9/2025. (IV. 30.) HM utasítás
9/2025. (IV. 30.) HM utasítás
a kijelölt vezetői kör részére történő kiberbiztonsági incidenskezeléssel összefüggő azonnali beszámolás rendjéről
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján a következő utasítást adom ki:
1. Általános rendelkezések
1. § Az utasítás hatálya a honvédelmi szervezetekre terjed ki.
2. § A Honvédelmi Minisztérium (a továbbiakban: HM) Portfóliókezelő Főosztály főosztályvezetője tájékoztatja az utasításban foglaltakról az egyes állami tulajdonban álló gazdasági társaságok felett az államot megillető tulajdonosi jogok és kötelezettségek összességét gyakorló személyek kijelöléséről szóló 1/2022. (V. 26.) GFM rendelet 1. melléklet VII. táblázatában foglalt, a HM tulajdonosi joggyakorlása alá tartozó gazdasági társaságok vezetőit.
3. § Az utasítást a honvédelmi ágazati elektronikus információbiztonsági eseménykezelés rendjéről szóló 3/2023. (II. 24.) HM utasítás 22. § (1) bekezdés c) és d) pontjában meghatározott esetekre kell alkalmazni.
4. § Az utasítás alkalmazásában
a) beszámolás: a 8. § szerinti kijelölt vezetői kör részére a kiberbiztonsági incidenssel összefüggésben zárt katonai információs rendszer, illetve telekommunikációs szolgáltatás útján végzett jelentés vagy riasztás és értesítés,
b) értesítés: a kiberbiztonsági incidenskezelés során az utasításban foglaltak alapján a riasztás kiadásáról szóló, visszaigazolást nem igénylő jelzés,
c) jelentés: a kiberbiztonsági incidenskezelés során az utasításban foglalt magas kategóriába sorolt kiberbiztonsági incidensközeli helyzettel összefüggő, előre meghatározott elemeket tartalmazó megosztott információ,
d) kiberbiztonsági incidens: a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 4. § 46. pontjában meghatározott fogalom,
e) kiberbiztonsági incidenskezelés: a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 4. § 47. pontjában meghatározott folyamat,
f) kiberbiztonsági incidensközeli helyzet: a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 4. § 49. pontjában meghatározott fogalom,
g) kijelölt vezetői kör: a 8. § szerinti és az általuk kijelölt politikai és katonai vezető beosztású személyek,
h) riasztás: a kiberbiztonsági incidenskezelés során az utasításban foglalt kritikus kategóriába sorolt kiberbiztonsági incidensekkel összefüggő, kötelező elemeket tartalmazó intézkedést vagy reagálást igénylő megosztott információ.
2. Az azonnali beszámolás speciális részletszabályai
5. § (1) Az ágazati kiberbiztonsági incidenskezeléssel összefüggésben végzett beszámolás során a kiberbiztonsági incidens első szintű kategorizálása érdekében az incidenskezelő a saját hatáskörben végzett döntéséhez az alábbi elveket veszi figyelembe:
a) magas besorolású kategóriába esnek azok a kiberbiztonsági incidensközeli helyzetek, amelyek a bejelentés időpontjában számosságukban és hatásukban súlyosan befolyásoló tényezőként vagy fenyegetettségként jelennek meg az érintett rendszer vagy a rendszer felhasználói vonatkozásában,
b) kritikus besorolású kategóriába esnek a kiberbiztonsági incidensek, amelyek a bejelentés időpontjában számosságukban és hatásukban igazoltan korlátozó tényezőként vagy fenyegetettségként jelennek meg az érintett rendszer vagy a rendszer felhasználói vonatkozásában.
(2) A magas besorolású kiberbiztonsági incidensközeli helyzetek esetén a kijelölt vezetői kör részére jelentést kell küldeni.
(3) A kritikus besorolású kiberbiztonsági incidensek esetén a kijelölt vezetői kört riasztani és értesíteni kell.
6. § (1) A honvédelmi kiberbiztonsági incidenskezelő központ végzi az ágazati kiberbiztonsági incidenskezeléssel összefüggő bejelentések fogadását, illetve azokról a kijelölt vezetői kör részére történő beszámolást.
(2) Az (1) bekezdésben meghatározott beszámolás nem érinti a Magyar Honvédség (a továbbiakban: MH) Kibertér Ügyeletes Parancsnok (a továbbiakban: KIÜP) saját hatáskörben történő tájékoztatási tevékenységét.
7. § (1) A KIÜP végzi az MH rendszereit érintő és az MH üzemeltetési és kiberbiztonsági incidenskezelési körébe tartozó, a kiberbiztonsági incidensben érintett szervezetek vonatkozásában a Honvéd Vezérkar (a továbbiakban: HVK) főnöke (a továbbiakban: HVKF) és a HVKF útján a honvédelmi miniszter tájékoztatását is. Ezzel egy időben a KIÜP végrehajtja a Katonai Nemzetbiztonsági Szolgálat (a továbbiakban: KNBSZ) kibertér műveleti szakfeladatokra kijelölt szervezeti egységének értesítését.
(2) A honvédelmi kiberbiztonsági incidenskezelő központ végzi az ágazati kiberbiztonsági incidensekről – az MH rendszerei kivételével – a HM katonai nemzetbiztonság irányításáért felelős államtitkár (a továbbiakban: HM KNIFÁT) és a HM KNIFÁT útján a honvédelmi miniszter tájékoztatását.
8. § (1) A kijelölt vezetői körbe a kijelölés a zárt katonai információs rendszerben létrehozott, a jelentési terv alapján szervezett csoportokba történő felvétellel történik, amelynek karbantartását
a) a HM azonnali jelentési csoportra vonatkozóan a honvédelmi minisztertől kapott feladatszabás,
b) a KNBSZ azonnali jelentési csoportra vonatkozóan a KNBSZ főigazgatójától kapott feladatszabás és
c) a HVK azonnali jelentési csoportra vonatkozóan a HVKF rendelkezése alapján a KIÜP-től kapott feladatszabás
alapján a honvédelmi kiberbiztonsági incidenskezelő központ hajtja végre.
(2) A HVK azonnali jelentési csoportba további személyek felvételére a KNBSZ főigazgatója tehet javaslatot a HVKF részére.
(3) A jelentési terv a kijelölt vezetői körbe javasolt személy vonatkozásában tartalmazza
a) a nevét,
b) a beosztását,
c) a zárt katonai információs rendszeren, illetve mobiltelefonon való elérhetőségét,
d) annak jelölését, ha kizárólag riasztás esetén értesítendő, továbbá
e) az egyéb szükséges megjegyzést.
3. Az azonnali beszámolás módjai, azonosítása és tartalma
9. § Ezen utasítás alkalmazása során a jelentés vagy riasztás információmegosztását zárt katonai információs rendszeren, üzenetben kell megtenni a jelentési terv alapján.
10. § Az 5. § (3) bekezdése alapján tett riasztást zárt katonai információs rendszer hangalapú szolgáltatása vagy azon való elérhetetlenség esetén a mobiltelefon-szolgáltatás útján is meg kell erősíteni értesítés formájában, az értesítési terv alapján.
11. § A kijelölt vezetői kör hangalapú szolgáltatás útján történő értesítése során, annak sikertelensége esetén az értesítést legalább egyszer meg kell ismételni.
12. § A jelentés és riasztás során a kiberbiztonsági incidensre mindig az egyedi azonosítóval és rövid, jellegére utaló megnevezéssel kell hivatkozni a párhuzamos kiberbiztonsági incidensek pontos megkülönböztetése érdekében.
13. § A jelentés során a zárt katonai információs rendszerben megküldött üzenet a kiberbiztonsági incidensközeli helyzet vonatkozásában tartalmazza
a) a bejelentés időpontját,
b) a kategória szerinti besorolását,
c) a kiberbiztonsági incidensközeli helyzet rövid leírását,
d) a kiberbiztonsági incidensközeli helyzet feltételezett legvalószínűbb – negatív – hatásait az érintett szervezetre,
e) a kiberbiztonsági incidensközeli helyzet érintettségét, hatását és kiterjedését és
f) az érintett szervezet bejelentése alapján a kiberbiztonsági incidensközeli helyzet legveszélyesebb feltételezett kimenetelének megbecslését.
14. § A riasztás során zárt katonai információs rendszerben megküldött üzenet a kiberbiztonsági incidens vonatkozásában a jelentésben foglaltakon felül tartalmazza
a) a kárenyhítés és -hatás csökkentése érdekében megtett és elrendelt kiberbiztonsági incidenskezelési intézkedések rövid tömör összefoglalását és
b) a javaslatot a kijelölt vezetői kör külső kommunikációra történő felkészülésére.
15. § A riasztással összefüggő értesítés során a hangalapú hívás útján közölt információ tartalmazza
a) a bekövetkezés és a bejelentés időpontját, valamint
b) a zárt katonai információs rendszerben megküldött üzenetben szereplő riasztás tényét.
4. Záró rendelkezések
16. § Ez az utasítás a közzétételét követő napon lép hatályba.
17. § A kijelölt vezetői körbe történő első jelölésről a jelen utasítás hatálybalépését követő 8 napon belül intézkedni kell. A felülvizsgálat és a 8. § végrehajtása érdekében végzett adatszolgáltatás a 8. § szerinti szervezet felelőssége.
18. §1
A 18. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás