A kiberbiztonsági törvény kikre vonatkozik és néhány határidő

ket_jogszabaly.pngElső lépésként a szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

Mint azt már egyik előző bejegyzésben érintettük, az elmúlt időszak információbiztonsággal kapcsolatos hazai jogszabályváltozásai alkalmával született 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, több jogszabály „összegyúrásával” jött létre. Pontosabban, a jogalkotó szándéka az volt, hogy egy törvény vonatkozzon az információs társadalmát érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklésére és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítására.

Azaz, a 2013. évi L. törvényben ide sorolt szervezetekre, és a NIS 2 rendelet honosítására/átültetésére készült 2023. évi XXIII. törvényben definiált szolgáltatókra és szervezetekre.

A 2024. évi LXIX. törvény első fejezete elég hosszasan és részletesen fejtegeti a törvény hatályát, itt most megpróbáljuk ezt egy picit tömöríteni:

  1. Közigazgatási ágazathoz tartozó szervezetek
    • a központi államigazgatási szerv, a Kormány kivételével,
    • a Sándor-palota,
    • az Országgyűlés Hivatala,
    • az Alkotmánybíróság Hivatala,
    • az Országos Bírósági Hivatal és a bíróságok,
    • az ügyészségek,
    • az Alapvető Jogok Biztosának Hivatala,
    • az Állami Számvevőszék,
    • a Magyar Nemzeti Bank,
    • a Magyar Honvédség,
    • a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
    • a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
    • a települések képviselő-testületének hivatalai,
    • a központi szolgáltató,
    • a központi rendszer felett rendelkezési jogot gyakorló szervezet.
  2. A kritikus szervezetek ellenálló képességéről szóló törvény alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák, valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák, az előző pont szerinti minősülése az irányadó.
  3. Többségi állami befolyás alatt álló gazdálkodó szervezetek, amelyek meghaladják a középvállalkozásokra* vonatkozó küszöbértékeket,
  4. Alapvető vagy fontos szervezetek (nemzeti kiberbiztonsági hatóság, vagy a honvédelmi kiberbiztonsági hatóság által azonosítva)
  5. Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 2. mellékletében felsorolva, (energetika, közlekedés, egészségügy, ivóvíz, szennyvíz, hírközlési szolgáltatás, digitális infrastruktúra, kihelyezett IKT szolgáltatások, űralapú szolgáltatás)
  6. Kockázatos ágazatokban működő szolgáltatók és szervezetek amelyek legalább középvállalkozásoknak* minősülnek, vagy meghaladják annak küszöbértékét, (a törvény 3. mellékletében felsorolva, (postai és futárszolgálatok, élelmiszer előállítása, feldolgozása és forgalmazása, hulladékgazdálkodás, vegyszerek előállítása és forgalmazása, orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógép, elektronikai, optikai termék gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, cement-, mész-, gipszgyártás, digitális szolgáltatók (pl: online-piactér szolgáltató/webshop), kutatás)
  7. Méretüktől függetlenül az előző két pontban felsorolt szervezetekre, ha a szervezet
    • elektronikus hírközlési szolgáltató,
    • bizalmi szolgáltató,
    • DNS-szolgáltató,
    • legfelső szintű doménnév-nyilvántartó vagy
    • doménnév-regisztrációt végző szolgáltató, valamint
    • a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.

* A középvállalkozásokra vonatkozó kérdésben a Kkvtv. (2004. évi XXXIV. törvény) az irányadó: „3.§ (2) A KKV kategórián belül kisvállalkozásnak minősül az a vállalkozás, amelynek a) összes foglalkoztatotti létszáma 50 főnél kevesebb, és b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió eurónak megfelelő forintösszeg.”

Tehát pl. a 2013. évi L. törvényben felsorolt szervezetek nagyjából megegyeznek a fenti 1. pontban felsorolt szervezetekkel, némi apró módosítással:

2013 L. törvény megfogalmazása:

  • a fővárosi és vármegyei kormányhivatalokra,
  • a helyi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,
  1. évi LXIX. törvény megfogalmazása:
  • a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai,
  • a megyei jogú városok és a fővárosi kerületi önkormányzatok képviselő-testületének hivatalai,
  • a települések képviselő-testületének hivatalai,

Valamint két új kategória, amelyek nem szerepeltek a 2013 L. törvényben:

  • a központi szolgáltató,
  • a központi rendszer felett rendelkezési jogot gyakorló szervezet.

Az, hogy egy adott szervezet a jogszabály hatálya alá tartozik-e vagy sem, azt minden szervezetnek magának kell eldöntenie. A kijelölt hatóságok ebben természetesen tudnak segíteni, az SZTFH oldalán például van egy rövid segédanyag is erről.

Természetesen, aki a 2013. évi L. törvény szerint már szerepelt a hatósági nyilvántartásban, annak a már bejelentett adatokat nem kell ismételten bejelenteni, azokat a nemzeti kiberbiztonsági hatóság a meglévő nyilvántartás részeként kezeli.

Tehát nem kell bejelenteni a szervezetet, az elektronikus információs rendszer biztonságáért felelős személy adatait, nem kell beküldeni ismét pl. az információbiztonsági szabályzatot. DE: eddig nem volt előírva, így bejelentve sem, például az adatosztályozás, vagy „a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolása”. Ezekre viszont vannak határidők.

  1. §,(4) d) „…az e törvény hatálya alá kerülését követő…d) 120 napon belül – ha releváns – elvégzi a 9. § szerinti adatosztályozást,”
  2. §,(4) f) „180 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását
  3. „85.§ (1) Ha az 1. § (1) bekezdés a) pontja szerinti szervezet, … e törvény hatálybalépését megelőzően az Ibtv. hatálya alá tartozott, és már teljesítette az elektronikus információs rendszerei biztonsági osztályához ott előírt követelményeket, az informatikáért felelős miniszter rendeletében előírt új védelmi intézkedések kivitelezésére e törvény hatálybalépésétől számított 1 év áll rendelkezésére.”

A fenti pontok alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja „a hatály alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésének napja”.

A 2024. évi LXIX. törvény 2025 január 3.-tól hatályos.

Voltak „suttogások”, félinformációk, pletykák az audit határidő változásáról is, de a jogszabályban publikált dátum nem változott: a NIS 2 -re kötelezett (alapvetően a törvény 2. és 3. melléklet szerinti szervezet, amely 2025. január 1-je előtt megkezdte működését), az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni (89.§, (2) pont).

www.nuce.hu

Címkék: Felkészülés, Információbiztonság, Kiberbiztonság, NIS2, NIS 2, ITSec