5/2025. (VI. 20.) SZTFH rendelet
5/2025. (VI. 20.) SZTFH rendelet
a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásáról és a velük szemben támasztott követelményekről
[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásba vételére vonatkozó eljárási szabályok megállapítása, valamint az e személyekkel szembeni követelmények megállapítása.
[2] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (7) bekezdés a) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva – a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (8) bekezdésében és a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 160. § 15. pontjában meghatározott feladatkörében eljáró energiaügyi miniszter véleményének kikérésével –,
a 6. §, a 7. § és az 1. melléklet tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva
a következőket rendelem el:
1. § (1) A Szabályozott Tevékenységek Felügyeleti Hatósága mint a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági hatóság (a továbbiakban: kiberbiztonsági hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet és természetes személy vonatkozásában a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti nyilvántartás (a továbbiakban együtt: nyilvántartás) vezetését.
(2) A kiberbiztonsági hatóság eljárása a kiberbiztonsági hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.
2. § (1) A nyilvántartásba történő felvételre irányuló eljárás a kiberbiztonsági hatósághoz benyújtott kérelemre indul.
(2) Az (1) bekezdés szerinti kérelem tartalmazza
a) a kérelmező
aa) megnevezését,
ab) adószámát,
ac) cégjegyzékszámát,
ad) székhelyének címét,
ae) – a kiberbiztonsági hatóság honlapján közzétételre kerülő – elektronikus levelezési címét és telefonszámát,
b) a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét,
c) a sérülékenységvizsgálat végzésére jogosult természetes személy azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint
d) azt, hogy a kérelmező milyen biztonsági osztályba sorolt elektronikus információs rendszerekre kíván sérülékenységvizsgálatot végezni.
(3) A kérelmező az (1) bekezdés szerinti kérelemhez mellékeli
a) a 3. § (3) bekezdése szerinti dokumentumokat, valamint
b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
3. § (1) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek a következő feltételeknek kell megfelelnie a sérülékenységvizsgálattal érintett elektronikus információs rendszer biztonsági osztálya szerint:
a) „alap” biztonsági osztály esetén
aa) legalább kettő, a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, valamint a (2) bekezdés szerinti feltételeknek megfelelő szakértőt – mint sérülékenységvizsgálat végzésére jogosult természetes személyt – foglalkoztat,
ab) rendelkezik információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel,
ac) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során,
ad) rendelkezik a sérülékenységvizsgálat lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereiből és az archív mentéseiből,
b) „jelentős” vagy „magas” biztonsági osztály esetén az a) pontban foglalt feltételeknek való megfelelésen túl a sérülékenységvizsgálat lefolytatásához a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti „jelentős” vagy „magas” megbízhatósági szintre nyilvántartásba vett vizsgáló laboratóriumot vesz igénybe.
(2) A sérülékenységvizsgálat végzésére jogosult természetes személynek rendelkeznie kell
a) a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel és
b) olyan képzettséggel, illetve képesítéssel, amely alapján alkalmas a következő tevékenységek közül legalább kettő végzésére:
ba) számítógépes kódok, számítógépes programok fejlesztésére,
bb) az elektronikus információs rendszer gyenge pontjainak feltárására és kihasználhatóságának ellenőrzésére,
bc) a webes alkalmazások sérülékenységei feltárására,
bd) vezeték nélküli hozzáférési és kapcsolódási pontok keresésére, feltérképezésére, titkosítási eljárások elemzésére, titkosítási kulcsok visszafejthetőségének ellenőrzésére,
be) pszichológiai manipulációs támadások kivitelezésére, illetve tervezésére és megvalósítására.
(3) A kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, valamint az (1) és (2) bekezdés szerinti feltételek teljesítését a következő módon igazolja:
a) a telephely biztonsági tanúsítványra vonatkozó feltétel teljesítését a telephely biztonsági tanúsítvánnyal;
b) a Kiberbiztonsági tv. 57. § (2) bekezdés a) pontja esetében a nemzetbiztonsági ellenőrzést lefolytató nemzetbiztonsági szolgálat által kiállított igazolással;
c) a Kiberbiztonsági tv. 57. § (2) bekezdés c) pontja esetében szakmai önéletrajzzal, valamint a kétéves szakmai tapasztalatot alátámasztó referencianyilatkozattal;
d) az (1) bekezdés a) pont aa) alpontja esetében olyan okirattal, amely a foglalkoztatási jogviszony fennállását és annak típusát igazolja;
e) az (1) bekezdés a) pont ab) alpontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;
f) az (1) bekezdés a) pont ac) alpontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;
g) az (1) bekezdés a) pont ad) alpontja esetében törlési eljárásrenddel és műszaki leírásokkal;
h) az (1) bekezdés b) pontja esetében a közreműködő vizsgáló laboratórium nyilatkozatával;
i) a (2) bekezdés a) pontja esetében a felsőfokú végzettséget igazoló okirat másolatával;
j) a (2) bekezdés b) pontja esetében a képzettséget, illetve képesítést igazoló okirattal.
(4) A kiberbiztonsági hatóság a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizheti.
(5) A Kiberbiztonsági tv. 57. § (4) bekezdése alapján a sérülékenységvizsgálat lefolytatásához szükséges szakértelem és infrastrukturális feltételek teljesülésének megállapítása érdekében – a (3) bekezdés c) és e)–j) pontjában megjelölt dokumentumok megküldésével – a kiberbiztonsági hatóság megkeresi a sérülékenységvizsgálat végzésére jogosult állami szervet.
(6) Ha a kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve az (1) és (2) bekezdés szerinti feltételeket nem teljesíti, a kiberbiztonsági hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be a korábbival megegyező tartalommal.
(7) A (2) bekezdés b) pontja szerinti követelménynek való megfelelés szempontjából az érvényességi idővel rendelkező képzettség, illetve képesítés csak az érvényességi ideje lejártát megelőzően vehető figyelembe.
4. § (1) A nyilvántartásba vett sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, valamint a 3. § (1) és (2) bekezdése szerinti feltételeknek.
(2) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a kiberbiztonsági hatóság részére a kiberbiztonsági hatóság által rendszeresített elektronikus űrlap alkalmazásával.
(3) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a változás beálltát követő 8 napon belül bejelenti a kiberbiztonsági hatóságnak, ha
a) nem felel meg
ab) a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve
ac) a 3. § (1) és (2) bekezdése
szerinti feltételeknek, vagy
b) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.
(4) A kiberbiztonsági hatóság törli a nyilvántartásból a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetet, ha
a) a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (1) és (2) bekezdése szerinti feltételeknek nem felel meg,
b) jogutód nélkül megszűnik, vagy
c) jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
(5) A kiberbiztonsági hatóság törli a Kiberbiztonsági tv. 29. § (1) bekezdés c) pontja szerinti nyilvántartásból a sérülékenységvizsgálat végzésére jogosult természetes személyt, ha a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (2) bekezdése szerinti feltételeknek nem felel meg.
5. § Ez a rendelet a kihirdetését követő 31. napon lép hatályba.
6. § A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet 1. §-a a következő (8) és (9) bekezdéssel egészül ki:
„(8) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezeteknek a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti nyilvántartásba vételére irányuló eljárás igazgatási szolgáltatási díja 390 000 Ft.
(9) A nyilvántartásba vett sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek adatváltozás-bejegyzésére irányuló eljárás igazgatási szolgáltatási díja 60 000 Ft.”
7. § A Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló 15/2023. (VII. 31.) SZTFH rendelet 1. melléklete az 1. melléklet szerint módosul.
Dr. Nagy László s. k.,
elnök
1. melléklet az 5/2025. (VI. 20.) SZTFH rendelethez
(A |
B) |
13. |
sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet nyilvántartásba vételére irányuló eljárás |
SZTFH-430/1 |
14. |
sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet adatváltozás-bejegyzésére irányuló eljárás |
SZTFH-430/2 |
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás