189/2025. (VII. 3.) Korm. rendelet indokolás

Ezen indokolás a jogalkotásról szóló 2010. évi CXXX. törvény 18. § (6) bekezdése és a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. §-a alapján a Magyar Közlöny mellékleteként megjelenő Indokolások Tárában közzétételre kerül.

A Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet (a továbbiakban: Kiberbiztonsági vhr.) módosításának célja az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv (a továbbiakban: NIS 2 irányelv) teljes körű implementációjának megvalósítása, emellett a Kiberbiztonsági vhr. rendelkezéseinek a jogalkalmazói tapasztalatokra figyelemmel történő pontosítása.

A nemzeti kiberbiztonsági hatóság jogosítványai kiegészítésre kerülnek a kiberbiztonsági audittal kapcsolatos további rendelkezésekkel, összhangban a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) kiberbiztonsági hatósági tevékenységére irányadó, a kiberbiztonsági felügyelet és feladatellátás és a hatósági ellenőrzés lefolytatásának részletes szabályairól, valamint az információbiztonsági felügyelőről szóló 3/2025. (IV. 17.) SZTFH rendelet (a továbbiakban: 3/2025. SZTFH rendelet) szabályozásával. A hatályos 17. § (1) bekezdés a) és e) pontja közötti átfedés miatt az új rendelkezés felváltja a jelenlegit.

A kormányrendelet rögzíti, hogy mely élelmiszerlánc-felügyeleti szervek teljesítenek adatszolgáltatást az SZTFH részére a kiberbiztonsági felügyelettel érintett élelmiszer-vállalkozások tekintetében.

A digitális államhoz kapcsolódó egyes törvények módosításáról szóló 2025. évi XXXII. törvény keretében módosított, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) módosítása értelmében az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) esetében a szakmai feladatellátáshoz szükséges és elfogadható szakképzettségek, akkreditált nemzetközi képzettségek (elfogadható szakképzettségek) listáját a jövőben az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont és a kiberbiztonsági kompetenciaközösség számára kapcsolattartási pontként szolgáló, a Kiberbiztonsági tv. 75. §-a szerinti nemzeti koordinációs központ teszi közzé a honlapján. A kormányrendeletben foglalt módosítás ennek megfelelően pontosítja a normaszöveget.

2028. január 1-jétől a szakképzettség helyett elfogadható szakmai tapasztalat előírása kivezetésre kerül a jogrendszerből. Az IBF-ek esetében tehát 2027. december 31-ig fogadható el az informatikáért felelős miniszter rendeletében meghatározott szakterületeken és időtartamban szerzett szakmai tapasztalat az alapesetben elvárt szakképzettségek, akkreditált nemzetközi képzettségek helyett. Ezt követően az IBF-ek nyilvántartásában kizárólag olyan IBF szerepelhet, aki rendelkezik a nemzeti koordinációs központ által közzétett elfogadható szakképzettségek listáján szereplő valamely szakképzettséggel, akkreditált nemzetközi képzettséggel. Erre figyelemmel a jelzett időpontot követően a hatóságnak benyújtandó adatok, dokumentumok körében történő feltüntetése sem szükséges.

A Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti szervezet, amely egyben a Kiberbiztonsági tv. 2. vagy 3. mellékletének hatálya alá tartozik, köteles kiberbiztonsági auditra. Ennek eredményét a nemzeti kiberbiztonsági hatóság értékeli, és eljárása során jogosult a kiberbiztonsági auditjelentésben foglaltakat figyelembe venni. A Kiberbiztonsági vhr. 4. §-a értelmében, ha a kiberbiztonsági audit során az auditor az adott elektronikus információs rendszerre vonatkozó biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során hiányosságot állapít meg, akkor a szervezet – a kiberbiztonsági audit eredményének kézhezvételét követő 90 napon belül – intézkedési tervet készít a hiányosság megszüntetésére, amelyet jóváhagyásra benyújt a nemzeti kiberbiztonsági hatóság részére.

A 3/2025. SZTFH rendeletben foglaltakkal összhangban rögzítésre kerül, hogy a „nem megfelelő” eredménnyel zárult audit esetén a nemzeti kiberbiztonsági hatóság kötelezheti a szervezetet arra, hogy az elektronikus információs rendszer biztonsági osztályát felülvizsgálja és módosítsa.

A sérülékenységvizsgálat a tevékenység jellegénél fogva szolgáltatáskiesést vagy -csökkenést eredményezhet a sérülékenységvizsgálattal érintett elektronikus információs rendszerben és a szervezet működése kapcsán. Erre figyelemmel a sérülékenységvizsgálatot kizárólag a szervezet vezetője vagy tudomásával és felhatalmazása alapján olyan személy kezdeményezheti, aki kellő döntési jogkörrel és rálátással bír a szervezet működésére, és a sérülékenységvizsgálat felvállalhatósága kérdésében megalapozottan tud nyilatkozni.

A kormányrendelet továbbá kiegészíti a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet esetében a sérülékenységvizsgálati alapdokumentum tartalmát a „jelentős” vagy „magas” megbízhatósági szintre nyilvántartásba vett vizsgáló laboratórium megnevezésével és a vizsgáló laboratórium által a sérülékenységvizsgálat során elvégzendő tevékenységek körével.

A digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) szóló, 2024. október 23-i (EU) 2024/2847 európai parlamenti és tanácsi rendelet (a továbbiakban: CRA rendelet) 14. cikke értelmében a tagállamoknak ki kell jelölniük egy, a digitális elemeket tartalmazó termékekben található bármely aktívan kihasznált sérülékenység vagy azok biztonságát érintő súlyos eseményre vonatkozó bejelentés fogadására illetékes koordinátor CSIRT-et. A Kiberbiztonsági tv. 64. §-a és a Kiberbiztonsági vhr. 67. §-a értelmében a sérülékenységek, sebezhetőségek, illetve kiberbiztonsági incidensek fogadásával, koordinációjával kapcsolatos feladatokat a nemzeti kiberbiztonsági incidenskezelő központ (a továbbiakban: Központ) látja el. Erre figyelemmel a CRA rendelet alapján bejelentendő sérülékenységek és kiberbiztonsági incidensek fogadására és koordinálására is a Központot indokolt felhatalmazni.

A jogalkalmazói gyakorlat elősegítése érdekében a hatályos szabályozás kiegészítésre kerül azzal, hogy a Központ a kiberfenyegetés, a kiberbiztonsági incidensközeli helyzet és az üzemeltetési kiberbiztonsági incidens bejelentése során iránymutatást adhat.

A Kiberbiztonsági vhr. 1. mellékletének módosítása szövegpontosító rendelkezéseket tartalmaz.

A Kiberbiztonsági vhr. 2. melléklete kiegészítésre, pontosításra kerül, illetve egyes bírságtételek felsorolásának logikai sorrendje, valamint összege módosul.

A Kiberbiztonsági vhr. 2. mellékletében foglalt új táblázatban, a 2–5. sorban kiemelésre kerülnek a legfontosabb adatszolgáltatási kötelezettségek elmulasztásának esetei. Természetszerűleg a hatóság részére bejelentett adatokban bekövetkező változások elmulasztása is e tételek alapján kerül szankcionálásra, így külön soron ezek a változásbejelentések nem jelennek már meg. A 6. soron az ezeken felüli, jogszabály alapján bejelentendő adatokban bekövetkező változások bejelentésének elmulasztása kerül szankcionálásra. A 7. sorban szereplő esetkör lényegében felöleli valamennyi kiberbiztonsági jogszabályban – akár a Kiberbiztonsági tv.-ben, akár a Kiberbiztonsági vhr.-ben, akár a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendeletben – a szervezet részére előírt kötelezettség teljesítésének elmulasztását. Erre figyelemmel a mellékletben kizárólag olyan intézkedések elmulasztása kerül önálló sorban megjelenítésre, amelyek jelentőségüknél fogva külön kiemelést érdemelnek.

A jogszabályban meghatározott arányos kiberbiztonsági intézkedések bevezetésének és alkalmazásának elmulasztása büntetési tétel esetében a kiszabható bírság legmagasabb tétele a Kiberbiztonsági vhr. 42. § (2) bekezdésében – és a NIS 2 irányelvben – meghatározott legmagasabb összegben kerül meghatározásra.

A Kiberbiztonsági vhr. 3. melléklete kiegészítésre kerül két szabálytalansággal: a kiberbiztonsági audit elvégzésére irányuló megállapodás határidőben történő megkötésére vonatkozó kötelezettség teljesítésének elmulasztása, valamint a Kiberbiztonsági tv. 66. § (2) bekezdése szerinti bejelentési kötelezettség elmulasztása esetén kiszabható bírság meghatározásával. Emellett a kiberbiztonsági audit határidőn belüli lefolytatásának elmulasztása esetében a bírság legnagyobb mértékének összege is megemelésre kerül.

A Kiberbiztonsági tv. 1. § (1) bekezdés a)–c) pontja szerinti szervezetre alkalmazandó szabályok jelentős részét a jogalkotó a Kiberbiztonsági tv. 1. § (1) bekezdés f) pontja szerinti szervezetre (a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra), továbbá a Kiberbiztonsági tv. 1. § (1) bekezdése alá nem sorolható, a kritikus szervezetek ellenálló képességéről szóló törvény alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák, valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák vonatkozásában is alkalmazni rendeli [utóbbiak esetében az 1. §-nak a (2a) bekezdéssel való kiegészítése útján]. Ezen szervezetekre a Kiberbiztonsági tv. az 1. § (1) bekezdés a) pontja szerinti szervezetekre irányadó törvényi rendelkezések alkalmazását rendeli. Ugyanakkor a Kiberbiztonsági tv. csak a törvényi rendelkezések alkalmazása vonatkozásában rendelkezik, így a Kiberbiztonsági vhr.-ben szükségesnek bizonyul a kiegészítés a Kiberbiztonsági tv. 1. § (2a) bekezdésére külön történő hivatkozással.