Információbiztonsági jogszabályváltozások 2024/2025 fordulóján

A 2013-as ötvenes törvény hatályát vesztette, van a NIS 2, NKI-s XLS táblázat még a szintén hatályát vesztett 41/2015-ös BM rendelet alapján, kockázatkezelés és kockázatmenedzsment keretrendszer, öt biztonsági osztály helyett most alap/jelentős/magas osztályok, van ugyan 7/2024-es MK rendelet a metodikáról, de van EU-s rendelet is ugyanerről, ami rendelet, tehát teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Mi van??

Első lépésként némi tisztázás, felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A 2024-es év végén és a 2025-ös év elején néhány olyan információbiztonságot érintő jogszabály módosult, ami egyaránt érinti a 2013 L. törvény által érintett szervezeteket, és a NIS 2 által érintett szervezeteket is.

Az alábbiakban megpróbáljuk megfeleltetni a hatályát vesztett jogszabályokat, és melléjük rendelni azokat a hatályos jogszabályokat, amelyek nagyjából hasonló funkciókat, előírásokat tartalmaznak. Az alábbi gyűjtés nem teljeskörű (pl. ágazati jogszabályok is lehetnek) és a megfeleltetés sem lehet teljesen pontos.

Hatályát vesztett jogszabály HatályosHelyetteHatályos
2013. évi L. törvényaz állami és önkormányzati szervek elektronikus információbiztonságáról2024. dec. 31.-ig2024. évi LXIX. törvényMagyarország kiberbiztonságáról2025. jan. 3 –
41/2015. BM rendelet  az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről2024. dec. 31.-ig7/2024 MK rendelet,   valamint a 418/2024. Korm. rendeleta biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről   valamint Magyarország kiberbiztonságáról szóló törvény végrehajtásáról2025. jan. 2 – (első kiadás: 2024 jún. 25.)   2025. jan. 9 –  
187/2015. Korm. rendeletaz elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről továbbá a zárt célú elektronikus információs rendszerek meghatározásáról2024. dec. 31.-ig2024. évi LXIX. törvényMagyarország kiberbiztonságáról,2025. jan. 3 –  
2023. évi XXIII. törvénya kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről2024. dec. 31.-ig2024. évi LXIX. törvény,   valamint a 418/2024. Korm. rendeletMagyarország kiberbiztonságáról, valamint Magyarország kiberbiztonságáról szóló törvény végrehajtásáról2025. jan. 3 –   2025. jan. 9 –  
2012. évi CLXVI. törvénya létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről2025. jan. 1-ig2024. évi LXXXIV. törvénya kritikus szervezetek ellenálló képességéről2024.dec. 30 –
65/2013. Korm. rendeleta létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról2024. dec. 31.-ig474/2024. Korm. rendeleta kritikus szervezetek ellenálló képességéről szóló törvény végrehajtásáról2025.jan. 16 –

Maradt a 26/2013 KIM_rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról, de még a 2013 L. törvényre hivatkozik.

A fenti átalakulásokra, mozgásokra néhány példa:

  • A 2023. évi XXIII. törvényben szereplő melléklet a „Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről és a „Kockázatos ágazatokban működő szolgáltatók és szervezetek”-ről, minimális módosítással átkerült a 2024. évi LXIX. törvény mellékletei közé.
  • A 41/2015-ös BM rendeletben szereplő (hatályát vesztett) metodika az elektronikus információs rendszerek biztonsági osztályba és szintbe sorolásáról teljesen átalakult, a mai kornak megfelelő lett, és a 7/2024 MK rendelet részletezi „Védelmi intézkedések katalógusa” néven.
  • Az „elektronikus információs rendszer biztonságáért felelős személy” (IBF) fogalma, leírása, felelősségei, módosult és átkerült a 2013. évi L. törvényből a 2024. évi LXIX. törvénybe és a 418/2024-es Kormányrendeletbe.
  • Teljesen új elemként jelent meg például a 418/2024-es Kormányrendeletben az „Az adatosztályozás végrehajtásához irányadó szempontok”.

A blog írásának pillanatában ugyan a hatóság oldalán még elérhetők a megszűnt 41/2015-ös BM rendelet alapján készült űrlapok (pl. a híres XLS táblázatok), de már elérhetők a 7/2024-es rendelethez kapcsolódó igen hasznos és jó útmutatók is.

A jogszabályoknál fontos megemlíteni, mivel gyakran kimarad a NIS2 témáknál az Európai Bizottság 2024/2690 végrehajtási rendeletét, (2024. október 17.) „az (EU) 2022/2555 irányelvnek a kiberbiztonsági kockázatkezelési intézkedések technikai és módszertani követelményei, valamint a DNS-szolgáltatók, a legfelső szintű doménnév-nyilvántartók, a felhőszolgáltatók, az adatközpont-szolgáltatók, a tartalomszolgáltató hálózati szolgáltatók, az irányított szolgáltatók, az irányított biztonsági szolgáltatók, az online piacterek, online keresőprogramok vagy közösségimédia-szolgáltatási platformok szolgáltatói és a bizalmi szolgáltatók tekintetében jelentősnek minősülő biztonsági események eseteinek további pontosítása tekintetében történő alkalmazására vonatkozó szabályok megállapításáról”.

Ez azért fontos, mert:

  1. EU rendelet, tehát „teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban”.
  2. Másrészt a 7/2024-es MK rendelethez hasonlóan szintén tartalmaz technikai és módszertani követelményeket!

A 7/2024. MK rendelet és az Európai Unió 2024/2690 végrehajtási rendelete a kiberbiztonság területén szabályozzák az elektronikus információs rendszerek biztonságát, de különböző szinteken és hatáskörökkel.

7/2024. (VI. 24.) MK rendelet:

  • Célja: A 2024. évi LXIX. törvény hatálya alá tartozó szervezetek elektronikus információs rendszereinek biztonsági osztályba sorolásának és az egyes osztályokhoz tartozó konkrét védelmi intézkedések meghatározása.
  • Hatálya: Magyarország területén szervezetekre vonatkozik.
  • Főbb rendelkezések:
    • Az elektronikus információs rendszerek biztonsági osztályba sorolása meghatározott szempontok alapján.
    • Az egyes biztonsági osztályokhoz rendelt védelmi intézkedések leírása.
    • A kockázatelemzés és kockázatkezelés vázlatos szabályai.

Európai Unió 2024/2690 végrehajtási rendelet:

  • Célja: Az Uniós szintű kiberbiztonsági szabályozás részletes szabályainak meghatározása, különösen a NIS 2 irányelv végrehajtása érdekében.
  • Hatálya: Az Európai Unió tagállamaiban működő szervezetekre vonatkozik, beleértve a kritikus infrastruktúrákat és szolgáltatókat.
  • Főbb rendelkezések:
    • A jelentős biztonsági események bejelentésének és kezelésének szabályai.
    • A kockázatkezelési és biztonsági intézkedések részletes előírásai.
    • A nemzeti hatóságok és az ENISA közötti együttműködés szabályai.

A két rendelet tehát kiegészíti egymást: a 7/2024-es MK rendelet a nemzeti szintű biztonsági osztályba sorolást és védelmi intézkedéseket szabályozza, míg a 2024/2690-es EU-s végrehajtási rendelet az Uniós szintű kiberbiztonsági események kezelésére és a nemzeti hatóságok közötti együttműködésre összpontosít.