Miről szól a kiberbiztonsági törvény és miért fontos?
A kiberbiztonsági törvény az Európai Bizottság által kiadott NIS 2 irányelvre (Network and Information Systems Directive 2) reflektáló törvény. Célja a kritikus infrastruktúra védelme a kibertámadásoktól, amiknek sérülése társadalmi és ellátásbeli zavarokat eredményezne. (Ezek a támadások akár egy egész országrész áramkimaradásához, vagy a mentőszolgálat kommunikációs hálózatának megszűnéséhez is vezethetnek.)
A kibertámadások listáján kiemelt helyen szerepelnek a zsarolóprogramok és a káros kódok illetve kémprogramok, de gyakoriak a túlterheléses támadások is. Ezek kiegészültek az adathalász támadásokkal és az úgynevezett APT (Advanced Persistent Threat) csoportokkal, akik hosszú távon indítanak célzott támadásokat a nagyobb szervezetek, ellátási láncok és államok ellen.
Ezek a megváltozott fenyegetések új megoldásokat igényelnek, mint amire 8-10 éve szükség volt. A hatékony védelemhez viszont megfelelő felkészültségre és új szabályokra volt szükség. Ezeket foglalja magába NIS2.
Az új irányelv viszont nem ad törvényi iránymutatást, erre a tagállamoknak kell jogszabályt alkotni. Erre reagálva készült el a magyar kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertan.tv.)
Az új törvény előírja, hogy NIS2 irányelv hatálya alá tartozó szervezetek kötelesek nyilvántartásba vetetniük magukat legkésőbb 2024. június 30-ig, majd felkészülniük az első kiberbiztonsági auditra 2025. december 31-ig.
Kiknek kell nyilvántartásba vetetniük magukat?
Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) összefoglalta, kikre vonatkozik a törvény és hogyan tudják ezt megállapítani. Erről weboldalukon és a törvény mellékletében olvasható részletes leírás.
Érintett szervezet, aki:
Mikro- vagy Kisvállalkozás és az alábbi tevékenységet végzi (vagy abban érintett):
elektronikus hírközlési szolgáltató
bizalmi szolgáltató
DNS-szolgáltatást nyújtó szolgáltató
legfelső szintű domainnév-nyilvántartó
domainnév-regisztrációt végző szolgáltató
Közép- vagy nagy vállalat (50 főnél több munkavállaló vagy 10 Millió Euró feletti éves árbevétel) és:
Élelmiszer előállítása, feldolgozása és forgalmazása (az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás)
Hulladékgazdálkodás
Vegyszerek előállítása és forgalmazása
Gyártás
Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása
Számítógép, elektronikai, optikai termék gyártása
Villamos berendezések gyártása
Máshova nem sorolt gépek és berendezések gyártása
Gépjárművek, pótkocsik és félpótkocsik gyártása
Egyéb szállítóeszközök gyártása
Cement-, mész-, gipszgyártás
Digitális szolgáltatók
Kutatás (kutatóhely)
Bizonytalanság az önazonosítás terén
Jelenleg nincs hivatalos TEÁOR szám lista, kikre vonatkozik a törvény, csupán az érintett ágazatok felsorolása olvasható a mellékletekben.
Bizonytalanság esetén érdemes beadni a kérelmet, ugyanis az elbírálás során elutasító választ kapnak azok, akikre nem vonatkozik a törvény. Ezzel megelőzhetőek a későbbi szankciók és bírságok, mert bevallási szándék teljesült.
Legfontosabb feladatok
Az érintett szervezeteknek 2024. június 30-ig nyilvántartásba kell vetetniük magukat, amihez először az SZTFH tájékoztatójában szereplő teendőket kell elvégezniük:
Vezető tájékoztatása
Személy szerint ő a felelős, mely nem átruházható.
A jogszabályokból fakadó pénzügyi érintettséget és a feladatok meghatározásához érdemes lehet külső tanácsadót bevonni.
Elektronikus információs rendszerek biztonságáért felelős személy kijelölése
A feladatkör ellátására nincsenek megszabva feltételek, akár külsős megbízott is elláthatja. Javasolt azonban olyan személyt kijelölni, akinek megfelelő szakmai háttere (informatikai üzemeltetési vagy biztonsági tapasztalata) van, megbízható és elegendőerőforrás áll a rendelkezésére a feladat ellátásához.
Nyilvános szolgáltatások listájának összeállítása
Ide tartoznak az informatikai jellegű szolgáltatások, amelyek széles körben elérhetőek, mint például:
Weboldal
Online ügyfélszolgálat
Ügyfélportál
Műszaki adatok összeállítása
A szervezet által használt Domain nevek és a publikus, fix IP címek, melyek megadhatók:
Egyedi IP-címként
IP-tartományként (tól-ig)
Alhálózattal (/xx)
Partner adatok összeállítása
Elektronikus hírközlési szolgáltató:
Eht. 188. § 17. pont
Közvetítő szolgáltató:
Ekertv. 2. § l) pont (gyorsítótárolás, tárhelyszolgáltatás, keresőszolgáltatás, alkalmazásszolgáltató stb.)
Közreműködő:
Kibertantv. 19. § (4) bekezdés
A fentiek ismeretében indítható el a nyilvántartásba vételi kérelem, melyet az érintett szervezet cégkapujához vagy hivatali kapujához meghatalmazással rendelkező természetes személy nyújthat be.