetek közé tartoznak.

A helyi szintű közigazgatási szervek vonatkozásában a tagállamok dönthetnek, hogy az irányelvet alkalmazni rendelik-e. Az Ibtv. alkalmazásának tapasztalata alapján az önkormányzati szervekre vonatkozóan továbbra is szükséges az elektronikus információbiztonsági követelmények előírása. Erőforrások hiányában azonban – a jelentős lakosságszámmal és ezáltal általában több erőforrással rendelkező települések kivételével – általában nem képesek a jogszabály által elvárt komplex kockázatmenedzsment keretrendszert létrehozni és működtetni. Mindemellett ezek a hivatalok a közigazgatási tevékenységük során nagyrészt egy másik állami szerv (Magyar Államkincstár, Belügyminisztérium stb.) „központi” rendszerét használják. Mindezekre figyelemmel a helyi szintű közigazgatási szerveket a fontos szervezetek közé sorolja a törvény és vonatkozásukban egyszerűbb eljárásrendet határoz meg.

Alapvető szervezetként külön nevesítésre kerülnek a központi szolgáltatók, valamint a központi rendszerek szolgáltatói, továbbá – a NIS 2 irányelv méretkritériumai mentén (középvállalkozások vagy a feletti méretű vállalkozások) – a törvény hatálya alá kerülnek a többségi állami befolyás alatt álló gazdálkodó szervezetek is. Az állam elemi érdeke ugyanis, hogy az általa létrehozott, vagy befolyása alatt álló szervezetek információbiztonsága az állami szervekhez hasonló szinten rendezett legyen.

A kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 3. § (4) bekezdése értelmében „Nem minősül KKV-nak az a vállalkozás, amelyben az állam vagy az önkormányzat közvetlen vagy közvetett tulajdoni részesedése – tőke vagy szavazati joga alapján – külön-külön vagy együttesen eléri vagy meghaladja a 25%-ot.” Erre figyelemmel a többségi állami befolyás alatt álló gazdálkodó szervezetek vonatkozásában csak a középvállalkozásokra vonatkozóan előírt küszöbértékek elérésének feltétele jelenik meg a hatály alá tartozás kritériumaként, a középvállalkozásnak minősülés nem.

Nem minősülnek központi rendszernek az azonos funkcionalitással bíró, de elkülönítetten kezelhető (önálló futtatókörnyezettel és tárhellyel rendelkező) elektronikus információs rendszerek.

A NIS 2 irányelv és a törvény is lehetőséget biztosít a nemzeti kiberbiztonsági hatóság részére meghatározott feltételek teljesülése esetén valamely szervezet alapvető vagy fontos szervezetként történő azonosítására. Az 1. § az azonosítási kritériumokat is tartalmazza.

Nem változik a Kibertantv.-hez képest a kiberbiztonsági tanúsításra, illetve egy kivétellel az Ibtv.-hez képest a poszt-kvantumtitkosításra vonatkozó hatály. A poszt-kvantumtitkosítás esetében egy szervezettípus (a hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény szerinti bank) vonatkozásában – a DORA rendelet alkalmazására figyelemmel – jelen törvény rendelkezései nem irányadóak.

A sérülékenységvizsgálatra vonatkozó rendelkezések az alapvető és a fontos szervezeteken túl a hatály alá nem tartozó elektronikus információs rendszerek sérülékenységvizsgálatának elvégzésére is alkalmazandók, a szervezet egyedi kezdeményezésére és külön megállapodás alapján.

A kiberbiztonsági incidenskezelési tevékenység hatálya az alapvető és fontos szervezeteken túl kiterjed a DORA rendelet hatálya alá tartozó szervezetekre is, a törvényben meghatározott eltérésekkel.

Fentiek mellett – a magyar kibertér teljes védelmének megteremtése érdekében – indokolt biztosítani a jogszabályi lehetőségét az önkéntes bejelentéseknek is.

A hatálynál a NIS 2 irányelv rendelkezéseinek megfelelően rögzítésre kerül a törvény területi hatálya is. Itt a szervezet vagy képviselője letelepedési helye az irányadó, illetve a szervezetek egyes csoportja vonatkozásában ettől eltérő rendelkezések alkalmazandóak (pl. elektronikus hírközlési szolgáltató esetében a hatály a szolgáltatási terület alapján kerül meghatározásra vagy meghatározott szolgáltatók esetében az üzleti tevékenység fő helye).

A törvény a NIS 2 irányelvben foglaltaknak megfelelően rögzíti, hogy mi tekintendő az üzleti tevékenység fő helyének. Kiemelendő, hogy ha a szolgáltatásokat vállalkozások csoportja nyújtja, az irányító vállalkozás üzleti tevékenysége fő helyét a vállalkozáscsoport üzleti tevékenysége fő helyének kell tekinteni.

A szakasz a törvény hatálya alóli kivételeket és eltéréseket határozza meg.

A NIS 2 irányelv implementáció, valamint az Ibtv. felülvizsgálat egyik kiemelt célja a fogalmi rendszer megújítása tekintettel a NIS 2 irányelvvel bevezetésre kerülő új fogalmakra, valamint figyelemmel az elmúlt évek tapasztalataira.

Az értelmező rendelkezésekben azon új, vagy pontosított fogalmak (pl. sérülékenységvizsgálat) jelennek meg, amelyek biztosítják a törvény következetes végrehajtását és az egységes jogalkalmazást. Több esetben azonban – időtállóságára tekintettel – megőrzésre került az Ibtv. fogalomhasználata (pl. adat, bizalmasság, biztonsági osztály). Mindemellett megjelennek a törvényben a Kibertantv. definíciói is.

Pontosításra került a gyakorlati tapasztalatok alapján az elektronikus információs rendszer fogalma azzal, hogy egyértelműen beleértendőek a kiber-fizikai rendszerek (más néven ipari rendszerek) is. Kiber-fizikai rendszernek tekintendők például az ipari vezérlőrendszerek, az automatizációs rendszerek, az épületirányítási rendszerek és a fizikai hozzáférés-ellenőrzési mechanizmusok.

A törvény új feladatokat támaszt a szervetekkel szemben, illetve megjeleníti a központi rendszerekre és központi szolgáltatókra vonatkozó speciális szabályozást, amelyekhez kapcsolódó fogalmak ugyancsak meghatározásra kerülnek (pl. adatosztályozás, központi rendszerek és központi szolgáltatók, felhasználó szervezet, továbbfejlesztés).

Továbbfejlesztésnek tekintendő különösen, amennyiben megváltozik az elektronikus információs rendszerben kezelt adatok köre, mennyisége, technológiai változással jár, korábban belső használatú volt, de továbbfejlesztés következtében külső partnerek vagy ügyfelek is hozzáférhetnek.

Eseménykezelés terén a korábbi kétfokozatú („biztonsági esemény” – „súlyos biztonsági esemény”) fogalomhasználatot a kiberbiztonságot érintő eseményeknek egy sokkal differenciáltabb skálája váltja fel („esemény” – „kiberbiztonsági incidensközeli helyzet” – „üzemeltetési kiberbiztonsági incidens” – „kiberbiztonsági incidens” – „jelentős kiberbiztonsági incidens” – „szándékolt kiberbiztonsági incidens” – „nagyszabású kiberbiztonsági esemény”). Ez egyrészt a NIS 2 irányelv elvárásaiból, másrészt az elmúlt évek tapasztalataiból ered.

Míg az Ibtv. a „biztonsági esemény” kifejezést használja, a NIS 2 irányelv angol változata ezen eseményeket „incident”-ként (magyarul: kiberbiztonsági incidens) határozza meg. Tekintettel arra, hogy szakmai szempontból a „kiberbiztonsági incidens” kifejezés korszerűbb és megfelelőbb, a törvény ezt a fogalmat kívánja meghonosítani a magyar jogrendben is.

Bevezetésre kerül tehát a „kiberbiztonsági incidens” fogalom, amely tartalmilag a NIS 2 irányelv szerinti „esemény” („incident”) fogalomnak felel meg. Emellett megjelenik a jogszabályban az „esemény” fogalom is, a szakmai gyakorlatban használt jelentéstartalommal.

A NIS 2 irányelv definiálja a „majdnem bekövetkezett (near miss) kiberbiztonsági incidens” fogalmat is, ugyanakkor mivel a „nem következett be” fordulat ellentmondást mutat az esemény fogalmával, hiszen az esemény egy állapotváltozást jelent, a magyar implementációs egyeztetések alapján a „kiberbiztonsági incidensközeli helyzet” szófordulat alkalmazása helytállóbbnak bizonyult.

Az „üzemeltetési kiberbiztonsági incidens” kategóriának a jogszabályi szintű bevezetése a szervezetek számára megfelelő hivatkozási alapot jelent, hogy a kiberbiztonsági incidenskezelés, annak szabályozása során különválasszák az üzemeltetési kiberbiztonsági incidenseket, azok kivizsgálására, kezelésére eltérő eljárásrendet, eljárásokat alakítsanak ki. Emellett a biztonsági műveleti központot, vagy kiberbiztonsági incidenskezelő központot működtető, illetve szolgáltatásként igénybe vevő szervezetek számára is könnyebb, egyértelműbb helyzetet teremt az üzemeltetési kiberbiztonsági incidens jogszabályi szintű definiálása az ilyen típusú kiberbiztonsági incidensek kivizsgálásának, kezelésének leválaszthatósága, feladatkörön kívül helyezhetősége szempontjából.

Jelentős kiberbiztonsági incidensnek minősülhet például az a kiberbiztonsági incidens, amely az elektronikus információs rendszerek adatainak kezelésében, tárolásában vagy továbbításában, illetve e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatásokban súlyos veszteséget vagy súlyos működési zavart okoz vagy képes okozni; vagy természetes személyek életében, testi épségében, egészségében jelentős kár okozhat.

Nagyszabású kiberbiztonsági incidensnek az a kiberbiztonsági incidens tekinthető, amely meghaladja Magyarországnak az arra való reagálási képességét, vagy amely Magyarország és legalább még egy tagállamra vagy más, nem uniós államra jelentős hatást gyakorol. Ezen kiberbiztonsági incidensek kezelése az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe) támogatását igényli vagy igényelheti.

Jelentős kiberfenyegetés a technikai jellemzői alapján olyan feltételezhető kiberfenyegetés, amely jelentős vagyoni vagy nem vagyoni hátrányt vagy kárt okozva súlyos hatást gyakorolhat egy szervezet elektronikus információs rendszereire vagy a szervezet szolgáltatásainak felhasználóira és ennek következtében a lakosság ellátását, annak biztonságát vagy folytonosságát érintő súlyos esemény megelőzése céljából ágazati vagy kormányzati veszélyhelyzet-kezelési intézkedéseket vonhat maga után.

A korábban használt „eseménykezelő központ”-ot mindezeknek megfelelően felváltja az „kiberbiztonsági incidenskezelő központ” elnevezés.

Az elektronikus információs rendszerek védelmének általános alapelveiben érdemi változás nem következett be az Ibtv.-hez képest. Ezen alapelvek jelentek meg lényegében a Kibertantv.-ben is.

Az elektronikus információs rendszerek teljes életciklusában a bizalmasság, sértetlenség és rendelkezésre állás szem előtt tartásával biztosítani szükséges a zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet.

Mivel önmagában az elektronikus információs rendszer védelme nem elegendő, a szakasz rögzíti, hogy a védelem keretében az elektronikus információs rendszer működéséhez szorosan kapcsolódó dolgok (pl. eszközök, eljárások) és a kezelő személyek védelmének biztosítása is elengedhetetlen. Az ezekre irányadó szabályok megjelennek a védelmi követelményeket tartalmazó irányadó rendeletben.

A NIS 2 irányelv elvárása, hogy a tagállamok biztosítsanak elegendő erőforrást a kiberbiztonsági szervezetrendszer (így kiberbiztonsági hatóságaik, incidenskezelő központjaik) megfelelő működtetéséhez, technikai képességeik fejlesztéséhez.

A szervezetek kötelezettségei kapcsán a jogszabályban az Ibtv.-hez képest koncepcionális változásként jelenik meg, hogy az elektronikus rendszer adatkezelője helyett a rendszer felett rendelkezési joggal bíró szervezet jelenik meg a rendszer kiberbiztonságával kapcsolatos kötelezettségek címzettjeként. Ez a szervezet az esetek jelentős részében egybeesik a rendszer adatkezelőjével. Ugyanakkor az elmúlt évek tapasztalatai alapján számos esetben az adatkezelő személye nehezen volt megállapítható, ezért volt szükség a megközelítésbeli változtatásra.

Az új szemlélet a Polgári Törvénykönyvről szóló 2013. évi V. törvény (továbbiakban: Ptk.) 5:13 §-a alapján törvényi analógia útján a tulajdonjog egyik szelvényjogának minősülő rendelkezési jogból kerül levezetésre. Az elektronikus információs rendszert alkotó minden elemnek van „gazdája”. Minden elem tekintetében van olyan jogképességgel rendelkező szervezet vagy személy, amely vagy aki rendelkezni jogosult az adott rendszerelem felett, vagyis jogi hatalma van felette. Ez a hatalmat gyakorló szervezet vagy személy a rendelkezésre jogosult, ezáltal az új jogszabályban megjelenő ügyfél-jogok és kötelezettségek címzettje.

A szervezet rendelkezésében lévő elektronikus információs rendszer a központi rendszerek szolgáltatói esetében a központi rendszereket is jelenti.

Mivel napjainkban a digitalizáció terjedésével egy szervezet „életének” mind nagyobb része az elektronikus információs rendszereken, illetve a kibertérben zajlik, a szervezetek vezetőinek is az aktívabb és tudatosabb szerepvállalása szükséges a rendszerek védelmének biztosításában, ezért a szervezet vezetőjének felelősségi körébe tartozó feladatok egyértelműen meghatározásra kerülnek.

A NIS 2 irányelv is célként tűzi ki, hogy a kiberbiztonsági kockázatkezelési intézkedésekért és a jelentéstételi kötelezettségekért viselt magas szintű felelősség biztosításra kerüljön az alapvető és fontos szervezetek szintjén. Ezért az alapvető és fontos szervezetek vezető testületeinek jóvá kell hagyniuk a kiberbiztonsági kockázatkezelési intézkedéseket, és felügyelniük kell azok végrehajtását.

Az elektronikus információs rendszerek védelme érdekében a szervezet vezetőjének egyik legfontosabb feladata a kockázatmenedzsment keretrendszer létrehozatala és működtetése.

Egyes szervezetek esetében közvetlenül és kötelezően alkalmazandó uniós jogszabályok kerülnek elfogadásra az Európai Bizottság által (pl. a NIS 2 irányelv felhatalmazása alapján végrehajtási rendeleteket fogad el a Bizottság a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, az online keresőprogramok és a közösségimédia-szolgáltatási platformok szolgáltatói, valamint a bizalmi szolgáltatók tekintetében.) Az uniós jog primátusára figyelemmel a közvetlenül hatályosuló és kötelezően alkalmazandó uniós jogi aktusban foglalt szabályozás az irányadó.

Ilyen uniós jogszabály hiányában vagy az uniós jogszabály által nem szabályozott kérdésekben a kockázatmenedzsment keretrendszer létrehozatalának és működtetésének részletszabályait a biztonsági osztályba sorolás követelményeiről, valamint a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló MK rendelet (a továbbiakban: MK rendelet) tartalmazza. A törvényi szinten a keretrendszer felállításának és működtetésének legfőbb lépései jelennek meg.

Egyik legfontosabb lépésként a szervezet használatában lévő valamennyi elektronikus információs rendszer felleltározása és nyilvántartásba vétele jelenik meg. Ennek keretében egyrészt szükséges felmérni azon elektronikus információs rendszereket, amelyek felett a szervezet rendelkezik, továbbá azokat is, amelyek felett más szervezet rendelkezik, azonban a szervezet feladatai ellátásához igénybe veszi, használja. Ezek lehetnek központi rendszerek, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek, továbbá egyéb támogató rendszerek.

A központi szolgáltató által biztosított szolgáltatások alatt alapvetően a rendszer alapműködési céljához kapcsolódó IT funkciók összességét értendő.

Támogató rendszernek minősülnek azon rendszerek, amelyek elsődleges célja az ügyviteli, üzleti adatok kezelését végző rendszerek üzembiztos, biztonságos működésének támogatása. Az alkalmazandó biztonsági kontrollokat a támogató rendszer funkcionalitása, valamint a benne kezelt adatok, valamint a támogatott elektronikus információs rendszer biztonsági igényei alapján szükséges meghatározni.

Ezen rendszer nem önálló adatkezelési cél érdekében jön létre, hanem azt támogatja.

Esetükben az MK rendeletben foglalt intézkedések jelentős része nem értelmezhető, vagy nem alkalmazható kockázatarányosan, amelyek alkalmazása viszont lehetséges, azokat alkalmazni szükséges.

A szervezet „rendelkezésében lévő” rendszerek védelméhez kapcsolódó követelményeket a szervezet maga határozza meg és gondoskodik azok alkalmazásáról, míg a „használatában lévő” rendszerek védelméhez kapcsolódó követelményeket a szervezet nem maga határozza meg, azokat csak (kötelezően) betartja.

Az elektronikus információs rendszerek nyilvántartásba vételét és a szerepkörök, felelősök meghatározását követően újonnan nevesített feladatként az 1. § (1) bekezdés a) pontja hatálya alá tartozó – illetve a törvényben meghatározott esetben a b) és c) pont szerinti – szervezet vezetője gondoskodik a szervezet rendelkezésében lévő rendszerben kezelt adatok felméréséről és osztályozásáról (adatosztályozás). Ennek eredménye képezi az egyik alapját a rendszer biztonsági osztályba sorolásának.

Az elektronikus információs rendszerek használatbavételéről vagy használatának folytatásáról a szervezet vezetője dönt. Ezen döntésnek azon kell alapulnia, hogy a döntést megelőzően a szervezet vezetője biztosítja az elektronikus információs rendszerek védelme vonatkozásában meghatározott védelmi intézkedések teljesülését, gondoskodik a feltárt hiányosságok orvoslásáról, továbbá a védelmi intézkedések időszakos értékeléséről.

A kockázatmenedzsment keretrendszer működtetésére irányuló feladatok mellett meghatározásra kerülnek a szervezet vezetőjének egyéb feladatai is.

Mivel az elektronikus információs rendszerek védelme szempontjából kiemelt jelentőséggel bír a nem várt helyzetekre való megfelelő felkészülés, megjelenik a szervezetek számára a gyakorlatokon való részvétel, mint jogszabályi kötelezettség is, továbbá a szervezetek által önállóan szervezett gyakorlatok tartásának a lehetősége is.

A 6. § (10) bekezdésben meghatározott szervezetek tekintetében – a kockázatarányosságra figyelemmel – eltérő mélységben állapít meg egyes kötelezettségeket. Ezeknek a szervezeteknek nem kötelező teljeskörű kockázatmenedzsment rendszert működtetniük. Ennek keretében például nem szükséges a rendszereiket biztonsági osztályba sorolniuk. A jogszabály önmaga mondja ki, hogy az elektronikus információs rendszerei „alap” biztonsági osztályba tartoznak és az ennek megfelelő védelmi követelményeket kell minimum teljesíteni.

A törvény megállapítja, hogy mely szervezetek kötelesek kiberbiztonsági felügyeleti díjat fizetni. Ez a kör megegyezik a Kibertantv. kiberbiztonsági felügyeletre vonatkozó rendelkezéseinek hatálya alá tartozó szervezetekkel.

A díj mértékét az SZTFH elnökének rendelete rögzíti majd, a jogszabály azonban megadja a díj maximális mértékét, továbbá különös szabályokat határoz meg arra az esetre, ha az érintett szervezet a Ptk. szerinti elismert vagy tényleges vállalatcsoportba tartozik, vagy egy konszolidációs körbe tartozó vállalkozáscsoportban vesz részt. A kiberbiztonsági felügyeleti díj mértéke az előző üzleti évi nettó árbevételre vetítve százalékosan, továbbá maximális, összegszerű korláttal kerül meghatározásra.

A szakasz a szervezetek további általános kötelezettségeit rögzíti (képviselő kijelölése, együttműködési kötelezettség).

A szervezetnek a kockázatmenedzsment rendszer kialakítása és a kiberbiztonsági hatósággal való együttműködése, tájékoztatása keretében megteendő főbb feladatok határideje is megjelenik általános kötelezettségként. Ezek a feladatok nem csak a törvény hatályba lépését követően, hanem folyamatában (pl. új szervezet, új rendszer hatály alá kerülése esetén) is felmerülő általános feladatok és határidők, erre figyelemmel nem az átmeneti rendelkezésekben kerültek elhelyezésre.

A határidők kezdetének meghatározhatósága érdekében a jogszabály kimondja, hogy a törvény hatálya alá kerülés időpontja szempontjából mi az irányadó. A törvény hatálya alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésébe például a kritikus szervezetek tekintetében a kritikus szervezetté történő kijelölő határozat, vagy a kiberbiztonsági hatóság általi azonosítás esetében az alapvető szervezetként történő azonosítást megállapító határozat véglegessé válása is beleértendő.

Mindemellett a NIS 2 irányelv megfelelően rögzíti a szervezetek azon lehetőségét, miszerint kiberbiztonsági információmegosztási megállapodásokat kössenek. A kiberfenyegetések bonyolultabbá és kifinomultabbá válásával e fenyegetések jó észlelése és a megelőzési intézkedések nagymértékben függenek a fenyegetésekre és sérülékenységekre vonatkozó információk szervezetek közötti rendszeres megosztásától. Az információmegosztás hozzájárul a kiberfenyegetésekkel kapcsolatos tudatosság erősítéséhez, ami viszont fokozza a szervezetek azon képességét, hogy megakadályozzák e fenyegetések eseményekké válását, és lehetővé teszi a szervezetek számára, hogy jobban visszaszorítsák az események hatásait, és hatékonyabbá tegyék a működés helyreállítását.

A kiberbiztonsági információmegosztási megállapodások keretében az alapvető és fontos szervezetek és adott esetben beszállítóik és szolgáltatóik közösségeiben a szervezetek önkéntes alapon megoszthatják egymással a vonatkozó kiberbiztonsági információkat, ideértve a kiberfenyegetésekre, a majdnem bekövetkezett eseményekre, a sérülékenységekre, a technikákra és eljárásokra, a fertőzöttségi mutatókra, az ellenséges taktikákra, az elkövetővel kapcsolatos információkra, a kiberbiztonsági figyelmeztetésekre, valamint a kibertámadások észlelésére szolgáló biztonságieszköz-konfigurációkra vonatkozó ajánlásokkal kapcsolatos információkat. A megállapodások célja, hogy a szervezetek együttesen hasznosítsák egyéni tudásukat és gyakorlati tapasztalataikat annak érdekében, hogy javítsák képességeiket az események megfelelő megelőzésére, felderítésére, az azokra való reagálásra, az azokat követő helyreállításra és hatásaik enyhítésére. Ezeket a megállapodásokat az uniós és hazai versenyszabályokkal és adatvédelmi joggal teljes összhangban kell kialakítani.

Az MK rendelet az együttműködés egyes elvárt eseteire vonatkozóan konkrét rendelkezéseket tartalmaz, amelyek akár ezen megállapodások keretében is rögzíthetők.

Az adatnak önmagában sokszor nem értelmezhető a bizalmassági szintje. Egy e-mail cím, név vagy telefonszám egy névjegykártyán jobbára nyilvános adat, de egy összkormányzati dolgozói lista mint adategyüttes ugyanezekkel az adatokkal már a nem nyilvános kategóriába esik.

A szervezeteknek az általuk kezelt rendszerek vonatkozásában adatosztályozást kell végezniük a törvényben meghatározott esetben. Az adatosztályozást kizárólag a törvény 1. mellékletében meghatározott szervezetnek kötelező minden esetben elvégeznie, az 1. melléklet által fel nem sorolt szervezet kizárólag a nem privát felhőszolgáltatás igénybevétele és külföldi adatkezelés megvalósítása esetén köteles elvégezni. A szervezetek (akár alapvető, akár fontos szervezet) kizárólag az adatosztályozás alapján, annak eredményére figyelemmel vehetnek igénybe nem privát felhőszolgáltatást, illetve kezelhetnek külföldön adatot.

Az adatosztályozás során a szervezet az elektronikus információs rendszerben kezelt vagy kezelni tervezett adatok együttesét veszi figyelembe, és vizsgálja azok együttes biztonsági igényét bizalmasság, sértetlenség és rendelkezésre állás szempontjából. Az adatok rendelkezésre állásának szempontja kiemelt jelentőséggel bír a külföldön történő adatkezelés vonatkozásában.

A takarékosság és hatékonyság elvének megfelelően az adatklasszifikációra a biztonsági osztályba sorolás részeként kerül sor, annak egyik alapját képezi. Erre figyelemmel az adatok osztályba sorolása nem kerül külön jóváhagyásra a hatóság által.

Az adatosztályozás eredménye a nem privát felhőszolgáltatás igénybevételének, illetve az adatok külföldön történő kezelésének lehetősége, avagy tilalma szempontjából bír jelentőséggel. A felhőszolgáltatás igénybevétele, illetve a külföldi adatkezelés kapcsán ugyanakkor figyelemmel szükséges lenni más jogszabály irányadó rendelkezéseire is (pl. GDPR).

Az Ibtv.-ben alkalmazott öt biztonsági osztályt három biztonsági osztály váltja fel („alap”, „jelentős” vagy „magas”). A biztonsági osztályba sorolás felülvizsgálati időszaka a korábbi három évről két évre módosul.

Az elektronikus információs rendszerre vonatkozó védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések két év alatt történő kivitelezésére.

A NIS 2 irányelv 21. cikke értelmében a tagállamok biztosítják, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezési intézkedéseket hozzanak annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait.

Az irányelv felsorolja azokat az intézkedéseket, amelyeket ezen cél elérése érdekében minimálisan teljesítenie kell a szervezeteknek. Ide tartozik a többek között a kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok megalkotása, az eseménykezelés; üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; az ellátási lánc biztonságának biztosítása, humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok elfogadása, stb.

A NIS 2 irányelv ezen túlmenően a követelmények mélysége vonatkozásában nem differenciál.

Előírja ugyanakkor, hogy figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, valamint a végrehajtás költségeit, az intézkedéseknek biztosítaniuk kell a hálózati és információs rendszerek biztonságának a felmerülő kockázatoknak megfelelő szintjét. Ezen intézkedések arányosságának értékelésekor megfelelően figyelembe kell venni a szervezet kockázatoknak való kitettségének mértékét, a szervezet méretét és az események előfordulásának valószínűségét, valamint azok súlyosságát, beleértve társadalmi és gazdasági hatásukat is.

Az elektronikus információs rendszer kockázatarányos védelmének biztosítása érdekében került már az Ibtv. által és a Kibertantv. által is bevezetésre az öt, illetve háromfokozatú biztonsági osztályba sorolás és az ahhoz kapcsolódó fokozatosan erősödő védelmi intézkedések rendszere.

Azzal, hogy az új törvény előírja, hogy a biztonsági osztályba sorolás időpontjában az 1. § (1) bekezdés a)–c) pontja szerinti szervezetnek teljesítenie kell legalább az „alap” biztonsági osztály kapcsán az MK rendeletben meghatározott védelmi intézkedéseket, teljesülnek a NIS 2 irányelv 21. cikk (2) bekezdésében meghatározott minimum feltételek. Az MK rendelet által az „alap” biztonsági osztály kapcsán meghatározott követelmények ugyanis azokat tartalmazzák. Ezek a követelmények a „jelentős”, illetve „magas” biztonsági osztályok vonatkozásában is természetesen megjelennek, csak eltérő mélységgel, erősebb védelmi elvárásokkal.

Az Ibtv. szerinti biztonsági szintbe sorolás jogintézménye megszűnik.

Az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) szervezeten belül kijelölt vagy a szervezeten kívüli személy lehet. Ez utóbbival a szervezet megállapodást (általában megbízási vagy vállalkozási szerződést) köt, amelynek minimális tartalmi elemeit kormányrendelet rögzíti. Kiemelt jelentőséggel bír, hogy megállapodásban meg kell jelölni azt a természetes személyt, aki az IBF feladatait ellátja. Egy szervezet elektronikus információs rendszerei kiberbiztonsági állapotának és működésének megfelelősége ugyanis – a szervezet vezetője mellett – jelentős mértékben azon múlik, hogy az IBF megfelelően látja-e el a feladatait. Személye, felkészültsége, a szervezet elektronikus információs rendszereit érintő információkra való rálátása kiemelt jelentőséggel bír, ő tartja a szervezet nevében a kapcsolatot a kiberbiztonsági hatósággal, a kiberbiztonsági incidenskezelő központtal.

A jogszabály előírja az IBF-ként kijelölendő személlyel szemben elvárt alapvető feltételeket (pl. büntetlen előélet, szakképzettség vagy előírt szakmai gyakorlat, titoktartási kötelezettség, továbbképzésen részvétel). Megjelennek emellett azon szerepkörök, amelyek az IBF-kénti feladatellátással összeegyeztethetetlenek összeférhetetlenség miatt, továbbá részletezi, hogy mely szervezetek vonatkozásában nem szükséges ezt figyelembe venni.

Az IBF feladatai megfelelő teljesítéséhez szükséges erőforrások, információk, jogkörök biztosítása elengedhetetlen. A jogszabály erre figyelemmel megjeleníti a szervezet vezetője által az IBF működéséhez biztosítandó feltételeket.

Ha a szervezet rendelkezésében lévő elektronikus információs rendszerek száma, mérete vagy biztonsági igényei indokolják, a szervezeten belül elektronikus információbiztonsági szervezeti egység hozható létre. Mindemellett indokolt esetben helyettes is kijelölhető. A helyettesre az IBF-re vonatkozó rendelkezések az irányadók.

Az 1. § (1) bekezdése szerinti szervezetek típusai vonatkozásában az IBF-re alkalmazandó egyes rendelkezések eltérő tartalommal kerülnek meghatározásra.

Az elektronikus információs rendszerek biztonságával kapcsolatos oktatás és képzés kereteinek meghatározása elengedhetetlen a megfelelő kiberbiztonsági szakemberek szakmai tudásának szinten tartása érdekében. A szakasz meghatározza a kiberbiztonsággal kapcsolatos felsőoktatási intézmény kötelezettségeit, lehetőségeit, valamint a kiberbiztonsággal kapcsolatos képzést folytató szervezet képzésének kereteit.

Egyértelműen rögzítésre került az az 1. § (1) bekezdés a)–c) pontjának hatálya alá tartozó új elektronikus információs rendszerek fejlesztése, vagy a már meglévő elektronikus információs rendszerek továbbfejlesztése során követendő eljárásrend. Ahhoz, hogy az elektronikus információs rendszerek biztonsága megfelelő szintet érhessen el, a gyakorlatban és a jogszabályban is érvényesíteni szükséges a „security by design” elvet, azaz a biztonság megteremtését már a tervezés szakaszától fogva szem előtt kell tartani.

A szakasz a törvény 1. mellékletében felsorolt szervezetek, valamint a többségi állami befolyás alatt álló azon gazdálkodó szervezetek esetében határoz meg rendelkezéseket, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket. Az ettől eltérő szervezetek kötelezettségeit a következő paragrafus tartalmazza.

A tervezés egy elektronikus információs rendszer alapjait teremti meg, ezért már a tervezési életciklusban a rendszert biztonsági osztályba kell sorolni és a kiberbiztonsági hatóságnak jóváhagyásra be kell nyújtani: a) belső fejlesztés esetén az erőforrások allokációját megelőzően,

b) külső fejlesztés esetén az arra irányuló szerződés megkötését megelőzően. Az információbiztonsági követelményeket szükséges az elektronikus információs rendszer fejlesztésére irányuló szerződésben rögzíteni és a fejlesztés során a fejlesztővel betartatni. A tervezési fázisban ugyanis a tervezett biztonsági osztályhoz kapcsolódó védelmi követelmények figyelembevétele és teljesítése sokkal egyszerűbb, mint egy kész rendszer kapcsán utólag erőfeszítéseket tenni azok megvalósítása érdekében.

Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer továbbfejlesztése során a megállapított biztonsági osztályhoz tartozó követelményeket a rendszer használatbavételéig teljesíteni kell. A szervezet vezetője abban az esetben hozhatja meg döntését az elektronikus információs rendszer használatba vételéről, amennyiben a rendszer biztonsági osztályát a hatóság jóváhagyta és a biztonsági osztályhoz tartozó védelmi követelmények teljesültek.

A hatóság az eljárása során elrendelhet sérülékenységvizsgálatot is.

Központi rendszer fejlesztése során mindezeken túl a tervezés fázisában történő bejelentés mellett minden mérföldkő elérésekor tájékoztatni kell a kiberbiztonsági hatóságot a központi rendszer biztonságát érintő kérdések vonatkozásában.

A 13. § (1) bekezdésében fel nem sorolt szervezeteknek új elektronikus információs rendszer fejlesztése, illetve továbbfejlesztés esetén könnyítettebb szabályokat lehet alkalmazni. A szervezetnek bejelentési kötelezettsége van: egyrészt a tervezési életciklusban, a fejlesztés megkezdését megelőzően, másrészt a szervezet vezetőjének a használatba vételre, további használatra irányuló döntését követően.

Az az elvárás ugyanakkor változatlan, hogy a biztonsági osztályhoz tartozó védelmi követelményeknek teljesülniük kell és a használatba vételről szóló döntés csak ezt követően hozható meg.

A hatóság értelemszerűen ezen szervezetek által fejlesztett rendszerek esetében is elrendelhet sérülékenységvizsgálatot.

Amennyiben az elektronikus információs rendszer kapcsán sérülékenységvizsgálatot kell végezni (akár jogszabály, akár hatósági kötelezés miatt), a szervezet vezetője a rendszer használatba vételére, további használatára irányuló döntését csak a sérülékenységkezelési terv kiberbiztonsági hatóság általi jóváhagyását követően hozhatja meg.

„Jelentős” és „magas” biztonsági osztály esetében teljeskörű sérülékenységvizsgálatot kell kezdeményezni, ez alól kizárólag a sérülékenységvizsgálat végzésére jogosult állami szerv döntése alapján mentesülhet a szervezet.

A felesleges duplikációk elkerülése érdekében a kiberbiztonsági audit végeztetésére kötelezett szervezetek elektronikus információs rendszerei vonatkozásában nem áll fenn a sérülékenységvizsgálat elvégeztetésének kötelezettsége. Ugyanakkor indokolt esetben (pl. incidens esetén) az incidenskezelő központ, illetve a kiberbiztonsági hatóság jogosultsága fennmarad a sérülékenységvizsgálat elrendelésére.

Egyéb esetben a sérülékenységvizsgálat elvégzésére a szervezet felkérheti a sérülékenységvizsgálat végzésére jogosult állami szervet is, amely kockázatalapú megközelítés és kapacitás függvényében végzi el a feladatot.

A kiberbiztonsági követelményeknek való megfelelés bizonyítására a jelen szakaszban meghatározott szervezetek kötelesek kiberbiztonsági auditot végeztetni kétévente, illetve a hatóság általi elrendelés esetén.

Az audit végzésére köteles szervezetek köre megegyezik a Kibertantv. hatálya alá tartozó szervezetekkel.

A törvény rögzíti továbbá – a Kibertantv.-ben foglaltaknak megfelelően – a szakaszban az érintett szervezet kiberbiztonsági audit kötelezettsége kapcsán az auditorral való szerződéskötés és első kiberbiztonsági audit lefolytatásának a határideje.

A támogató rendszerekre (pl. vírusvédelmi megoldások) funkciójuknál fogva speciális rendelkezéseket kell alkalmazni. Ennek keretében nem kell a rendszert biztonsági osztályba sorolni, ugyanakkor védelmi intézkedéseknek ezek tekintetben is teljesülniük szükséges. A védelmi intézkedéseknek meg kell felelniük a támogatott elektronikus információs rendszer védelmi igényeinek.

Amennyiben a szervezet a támogató rendszert szolgáltatásként nyújtja, tájékoztatnia kell a támogató rendszert felhasználó szervezetet arról, hogy a támogató rendszer milyen követelményeknek felel meg.

A gyakorlati tapasztalatok alapján szükséges egyedi szabályokat meghatározni a központi rendszerek, valamint azok szolgáltatói és a felhasználó szervezetek közötti feladatelhatárolás vonatkozásában is.

A központi rendszer olyan speciális elektronikus információs rendszer, amely felett a rendelkezési jogot a központi rendszer szolgáltatója gyakorolja. A felhasználó szervezetek ezen rendszerek esetében kevés ráhatással bírnak a rendszerre.

A szolgáltató szerződéses követelményként meghatározza vagy szerződés hiányában honlapján elérhetővé teszi a felhasználó szervezet számára a központi rendszer védelme érdekében a felhasználó szervezet által a központi rendszer igénybevétele feltételeként betartandó információbiztonsági követelményeket.

A törvény – a központi szolgáltatókhoz hasonlóan – a központi rendszerek esetében is az alapvető felelősségelhatárolásokat rögzíti, a részletesebb rendelkezéseket a vonatkozó jogszabálynak, illetve a felek közötti szerződésnek kell tartalmaznia.

A hatóság külön nyilvántartja a központi rendszereket.

Az Ibtv. alkalmazásának gyakorlati tapasztalatai alapján szükségessé vált a központi szolgáltatók által nyújtott szolgáltatások és támogató rendszerek kapcsán a központi szolgáltatók és a felhasználó szervezetek feladat- és felelősségelhatárolása, és ennek megfelelően speciális szabályok meghatározása.

A központi szolgáltató által nyújtott szolgáltatást vagy támogató rendszert a felhasználó szervezet jogszabályi kötelezés vagy egyedi megállapodás alapján veszi igénybe. A központi szolgáltató tájékoztatást köteles adni a felhasználó szervezetnek, hogy az általa nyújtott szolgáltatás milyen biztonsági osztály követelményeinek megfelelő szolgáltatásokat tud nyújtani. Ha a felhasználó szervezet elektronikus információs rendszere biztonsági osztályának megfelelnek a központi szolgáltató által biztosított védelmi intézkedések, a felhasználó szervezet igénybe veszi a szolgáltatást. Az esetek jelentős részérben egybeesik a rendszer adatkezelőjével. Ha nem felelnek meg az igények, úgy egyedi szerződés esetén a szervezet nem veheti igénybe a szolgáltatást. Jogszabály által előírt igénybevétel esetén a szervezet az MK rendeletben a szervezet elektronikus információs rendszerének biztonsági osztálya vonatkozásában meghatározott valamely helyettesítő intézkedést alkalmaz a potenciális kockázatokat figyelembevéve.

A törvény rögzíti mind a központi szolgáltató, mind a felhasználó szervezet alapvető feladatait azzal a céllal, hogy minden érintett szervezet felelősségének határa legyen egyértelműen megjelölve. A részletesebb feladat- és felelősségmegosztást vagy a központi szolgáltatásra/támogató rendszerre vonatkozó jogszabály rögzíti, vagy a felek által kötött direktfinanszírozási szerződés.

A hatóság a központi szolgáltató által nyújtott szolgáltatásokat és támogató rendszereket nyilvántartja.

A törvény a NIS 2 irányelv előírásaira figyelemmel – a Kibertantv,-ben foglaltaknak megfelelően – kötelezi a legfelső szintű doménnév-nyilvántartót központi adatbázis létrehozására, a doménnév-nyilvántartás kötelező adattartalmának meghatározása mellett. A kezelt adatok valódiságának fenntartása érdekében szabályozási kötelezettséget rögzít, továbbá közzétételi követelményt állapít meg a személyes adatnak nem minősülő adatok vonatkozásában. A törvény rögzíti, hogy a legfelső szintű doménnév-nyilvántartó által kezelt adatok kezelésének célja a doménnevet kezelő adminisztratív kapcsolattartó, valamint a doménnév használó természetes vagy jogi személy azonosíthatósága, valamint a kapcsolattartási adatok naprakészen tartása.

A jogszabály szabályozza továbbá a nyilvántartás adataihoz való hozzáférés rendjét is.

A biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségét – hatósági felügyeleti jogkört nem érintve – az auditor ellenőrzi a kiberbiztonsági audit végrehajtása során a 10. alcímben meghatározott szervezeti kör esetében.

Az auditra köteles szervezet kétévente auditot végeztetni arra felhatalmazott, független auditor által. Az audit végrehajtásának a célja az, hogy az érintett szervezet képes legyen felismerni az elektronikus információs rendszereit érintő kockázatokat, valamint a biztonsági követelményeknek való nem megfelelés eseteit.

A törvény rögzíti az audit végrehajtásának főbb szabályait, az auditorral kapcsolatos elvárások, továbbá az audit maximális díjának meghatározására az SZTFH elnökének rendeletében kerül sor.

A követelményeknek megfelelő és az audit végrehajtására jogosult gazdálkodó szervezetekről az SZTFH nyilvántartást vezet és az auditorokat hatósági hatáskörében ellenőrzi. Az audit végrehajtásáról, annak befejezését követően az auditor az SZTFH-t is tájékoztatja. Az SZTFH a jelentést – szervezettípustól függően – automatikusan vagy kérésére megküldi a nemzeti kiberbiztonsági hatóság részére. Rögzítésre kerülnek továbbá az SZTFH azonnali tájékoztatására vonatkozó kötelezettség esetkörei, továbbá az auditor adatkezelésére vonatkozó szabályok.

A törvény hatálya alá tartozó szervezetek és elektronikus információs rendszerek hatósági felügyeletét a kormányrendeletben kijelölt nemzeti kiberbiztonsági hatóság, az SZTFH, valamint a honvédelmi kiberbiztonsági hatóság látja el. A nemzeti kiberbiztonsági hatóság a közigazgatási ágazathoz tartozó szervezetek, a többségi állami befolyás alatt álló, a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény szerinti középvállalkozásokra vonatkozó küszöbértékeket meghaladó gazdálkodó szervezetek, valamint a nemzeti kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezetek, elektronikus információs rendszerei kapcsán végzi a hatósági feladatokat.

Az SZTFH a banki szolgáltatások és a pénzügyi piaci infrastruktúrák, valamint a közigazgatási ágazat kivételével a NIS 2 irányelv 1. és 2. melléklete szerinti ágazatokban látja el a hatósági felügyeleti tevékenységet.

A honvédelmi célú elektronikus információs rendszerek vonatkozásában a honvédelmi ágazaton belül kerül kijelölésre a hatóság a Kormány által.

Alapvető követelményként jelennek meg – a korábbi szabályozással és a NIS 2 irányelvben foglaltakkal is összhangban – a nemzeti kiberbiztonsági hatóság függetlenségére vonatkozó rendelkezések.

A szakasz a hatóság feladatait rögzíti. Az Ibtv.-ben meghatározott feladatok mellett új, a NIS 2 irányelvből eredő feladatok is nevesítésre kerülnek. Ilyen például a kiberbiztonsági hatóság részére azon jogkör biztosítása, hogy előírhatja minősített bizalmi szolgáltatások igénybevételét vagy európai és nemzetközi szabványok, műszaki előírások alkalmazását.

Új jogosultságként jelenik meg, hogy a nemzeti kiberbiztonsági hatóság – a NIS 2 irányelvben foglaltaknak megfelelően – a törvény hatálya alá nem tartozó szervezetet alapvető vagy fontos szervezetként azonosíthat majd.

A NIS 2 irányelv előírja, hogy amennyiben „a szervezet nem az Unióban letelepedett, de az Unión belül kínál szolgáltatásokat, ki kell jelölnie egy képviselőt az Unióban. A képviselőnek azon tagállamok valamelyikében kell letelepedettnek lennie, ahol a szolgáltatásokat kínálják. Az ilyen szervezetet a képviselő letelepedése szerinti tagállam joghatósága alá tartozónak kell tekinteni. E bekezdés alapján az Unióban kijelölt képviselő hiányában bármely olyan tagállam, amelyben a szervezet szolgáltatásokat nyújt, jogi lépéseket tehet a szervezet ellen ezen irányelv megsértése miatt.” A törvényben ezen jogosultság is megjelenítésre kerül. Emellett a törvény biztosítja annak lehetőségét – ugyancsak a NIS 2 irányelv elvárásainak megfelelően –, hogy valamely uniós tagállam kiberbiztonsági hatósága által kölcsönös segítségnyújtás keretében küldött megkeresésére a hatóság felügyeleti intézkedést tehessen vagy jogkövetkezményt alkalmazhasson.

A NIS 2 irányelv előírja, hogy a hatóság a feladatai ellátása érdekében rangsorolhatja felügyeleti feladatait, amely a nagy számú ügyfél miatt kiemelt jelentőséggel bír.

A szakasz rögzíti az SZTFH és a honvédelmi kiberbiztonsági hatóság hatósági feladatellátására irányadó eltérő rendelkezéseket is.

A szakasz a hatósági eljárásra vonatkozó általános szabályokat tartalmazza, amelyek az általános közigazgatási rendtartásról szóló törvény rendelkezéseihez képest törvényi szinten rögzítendő eltéréseket határozzák meg.

A jogszabályhely rögzíti a szervezetek hatóság általi azonosítására vonatkozó általános szabályokat, illetve meghatározza azt az esetet is amikor az azonosítás kötelező. Az azonosítás célja azon szervezeteknek a törvény hatálya alá vonása, amelyek az állam, a társadalom, a gazdaság működése szempontjából kiemelt jelentőséggel bírnak és ezáltal a rendelkezésük alatt álló elektronikus információs rendszer fokozottabb védelmének biztosítása szükséges. Ilyenek lehetnek például a költségvetési vagy európai uniós forrásból támogatott rendszerfejlesztések.

Az azonosítási eljárás során a hatóság hivatalból határozatot hoz a szervezet alapvető vagy fontos szervezetkénti azonosításáról és nyilvántartásba vételéről. Ezen döntés meghozatalát megelőzően jogosult adatszolgáltatást kérni a jogszabályban meghatározottaktól: a szervezettől, más hatóságtól, felügyeleti szervtől, vagy közhiteles nyilvántartásból.

A bizonyítás terhe a szervezeten van, amennyiben nem ért egyet az azonosítással.

A szakasz a hatóság által nyilvántartandó adatokat taglalja.

A törvény meghatározza az adatkezelés célját, hogy a hatósági nyilvántartásból mely szervezetek részére végezhető adatszolgáltatás, valamint, hogy az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas természetes személyek listáját közzéteszi.

A szabályozás – a Kibertantv.-ben foglaltakat alapul véve – meghatározza az SZTFH adatkezelésére vonatkozó rendelkezéseket is. A NIS 2 irányelv alapján végzendő adatszolgáltatási kötelezettség teljesíthetősége érdekében szükséges annak rögzítése, hogy az SZTFH is összeállítja az alapvető és fontos szervezetek, valamint a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek jegyzékét és azt kétévente felülvizsgálja.

A kiberbiztonsági incidensek időben való kezelhetősége, az incidenskezelés mielőbbi megkezdhetősége érdekében biztosítani kell a nemzeti kiberbiztonsági incidenskezelő központ részére, hogy az SZTFH által kezelt ügyféladatokhoz közvetlen hozzáféréssel rendelkezzen.

Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a kiberbiztonsági hatóság jogkövetkezményeket alkalmazhat. A jogkövetkezmények rendszere – a NIS 2 irányelvben szabályozottakra figyelemmel – az Ibtv.-hez képest részletesebben kerül kifejtésre: figyelmeztetés, felszólítás, kötelezés, felügyelő szervhez vagy a tulajdonosi joggyakorlóhoz fordulás, információbiztonsági felügyelő kirendelése vagy bírság kiszabása.

A NIS 2 irányelvnek megfelelően a jövőben egységesen lesz lehetőség a közigazgatási és nem közigazgatási szervek vonatkozásában a felügyeleti szervhez/tulajdonosi joggyakorlóhoz fordulásra, illetve információbiztonsági felügyelő kirendelésére.

A nem közigazgatási szerv alapvető szervezet esetében a NIS 2 irányelv még ezeknél is szigorúbb jogkövetkezmények alkalmazási lehetőségét írja elő, amely megjelenik a törvényben is. Ez alapján a kiberbiztonsági hatóság ha az általa szabott határidőn belül a szervezet nem tesz eleget a kötelezésnek, a) kezdeményezheti az illetékes hatóságnál az alapvető szervezet által nyújtott, a jogsértéssel érintett alapvető szolgáltatások vagy tevékenységek egészére vagy egy részére vonatkozó tanúsítás vagy engedély ideiglenes felfüggesztését vagy b) kezdeményezheti az illetékes hatóságnál, bíróságnál, hogy ideiglenesen tiltsák meg az alapvető szervezet vezetője számára, hogy az adott szervezetben vezetői feladatokat lásson el.

A NIS 2 irányelv (133) preambulumbekezdésében rögzíti ugyanakkor, hogy „ezeket az ideiglenes felfüggesztéseket és eltiltásokat csak végső megoldásként szabad alkalmazni, vagyis csak az ezen irányelvben megállapított egyéb vonatkozó végrehajtási intézkedések kimerítése után, és csak addig, amíg az érintett szervezet meghozza a szükséges intézkedéseket a hiányosságok orvoslására vagy az illetékes hatóság követelményeinek – amelyekkel kapcsolatban az ideiglenes felfüggesztéseket és eltiltásokat alkalmazták – való megfelelésre.”

A jogkövetkezmények alkalmazása során a hatóság a következő elveket tartja szem előtt: arányosság, fokozatosság, hatékonyságát és visszatartó erő. Az egyes jogkövetkezmények egymás mellett is alkalmazhatók.

Ha a hatósági kötelezést az érintett szervezet figyelmen kívül hagyja, vagy a kiberbiztonsági hatóság által javasolt védelmi intézkedéseket önhibájából nem teljesíti és ezzel kiberbiztonsági incidens vagy kiberbiztonsági incidensközeli helyzet áll elő, a szervezet az elhárításra fordított költségek megtérítésére kötelezhető.

A szakasz fentieken túl – a Kibertantv.-ben foglaltaknak megfelelően – megállapítja az SZTFH által a felügyeleti jogkörébe tartozó szervezetek vonatkozásában a fentieken túl alkalmazható további jogkövetkezményeket.

A szakasz meghatározza a kiberbiztonsági hatóság által kirendelhető információbiztonsági felügyelőre és a kirendelésére vonatkozó alapvető feltételeket. A NIS 2 irányelv is ismeri ezen jogintézményt, ellenőrző tisztviselő elnevezéssel.

A jogintézmény újragondolása során a hatékonyabb gyakorlati alkalmazhatóságot szem előtt tartva a jövőben a miniszter helyett a kiberbiztonsági hatóság lesz jogosult a kirendelésére.

A részletszabályokat kormányrendelet, SZTFH elnöki rendelet, illetve az információbiztonsági felügyelő szakképzettségére vonatkozó szabályokat az informatikáért felelős miniszter rendelete tartalmazza.

A Kibertantv. rendelkezései jelennek meg az auditorral szemben alkalmazható jogkövetkezmények vonatkozásában. Mivel az auditorok hatósági felügyeletét az SZTFH látja el, úgy ezen jogkövetkezmények alkalmazására is az SZTFH jogosult.

Amennyiben a jogszabályban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat az auditor nem teljesíti vagy nem tartja be az SZTFH jogosult a törvényben, illetve ugyanezen szakasz (2) bekezdésben említett SZTFH elnökének rendeletében részletezett jogkövetkezményeket alkalmazni.

Az ideiglenes hozzáférhetetlenné tétel során a kiberbiztonsági hatóság határozatban elrendelheti az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján továbbított adatnak, amely a magyar kibertér biztonságára fenyegetést jelent, és amellyel kapcsolatosan a kiberbiztonsági incidenskezelő központ kiberbiztonsági incidenskezelést folytat. A hatóság a határozatot hirdetményi úton közli, kötelezettje valamennyi elektronikus hírközlési szolgáltató, végrehajtását a Nemzeti Média- és Hírközlési Hatóság szervezi és ellenőrzi.

A rendelkezések rögzítik még a kötelezettség megszűnésére vonatkozó szabályokat, valamint a nem teljesítés következményeit.

Új elemként jelenik meg a sürgős cselekvési szükségre figyelemmel az ideiglenes intézkedés lehetősége. Jelentős kiberfenyegetettség elhárítása vagy folyamatban lévő kiberbiztonsági incidenssorozat megszakítása érdekében a nemzeti kiberbiztonsági incidenskezelő központ vezetője intézkedésében azonnali hatállyal elrendelheti az ideiglenes hozzáférhetetlenné tételt a kiberbiztonsági hatóság döntéséig vagy legfeljebb 72 óráig.

Az információs társadalommal összefüggő szolgáltatások útján továbbításra kerülő elektronikus adat ideiglenes hozzáférhetetlenné tételét nem az elektronikus hírközlési szolgáltatók tudják végrehajtani, hanem az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvényben meghatározott tárhelyszolgáltatók, illetve tárhelyszolgáltatást is végző közvetítő szolgáltatók. Erre figyelemmel beillesztésre kerültek a törvénybe az elektronikus adat ideiglenes eltávolításának szabályai.

A törvény a kiberbiztonsági tanúsítási rendszerekkel szemben alapvető követelményeket állapít meg. Rögzítésre kerülnek a nemzeti tanúsítási rendszerek biztonsági céljai, valamint azok tartalmi összetevői.

A szakaszokban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti a nemzeti kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjeit, azaz arra vonatkozóan szolgál biztosítékkal, hogy az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok teljesítik a vonatkozó biztonsági követelményeket, biztonsági funkciókat és olyan szintű értékelésen estek át, amely az adott szinteknek megfelelő súlyú kiberbiztonsági fenyegetések, támadások kockázatainak minimalizálására törekszik. Az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szint határozható meg.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

Figyelemmel arra, hogy a nemzeti kiberbiztonsági tanúsítási rendszer alapján a megfelelőségértékelő szervezet bocsátja ki a nemzeti kiberbiztonsági tanúsítványt, illetve a gyártó a megfelelőségi nyilatkozatot, ezért a tanúsítvánnyal, illetve nyilatkozattal szembeni elvárások törvényi szinten kerülnek rögzítésre.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti, hogy tanúsított vagy megfelelőségi nyilatkozattal rendelkező IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban a tanúsítottság tényének jelzésére megfelelőségi jelölést kell elhelyezni, illetve tiltja olyan jelölés elhelyezését, amely hasonlít a megfelelőségi jelölés formájára, vagy azt a látszatot kelti, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat tanúsított, és így harmadik felet megtéveszthet.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti a megfelelőségértékelő szervezettel, illetve a megfelelőségi önértékelést végző gyártóval kapcsolatos rendelkezéseket. Megfelelőségértékelő szervezetek esetében alapvető követelmény, hogy a szervezetet a nemzeti akkreditálásról szóló törvény szerint kijelölt akkreditáló szerv akkreditálja vagy elismerje a külföldi akkreditált státuszát, valamint a tanúsító hatóság által történő nyilvántartásba vétel.

Megfelelőségi önértékelésre csak abban az esetben kerülhet sor, ha a nemzeti tanúsítási rendszer azt kifejezetten tartalmazza „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében. Ebben az esetben a gyártónak nyilatkoznia kell arról, hogy a tanúsítási rendszerben foglalt követelmények vizsgálata megtörtént a tanúsítási rendszerben foglalt értékelési módszertan szerint. További követelmény, hogy a hatóság számára az előírt határidőn belül be kell nyújtani a szükséges dokumentációkat.

A szakaszokban a Kibertantv. rendelkezései jelennek meg.

A törvény tanúsítási rendszerekre vonatkozó rendelkezéseit az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tanúsításával kapcsolatos hatósági tevékenységre kell alkalmazni. A törvény az általános rendelkezések között kizárja a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseinek alkalmazását.

A törvény a kiberbiztonsági tanúsítással kapcsolatos hatósági feladatok elvégzésére az SZTFH-t jelöli ki, valamint rögzíti, hogy a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok tekintetében a Kormány jelöli ki a tanúsító hatóságot.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti a tanúsító hatóság alapvető feladatait a tanúsítási rendszerek nyomon követésével, fenntartásával és fejlesztésével, illetve az európai uniós képviselettel kapcsolatosan. Garanciális szabályként rögzítésre kerül az európai kiberbiztonsági tanúsítási rendszerek elsőbbsége, azaz nemzeti tanúsítási rendszer csak azon IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében alkotható meg, amelyekre vonatkozóan nincs hatályos európai kiberbiztonsági tanúsítási rendszer. Ellenkező esetben a nemzeti tanúsítási rendszert a hatóság köteles hatályon kívül helyezni.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény meghatározza a tanúsító hatóság eljárására vonatkozó alapvető szabályokat. Európai tanúsítási rendszer esetében további követelményként rögzítésre került, hogy az Európai Bizottság számára meghatározott határidőn belül be kell jelenteni az akkreditált megfelelőségértékelő szervezeteket.

A törvény rögzíti továbbá, hogy a tanúsító hatóság engedélyezési eljárást folytat le abban az esetben, ha egy európai tanúsítási rendszer konkrét vagy kiegészítő követelményeket vagy „magas” megbízhatósági szintet ír elő a rendszer keretében kiadandó kiberbiztonsági tanúsítványra és a tanúsító hatóság az ilyen tanúsítvány kiállításának feladatát egyes európai kiberbiztonsági tanúsítványok vonatkozásában vagy általános jelleggel átruházza megfelelőségértékelő szervezetre. Magas megbízhatósági szint esetében az engedély feltétele, hogy a megfelelőségértékelő szervezet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény alapján sérülékenységvizsgálatra feljogosított gazdálkodó szervezet legyen.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti azokat az adatokat, amelyeket a tanúsító hatóság az általa vezetett nyilvántartásban kezel. A nyilvántartás meghatározott adatfajták esetben közhiteles nyilvántartásnak minősül. Az adatok kezelésének célja az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságával összefüggő információk naprakészen tartása, valamint az azokat érintő sebezhetőséggel vagy rendellenességgel kapcsolatos feladatok, továbbá a tanúsító hatóság ellenőrzési és felügyeleti hatósági feladatainak ellátása. A törvény rögzíti továbbá, hogy mely szervezetek számára lehet a nyilvántartásból adatot továbbítani, valamint kötelezi a megfelelőségértékelő szervezeteket az adatok változásairól történő adatszolgáltatásra.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti a megfelelőségértékelő szervezettel, illetve a gyártóval szemben érvényesíthető szankciókat arra az esetre, ha a vonatkozó európai uniós vagy magyar jogszabályokban foglalt követelményeket és a kapcsolódó eljárási szabályokat nem teljesítik vagy nem tartják be. A tanúsító hatóság figyelmeztetést, valamint – ha a figyelmeztetés ellenére a szervezet a jogszabályban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti – az eset összes körülményeinek mérlegelésével bírságot szabhat ki, amely további nemteljesítés esetén megismételhető. A szakaszban a Kibertantv. rendelkezései jelennek meg.

A törvény rögzíti a tanúsító hatóság általános adatkezelésére vonatkozó szabályokat, egyúttal jogosultságot biztosít a tanúsító hatóságnak arra, hogy a hatósági feladatok ellátásához minősített adatot, személyes adatot vagy különleges adatot, üzleti titoknak, banktitoknak, fizetési titoknak, biztosítási titoknak, értékpapírtitoknak, pénztártitoknak, orvosi titoknak és más hivatás gyakorlásához kötött titoknak minősülő adatot és törvény által védett egyéb adatot kizárólag a feladat ellátásának időtartama alatt, a célhoz kötöttség elvének figyelembevételével kezeljen. Megállapítja az adatkezelés maximális időtartamát, amelyet követően az adatokat a tanúsító hatóság információs rendszereiből és adathordozóiról törölni kell.

A szakaszban a Kibertantv. rendelkezései jelennek meg.

A szakaszok az Ibtv.-ben foglalt rendelkezések átvételével, illetve azok pontosításával rögzítik, hogy milyen arányos védelemre szükséges törekedni az elektronikus úton történő információáramlás védelme céljából a poszt-kvantumtitkosítás alkalmazására kötelezett szervezeteknek egy kvantumszámítógép okozta kibertámadás megelőzése, kezelése érdekében. A rendelkezések részletesen meghatározzák azon személyi és tárgyi feltételeket, amelyek alapján poszt-kvantumtitkosítás alkalmazásra vonatkozó szolgáltatói tevékenység végezhető.

A jogszabály továbbá rögzíti a tanúsító szervezetnek a tanúsítással kapcsolatos feladatait, az adatkezeléssel kapcsolatos rendelkezéseket, valamint a hatóságnak a tanúsító szervezetek nyilvántartására vonatkozó feladat- és hatáskörét.

A poszt-kvantumtitkosítás alkalmazást nyújtó szervezet nyilvántartásba vételére vonatkozó, illetve a poszt-kvantumtitkosításra kötelezett szervezet informatikai rendszerelemei zártsága tanúsítására vonatkozó részletes szabályokat a hatóság elnöke rendeletben határozza meg.

A sérülékenységvizsgálat végzésére jogosultak köre nem változik: az állami szerv, a honvédelmi célú elektronikus információs rendszerek vonatkozásában az illetékes kiberbiztonsági incidenskezelő központ, valamint a törvényben meghatározott feltételekkel rendelkező gazdálkodó szervezet.

Gazdálkodó szervezetek esetében kiemelendő, hogy a jövőben mind a sérülékenységvizsgálatra jogosult gazdálkodó szervezet, mind az erre jogosult személy nyilvántartásba vételre kerül. A nyilvántartás vezetésének feladatát a jövőben az SZTFH látja el.

A módosult hatálynak megfelelően felülvizsgálatra került azon szervezetek köre is, amelyek vonatkozásában a sérülékenységvizsgálatot kizárólag a Kormány által kijelölt szerv végezheti. Ezek vonatkozásában a cél, hogy az állam működése szempontjából kiemelt jelentőséggel bíró rendszerek sérülékenységvizsgálata lehetőség szerint állami szervezet által kerüljön végrehajtásra. Ugyanakkor annak érdekében, hogy az állami szerv esetleges kapacitáshiánya miatt ne szenvedjen sérelmet a szervezet, az állami szerv hozzájárulhat ahhoz, hogy a sérülékenységvizsgálatot a feltételeknek megfelelő gazdálkodó szervezet végezze el.

Figyelemmel arra, hogy a jogszabály rögzíti a sérülékenységvizsgálat végzése kapcsán a kizárólagos jogosultságokat, a megkeresett szerv köteles vizsgálni, hogy az illetékességi körébe tartozik-e a sérülékenységvizsgálat végrehajtása. Ennek hiányában köteles a megkeresést haladéktalanul megküldeni az illetékességgel rendelkező szervhez.

Sérülékenységvizsgálat megindítására háromféle módon kerülhet sor: a kiberbiztonsági hatóság általi kötelezéssel, a sérülékenységvizsgálat végzésére jogosult állami szerv kezdeményezésére, valamint a szervezet általi kezdeményezésre.

A sérülékenységvizsgálat a jövőben az elektronikus információs rendszer egy részére vonatkozóan is kezdeményezhető, nem kizárólag a teljes információs rendszer egészére.

A jogszabály és végrehajtási rendelete rögzíti a vizsgálathoz kapcsolódó intervallumokat, határidőket (kezdeményezés időpontja, módosítás határideje) annak érdekében, hogy a fejlesztések, és ennek keretében a kapcsolódó mérföldkövek tervezhetővé váljanak.

A sérülékenységvizsgálatot végző állami szerv a beérkezett igények közötti mérlegelést követően fontossági sorrendet állíthat fel. Ez alapján egy rendszer vonatkozásában már beütemezett sérülékenységvizsgálat kezdő időpontja legfeljebb 15 nappal módosítható, amennyiben a jogszabályban megadott szempontok alapján más elektronikus információs rendszer sérülékenységvizsgálatának elvégzése az állam működése szempontjából preferenciát élvez.

A törvény lehetőséget biztosít arra is, hogy a hatálya alá nem tartozó elektronikus információs rendszerek vonatkozásában az állami szerv az elektronikus információs rendszer felett rendelkezési jogosultsággal rendelkező szervezettel kötött megállapodás alapján sérülékenységvizsgálatot végezhessen.

A sérülékenységvizsgálat a jövőben nem kizárólag az elektronikus információs rendszer egészére kell, hogy vonatkozzon, hanem irányulhat a rendszer egy meghatározott részére is.

A sérülékenységvizsgálat a tevékenység jellegénél fogva szolgáltatáskiesést vagy -csökkenést eredményezhet. Erre figyelemmel a jövőben kizárólag a szervezet vezetője vagy tudomásával és felhatalmazása alapján a kijelölt személy kezdeményezheti. A sérülékenységvizsgálat előkészítése során pedig a szervezet megadhat olyan időablakokat, amikor a vizsgálat végzése a szervezet tevékenysége szempontjából nem alkalmas (pl. hónapzárás). Mindezekre figyelemmel a sérülékenységvizsgálatot végző szervet – a szándékos károkozás kivételével – felelősség nem terheli.

A szakasz rendelkezéseket tartalmaz továbbá a részletszabályok kormányrendeletben történő rögzítésére.

A kiberbiztonsági incidenskezelésre jogosultak köre a következők szerint változik: a nemzeti kiberbiztonsági incidenskezelő központ, a honvédelmi célú elektronikus információs rendszerek vonatkozásában a honvédelmi kiberbiztonsági incidenskezelő központ, valamint amennyiben létezik, a nemzeti kiberbiztonsági incidenskezelő központ által jóváhagyott ágazaton belüli kiberbiztonsági incidenskezelő központ.

A törvény megteremti a jogszabályi alapját a szabályozott keretek között működő, ágazaton belüli kiberbiztonsági incidenskezelő központok létrehozásának. Ágazaton belüli kiberbiztonsági incidenskezelő központként olyan szervezet működhet, amelynek képességeit a nemzeti kiberbiztonsági incidenskezelő központ vagy valamely független szervezet előzetesen felmérte és a kiberbiztonsági incidenskezelési tevékenységre alkalmasnak találta.

Erről a felek együttműködési megállapodást kötnek a vonatkozásban, hogy az ágazaton belüli kiberbiztonsági incidenskezelő központ mely kiberbiztonsági incidenskezelési feladatokat képes és fog ellátni akár adott ágazat vagy az ágazaton belül egyes szakterületek vonatkozásában.

A szakasz rögzíti a nemzeti kiberbiztonsági incidenskezelő központ alapvető feladatait, amelyet kormányrendelet részletez.

A kiberbiztonsági incidenskezelő központ korábbi feladatai mellett új, a NIS 2 irányelv által előírt feladatok is megjelennek, például a sérülékenységek és sebezhetőségek összehangolt közzétételének koordinációja és a kiberbiztonságot érintő válsághelyzet kapcsán meghatározott feladatok ellátása.

A NIS 2 irányelv 12. cikke értelmében „minden tagállam kijelöli egyik CSIRT-jét koordinátorként a sérülékenységek összehangolt közzététele céljából. A koordinátorként kijelölt CSIRT megbízható közvetítőként jár el, szükség esetén megkönnyítve a sérülékenységet bejelentő természetes vagy jogi személy és a potenciálisan sérülékeny IKT-termékek vagy IKT-szolgáltatások gyártója vagy szolgáltatója közötti kapcsolattartást, bármely fél kérésére.” Ennek jogi alapjai kerülnek a szakaszban megteremtése azzal, hogy a részletszabályokat kormányrendelet rögzíti.

A kiberbiztonságra vonatkozó alapvető szabályok egységesen, egy jogszabályban való kezelése érdekében a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvénynek (a továbbiakban: Nbtv.) a kibertérből érkező támadás megszakításához szükséges intézkedések végrehajtására vonatkozó rendelkezései [Nbtv. 8. § (7)–(10) bek.] áthelyezésre kerülnek jelen törvény kiberbiztonsági incidenskezelésre vonatkozó fejezetébe.

A magyar kibertér biztonságának erősítése és garantálása érdekében a nemzeti kiberbiztonsági incidenskezelő központ a magyar kiberteret súlyosan veszélyeztető kiberbiztonsági incidensek kezelését és vizsgálatát magához vonhatja vagy azok kezelését és vizsgálatát támogathatja.

A kiberbiztonsági incidensek hatékony megelőzése rendkívül fontos szerepet játszik a hazai kiberbiztonsági ökoszisztémában, a minél teljesebb körű kiberbiztonság megteremtésében. A kibertérből érkező fenyegetések és potenciális sérülékenységek korai felismerésével számos kiberbiztonsági incidens, adatvesztés, kiberbűncselekmény bekövetkezése is megelőzhető.

Ebből a célból szükséges a nemzeti kiberbiztonsági incidenskezelő központnak olyan szolgáltatásokat nyújtania, védelmi intézkedéseket alkalmaznia, amelyek segítenek ebben a tevékenységben (ilyen például a Korai Figyelmeztető Rendszer vagy az Elosztott Kormányzati Csapdarendszer).

Fontos, hogy ezekhez a szolgáltatásokhoz ne csak önkéntesen lehessen csatlakozni, hanem bizonyos magas kitettséggel rendelkező szereplők részére kötelező legyen a szolgáltatások igénybevétele, amely a nemzeti kiberbiztonsági hatóság kötelezésével valósul meg. A szolgáltatások igénybevételét a nemzeti kiberbiztonsági incidenskezelő központ által végzett kockázatelemzés előzi meg, melynek célja annak megállapítása, hogy egy adott szervezet vagy rendszer mekkora kitettséggel rendelkezik a kibertérből érkező támadásokkal szemben és jelenleg milyen védelmi intézkedéseket vezetett be az adott rendszer tulajdonosa.

A fenyegetettségi információk (technikai és nem technikai jellegű adatok) megosztása az egyes szereplők között rendkívül fontos, ezért kerül létrehozásra a fenyegetettségi információkat megosztó rendszer, melynek segítségével a szereplők mind egymással mind a nemzeti kiberbiztonsági incidenskezelő központtal is meg tudják osztani a támadások részletes adatait.

A nemzetközi trendekkel lépést tartva szükséges egy olyan eszköz is a nemzeti kiberbiztonsági incidenskezelő központ részére, melynek segítségével rendkívül korán, még a potenciális sérülékenységek kihasználása előtt legyen lehetősége a központnak észlelni és figyelmeztetni egy szereplőt egy potenciális sérülékenység kihasználhatóságáról vagy kihasználásáról. Ennek érdekében olyan eszközt szükséges alkalmazni, amely képes a teljes magyar IP cím tartomány publikusan bárki által elérhető részének felderítésére, tárolására, elemzésére. Ezen adatok felhasználásával kiértesíthetőek a szereplők a potenciális fenyegetésekről.

Az incidensek bejelentése tárgyában a jogszabály megkülönbözteti a nemzeti kiberbiztonsági hatóság felügyeleti hatáskörébe, valamint az SZTFH felügyeleti hatáskörébe tartozók kötelezettségeit.

A nemzeti kiberbiztonsági hatóság felügyeleti hatáskörébe tartozó szervezetek valamennyi, az elektronikus információs rendszereikben bekövetkezett, illetve a tudomásukra jutott fenyegetést, kiberbiztonsági incidensközeli helyzetet és kiberbiztonsági incidenst (az üzemeltetési kiberbiztonsági incidenst is) kötelesek haladéktalanul bejelenteni a nemzeti kiberbiztonsági incidenskezelő központnak.

Az SZTFH felügyeleti hatáskörébe tartozó szervezetek jelentési kötelezettsége a jelentős incidensekre terjed ki, az előzőekben felsorolt egyéb eseményeket önkéntes alapon jelenthetik be.

A DORA rendelet hatálya alá tartozó szervezetek bejelentési kötelezettségét a DORA rendelet határozza meg.

Az események bejelentésének lényege a gyorsaság. Ha a bejelentés nem az illetékes kiberbiztonsági incidenskezelő központhoz érkezik, úgy köteles azt haladéktalanul megküldeni az illetékességgel rendelkező központnak.

A törvény megteremti a lehetőségét az önkéntes alapon történő bejelentéseknek minden szervezet vagy személy számára, valamint azok fogadásának és kezelésének a jogalapját. Korábban ez a lehetőség szűk körre vonatkozott. A magyar kibertér biztonságára jelentős hatást gyakorló fenyegetésekre, kiberbiztonsági incidensközeli helyzetekre, illetve kiberbiztonsági incidensekre vonatkozó információk igen hasznosak lehetnek a kiberbiztonsági incidensek megelőzése, illetve kezelése szempontjából. Ugyanakkor szükséges megszabni az önkéntes bejelentések kezelésének kereteit is. Az önkéntes bejelentéseket a nemzeti kiberbiztonsági incidenskezelő központ a rendelkezésére álló erőforrások függvényében kezeli, a veszélyeztetettség mértékének mérlegelésével és csak akkor köteles feldolgozni, ha az nem jelent aránytalan vagy indokolatlan terhet a kiberbiztonsági incidenskezelő központ számára vagy a bejelentés a törvény hatály alá tartozó szervezet elektronikus információs rendszerét érinti.

A szakasz szabályozza a kiberbiztonsági incidenskezelés során a kiberbiztonsági incidenskezelő központ legalapvetőbb lehetőségeit.

A szakasz az Nbtv. 8. § (8)–(10) bekezdéseiben foglaltaknak megfelelően meghatározza a Kormány által kijelölt személy döntése alapján a kibertérből érkező támadás megszakításához szükséges intézkedések körét. Továbbá részletezi a támadás megszakítását követően a későbbi védelem kialakításához szükséges új intézkedéseket. Az intézkedések végrehajtása során kiemeli az okozott sérelemmel való arányosság és szükségesség fontosságát, továbbá figyelembe kell venni az intézkedések során a nemzetbiztonsági, honvédelmi, bűnüldözési és külpolitikai érdekeket és törekvéseket. Ezentúl kiemeli, hogy a külföldről érkező jelentős kibertámadás esetén a külpolitikáért felelős minisztert is értesíteni kell további intézkedések megtétele céljából.

A kiberbiztonsági incidensek kivizsgálása kapcsán a törvény rögzíti a szervezet elsődleges intézkedési kötelezettségét. A szervezet, ha a szükséges képességekkel rendelkezik, maga vizsgálja ki a kiberbiztonsági incidenst. Ennek hiányában vagy egy arra jogosult gazdálkodó szervezetet bíz meg, vagy megkereséssel él – amennyiben létezik – az ágazaton belüli kiberbiztonsági incidenskezelő központ felé, avagy a nemzeti kiberbiztonsági incidenskezelő központ (honvédelmi célú elektronikus információs rendszerek vonatkozásában a honvédelmi kiberbiztonsági incidenskezelő központ) felé.

A törvény megállapítja a kiberbiztonsági incidensek kezelésére jogosult gazdálkodó szervezetek és személyek kapcsán a tevékenység végzéséhez teljesítendő feltételeket.

A gazdálkodó szervezetekről az SZTFH nyilvántartást vezet, amelyet a közzétesz a honlapján.

A kiberbiztonsági incidensek kezelésének részletszabályait kormányrendelet tartalmazza.

A szakasz a DORA rendelet hatálya alá tartozó szervezetek kiberbiztonsági incidenseinek kezelésére irányadó rendelkezéseket tartalmazza.

A törvény létrehozza a kiberbiztonsággal kapcsolatos feladatok koordinációjának szervezetrendszerén belül a kiberbiztonságért felelős biztos jogintézményét. Szabályozza a biztos kijelölését, kötelezettségeit, továbbá rendelkezik arról, hogy ő vezeti a Nemzeti Kiberbiztonsági Munkacsoportot.

Ezzel egyidejűleg a korábbi kiberkoordinátori szerepkör megszűnik.

Az Ibtv. által létrehozott Nemzeti Kiberbiztonsági Koordinációs Tanács jelen formájában megszűnik. Szerepkörének módosítását, újragondolását célozza a törvény a Nemzeti Kiberbiztonsági Munkacsoport létrehozatalával. A meglévő formációk (kiberbiztonsági almunkacsoportok, Nemzeti Kiberbiztonsági Fórum) mellett a Munkacsoportot egy Operatív Törzs támogatja, amelynek irányítását a kiberbiztonságért felelős biztos látja el.

A NIS 2 irányelv előírja, hogy a tagállamoknak ki kell alakítaniuk a kiberválságkezelés nemzeti keretrendszerét, szervezetrendszerét és a kapcsolódó eljárásrendet.

Jelentős vagy nagyszabású kiberbiztonsági incidens esetén a nemzeti kiberbiztonsági incidenskezelő központ kezdeményezése alapján a Nemzeti Kiberbiztonsági Munkacsoport Operatív Törzse javaslatot tehet a bekövetkezett incidens kiberbiztonsági válsághelyzetté történő minősítésére. A kiberbiztonsági válsághelyzet – a Vbö. rendelkezéseinek egyidejű módosítása alapján – védelmi és biztonsági eseménynek minősül. Erre figyelemmel a továbbiakban az esemény kezelése vonatkozásában a Vbö. rendelkezései az irányadóak.

Az esemény kiberbiztonsági válsághelyzetté minősítése esetén a Kormány összehangolt védelmi tevékenységet rendelhet el. Ezt követően az összehangolt védelmi tevékenységre vonatkozó rendelkezések az irányadóak, a jelen törvényben és a végrehajtási rendeletében foglalt specialitásokkal (pl. a Kormány által alkalmazható intézkedésekkel).

A szakasz rögzíti, hogy az (EU) 2021/887 európai parlamenti és tanácsi rendelet szerinti, a kiberbiztonsági kompetenciaközösség számára kapcsolattartási pontként szolgáló nemzeti koordinációs központ feladatait a Kormány rendeletében külön kijelölt szerv látja el.

Tevékenységük hatékony ellátása érdekében elengedhetetlenül szükséges, hogy az elektronikus információs rendszerek felügyeletét ellátó hatóságok (a jelen törvény szerinti és a DORA rendelet szerinti), a Kszetv. szerinti kijelölő hatóság, a kiberbiztonsági incidenskezelő központok együttműködjenek és kölcsönösen tájékoztassák egymást. E tekintetben egyébként a NIS 2 irányelv is támaszt elvárást.

A NIS 2 irányelv előírja továbbá, hogy a tagállamok szolgáltassanak adatot mind az Európai Bizottság, mind az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) felé, valamint működjenek együtt az EU-CyCLONe-nal, a CSIRT-hálózattal, más EU-tagállamok és harmadik országok CSIRT-jeivel, hatóságaival, egyedüli kapcsolattartó pontjaival.

Az adatszolgáltatás és együttműködés részleteit kormányrendelet rögzíti, a törvény ezek kereteit (bizalmasság, arányosság szem előtt tartása) határozza meg. Kiemelt jelentőséggel bír, hogy az adatszolgáltatás során olyan információk nem kerülhetnek átadásra, amelyek közzététele ellentétes lenne Magyarország nemzetbiztonsági, közbiztonsági vagy alapvető védelmi érdekeivel.

A jogszabályhelyek adatkezelési és adatvédelmi rendelkezéseket tartalmaznak.

A sérülékenységvizsgálat, valamint a prevenciós intézkedések és a kiberbiztonsági incidenskezelés során olyan mennyiségű és minőségű adat keletkezik, amelyekből célravezető statisztikákat készíteni és azokat közzétenni. Ezen statisztikák értelemszerűen anonimizált módon jelenhetnek csak meg.

Ezek jelentős segítséget nyújthatnak a tendenciák, trendek megállapítása, következtetések levonása érdekében a kiberbiztonsággal foglalkozó valamennyi szereplő számára.

Az adatszolgáltatás, tájékoztatás nyújtása során a minősített adatok védelmére vonatkozó uniós és nemzeti szabályokban és az általános adatvédelmi jogszabályokban foglalt rendelkezésekre tekintettel kell eljárni; továbbá figyelembe kell venni a minősített, a titoktartási megállapodásokat és az informális titoktartási megállapodásokat, például a jelzőlámpa-protokollt (TLP) is.

E törvény végrehajtása érdekében a törvényben meghatározott kiberbiztonsági szereplők kijelölésére és a részletszabályok megalkotására felhatalmazó rendelkezéseket tartalmaz a Kormány, az érintett miniszterek és az SZTFH elnöke számára.

Hatályba léptető rendelkezést tartalmaz.

Átmeneti rendelkezéseket tartalmaz.

Az Alaptörvény sarkalatosságra vonatkozó követelményének való megfelelésre vonatkozó rendelkezéseket tartalmaz.

Jogharmonizációs záradékot tartalmaz.

A törvényt a szolgáltatási irányelvre utaló bejelentési záradékkal el kell látni.

Hatályon kívül helyező rendelkezéseket tartalmaz.

Módosító rendelkezéseket tartalmaz, melyek célja a fogalompontosításhoz kapcsolódó technikai, valamint a törvény céljához és végrehajtásához szükséges tartalmi módosítások átvezetése.

A hírközlési törvény javasolt módosítása az szabályozza elektronikus hírközlési építményekkel kapcsolatos hatósági hatásköröket.

Az elektronikus hírközlésről szóló 2003. évi C. törvény új 86/B. § (2) bekezdéséhez kapcsolódó kodifikációs pontosítás.

A módosítás a hírközlési hálózatokkal összefüggésben részletes állagmegóvási kötelezettséget ír elő, amely alapján a hálózat üzemeltetője, ennek hiányában a tulajdonosa köteles az építmény állagát megóvni, az élet, a testi épség és az egészség, a köz- és vagyonbiztonság védelme érdekében az építmény műszaki állapotának rendszeres felülvizsgálatát és a szükséges átalakítási, felújítási, helyreállítási munkálatokat elvégezni, továbbá az üzemen vagy használaton kívüli hálózatokat elbontani. Szintén el kell bontani a használaton kívüli vagy a használatra alkalmatlan hálózatokat, amelynek részletes szabályait is tartalmazza a módosítás. Mindezen kötelezettségeket a hírközlési hatóság felügyeli és e körben hatékony felügyeleti intézkedést, jogkövetkezményt alkalmazhat. Jogsértés esetén ugyanis a hatóság elrendeli az állagmegóvásra, átalakításra, helyreállításra vonatkozó kötelezettség teljesítését, illetve az elektronikus hírközlési építmény bontását, ha annak állapota az állékonyságot, az életet, testi épséget és az egészséget, a köz- és vagyonbiztonságot veszélyezteti, vagy az elektronikus hírközlési építmény használatra alkalmatlan, vagy a használatával véglegesen felhagytak.

A § rögzíti azt a főszabályt, hogy 2027. január 1-től belterületen a helyi építési szabályzatokban meghatározott területeken új nyomvonalas elektronikus hírközlési építmény csak földfelszín alatti elhelyezéssel létesíthető.

A § rendezi, hogy a helyi önkormányzat az 5 évnél régebben létesített nyomvonalas elektronikus hírközlő hálózat földfelszín alatti elhelyezését, cseréjét kezdeményezheti a helyi építési szabályzatában megjelölt belterületen, ha az érintett előfizetők, az ingatlan tulajdonosok az ingatlanukban szükséges munkavégzéshez előzetesen hozzájárulnak, és annak költségeit vállalják. Mindez természetesen nem zárja ki annak a lehetőségét, hogy a szolgáltatók vagy az önkormányzat az indokolt költségek viselését átvállalják részben vagy egészben. A törvény a költséghatékonyság érdekében ezért együttműködési megállapodás megkötését írja elő az érintett szolgáltatók, valamint a szolgáltatók és az önkormányzat tekintetében, amely megállapodás rendezi a költségviselés szabályait. Az önkormányzat kezdeményezése alapján az elektronikus hírközlő hálózat üzemeltetője kiváltási-ütemezési tervet készít annak figyelembevételével, hogy az a szolgáltatásnyújtás folytonosságát ne veszélyeztesse.

Egyértelműsíti, hogy a villamos hálózat földkábelesítése esetében a hírközlési hálózatra is megfelelően alkalmazandók a villamos energiáról szóló törvény szabályai. E szabály egyúttal a költséghatékony földkábelesítést is biztosítja azáltal, hogy a villamoshálózattal párhuzamosan futó hírközlési hálózatok cseréjére egyidejűleg kerüljön sor, illetve a villamoshálózaton lévő hírközlési légkábeles hálózatok ne akadályozzák a villamoshálózat tényleges elbontását.

A 98/B. §-hoz kapcsolódó átmeneti rendelkezést állapít meg.

A 86/B. §-hoz kapcsolódó átmeneti rendelkezéseket állapít meg.

Előírja, hogy az elektronikus hírközlési szolgáltatáshoz használt rendszernek rendelkeznie kell a Magyarország kiberbiztonságáról szóló törvény alapján kiállított nemzeti vagy európai kiberbiztonsági tanúsítvánnyal, ha az adott, hírközlési szolgáltatáshoz használt rendszerre vonatkozóan nemzeti vagy európai kiberbiztonsági tanúsítási rendszer meghatározásra került. Továbbá ehhez kapcsolódóan szabályozza azt, hogy ha a tanúsítási rendszer meghatározásra kerül, annak az elektronikus hírközlési szolgáltatóknak mennyi időn belül kell megfelelniük.

Módosításra kerül a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény is a NIS 2 irányelv elvárásainak megfelelően.

A nem közigazgatási szerv alapvető szervezet esetében ugyanis a NIS 2 irányelv előírja, hogy a kiberbiztonsági hatóság, ha az általa szabott határidőn belül a szervezet nem tesz eleget kötelezésnek, kezdeményezheti az illetékes hatóságnál, bíróságnál, hogy ideiglenesen tiltsák meg az alapvető szervezet vezetője számára, hogy az adott szervezetben vezetői feladatokat lásson el. A módosítás ezen elvárásnak kívánja a jogalapját megteremteni.

Jogharmonizációs záradékot tartalmaz.

A Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § m) pontjának módosítása az egyes házszabályi rendelkezésekről szóló 10/2014. (II. 24.) OGY határozat (a továbbiakban: HHSZ) 42. § b) pontjának felel meg, elfogadása a HHSZ 44. § (1) bekezdés b) pontjában meghatározottak szerint a jogrendszer koherenciájának biztosítását célozza.

Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény felhatalmazó rendelkezéseinek kiegészítése indokolt az elektronikus hírközlési szolgáltatáshoz használt rendszerek vonatkozásában alkalmazandó európai vagy nemzeti kiberbiztonsági tanúsítási rendszer meghatározásával.

A védelmi és biztonsági tevékenységek összehangolásáról szóló 2021. évi XCIII. törvény módosítása a kiberválsághelyzet kezelésének jogszabályi alapjainak megteremtésére szolgál.