Kiberbiztonsági audit, hatósági ellenőrzés

Kiberbiztonsági audit
Hatósági ellenőrzés

Kiberbiztonsági audit

2024. évi LXIX. törvény előírja, hogy kiemelten kockázatos és kockázatos ágazatokban működő szolgáltatók és szervezetek (Forrás 2-3. számú mellékletek) kötelesek a kiberbiztonsági követelményeknek való megfelelés bizonyítására kétévente, illetve az illetékes kiberbiztonsági hatóság általi elrendelés esetén kiberbiztonsági auditot végeztetni.

A szervezet köteles

  • a nyilvántartásba vételét követő 120 napon belül a kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő auditorral megállapodást kötni, és
  • a kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.

A honvédelmi célú elektronikus információs rendszerek tekintetében kiberbiztonsági audit nem végezhető.

2024. évi LXIX. törvény szabályozza, hogy a megfelelőség ellenőrzésére jogosult auditor mely vizsgálatokat végezheti:

  • a) belső informatikai biztonsági és távoli sérülékenységvizsgálatot, valamint „jelentős” vagy „magas” biztonsági osztály esetén behatolásvizsgálatot,
  • b) kriptográfiai megfelelőségvizsgálatot, valamint
  • c) „jelentős” vagy „magas” biztonsági osztály esetén a kritikus biztonsági funkciókat végző egyedileg fejlesztett szoftverek biztonsági forráskódvizsgálatát.

Az audit eredményét az auditor az SZTFH és a szervezet részére az audit befejezését követően haladéktalanul megküldi.

Az auditor írásban haladéktalanul tájékoztatja az SZTFH-t, ha a szervezet elektronikus információs rendszerével kapcsolatosan olyan tényt állapít meg, amely

  • a) a szervezet folyamatos működését súlyosan veszélyezteti, vagy
  • b) bűncselekmény elkövetésére, jogszabály megsértésére, a szervezet belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.

Forrás: SZTFH

Hatósági ellenőrzés

A 418/2024. (XII. 23) Kormányrendelet 18. pontja tartalmazza a hatósági ellenőrzés általános szabályait. A NKI ellenőrzése két eljárás alapján indul:

  • a) az éves ellenőrzési terv alapján, vagy
  • b) soron kívül, ha azt jelentős kiberbiztonsági incidens bekövetkezése, annak veszélye, vagy a jogszabályi követelményeknek a szervezet általi megsértése indokolja, továbbá olyan tény, körülmény jut a tudomására, amely azt indokolttá teszi.

A hatóság az ellenőrzés megkezdése előtt 10 nappal értesíti az érintett szervezet vezetőjét, elektronikus úton.

Az értesítés tartalmazza az ellenőrzés célját, tárgyát, az elrendelésre okot adó körülményeket, az elrendelést megalapozó jogszabályhelyek megjelölését, az ellenőrzés várható időtartamát és az ellenőrzés módját.

Az értesítés mellőzhető, ha

  • a) súlyos fenyegetettség áll fenn,
  • b) jelentős kiberbiztonsági incidens történt, vagy bekövetkezése valószínűsíthető, vagy
  • c) az érintett szervezet a rendelkezésre álló adatok alapján az ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.

A NKI az ellenőrzést ellátó munkatársa részére megbízólevelet állít ki. A hatósági ellenőr jogosult

  • a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
  • b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani,
  • c) az ellenőrzés során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint
  • d) információtechnológiai műszaki vizsgálatokat végezni, az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.

Az ellenőrzéssel érintett szervezet vezetője, munkatársai, alkalmazottjai, illetve szerződéses jogviszony alapján az elektronikus információs rendszer biztonságáért felelős személy is köteles a NKI-vel együttműködni.

Az elektronikus információs rendszer biztonságáért felelős személy köteles az ellenőrzésen részt venni.

A szervezet köteles a nemzeti kiberbiztonsági hatóság által benyújtani kért dokumentumokat rendezett, átlátható formában átadni.

Az ellenőrzésről a nemzeti kiberbiztonsági hatóság jegyzőkönyvet készít, amelyet az ellenőrzés lezárását követő 15 napon belül írásban észrevételezésre megküld a szervezetnek. A szervezet azzal kapcsolatban 15 napon belül írásban tehet észrevételeket. Az észrevételek tisztázása érdekében a NKI egyeztetést kezdeményezhet a szervezettel.
Forrás: 418/2024. (XII. 23) Kormányrendelet

Jogkövetkezmények

A NKI - megfelelő határidő kitűzése mellett - először felszólítja a szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértése megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, valamint az elvárt intézkedés megtételére.

A NKI azonnali intézkedések megtételére kötelezheti az érintett szervezetet akkor, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos kiberbiztonsági incidens bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé.

A NKI a jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe:

  • a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett védelmi követelmény súlyát,
  • b) a jogsértés időtartamát,
  • c) történt-e jelentős kiberbiztonsági incidens vagy nagyszabású kiberbiztonsági incidens, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,
  • d) az incidens hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre,
  • e) az okozott bármely vagyoni vagy nem vagyoni kárt, beleértve bármely pénzügyi vagy gazdasági veszteséget, az egyéb szolgáltatásokra gyakorolt hatásokat és az érintett felhasználók számát,
  • f) az esemény egyedi, vagy ismételt jellegét,
  • g) az érintett szervezet által korábban elkövetett releváns jogsértéseket,
  • h) a jogsértés elkövetőjének bármely szándékosságát vagy gondatlanságát,
  • i) az érintett szervezet magatartását, a szervezet által a vagyoni vagy nem vagyoni kár megelőzésére vagy mérséklésére tett bármely intézkedést,
  • j) a jóváhagyott magatartási kódexek vagy jóváhagyott tanúsítási mechanizmusok betartásra kerültek-e,
  • k) a felelősnek tartott természetes vagy jogi személyek illetékes hatóságokkal való együttműködésének szintjét, valamint
  • l) az alkalmazni tervezett jogkövetkezmény hatékonyságát, arányosságát és visszatartó erejét.

Súlyos jogsértésnek minősülnek:

  • a) az ismételt jogsértések;
  • b) a jelentős események bejelentésének vagy orvoslásának elmaradása;
  • c) a hiányosságok orvoslásának elmaradása az illetékes hatóságok kötelező erejű utasításait követően;
  • d) a jogsértés megállapítását követően az illetékes hatóság által elrendelt ellenőrzések vagy ellenőrzési tevékenységek akadályozása;
  • e) a hamis vagy súlyosan pontatlan információk közlése.

Forrás: 418/2024. (XII. 23) Kormányrendelet

Kiberbiztonsági bírság

A kiszabható bírság legmagasabb összege:

  • a) ha a szervezet alapvető szervezetnek minősül 10 millió eurónak megfelelő forintösszeg vagy, ha ez magasabb a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg,
  • b) ha a szervezet fontos szervezetnek minősül 7 millió eurónak megfelelő forintösszeg vagy, ha ez magasabb a szervezet előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő összeg.

Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a NKI 15 millió forintig terjedő bírsággal sújthatja, illetve ismételt jogsértés esetén sújtja.
Forrás: 418/2024. (XII. 23) Kormányrendelet