1.  

Státusz: új
Jogszabály címe: 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről
Megjelent: MK 72. szám 2023.05.15.
Hatály: 2024.01.01.

A törvény III. Fejezete azokra a vállalatokra, szervezetekre fogalmaz meg kiberbiztonsági követelményeket, amelyek a társadalom és a gazdaság szempontjából alapvető igényeket elégítenek ki, úgymint energia, szállítás, egészségügy, ivóvíz-szolgáltatók, egyéb közműszolgáltatók.

A kiberbiztonsági felügyeleti rendelkezéseket a törvény 1. és 2.  mellékletében felsorolt szervezetek (a továbbiakban: érintett szervezetek) elektronikus információs rendszerei tekintetében kell alkalmazni.

A törvény kizárja a mikro- és kisvállalkozásokat az érintett szervezetek köréből az egyes – kiberbiztonsági szempontból kiemelt fontosságú – tevékenységeket folytató vállalkozások kivételével.

A törvény emellett kizárja az alkalmazási körből azokat az elektronikus információs rendszereket, amelyek az Ibtv. szerint az európai vagy nemzeti létfontosságú rendszerelemmé kijelölt rendszerelemeknek a létfontosságú tevékenységben működnek közre, továbbá azokat a programozható rendszereket, amelyek az atomenergia alkalmazása körében a fizikai védelemről és a kapcsolódó engedélyezési, jelentési és ellenőrzési rendszerről szóló kormányrendelet alá tartoznak.

A törvény megállapítja azokat az alapvető követelményeket, amelyek az elektronikus információs rendszer, illetve az azon kezelt adatok bizalmasságához, sértetlenségéhez és rendelkezésre állásához nélkülözhetetlenek.

Az alapvető követelményeket az elektronikus információs rendszer üzemeltetésében, karbantartásában vagy javításában közreműködőknek is be kell tartaniuk a szerződéses viszonyaikban. Rögzítésre kerülnek továbbá az érintett szervezet vezetőjének főbb feladatai és felelősségi köre.

Az érintett szervezet köteles az elektronikus információs rendszereket és az azon tárolt, továbbított vagy feldolgozott adatokat biztonsági osztályba sorolni és az egyes biztonsági osztályokhoz a külön jogszabályban meghatározott védelmi intézkedéseket alkalmazni. Ezek a védelmi intézkedések kiválthatóak tanúsított információs és kommunikációs technológia (a továbbiakban: IKT) termékkel, -szolgáltatással vagy -folyamattal.

A törvény kötelezi a legfelső szintű domainnév-nyilvántartót központi adatbázis létrehozására, a domainnév-nyilvántartás kötelező adattartalmának meghatározása mellett.

A kezelt adatok valódiságának fenntartása érdekében szabályozási kötelezettséget rögzít, továbbá közzétételi követelményt állapít meg a személyes adatnak nem minősülő adatok vonatkozásában. A törvény rögzíti, hogy a legfelső szintű domainnév-nyilvántartó által kezelt adatok kezelésének célja a domainnevet kezelő adminisztratív kapcsolattartó, valamint a domainnévhasználó természetes vagy jogi személy azonosíthatósága, valamint a kapcsolattartási adatok naprakészen tartása.

A törvény alapján a kiberbiztonsági felügyeleti feladatok elvégzésére az Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) kerül kijelölésre.

A felügyelet keretében a hatóság ellenőrzi a kiberbiztonsági követelmények betartását helyszíni ellenőrzés, rendkívüli ellenőrzés lefolytatásával vagy rendkívüli audit elrendelésével.

A kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény alapján mikro- és kisvállalkozás kategóriát meghaladó, kiemelten kockázatos szektorokban működő a törvény 1.  mellékletében megjelölt szervezetek (köztük az egészségügyi szolgáltatók), valamint a digitális infrastruktúra fenntartásával és működésével kapcsolatos tevékenységet végző szervezetek esetében a  hatóság rendszeres, az  SZTFH elnökének rendelete szerint elkészített éves ellenőrzési terv alapján végzi a  kötelezettségek betartásának ellenőrzését. Az egyéb szervezetek esetében az audit eredmények, illetve a bejelentett biztonsági események adatai alapján, a kockázatok mérlegelését követően, azzal arányosan hajtja végre az ellenőrzéseket.

A törvény felsorolja továbbá azokat az adatokat és dokumentumokat, amelyeket a hatóság jogosult az érintett szervezettől bekérni és megismerni.

A hatósági felügyeletet nem érintve, az érintett szervezet köteles kétévente auditot végeztetni arra felhatalmazott, független auditor által.

Az audit végrehajtásának célja az, hogy az érintett szervezet képes legyen felismerni az elektronikus információs rendszereit érintő kockázatokat, valamint a biztonsági követelményeknek való nemmegfelelés eseteit. A törvény rögzíti az audit végrehajtásának főbb szabályait, az auditorral kapcsolatos elvárások, továbbá az audit maximális díjának meghatározására az SZTFH elnökének rendeletében kerül sor.

A követelményeknek megfelelő és az audit végrehajtására jogosult gazdálkodó szervezetekről az SZTFH nyilvántartást vezet és az auditorokat hatósági hatáskörében ellenőrzi. Az audit végrehajtásáról, annak befejezését követően az auditor a hatóságot is tájékoztatja. Rögzítésre kerülnek továbbá a hatóság azonnali tájékoztatására vonatkozó kötelezettség esetkörei, továbbá az auditor adatkezelésére vonatkozó szabályok. 24. § A törvény a kiberbiztonsági követelmények be nem tartásával összefüggésben a hatóság számára szankcionálási lehetőségeket rögzít, amelyeket a hatóság a jogsértéssel arányos módon alkalmazhat. A hatóságnak lehetősége van bírság kiszabására is, amely nemteljesítés esetén megismételhető. A közbiztonság és a közérdek védelme, valamint az állampolgárok preventív védelme okán a hatóság elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciálisan érintő kiberfenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

A törvény megállapítja az érintett szervezet által fizetendő éves kiberbiztonsági felügyeleti maximális mértékét, továbbá különös szabályokat rögzít arra az esetre, ha az érintett szervezet a polgári törvénykönyvről szóló törvény szerinti elismert vagy tényleges vállalatcsoportba tartozik, vagy egy konszolidációs körbe tartozó vállalkozáscsoportban vesz részt.

A kiberbiztonsági felügyeleti díj mértéke az előző üzleti évi nettó árbevételre vetítve százalékosan, továbbá maximális, összegszerű korláttal kerül meghatározásra.

A törvény a hatóság eljárására vonatkozó adminisztratív rendelkezéseket tartalmazza, valamint a hatóság által az érintett szervezetekről vezetett nyilvántartás részletszabályait határozza meg. Rögzíti továbbá az érintett szervezet kiberbiztonsági audit kötelezettsége kapcsán az auditorral való szerződéskötés és első kiberbiztonsági audit lefolytatásának határidejét.

A törvény meghatározza a biztonsági események bejelentési kötelezettségét a kijelölt szervezet felé, valamint rögzíti, hogy a biztonsági események kezelését a külön jogszabályban foglaltak szerint kell elvégezni. Biztonsági eseménykezelésbe közreműködő bevonása esetén a közreműködőnek a hatóság által kiállított tanúsítvánnyal kell rendelkeznie. A törvény szerinti bejelentési kötelezettség nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) szerinti jelentési kötelezettséget.

Átmeneti rendelkezések

30. § (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

(2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

(3) Az SZTFH a 22. § (5) bekezdése szerinti éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.

(4) Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

(5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

A további részletszabályokat a törvény tartalmazza.