1192/2025. (VI. 5.) Korm. határozat

Magyarország célja – a fenyegetésekkel és kihívásokkal szemben ellenálló kritikus infrastruktúrák elérésén, a kritikus szervezetek tudatosságának folyamatos fejlesztésén, az állami szervek és a gazdaság szereplőinek hatékony biztonsági célú együttműködésén, valamint a védelmi és biztonsági célú állami-társadalmi együttműködés fokozásán keresztül – az állam, a társadalom és a gazdaság ellenálló képességének növelése, az élet és az anyagi javak védelme.

Kiemelt jelentőségű, hogy a szövetségesi feladatok, a nemzetközi egyezmények és előírások teljesítésén túl a nemzeti ellenálló képességi rendszer fejlesztése részeként a kritikus szervezetekkel azonos szinten valósuljon meg az ország védelme és biztonsága szempontjából jelentős szervezetek ellenálló képességének erősítése az állampolgárok jólétének és az alapvető szolgáltatások folyamatosságának biztosítása érdekében, különösen az egyes függőségekből eredő ellátási láncok üzemfolytonos biztonsága, így az ország védelem és biztonsága szempontjából jelentős szervezetek esetében a nemzeti stratégia követelményeit – a jogszabályok eltérő rendelkezései által nem érintett elemeiben – megfelelően alkalmazni kell.

A kockázatok megfelelőbb figyelembevételével fokozni szükséges a kritikus szervezetek arra irányuló képességét, hogy az alapvető szolgáltatások nyújtásában zavarokat előidézni képes eseményeket megelőzzék, azokkal szemben védekezzenek, azokra reagáljanak, azoknak ellenálljanak, azokat enyhítsék, tompítsák, azokhoz alkalmazkodjanak és azokból helyreálljanak.

Célkitűzés a kritikus szervezetek valamennyi – akár természeti vagy ember okozta, véletlen vagy szándékos – veszéllyel szembeni ellenálló képességének fejlesztése, különös tekintettel arra, hogy a természeti katasztrófák és az éghajlatváltozás miatt megnövekedett a fizikai kockázat, továbbá dinamikusan változó a fenyegetettségi helyzet, magában foglalja a változó hibrid és terrorista fenyegetéseket is, valamint a kritikus infrastruktúrák és az ágazatok közötti növekvő kölcsönös függőségeket. A kölcsönös függőségek létrejöttével az alapvető szolgáltatások zavara szélesebb körű továbbterjedő hatásokkal járhat, ezért figyelemmel kell lenni a kritikus szervezetek kitettségére és sebezhetőségére a nagy hatású, csekély valószínűségű kockázatokkal szemben is.

A kritikus szervezetek azonosítása és az ellenálló képesség fejlesztési intézkedések meghatározása során a kockázatalapú megközelítést kell alkalmazni, és a nemzeti kockázatértékelés részeként el kell végezni az olyan releváns természeti és ember okozta kockázatok értékelését – ideértve a több ágazatot érintő, illetve a határokon átnyúló jellegű kockázatokat is –, amelyek hatással lehetnek az alapvető szolgáltatások nyújtására. A lehetséges hatások között oly módon kell vizsgálni a bekövetkezhető baleseteket, a természeti katasztrófákat, az egészségügyi válsághelyzeteket, a hibrid fenyegetéseket és más egyéb ellenséges fenyegetéseket, hogy azok során figyelembe vegyék a korábban elkészített általános és ágazati elemzéseket, értékeléseket is.

A változó biztonsági és fenyegetettségi helyzetben – a korábban rendszer és rendszerelem alapú megközelítés helyett – alkalmazni szükséges a kijelölt kritikus szervezeteknél is a kockázatértékelés speciális módszertanát, a kockázatértékelésen alapuló megfelelő és arányos technikai és szervezési kockázatkezelési intézkedések bevezetését, a jelentős zavart okozó rendkívüli események hatóság részére történő bejelentését.

Magyarországon a korábbi évtizedben bevezetett létfontosságú infrastruktúrák védelmének jogszabályi háttere és védelmi szintje erős, az EU kritikus szervezetek rezilienciájára vonatkozó irányelv által előirányzott biztonsági intézkedések közül Magyarország többet már jelenleg is alkalmaz. Az elért eredményeket tovább kell vinni és újabb fejlesztésekkel kell biztosítani az alapvető szolgáltatások biztonságos és üzemfolytonos ellátását, amelyek elengedhetetlenek Magyarország társadalmi, gazdasági stabilitásához és a biztonság, a környezet, a védelmi képességek és a nemzeti ellenálló képességi rendszer fenntartásához.

Az összveszély-megközelítés alapján a kritikus szervezetek és a kibervédelmi szabályozás szerinti szolgáltatást nyújtó szervezetek együttesen alkotják azon szervezetek körét, amelyek egy állam működése szempontjából magasabb szintű védelemmel kell, hogy rendelkezzenek annak érdekében, hogy szolgáltatásuk üzemfolytonos legyen. Az alapvető szolgáltatások folyamatosságának biztosításához elengedhetetlen a fizikai és kiberbiztonsági követelmények együttes teljesítése.

Az ágazatok közötti, a fizikai és a kiberbiztonsági védelem alapján történő összhang megteremtése érdekében az ágazatok körének kiszélesítésével és a nemzetközi környezetben megváltozott kritikus infrastruktúra védelmi megközelítés bevezetésével a kritikus szervezetek és a kritikus infrastruktúrák száma várhatóan emelkedni fog.

Megfelelő módszertani támogatási rendszert kell működtetni annak érdekében, hogy a biztonsági és ellenálló képességi szinthez kapcsolódó védelmi intézkedések keretében felmerülő adminisztratív kötelezettségeket képesek legyenek teljesíteni azon kritikus szervezetek, amelyek védelmi képessége nem éri el az átlagos szintet. A kritikus szervezetek ellenálló képességének fokozására irányuló kivételek és elsődlegesség biztosítása csökkenti az adminisztratív terheiket.

Szintén biztosítani kell a támogatást mintadokumentumok és más segédletek, útmutatók rendelkezésre bocsátásával azon üzemeltetők esetében, amelyek infrastruktúrája az új szabályozás hatálya alá kerül, illetve a jelenleg is kijelölt infrastruktúrák olyan üzemeltetői számára, amelyek még nem rendelkeznek minőségirányítási vagy integrált biztonsági és védelmi rendszerrel.

Fentiek teljesülése érdekében a követelmények, az engedélyezés és felügyelet rendszerét átláthatóvá, a gazdálkodó szervezetek számára az egyedi sajátosságok kezelését lehetővé tevően rugalmassá, továbbá a hatósági kapcsolattartást egycsatornássá, valamint az adminisztratív feladatokat és terheket a lehető legegyszerűbbé kell kialakítani.

A jogszabály előkészítési és felülvizsgálati folyamatokban a fizikai és kiberbiztonsági követelmények összhangját kell megteremteni, a pozitív hatások felerősítése és az ellentmondások kiküszöbölése érdekében az állami és nem állami szervek szoros együttműködésével.

A kritikus szervezetek ellenálló képességének fejlesztése érdekében a hatósági rendszer feladata az érintett szervezetek azonosítása, az ellenálló képességi szint meghatározása és azokhoz a követelmények megállapítása, a felügyelet végrehajtása és a támogatások biztosítása.

A kritikus szervezetek ellenálló képességének fejlesztési rendszerét úgy kell létrehozni és működtetni, hogy – a kölcsönös hatások és függőségek figyelembevételével, összhangban a kiberbiztonsági követelmények érvényesítésével – támogassa Magyarország szuverenitását, védelmét és biztonságát, a nemzetbiztonságot, a kritikus szervezetek biztonságát és kereskedelmi érdekeit, valamint az érzékeny információk és adatok biztonságát.

A kritikus szervezetek ellenálló képességének fejlesztési rendszerében az alapvető szervezeti feltételek biztosítása és a kritikus infrastruktúrák biztonságának megteremtése és fenntartása elsősorban az egyes kormányzati és nem-kormányzati intézmények döntéshozóinak, de leginkább az első számú vezetőinek a felelőssége. A kockázatok össztársadalmi kezelésében kiemelt szerepe van a komplex biztonság szavatolásának, továbbá a védelmi és biztonsági tevékenységek összehangolásának.

A nemzeti ellenálló képesség fokozása érdekében előkészítő, javaslattevő, véleményező testületként Ellenálló Képesség Fejlesztési Munkacsoportot kell működtetni, amely javaslatokat dolgoz ki és előterjesztéseket készít a Kormány számára az ellenálló képességi feladatokról és azok végrehajtásáról, valamint a kritikus szervezetek ellenálló képességének fejlesztési javaslatairól. A Munkacsoport figyelemmel kíséri a jogalkalmazási gyakorlatot, a hazai és a külföldi ellenálló képességi megoldásokat és újításokat, valamint az ezekhez kapcsolódó szakmai és tudományos kutatásokat, amelyek eredményeit felhasználja a kormány-előterjesztés elkészítéséhez.

Annak érdekében, hogy az egyes kritikus szervezetek sajátosságainak megfelelő, legnagyobb hatásfokú és szakmailag megfelelő intézkedéseket lehessen meghatározni és végrehajtani, a kritikus szervezeteknél a vezetői döntéshozó mellé kell rendelni a speciális tevékenységre szakirányú továbbképzés során felkészített ellenálló képességért felelős vezetőt, valamint létre kell hozni az Ellenálló Képességért Felelős Vezetők Tanácsadó Bizottságát.

A stratégiai célkitűzések és prioritások elérését szolgáló irányítási keretrendszer részeként létre kell hozni az azonosítást és kijelölést, az ellenálló képesség fejlesztését biztosító követelmények meghatározását, a működés felügyeletét ellátó, a támogatásokat nyújtó állami tevékenységet, valamint a kritikus szervezetek felelősségét és feladatait rögzítő jogszabályi környezetet. A keretrendszernek biztosítania kell a fizikai és a kibervédelmi követelmények együttes érvényesülését, a hatóságok együttműködését, a hatóságok közötti folyamatos információcserét.

A kritikus szervezeteket és a stratégia végrehajtásában részt vevő hatóságokat, szakhatóságokat, valamint azok feladat- és hatáskörét úgy kell megállapítani, hogy biztosítottak legyenek az általános és az ágazati kritériumok szakszerű vizsgálatának feltételei, a kritikus szervezetek, infrastruktúrák és alapvető szolgáltatások kijelölése és nyilvántartása, az ellenálló képességi szint és követelményeinek megállapítása, az ellenálló képességi terv meghatározása, a hatósági felügyelet és jogkövetkezmények alkalmazása, a támogatások nyújtása, továbbá az ellenálló képességi gyakorlatok és a rendkívüli események kezelésének végrehajtása. Különös figyelemmel kell lenni az energetikai és a honvédelmi ágazati követelményrendszerre, valamint a bizalmas és érzékeny információk védelmére.

A hatósági-szakhatósági struktúra megfelelő kialakítása kiküszöböli a többszörös vizsgálatokat, hiányosságokat, valamint az esetlegesen az eljárásokban részt vevő hatóságok közötti átfedéseket, ellentmondásokat. Az „egy kijelölő hatóság, ágazati szakhatósági modell” egységes jogalkalmazást és rövidebb eljárásokat biztosít, a szakkérdéseket a megfelelő szakértelemmel rendelkező szervezeteknek kell vizsgálni.

A kritikus szervezetek ellenálló képességének fejlesztési rendszerében hangsúlyos a nemzeti kockázatértékelés, amelyet a hazai és nemzetközi szabályok alapján már kidolgozott általános és ágazati kockázatokra, az azokra kidolgozott ágazati védekezési tervekre, Magyarország nemzeti katasztrófakockázat-értékelésére, az uniós jogi normák alapján készített, így különösen a terrorizmus elleni küzdelemről, a földgázellátás biztonságának megőrzését szolgáló intézkedésekről, a villamosenergia-ágazati kockázatokra való felkészülésről, az árvízkockázatok értékeléséről és a veszélyes anyagokkal kapcsolatos súlyos balesetek veszélyének kezeléséről szóló szabályozások alapján készített ágazati kockázatelemzésekre vagy -értékelésekre, továbbá a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti védelmi és biztonsági célú tervezéshez kapcsolódó feladatokra, valamint a rendkívüli események jelentésére és kezelésére vonatkozó információkra figyelemmel kell elkészíteni.

A határokon átnyúló együttműködés biztosítása érdekében a jogszabályban megjelölt feladatok végrehajtására egyedüli kapcsolattartó pontot kell kijelölni, amely összekötő feladatokat lát el az Európai Bizottság felé, a többi tagállam egyedüli kapcsolattartó pontjával, valamint a kritikus szervezetek ellenálló képességével foglalkozó csoporttal. Hangsúlyos feladat azon kritikus szervezetekkel kapcsolatos kérdések képviselete, ahol olyan kritikus infrastruktúrát vesznek igénybe, amely két vagy több tagállam között fizikai összeköttetést eredményez, vagy amelyek olyan vállalati struktúrákat érintenek, amelyek más tagállamokban lévő kritikus szervezetekkel összeköttetésben vagy kapcsolatban állnak, valamint amelyek alapvető szolgáltatásokat nyújtanak más tagállamoknak vagy tagállamokban.

Az ágazati kritériumok figyelembevételével az infrastruktúrák teljes körű felmérésének eredménye alapján kell azonosítani a kritikus szervezeteket és azok kritikus infrastruktúráit, továbbá megállapítani az infrastruktúrák alapvető szolgáltatáshoz való szükségességét. Az alapvető szolgáltatás főbb szempontjai az infrastruktúra rendeltetése, az infrastruktúra folyamatos és időszakos üzemeltetése, annak kérdésköre, hogy az infrastruktúra hiánya rendkívüli eseményt idéz-e elő, az ellátási lánc biztonsága, valamint a függőségek fennállása.

A kritikus szervezetek támogatása érdekében az általános kijelölő hatóság ellenálló képességi mátrixot és kockázatelemzési módszertani segédletet készít, továbbá biztosítja, hogy a kritikus szervezet a nemzeti kockázatértékelés figyelembevételével alakítsa ki a saját kockázatértékelését.

A kockázatértékelés lényegi eleme a kritikus szervezet és a kritikus infrastruktúra fenyegetettségének, valamint fenyegetést jelentő azon kockázatok felmérése, amelyek rendkívüli eseményhez vezethetnek, továbbá az azonosított fenyegetések káros hatásainak és azok mértékének, bekövetkezési valószínűségének és a kitettség mértékének megállapítása.

Az ellenálló képességi mátrix elkészítésénél az alábbi fő kockázatokat kell figyelembe venni: meteorológiai, geológiai, humán, technikai, technológiai, tűzeseti, informatikai, veszélyes anyagokkal és technológiákkal kapcsolatos, továbbá ágazatspecifikus kockázatok. Az informatikai kockázatokat jogszabályban meghatározott esetekben a pénzügyi ágazat digitális működési rezilienciájáról szóló EU rendeletben, valamint a NIS 2 irányelvben meghatározottak szerint, az ott meghatározott módon szükséges elsődlegesen értékelni és kezelni.

A kritikus szervezet az azonosított kockázatok kezelésére a hatóság által az ellenálló képességi tervben megjelölt, elfogadott megoldásokat alkalmazza, amelyek elsősorban a kockázat csökkentésére a védelmi intézkedések bevezetésével és alkalmazásával, a kockázat elkerülésére, a kockázat átruházására, illetve a kockázat elfogadására irányulnak.

A kritikus szervezetek ellenálló képességi tervet készítenek és nyújtanak be hatósági jóváhagyásra, amelyben kidolgozzák a szervezetre és az egyes kritikus infrastruktúrákra vonatkozó meglévő és tervezett biztonsági környezetet és az azok működtetéséhez szükséges feltételeket, feladatokat, a kritikus szervezet járványügyi intézkedésekkel kapcsolatos tervét. Az egyenértékűség elvének alkalmazása érdekében az ellenálló képességi terv tartalmazhat a kritikus szervezet által alkalmazott eljárásrendet, szabályzatot, jóváhagyott terveket, szabványt, műszaki előírást.

A kritikus szervezet az ellenálló képességi tervvel összhangban megszervezi, fejleszti és folyamatosan biztosítja a kritikus szervezet és a kritikus infrastruktúra ellenálló képességét és biztosítja az alapvető szolgáltatás, az ellátási lánc folyamatosságát és annak feltételeit. Az ellenálló képességi tervet rendszeresen felül kell vizsgálni és szükség szerint módosítani annak érdekében, hogy a kockázatok kezelésére folyamatosan és teljeskörűen alkalmas legyen.

A kritikus szervezet az ellenálló képességi tervben foglaltak megfelelőségének és egyedi ellenálló képességek vizsgálata érdekében – a biztonsági környezetre és az egyes kockázatokra is figyelemmel – ellenálló képességi gyakorlatot tart, valamint hatósági felkérésre stressz-teszten vesz részt. A gyakorlatok és stressz-tesztek célja – az ágazati, alágazati és területi sajátosságokra tekintettel – az ellenálló képesség szintjének felmérése, az ellenálló képességi tervben megjelölt szervezeti és eszközrendszer gyakoroltatása, az ágazatok, az alágazatok, az alapvető szolgáltatások, a kritikus szervezetek vagy a kritikus infrastruktúrák függőségének, továbbá a kölcsönös függőségek és kitettségek vizsgálata, az ellenálló képességgel kapcsolatos esetleges hiányosságok, valamint a riasztási lánc esetleges nem megfelelő működésének feltárása. További cél, hogy elősegítse az események és a rendkívüli események megelőzését, hatékony kezelését, valamint a reagálás és az alapvető szolgáltatás gyors helyreállítását valós végrehajtási körülmények között.

Az állam a közigazgatási szervek útján támogatást nyújt a kritikus szervezetek ellenálló képességi feladatainak végrehajtásához, valamint az ellenálló képességének fokozása érdekében. A támogatások rendszerét többféle módszerrel kell megvalósítani, így útmutatók, segédletek, egységes jogalkalmazási gyakorlat, iratminták, formanyomtatványok, módszertani megoldások, rendkívüli események kezelésének, ellenálló képességi gyakorlatok kidolgozásával és közzétételével, az ellenálló képesség mérésére, tesztelésére és fejlesztésére szolgáló jó gyakorlatok, esettanulmányok és tudományos eredmények megosztását biztosító rendezvényekkel és dokumentumok elérhetővé tételével, tanácsadó munkacsoport létrehozásával és működtetésével, a kritikus szervezetek érintett szakértői számára speciális képzés és továbbképzés biztosításával, pályázatokkal, valamint jogszabályban biztosított elsőbbségi eljárásokkal. Pénzügyi támogatás közérdekű célból, külön jogszabályi keretek alapján biztosítható a kritikus szervezetek ellenálló képességének fejlesztése céljára.

A megfelelő jogszabályi környezet kialakításával lehetővé kell tenni, hogy a kritikus szervezetek az alapvető szolgáltatások nyújtásában ne legyenek akadályozottak a védelmi és biztonsági kötelezettségük teljesítése során, valamint elsőbbségük biztosított legyen a tartalékolási és a rögzített védelmi ipari kapacitások korszerűsítésére, bővítésére szolgáló fejlesztésekre nyújtott támogatások során.

Az általános és az ágazati kijelölő hatóságok, valamint a szakhatóságok rendszere biztosítja, hogy a kritikus infrastruktúrák ellenálló képességének fejlesztésével érintett állami és nem állami szervek számára is átlátható, egységes jogalkalmazási gyakorlat alakuljon ki, továbbá az összveszély-megközelítés és az egyenértékűség elve érvényesíthető legyen.

Magyarország Nemzeti Biztonsági Stratégiájában megfogalmazottakkal összhangban, továbbá figyelemmel arra, hogy az állam működőképességét fenyegető stratégiák és eszközök változatossága és hatékonysága jelentősen nőtt, a védelmi és biztonsági igazgatás összkormányzati rendszerének részeként a nemzeti kritikus infrastruktúra védelmének további folyamatos fejlesztése szükséges a lehetséges ellenfelek támadó kapacitásainak folyamatos növekedésével.

A hibrid támadással szembeni ellenálló képességet erősíti a honvédelmi és rendvédelmi erők szoros együttműködése egymással és a releváns polgári infrastruktúrával, azonban elengedhetetlen az új biztonsági kihívások miatt a védekezés rendszerének folyamatos fejlesztése, amelynek kiemelt területe a terroristák potenciális célpontjainak védelme, különös tekintettel a lakosságra és hazánk kritikus infrastruktúrájára.

Mindezek alapján a kijelölő hatóságok, az ágazati szakhatóságok közötti koordinációt szolgáló szakpolitikai keretek kialakítása indokolt.

A honvédelmi, valamint az energetikai ágazaton belül a földgáz, hidrogén és a villamos energia alágazatok tekintetében – figyelemmel az ágazati sajátosságokra – ágazati kijelölő hatóság fenntartása indokolt, amelynek eljárásában az általános kritériumokat szakhatóság vizsgálja.

Az energetikai ágazatban a földgáz, hidrogén és a villamos energia alágazatok tekintetében az elfogadható kockázatcsökkentő intézkedések megfelelőségének és azok költségeinek lakossági árakban és tarifában (rendszerhasználati díjakban) való érvényesíthetőségének vizsgálata, illetve elfogadása és a szükséges adatbekérések, továbbá az uniós szabályozás szerinti ágazatspecifikus követelmények érvényre juttatása, felügyelete és szankció kiszabás melletti érvényesítése a nemzeti szabályozó hatóság hatáskörén kívül nem értelmezhető és nem hajtható végre. Az energetika iparágra vonatkozó átfogó ismeretek (energetikai rendszerek egymáshoz kapcsolódása, egyes energetikai alapvető szolgáltatások hatásai más energetikai alapvető szolgáltatásokra, a különböző alágazatok rendszerelemeinek egymástól való függősége, a kitettségek csökkentése és a dominóhatások kiküszöbölése), továbbá az energetikai ágazatban meglévő önálló biztonsági intézkedések is indokolják, hogy az energetika területén – hasonlóan a honvédelem területéhez – specifikusabb legyen a szabályozás által rögzített feladat- és hatáskör.

A villamos energia alágazat részeként a szabályozásban a nukleáris biztonság elsődlegességét biztosítani szükséges, ezért a hazai szabályozási környezetet úgy kell kialakítani, hogy ne tartalmazzon olyan előírást, amely a nukleáris biztonság elsődlegességét veszélyeztetné.

A hálózati és az elektronikus információs rendszerek érintettsége miatt kiemelt jelentőségű, hogy mind a szabályozórendszer, mind a hatóságok és érintett szereplők képesek legyenek az egységesen magas szintű kiberbiztonságot biztosító intézkedésekre, továbbá a pénzügyi ágazat digitális működési rezilienciájára, valamint a fizikai védelemre vonatkozó követelmények együttes és összehangolt érvényesítésére.

Fentiek érdekében hangsúlyos az érintett hatóságok együttműködése, rendszeres kölcsönös információcseréje a kiberbiztonsági és más kockázatokról, fenyegetésekről és eseményekről, a releváns hatósági intézkedésekről. Szintén hangsúlyos, hogy az ágazatspecifikus szempontok érvényesüljenek, ezért az együttműködésnek ki kell terjednie az ellenálló képességi terv, az ellenálló képességi mátrix és a rendkívüli események bejelentésének iratmintái, formanyomtatványai elkészítésére is.

Jelen stratégiát figyelembe kell venni a kritikus szervezetek ellenálló képességére vonatkozó nemzeti kockázatértékelés elkészítése során, különös figyelemmel Magyarország Nemzeti Biztonsági Stratégiájában meghatározott értékeink és adottságaink alapján, az elemzett biztonsági környezetben a nemzeti érdekeinkre – ennek részeként az alapvető szolgáltatások biztonságos és üzemfolytonos nyújtására – gyakorolt hatása miatt leginkább jelentős, alábbi kiemelt biztonsági kockázatokra:

Jelen stratégia a védelmi és biztonsági tevékenységek összehangolásáról szóló törvényben meghatározott Biztonság- és Védelempolitika Alapelvei és a Nemzeti Biztonsági Stratégia alapján, valamint más biztonsági és ágazati stratégiákra építve középtávú stratégiai, több ágazatra kiterjedő tervezési dokumentumként készült. A változékony globális környezetben számos kihívás, kockázat és fenyegetés irányulhat hazánk vagy szövetségi rendszereink ellen, ezért rendszeresen, legalább 4 évenként, illetve szükség szerint soron kívül intézkedni kell a felülvizsgálatára és módosítására.