Az elektronikus információs rendszerek védelméhez kapcsolódó vezetői feladatok és kötelezettségek

Önazonosítás
Alapvető és fontos szervezetek kötelezettségei
Törvény által előírt új kötelezettségek

Magyarországon több ezer kis- és középvállalkozást, nagyvállalatot és állami szervet és szervezetet érint a NIS2 követelményrendszere. Az érintett szervezetek a kiberfenyegetések által okozható károk mértékével arányos módon kötelesek gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének biztonságáról. 

Az új szabályozás (a korábbihoz hasonlóan) a szervezet vezetőjénekátruházhatatlan felelősségi körébe tartozó feladatként rögzíti azt, hogy szervezete vonatkozásában a kiberbiztonságot rendező jogszabályokban előírt kötelezettségeket az általa megfelelően kiválasztott (tehát a kérelem befogadására és az eljárásra hatáskörrel bíró) kiberbiztonsági hatóság irányába teljesítse.
(Forrás: Nemzeti Kibervédelmi Intézet által kiadott Segédlet)

A védelemnek általánosságban ki kell terjednie

  • a) a szervezet információbiztonsági irányítási rendszerére,
  • b) az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
  • c) a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • d) a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
  • e) az üzletmenet folytonosság biztosítására és
  • f) az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

Önazonosítás

1. Első és legfontosabb vezetői feladat az érintett szervezetek önazonosítása – az én cégem, szervezetem is a NIS2 hatálya alá tartozik?

Ehhez a döntéséhez a szervezet alapfogalmát a Kiberbiztonsági tv. 4. § 91. pontjában találja meg, mely szerint szervezetnek minősül:

  • a) az állami szerv,
  • b) az állami szervezet,
  • c) a PTK szerinti jogi személyek (egyesület, gazdasági társaságok) vagy
  • d) a PTK szerinti jogi személyiség nélküli szervezet. A szervezeti minőség vizsgálata segít Önnek behatárolni azt, hogy a Kiberbiztonsági tv. hatálya kiterjed-e egyáltalán a szervezetére.
    (Forrás: Nemzeti Kibervédelmi Intézet által kiadott Segédlet)

2. Következő lépés annak meghatározása, hogy a szervezet az alapvető szervezetek körébe (kiemelten kockázatos ágazatok) vagy a fontos szervezetek körébe (kockázatos ágazatok) tartozik-e.
A szabályozás ezeken belül azokra a szervezetekre vonatkozik, amelyek elérik a 2004. évi XXXIV. törvényben meghatározott küszöbértéket.

Az érintett ágazatok:

Forrás: SZTFH

Alapvető és fontos szervezetek kötelezettségei

Az érintett szervezet vezetője köteles az elektronikus információs rendszerek védelme tekintetében kockázatmenedzsment keretrendszert létrehozni (Forrás, részletes szabályozás: Kibervédelmi törvény).

Ennek keretében köteles legalább 2 évente, a biztonsági osztályba sorolás felülvizsgálatával egyidejűleg az alábbiakról gondoskodni:

  1. fel kell mérni és nyilvántartásba kell venni a szervezet által használt elektronikus információs rendszereket és a központi szolgáltatásokat;
  2. meg kell határozni a védelemmel kapcsolatos szerepköröket, felelősöket, feladatokat, hatásköröket;
  3. ki kell nevezni vagy megbízással foglalkoztatni kell egy elektronikus információs rendszer biztonságáért felelős személyt;
  4. a kezelt adatokat fel kell mérni és osztályozni kell (Forrás: Kibervédelmi tv. 1. sz. melléklet szerinti szervezetek esetében);
  5. hatáselemzést és kockázatmenedzsmentet kell végezni;
  6. szervezet által használt elektronikus információs rendszereket biztonsági osztályba kell sorolni;
  7. meg kell határozni a kockázatokkal arányos védelmi intézkedéseket;
  8. el kell készíteni a felhasználókra és a követelményekre vonatkozó információsbiztonsági szabályzatokat (ennek felülvizsgálati kötelezettsége: legalább kétévente, ezen kívül minden incidens esetén);
  9. biztosítani kell a védelmi intézkedések teljesülését;
  10. a védelmi intézkedéseket időszakosan értékelni kell és a feltárt hiányosságokat orvosolni;
  11. döntést kell hozni az elektronikus információs rendszerek használatbavételéről vagy használatának folytatásáról;
  12. teljesíteni kell a kiberbiztonsági hatósági kötelezéseket;
  13. gondoskodni kell – ha releváns – az európai uniós jogi aktusban foglaltak, valamint az informatikáért felelős miniszter rendelete szerint kiválasztott védelmi intézkedések megfelelőségének első biztonsági osztályba sorolás alkalmával történő értékeléséről.

Egyéb vezetői feladatok

  1. biztosítania kell a védelmi feladatok oktatását és a szakmai tudás szinten tartását saját maga és a szervezet munkatársainak számára, kiberbiztonsági képzés, továbbképzés keretében;
  2. biztosítania kell a kötelezően előírt hazai kiberbiztonsági gyakorlatokon való részvételt illetve kiberbiztonsági gyakorlat önálló megtartását;
  3. biztosítania kell az elektronikus információs rendszer eseményeinek nyomonkövethetőségét;
  4. az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában, javításában közreműködő szervezetek szerződéses kötelemként kell teljesítsék a védelemhez szükséges kiberbiztonsági követelményeket
  5. gondoskodnia kell az észlelt kiberfenyegetés, incidensközeli helyzet vagy incidens bekövetkezésekor a gyors és hatékony reagálásról, az illetékes kiberbiztonsági incidenskezelő központnak való bejelentésről, az incidensek kezeléséről, helyreállításról.
  6. tájékoztatnia kell az érintetteket az incidensekről és a lehetséges fenyegetésekről
  7. gondoskodnia kell a kiberbiztonsági hatóság és az illetékes kiberbiztonsági incidenskezelő központ ajánlásainak, iránymutatásaink figyelembevételéről
  8. törekednie kell a feladatok legrövidebb időn belüli végrehajtására
  9. együttműködik a hatóságokkal: gondoskodik az adatok, dokumentumok és ezek változásainak 15 napon belül történő megküldéséről a hatóság részére, biztosítja az ellenőrzés lefolytatásához szükséges feltételeket.

(Forrás: Kibervédelmi tv.)

Együttműködő partnerek, beszállítók, szolgáltatók nyilvántartása

Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a fenti követelményeknek a közreműködő (partner, beszállító, szolgáltató stb.) esetében is teljesülniük kell.
Lásd: 2024. évi LXIX. törvény II. fejezet

A szervezet köteles az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában, valamint az oktatásban nyilvántartást vezetni.

Kiberbiztonsági tanúsítás

Egyes követelményeknek való megfelelés igazolására – ha rendelkezésre áll – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.
Forrás: Kiberbiztonsági tv. 6. § (8)

A tanúsítási tevékenység célja az, hogy az állampolgárok és a vállalkozások által megvásárolható, igénybe vehető infokommunikációs eszközök és szolgáltatások esetében garantálni lehessen a kiberbiztonság folyamatosan fejlődő követelményeinek való megfelelést. A tanúsítványban foglalt információk birtokában a fogyasztó szabadon eldöntheti, hogy milyen erős kiberbiztonsági képességgel bíró terméket kíván megvásárolni és használni a jövőben.

Az információs és kommunikációs technológiák kiberbiztonsági tanúsításának folyamatát a 10/2023. (V.15.) SZTFH rendelet szabályozza.

A hazai tanúsító hatóság a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH), amely a kiberbiztonsági tanúsítási felügyeleti tevékenysége keretében végzi a termékek nyilvántartásba vételét, a tanúsítvány kiadását és a nyilvántartás vezetését. A kiberbiztonsági tanúsításra megfelelőségértékelő szervezetek jogosultak. A megfelelőségi önértékelés, valamint a kiberbiztonsági tanúsítás önkéntes, kivéve, ha uniós vagy magyar jogszabály eltérően rendelkezik.

Az elektronikus információs rendszer biztonságáért felelős személy. NKI nyilvántartás

A szervezet vezetője köteles az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül az elektronikus információs rendszer biztonságáért felelős személyt kijelölni vagy a szervezeten kívüli személlyel megállapodást kötni.

A megállapodás kötelező tartalmi elemei a 418/2024 (XII.23.) kormányrendelet szerint

  • a) a szerződő felek azonosítására alkalmas adatok,
  • b) az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátó természetes személy azonosítására alkalmas adatok,
  • c) a megbízás tárgya,
  • d) a felek jogai és kötelezettségei a hatályos jogszabályokban foglaltaknak megfelelően.

Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak cselekvőképes, büntetlen előéletű személy végezheti.

Kötelezettek köre:

A Kiberbiztonsági tv. 1. § (1) bekezdés a)–c) pontja szerinti szervezet

  • a. közigazgatási ágazathoz tartozó szervezetekre (1. sz. melléklet)
  • b. a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket,
  • c. a 23. § (1) bekezdés a) pontja szerinti NKI vagy a 23. § (2) bekezdése szerinti honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított, az a), b) és d)–f) pont, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá nem tartozó szervezetekre.

A szervezet vezetője biztosítja, hogy az elektronikus információs rendszer biztonságáért felelős személy

  • valamennyi, az elektronikus információs rendszerek védelmét érintő döntés előkészítésében részt vegyen;
  • rendelkezésére álljanak az elektronikus információs rendszer védelmének biztosításához szükséges feltételek, jogosultságok, információk, humán- és anyagi erőforrások;
  • hozzáférjen mindazon rendszerekhez, adatokhoz és információkhoz, amelyek az általa ellátandó feladatok végrehajtásához szükségesek és
  • ha a szervezeten belül került kijelölésre, a szakmai ismereteinek fenntartásához szükséges, az informatikáért felelős miniszter rendeletében meghatározott képzéseken, továbbképzéseken részt vegyen.

Az elektronikus információs rendszer biztonságáért felelős személyt titoktartási kötelezettség terheli.

Indokolt esetben a szervezet kijelölhet vagy megbízhat az elektronikus információs rendszer biztonságáért felelős személy helyettesítésére jogosult személyt, aki az elektronikus információs rendszer biztonságáért felelős személy tartós távolléte vagy akadályoztatása esetén ellátja az elektronikus információs rendszer biztonságáért felelős személy feladatait.

A NKI nyilvántartást vezet az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas személyekről. A kérelmek, illetve kitöltési útmutatók az NKI honlapján a hatályos ügyfajták menüpont alatt találhatók meg.

1. Adatok bejelentése: Az elektronikus információs rendszer biztonságáért felelős személy adatainak bejelentésre irányuló kérelem.

A bejelentés magában foglalja a vonatkozó munka-, megbízási szerződés vagy más megállapodás másolatának hatóság számára történő megküldését olyan módon, hogy abból csak a hatóság számára releváns, a feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A megállapodáshoz csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat, vagy nyilatkozat másolatát.

A felsőfokú végzettség, szakképzettség, szakmai tapasztalat tekintetében a részleteket a KÉRELEM nyomtatvány tartalmazza.

Az érintett szervezet vezetője köteles az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó bejelentést a Kiberbiztonsági tv. hatálya alá kerülését követő 30 napon belül megtenni.

2. Névjegyzékbe felvétel kérése: Az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátására alkalmas személyek névjegyzékbe történő felvétele

A nyilvántartás célja, hogy a benne szereplő személyek közül a szervezetek a feladat ellátására alkalmas elektronikus információs rendszer biztonságáért felelős személyt választhassanak. Az elektronikus információs rendszer biztonságáért felelős személyek nyilvántartásába kerülés, illetve az onnan való törlés rendjét külön kormányrendelet határozza meg.

A felsőfokú végzettség, szakképzettség, szakmai tapasztalat tekintetében a részleteket a KÉRELEM nyomtatvány tartalmazza.

A NKI hatósági ellenőrzés keretében vizsgálja, hogy az elektronikus információs rendszer biztonságáért felelős személy megfelel-e a büntetlen előéletre irányuló követelménynek. Ennek megállapítása érdekében adatot igényelhet a bűnügyi nyilvántartási rendszerből.

Az elektronikus információs rendszer biztonságáért felelős személyfeladatköréről a 418/2024 (XII.23.) kormányrendelet rendelkezik. Az elektronikus információs rendszer biztonságáért felelős személy

  • a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,
  • b) gondoskodik a kockázatkezelési keretrendszer szerinti tevékenységek tervezéséről, szervezéséről, koordinálásáról, elvégzéséről és ellenőrzéséről,
  • c) előkészíti és a szervezet vezetőjének jóváhagyását követően megküldi a NKI részére a szervezet információbiztonsági szabályzatát,
  • d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását,
  • e) előkészíti és a szervezet vezetőjének egyetértésével kezdeményezi a NKI-nál a szervezet elektronikus információs rendszereivel kapcsolatos engedélyezési eljárásokat,
  • f) megtartja vagy megszervezi a továbbképzésre kötelezett személyek részére jogszabályban előírt továbbképzéseket,
  • g) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet elektronikus információbiztonságot érintő szabályzatait és szerződéseit,
  • h) folyamatos és tervezett ellenőrzéseket végez annak vizsgálatára, hogy a szervezet elektronikus információbiztonságra vonatkozó belső normáiban lévő előírások hogyan valósulnak meg, ennek megállapításait írásban rögzíti a szervezet vezetője számára,
  • i) felülvizsgálja, hogy a szervezet elektronikus információbiztonságot érintő belső szabályzatai összhangban vannak-e a hatályos jogszabályokkal és a szervezet belső szabályozóival,
  • j) az ellenőrzések és az esetleges incidensek tapasztalatai felhasználásával biztonsági helyzetértékelést készít a szervezet vezetője számára,
  • k) legalább évente megvizsgálja az intézkedési tervet és beszámolót készít a szervezet vezetője számára az előrehaladásról, amiben kiemeli az esetleges lemaradásokat és a rövidtávon szükséges intézkedéseket,
  • l) kapcsolatot tart a NKI-val és a kiberbiztonsági incidenskezelő központtal,
  • m) a szervezet bármely elektronikus információs rendszerét érintő incidensről tájékoztatja e rendeletben meghatározott szervet,
  • n) együttműködik a Kszetv. szerinti kritikus szervezet ellenálló képességéért felelős vezetővel, valamint a Vbö. szerinti ellenálló képességért felelős vezetővel.

Ha az elektronikus információs rendszer biztonságáért felelős személy feladatait a szervezeten kívüli személy végzi, feladatait alapvető szervezeteknél legalább kéthavonta egy napon, fontos szervezeteknél legalább háromhavonta egy napon – dokumentált módon – az érintett szervezetnél való fizikai jelenlét mellett köteles ellátni.

Egyéb törvényi kötelezettségek

1. Nem Magyarországon bejegyzett szervezetek számára

A Kibervédelmi törvény hatálya alá tartozó elektronikus információs rendszert működtető, nem Magyarországon bejegyzett szervezetnek Magyarország területén működő képviselőt kell írásban kijelölnie, aki az e törvényben foglaltak végrehajtásáért a szervezet vezetőjére vonatkozó szabályok szerint felel. A képviselő kijelölése nem érinti a szervezet, illetve a szervezet vezetőjének felelősségét.
Forrás: 2024. évi LXIX. törvény II. fejezet

2. A törvény hatálya alá került vagy a hatóság által a törvény hatálya alá vont szervezetek kötelezettségei és intézkedési határideje

  • 30 napon belül köteles a hatóság részére bejelenteni a kért adatokat (28. § (1) bekezdés1. pont a)–e) és j)
  • 30 napon belül bejelenti az NKH felé az elektronikus információs rendszer biztonságáért felelős személy adatait
  • 90 napon belül felméri a szervezet által használt elektronikus információs rendszereket
  • 120 napon belül – ha releváns – köteles elvégezni az adatosztályozást
  • 180 napon belül megküldi az NKH felé a szervezet információbiztonsági szabályzatát
  • 180 napon belül a kockázatmenedzsment keretrendszer létrehozatalával együttesen elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását és megküldi az NKH-nak a Kormány rendeletben előírt bejelentőt

Hatályba kerülés időpontja:

  • új szervezet esetében a létesítés időpontja
  • a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvényben foglalt, a középvállalkozásokra vonatkozó méretkorlátok elérése esetében a bekövetkezést követő év
  • a hatály alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésének napja.

Forrás: 2024. évi LXIX. törvény II. fejezet