5/2025. (VI. 20.) SZTFH rendelet
5/2025. (VI. 20.) SZTFH rendelet
a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásáról és a velük szemben támasztott követelményekről
[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásba vételére vonatkozó eljárási szabályok megállapítása, valamint az e személyekkel szembeni követelmények megállapítása.
[2] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (7) bekezdés a) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva – a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (8) bekezdésében és a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 160. § 15. pontjában meghatározott feladatkörében eljáró energiaügyi miniszter véleményének kikérésével –,
a 6. §, a 7. § és az 1. melléklet tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva
a következőket rendelem el:
1. § (1) A Szabályozott Tevékenységek Felügyeleti Hatósága mint a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági hatóság (a továbbiakban: kiberbiztonsági hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet és természetes személy vonatkozásában a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti nyilvántartás (a továbbiakban együtt: nyilvántartás) vezetését.
(2) A kiberbiztonsági hatóság eljárása a kiberbiztonsági hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.
2. § (1) A nyilvántartásba történő felvételre irányuló eljárás a kiberbiztonsági hatósághoz benyújtott kérelemre indul.
(2) Az (1) bekezdés szerinti kérelem tartalmazza
a) a kérelmező
aa) megnevezését,
ab) adószámát,
ac) cégjegyzékszámát,
ad) székhelyének címét,
ae) – a kiberbiztonsági hatóság honlapján közzétételre kerülő – elektronikus levelezési címét és telefonszámát,
b) a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét,
c) a sérülékenységvizsgálat végzésére jogosult természetes személy azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint
d) azt, hogy a kérelmező milyen biztonsági osztályba sorolt elektronikus információs rendszerekre kíván sérülékenységvizsgálatot végezni.
(3) A kérelmező az (1) bekezdés szerinti kérelemhez mellékeli
a) a 3. § (3) bekezdése szerinti dokumentumokat, valamint
b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
3. § (1) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek a következő feltételeknek kell megfelelnie a sérülékenységvizsgálattal érintett elektronikus információs rendszer biztonsági osztálya szerint:
a) „alap” biztonsági osztály esetén
aa) legalább kettő, a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, valamint a (2) bekezdés szerinti feltételeknek megfelelő szakértőt – mint sérülékenységvizsgálat végzésére jogosult természetes személyt – foglalkoztat,
ab) rendelkezik információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel,
ac) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során,
ad) rendelkezik a sérülékenységvizsgálat lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereiből és az archív mentéseiből,
b) „jelentős” vagy „magas” biztonsági osztály esetén az a) pontban foglalt feltételeknek való megfelelésen túl a sérülékenységvizsgálat lefolytatásához a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti „jelentős” vagy „magas” megbízhatósági szintre nyilvántartásba vett vizsgáló laboratóriumot vesz igénybe.
(2)1 A sérülékenységvizsgálat végzésére jogosult természetes személynek rendelkeznie kell
a) a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen szerzett felsőfokú végzettséggel, amelynek szakirányú képzése hálózatbiztonsági, kiberbiztonsági vagy azzal egyenértékű információbiztonsági területre irányul, vagy
b) olyan képzettséggel, illetve képesítéssel, amely alapján alkalmas a következő tevékenységek közül legalább kettő végzésére:
ba) elektronikus információs rendszerek gyenge pontjainak feltárása és azok kihasználhatóságának ellenőrzése;
bb) webes alkalmazások sérülékenységeinek azonosítása;
bc) vezeték nélküli hozzáférési és kapcsolódási pontok felkutatása, feltérképezése, a használt titkosítási eljárások elemzése, valamint a titkosítási kulcsok visszafejthetőségének ellenőrzése;
bd) pszichológiai manipulációs (social engineering) támadások tervezése és kivitelezése.
(3) A kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, valamint az (1) és (2) bekezdés szerinti feltételek teljesítését a következő módon igazolja:
a) a telephely biztonsági tanúsítványra vonatkozó feltétel teljesítését a telephely biztonsági tanúsítvánnyal;
b) a Kiberbiztonsági tv. 57. § (2) bekezdés a) pontja esetében a nemzetbiztonsági ellenőrzést lefolytató nemzetbiztonsági szolgálat által kiállított igazolással;
c) a Kiberbiztonsági tv. 57. § (2) bekezdés c) pontja esetében szakmai önéletrajzzal, valamint a kétéves szakmai tapasztalatot alátámasztó referencianyilatkozattal;
d) az (1) bekezdés a) pont aa) alpontja esetében olyan okirattal, amely a foglalkoztatási jogviszony fennállását és annak típusát igazolja;
e) az (1) bekezdés a) pont ab) alpontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;
f) az (1) bekezdés a) pont ac) alpontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;
g) az (1) bekezdés a) pont ad) alpontja esetében törlési eljárásrenddel és műszaki leírásokkal;
h) az (1) bekezdés b) pontja esetében a közreműködő vizsgáló laboratórium nyilatkozatával;
i) a (2) bekezdés a) pontja esetében a felsőfokú végzettséget igazoló okirat másolatával;
j) a (2) bekezdés b) pontja esetében a képzettséget, illetve képesítést igazoló okirattal.
(4) A kiberbiztonsági hatóság a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizheti.
(5) A Kiberbiztonsági tv. 57. § (4) bekezdése alapján a sérülékenységvizsgálat lefolytatásához szükséges szakértelem és infrastrukturális feltételek teljesülésének megállapítása érdekében – a (3) bekezdés c) és e)–j) pontjában megjelölt dokumentumok megküldésével – a kiberbiztonsági hatóság megkeresi a sérülékenységvizsgálat végzésére jogosult állami szervet.
(6) Ha a kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve az (1) és (2) bekezdés szerinti feltételeket nem teljesíti, a kiberbiztonsági hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be a korábbival megegyező tartalommal.
(7) A (2) bekezdés b) pontja szerinti követelménynek való megfelelés szempontjából az érvényességi idővel rendelkező képzettség, illetve képesítés csak az érvényességi ideje lejártát megelőzően vehető figyelembe.
4. § (1)2 A nyilvántartásba vett sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és a 3. § (1) bekezdése szerinti feltételeknek, továbbá a sérülékenységvizsgálat végzésére jogosult természetes személynek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, valamint a 3. § (2) bekezdése szerinti feltételeknek.
(2) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a kiberbiztonsági hatóság részére a kiberbiztonsági hatóság által rendszeresített elektronikus űrlap alkalmazásával.
(3)3 A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a változás beálltát követő 8 napon belül bejelenti a kiberbiztonsági hatóságnak, ha
a) nem felel meg a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és a 3. § (1) bekezdése szerinti feltételeknek,
b) az általa foglalkoztatott sérülékenységvizsgálat végzésére jogosult természetes személy nem felel meg a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (2) bekezdése szerinti feltételeknek, vagy
c) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.
(4) A kiberbiztonsági hatóság törli a nyilvántartásból a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetet, ha
a) a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (1) és (2) bekezdése szerinti feltételeknek nem felel meg,
b) jogutód nélkül megszűnik, vagy
c) jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
(5) A kiberbiztonsági hatóság törli a Kiberbiztonsági tv. 29. § (1) bekezdés c) pontja szerinti nyilvántartásból a sérülékenységvizsgálat végzésére jogosult természetes személyt, ha a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (2) bekezdése szerinti feltételeknek nem felel meg.
5. § Ez a rendelet a kihirdetését követő 31. napon lép hatályba.
6. §4
7. §5
1. melléklet az 5/2025. (VI. 20.) SZTFH rendelethez6
A 3. § (2) bekezdése a 8/2025. (VIII. 21.) SZTFH rendelet 8. §-ával megállapított szöveg.
A 4. § (1) bekezdése a 8/2025. (VIII. 21.) SZTFH rendelet 9. § (1) bekezdésével megállapított szöveg.
A 4. § (3) bekezdése a 8/2025. (VIII. 21.) SZTFH rendelet 9. § (2) bekezdésével megállapított szöveg.
A 6. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
A 7. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
Az 1. melléklet a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás