Kiberbiztonsági elvárások a vállalkozások felé
Ahogyan az élet egyre több területe elektronikus platformokra helyeződik, egyre inkább megjelennek az ezzel kapcsolatos kihívások és a felmerült problémák megoldásának szükségessége.
Az Európai Unió elvárásai szerint megalkotásra került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény annak érdekében, hogy a kibertámadásokkal szembeni védekezés alapján az IT-biztonság közös érdeke meg tudjon valósulni a civil szektorban is és a nemzetgazdasági szintű digitális fenyegetéssel szembeni védekezés tagállami szinteken a gazdasági élet szereplőinél egységesen megtörténjen. A digitális biztonsággal kapcsolatos teendők új határidőhöz közelednek és hazánkban több, mint 2500 vállalkozás számára jelentenek feladatot.
Jelen cikkünkbe összefoglaljuk az érintett kört, a fontos tennivalókat, határidőket, hogy minden vállalkozás tisztában legyen alapvető kötelezettségeivel.
Kikre alkalmazandó a szabályozás, elvárások teljesítése?
A szabályozási elvárások kizárólag azon vállalatokra vonatkoznak, akik bizonyos szektorokban végzik tevékenységüket és nem mikro- és kisvállalkozások, azaz a vállalat beszámolójában közzétett összes foglalkoztatott létszáma több mint 50 fő és a vállalat éves nettó árbevétele vagy mérlegfőösszege eléri a 10 Millió Eurónak megfelelő forintösszeget.
Érdemes tudni, hogy vállalat nem csupán jogi személy lehet, hanem minden gazdasági tevékenységet folytató jogalany, úgy mint például: egyéni vállalkozók, szövetkezetek is a kis- és középvállalkozásokról szóló törvény alapján. Az alábbi jogalkotó által kockázatosnak vagy kiemelten kockázatosnak minősített ágazatokban működő szolgáltatók és szervezetek (kiemeltük a gyakoribb tevékenységeket, a teljes felsorolás a törvény mellékleteiben itt megtalálható: https://net.jogtar.hu/jogszabaly?docid=a2300023.tv) kötelesek a kiberbiztonság kapcsán lépéseket tenni azzal, hogy 1-5. közötti tevékenységet folytatók esetében a mikro és kisvállalkozási minőségtől függetlenül minden esetben vonatkozik rájuk a törvény, a fenti kivétel esetükben nem érvényesül:
1. elektronikus hírközlési szolgáltató, 2. bizalmi szolgáltató, 3. DNS-szolgáltatást nyújtó szolgáltató, 4. legfelső szintű domain név-nyilvántartó, 5. domain név-regisztrációt végző szolgáltató, 6. energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén), 7. közlekedés (légi közlekedés, vasúti közlekedés, vízi közlekedés, közúti közlekedés, tömegközlekedés), 8. egészségügy, 9. ivóvíz, szennyvíz, 10. hírközlési szolgáltatás, 11. digitális infrastruktúra, 12. kihelyezett IKT-szolgáltatások, 13. űralapú szolgáltatás, 14. postai és futárszolgáltatások, 15. élelmiszer előállítása, feldolgozása és forgalmazása, 16. hulladékgazdálkodás, 17. vegyszerek előállítása és forgalmazása, 18. gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása, cement-, mész-, gipszgyártás), 18. digitális szolgáltatók, 19. kutatási tevékenységet folytatók.
Ezek alapján minden vállalkozásnak elemi feladata, hogy megvizsgálja tevékenységi köreit és mikro- vagy kisvállalati besorolását. Amennyiben a tevékenységi körbe van érintett feladat és már nem végzik azt, sürgősen intézkedni szükséges a NAV felé a tevékenységi körök frissítése kapcsán, mely automatikusan a cégjegyzéken is átvezetésre kerül azzal, hogy amennyiben a létesítő okirat tartalmazza a nem fő tevékenységeket is, a legközelebbi cégbírósági módosítás során az átvezetést el kell végezni az okiraton.
Mit kell tenni?
A kritikus ágazatokba tartozó vállaltoknak megfelelő és arányos technikai és szervezeti intézkedéseket kell tenniük a hálózati és elektronikus információs rendszereik, azok fizikai környezetének biztonságát fenyegető kockázatok kezelésére (NIS2 irányelvi elvárások vannak). Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
Az intézkedéseknek legalább a következőket kell tartalmazniuk:
Jelen cikkünkbe összefoglaljuk az érintett kört, a fontos tennivalókat, határidőket, hogy minden vállalkozás tisztában legyen alapvető kötelezettségeivel.
Kikre alkalmazandó a szabályozás, elvárások teljesítése?
A szabályozási elvárások kizárólag azon vállalatokra vonatkoznak, akik bizonyos szektorokban végzik tevékenységüket és nem mikro- és kisvállalkozások, azaz a vállalat beszámolójában közzétett összes foglalkoztatott létszáma több mint 50 fő és a vállalat éves nettó árbevétele vagy mérlegfőösszege eléri a 10 Millió Eurónak megfelelő forintösszeget.
Érdemes tudni, hogy vállalat nem csupán jogi személy lehet, hanem minden gazdasági tevékenységet folytató jogalany, úgy mint például: egyéni vállalkozók, szövetkezetek is a kis- és középvállalkozásokról szóló törvény alapján. Az alábbi jogalkotó által kockázatosnak vagy kiemelten kockázatosnak minősített ágazatokban működő szolgáltatók és szervezetek (kiemeltük a gyakoribb tevékenységeket, a teljes felsorolás a törvény mellékleteiben itt megtalálható: https://net.jogtar.hu/jogszabaly?docid=a2300023.tv) kötelesek a kiberbiztonság kapcsán lépéseket tenni azzal, hogy 1-5. közötti tevékenységet folytatók esetében a mikro és kisvállalkozási minőségtől függetlenül minden esetben vonatkozik rájuk a törvény, a fenti kivétel esetükben nem érvényesül:
1. elektronikus hírközlési szolgáltató, 2. bizalmi szolgáltató, 3. DNS-szolgáltatást nyújtó szolgáltató, 4. legfelső szintű domain név-nyilvántartó, 5. domain név-regisztrációt végző szolgáltató, 6. energetika (villamos energia, távfűtés és -hűtés, kőolaj, földgáz, hidrogén), 7. közlekedés (légi közlekedés, vasúti közlekedés, vízi közlekedés, közúti közlekedés, tömegközlekedés), 8. egészségügy, 9. ivóvíz, szennyvíz, 10. hírközlési szolgáltatás, 11. digitális infrastruktúra, 12. kihelyezett IKT-szolgáltatások, 13. űralapú szolgáltatás, 14. postai és futárszolgáltatások, 15. élelmiszer előállítása, feldolgozása és forgalmazása, 16. hulladékgazdálkodás, 17. vegyszerek előállítása és forgalmazása, 18. gyártás (orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása, cement-, mész-, gipszgyártás), 18. digitális szolgáltatók, 19. kutatási tevékenységet folytatók.
Ezek alapján minden vállalkozásnak elemi feladata, hogy megvizsgálja tevékenységi köreit és mikro- vagy kisvállalati besorolását. Amennyiben a tevékenységi körbe van érintett feladat és már nem végzik azt, sürgősen intézkedni szükséges a NAV felé a tevékenységi körök frissítése kapcsán, mely automatikusan a cégjegyzéken is átvezetésre kerül azzal, hogy amennyiben a létesítő okirat tartalmazza a nem fő tevékenységeket is, a legközelebbi cégbírósági módosítás során az átvezetést el kell végezni az okiraton.
Mit kell tenni?
A kritikus ágazatokba tartozó vállaltoknak megfelelő és arányos technikai és szervezeti intézkedéseket kell tenniük a hálózati és elektronikus információs rendszereik, azok fizikai környezetének biztonságát fenyegető kockázatok kezelésére (NIS2 irányelvi elvárások vannak). Ez magában kell, hogy foglalja az adatok, valamint az elektronikus információs rendszerek révén elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.
Az intézkedéseknek legalább a következőket kell tartalmazniuk:
1.önazonosítás, nyilvántartásba vételre jelentkezés
2.hatósági éves felügyeleti díj megfizetése, mely mértéke az érintett szervezet előző üzleti évi nettó árbevételének legfeljebb 0,015 százaléka (1 milliárd forintonként 150.000.- Ft), de legfeljebb 10 millió forint;
3.megfelelő és arányos technikai, operatív és szervezési intézkedések meghozatala, azaz IBIR kiépítése:
- kockázatelemzés és információs rendszerbiztonsági politikák megalkotása (az elektronikus információs rendszereket és az azokon tárolt adatokat meghatározott szempontrendszer alapján biztonsági osztályba kell sorolni és meg kell határozni minden osztálynál az alkalmazandó konkrét védelmi intézkedéseket);
- incidenskezelés (események megelőzése, észlelése és reagálása);
- üzletmenet-folytonosság és válságkezelés rendszerének kialakítása;
- az ellátási lánc biztonsága, beleértve a szervezet és szállítói közötti kapcsolatok biztonsággal kapcsolatos szempontjait;
- biztonság a hálózati és információs rendszerek beszerzése, fejlesztése és karbantartása során;
- politikák és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére (tesztelés és auditálás);
- alapvető számítógép-biztonsági és kiberbiztonsági képzés minden számítógéppel dolgozó munkatárs számára megfelelő rendszerességgel, valamint az ügyvezetésnek rendszeres kiberbiztonsági oktatáson kell részt vennie és vizsga is várható számukra;
- kriptográfia és titkosítás alkalmazása;
- humán erőforrás biztonság, hozzáférés-ellenőrzési politikák és vagyonkezelés;
- multifaktoros, illetve folyamatos hitelesítési megoldások (ahol helyénvaló), biztonságos hang-, video- és szövegkommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek alkalmazása;
- ki kell jelölni az elektronikus információs rendszerek biztonságáért felelős személyt, és meghatározni a feladatait, felelősségi körét;
- amennyiben érintett a vállalkozás, a domainnevekről a legfelső szintű domainnév-nyilvántartónak központi nyilvántartást kell vezetnie, ami tartalmazza a domainnevet, a regisztráció dátumát, a használó nevét, kapcsolattartási adatait, a domainnevet kezelő adminisztratív kapcsolattartó nevét és adatait;
4. kétévente kötelező kiberbiztonsági auditot végezni, amelyet a kiberbiztonsági követelményeknek való megfelelésről a tevékenység végzésére jogosult, független (hatóság honlapján szereplő, akkreditált) auditor folytathat le és az audit eredményét pedig meg kell küldeni a felügyeleti hatóság számára.
A biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében
alkalmazandó konkrét védelmi intézkedésekről megjelent a 7/2024. (VI.24.) MK rendelet, melyet szintén szükséges áttanulmányozni.
Mennyi idő van a lépések megtételére?
Azon szolgáltatók és szervezetek, amelyek 2024. január 1. napját megelőzően kezdték meg a működésüket 2024. június 30. napjáig meg kell küldeniük a Szabályozott Tevékenységek Felügyeleti Hatósága részre a nyilvántartásba vételhez szükséges adatokat űrlap kitöltésével és Cégkapun keresztüli beküldéssel (elérhető: https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/), majd 2024. október 18. napjától kell alkalmazni a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket, valamint a felügyeleti díjat meg kell fizetni, 2024.12.31-ig a kiberbiztonsági auditra szóló szerződést be kell mutatni, végül pedig 2025. december 31. napjáig el kell végeztetniük az első kiberbiztonsági auditot.
Azon érintett szolgáltatók és szervezetek, amelyek 2024. október 18. napját megelőzően kezdték meg a működésüket 2024. december 31. napjáig meg kell küldeniük a Hatóság részre a nyilvántartásba vételhez szükséges adatokat.
Nem megfelelés következményei
A Szabályozott Tevékenységek Felügyeleti Hatósága hatósági ellenőrzési jogkörében eljárva jelentős biztonsági esemény bekövetkezése, vagy nem megfelelés gyanúja esetén ellenőrzést hajthat végre, vagy rendkívüli auditot rendelhet el; figyelmezteti az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények, vagy az ehhez kapcsolódó eljárási szabályok teljesítésére; határidő kitűzésével elrendelheti az ellenőrzés, vagy az audit során feltárt, vagy tudomására jutott biztonsági hiányosságok elhárítását, vagy a megfeleléshez szükséges intézkedések meghozatalát, mely értelemszerűen jelentős anyagi teherrel is együtt járhat.
Bírságot szabhat ki a hatóság (legfeljebb 10 millió eurós összegben), ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az azokhoz kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba. Elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását a potenciális fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.
Összefoglaló
Amennyiben a kiberbiztonsági törvény hatálya kiterjed vállalkozására tevékenysége vagy nagysága okán, nyilvántartásba kell magát vetetnie felügyeleti díj fizetése mellett, elektronikus rendszereit felül kell vizsgálnia és javasolt külső segítség bevonásával az információ biztonsággal kapcsolatban a szabályoknak való megfeleléshez szükséges lépéseket tennie, majd év végéig audit végzésére szerződést szükséges kötnie.
Szerző: Dr. Póczos Eszter, kamarai jogtanácsos