Első lépésként a szokásos felelősségkizárás:
A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.
Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre.
Most a kapcsolódó fontosabb (tényleg csak a fontosabb!) feladatokat és határidőket próbáljuk meg az alábbiakban dióhéjban (in nuce) áttekinteni.
Kire vonatkozik | Jogforrás | Feladat | Határidő |
Többségi állami befolyás alatt álló azon gazdálkodó szervezet, amely meghaladja a középvállalkozásokra vonatkozó küszöbértékeket, és amely egyúttal a 2. és 3. melléklet szerinti szervezet is, valamint a 2. és 3. melléklet szerinti szervezetekre („Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek”, és „Kockázatos ágazatokban működő szolgáltatók és szervezetek”), a mikrovállalkozások kivételével méretüktől függetlenül a 2. és 3. melléklet szerinti szervezetekre, ha a szervezet ea) elektronikus hírközlési szolgáltató, eb) bizalmi szolgáltató, ec) DNS-szolgáltató, ed) legfelső szintű doménnév-nyilvántartó vagy ee) doménnév-regisztrációt végző szolgáltató, | |||
2024. évi LXIX. törvény, 8.§ (5) | Az SZTFH részére megküldeni a szervezet azonosításához szükséges adatokat,ha a szervezet nem az Európai Unióban letelepedett szervezet, de Magyarországon belül kínál szolgáltatásokat és magyarországi letelepedett képviselőt jelöl ki, a képviselő nevét vagy cégnevét, levelezési címét, telefonszámát és elektronikus levelezési címét,az elektronikus információs rendszer biztonságáért felelős személy természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét,azon európai uniós tagállamok listáját, amelyben a szervezet szolgáltatásokat nyújt,az SZTFH elnökének rendeletében előírt további, személyes adatnak nem minősülő adatokat. | A működése megkezdését követően vagy az e törvény hatálya alá kerülést követő 30 napon belül. | |
2024. évi LXIX. törvény, 16.§ (2) | Az első kiberbiztonsági audit elvégzésére az SZTFH nyilvántartásában szereplő auditorral megállapodást kötni. | A nyilvántartásba vételt követő 120 napon belül. | |
2024. évi LXIX. törvény, 89.§ (2) | Első kiberbiztonsági audit elvégzése. | 2025. december 31., majd utána kétévente. | |
Az aszervezet, amely 2024. december 31. napján az SZTFH által a vezetett nyilvántartásban érintett szervezetként szerepelt. | 2024. évi LXIX. törvény, 89.§ (1) | SZTFH felé bejelenteni azon európai uniós tagállamok listáját, amelyben a szervezet szolgáltatásokat nyújt. | 2025. február 15. |
a) a közigazgatási ágazathoz tartozó szervezetek, b) a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket, c) az alapvető vagy fontos szervezetként azonosított szervezetek | |||
2024. évi LXIX. törvény, 8.§ (4) a) | HA még nem történt meg, bejelenteni a nemzeti kiberbiztonsági hatóság részére a a) a szervezet azonosításához szükséges adatokat, b) a szervezet elérhetőségeit, ideértve elektronikus elérhetőségeket, valamint a szervezet által használt nyilvános IP-címeket vagy IP-tartományokat, valamint az 1. melléklet szerinti szervezetek kivételével a szervezet székhelyét, telephelyét, fióktelepét, c) a szervezet alapvető vagy fontos szervezetnek minősülését, d) a 2. és 3. melléklet szerinti ágazatba, alágazatba, szervezettípusba tartozását, e) ha releváns, azon európai uniós tagállamok listáját, amelyben a szervezet szolgáltatásokat nyújt, j) nem Magyarországon bejegyzett szervezet Magyarország területén működő képviselőjének nevét vagy cégnevét, levelezési címét, telefonszámát és elektronikus levelezési címét. | Az e törvény hatálya alá kerülését követő 30 napon belül. | |
2024. évi LXIX. törvény, 8.§ (4) b) | HA még nem történt meg, bejelenti a nemzeti kiberbiztonsági hatóság részére az elektronikus információs rendszer biztonságáért felelős személy adatait. | Az e törvény hatálya alá kerülését követő 30 napon belül. | |
2024. évi LXIX. törvény, 8.§ (4) c) | HA még nem történt meg, a szervezet felméri az általa használt elektronikus információs rendszereket. | Az e törvény hatálya alá kerülését követő 90 napon belül. | |
2024. évi LXIX. törvény, 8.§ (4) d) | Ha releváns, a szervezet elvégzi az adatosztályozást. | Az e törvény hatálya alá kerülését követő 120 napon belül. | |
2024. évi LXIX. törvény, 8.§ (4) e) | HA még nem történt meg, megküldi a nemzeti kiberbiztonsági hatóság részére a szervezet információbiztonsági szabályzatát. | Az e törvény hatálya alá kerülését követő 180 napon belül. | |
2024. évi LXIX. törvény, 8.§ (4) f) | A kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását és megteszi a Kormány rendeletében meghatározott tartalmú bejelentést a nemzeti kiberbiztonsági hatóságnak. | Az e törvény hatálya alá kerülését követő 180 napon belül. | |
Eseményfüggő teendők | |||
Minden érintett szervezet | 418/2024. (XII. 23.) Korm. rendelet 4.§ (2) | Ha a szervezet vagy a kiberbiztonsági audit során az auditor az adott elektronikus információs rendszerre vonatkozó biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során hiányosságot állapít meg, akkor a szervezet intézkedési tervet készít a hiányosság megszüntetésére, amelyet jóváhagyásra benyújt a nemzeti kiberbiztonsági hatóság részére. | A kiberbiztonsági audit eredményének kézhezvételét követő 90 napon belül. |
A közigazgatási ágazathoz tartozó szervezetek, a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint meghaladják a középvállalkozásokra vonatkozó küszöbértékeket, az alapvető vagy fontos szervezetként azonosított szervezetek | 418/2024. (XII. 23.) Korm. rendelet 5.§ (1), (2) | A biztonsági osztályba sorolás felülvizsgálatának eredményét megküldi a nemzeti kiberbiztonsági hatóság részére. | A biztonsági osztályba sorolás felülvizsgálata után 15 napon belül. |
2024. évi LXIX. törvény, 6.§, 8.§ | Információbiztonsági szabályzat kiadása, majd felülvizsgálata | Legalább kétévente vagy a jogszabályban meghatározott esetekben történő felülvizsgálata | |
2024. évi LXIX. törvény, 6.§, 8.§ | Biztonsági osztályba sorolás | Legalább kétévente, vagy az elektronikus rendszer biztonságát érintő, jogszabályban meghatározott változás esetén soron kívül. | |
Az alapvető és fontos szervezetek | 2024. évi LXIX. törvény, 6.§ | A védelmi intézkedések időszakos értékelése, ennek keretében legalább kockázatelemzések, ellenőrzések, független és a kiberbiztonsági hatóság által kiadott ajánlás szerinti belső kiberbiztonsági értékelés. | Legalább kétévente, a biztonsági osztályba sorolás felülvizsgálatával egyidejűleg. |
Az alapvető szervezetek | 418/2024. (XII. 23.) Korm. rendelet 10.§ (1) | Kiberbiztonsági gyakorlat végzése. | Kétévente. |
A törvény hatálya alá tartozó szervezetek | 418/2024. (XII. 23.) Korm. rendelet 77.§ (1) | A kiberbiztonsági incidensek bejelentése | Indokolatlan késedelem nélkül és minden esetben a kiberbiztonsági incidensről való tudomásszerzéstől számított 24 órán belül egy első bejelentést, 72 órán belül egy eseménybejelentést, ezt követő egy hónapon belül zárójelentést. |