A digitális védelmi vonal: Magyarország átfogó kiberbiztonsági törvényének elfogadása
2024. december 25.
A kiberbiztonság korunk egyik legfontosabb kihívása. Magyarország 2024. december 17-én elfogadta azt az új törvényt, amely átfogóan szabályozza az ország kiberbiztonságát és implementálja az EU NIS2 irányelvét. Ez a jogszabály mérföldkő Magyarország digitális védelmében. A törvény 2025. január 1-jén lép hatályba.
A kiberbiztonság globális kontextusa
Az International Data Corporation (IDC) becslése szerint a világ adatmennyisége 2025-re eléri a 175 Zettabájtot. Az adatok ilyen óriási, eddig nem tapasztalt mértéke miatt nem elhanyagolható tehát azok megfelelő kezelése és védelme. A technológiai fejlődés adta lehetőségeket ugyanis nem csak az azt legálisan használó felek használják ki, hanem sok esetben kiberbűnözők is gyorsan átveszik az újításokat. Az EU kiberbiztonsági ügynöksége, az ENISA, 2023 júniusa és 2024 júliusa között több mint 11 ezer incidenst regisztrált, többek között elosztott szolgáltatás-megtagadásos támadás (DDOS), zsarolóvírus-támadás (ransomware), illetve adatlopás / szivárgás formájában. Ez azért is fontos mindenki számára, mert például az egyre gyakoribb, DDOS támadás során a támadók a célpont szervereit túlterhelik, ami akár több órás szolgáltatáskiesést is okozhat egy vállalatnál vagy kormányzati szervnél.
Az EU kiberbiztonsági törekvései
Az Európai Unió is nagy figyelmet szentel a kibervédelem növelésére a tagállamokban, amelyet a korábban említett ügynökség tevékenységén túl a kiberbiztonság területének átfogó szabályozására tett kísérlete is jelez. A hálózat- és információbiztonságról szóló irányelvet 2016-ban vezették be, melyet a 2023-ban hatályba lépett, NIS2-nek nevezett irányelv aktualizált. Céljai között szerepelt a meglévő jogi keretek korszerűsítése, valamint a kiberbiztonsági szabályok hatályának új ágazatokra és szervezetekre való kiterjesztése. A NIS2 irányelv előírja a tagállamok számára, hogy rendelkezzenek számítógépes biztonsági eseményekre reagáló és azokat kezelő szakértői csoporttal (Computer Security Incident Response Team, CSIRT) és egy illetékes nemzeti hálózati és információs rendszerekkel (NIS) rendelkező hatósággal. Ezen kívül az irányelv egy tagállamok közötti együttműködési csoport létrehozásával könnyítené a tagállamok, illetve illetékes hatóságok közötti információcserét.
A magyar törvény főbb újításai
Magyarország 2023-ban ültette át az EU 2019/881 számú rendeletének intézkedéseit és az ehhez kapcsolódó, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban Kibertantv.) már bizonyos szinten figyelemmel volt a NIS2 egyes rendelkezéseire. A teljes implementáció mellett a Magyarország kiberbiztonságáról szóló törvény a kiberbiztonság kódex jellegű jogszabályává válik.
A Magyarország kiberbiztonságáról szóló törvény magába foglalja a kiberbiztonság alapvető szabályait, az alapvető és fontos szervezetek megkülönböztetését és kötelezettségeit, a kiberbiztonsági incidensek kezelését, valamint a tanúsítási rendszer részletes szabályait is. A következőkben azokat a szakaszokat emelnénk ki, melyeknél változások következtek be a Kibertantv., valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban Ibtv.) rendelkezéseihez képest.
Szervezeti kategóriák és kötelezettségek
Figyelemmel a NIS2 irányelvre, bevezetésre került a hatósági tevékenység hatálya alá tartozó szervezetek alapvető és fontos szervezetek szerinti kategorizálása. A két szervezettípus közötti különbségtétel alapját a felügyeleti követelmények képezik. Külön nevesítésre kerültek alapvető szervezetként a központi szolgáltatók, a központi rendszerek szolgáltatói, illetve a törvény hatálya alá kerültek a többségi állami befolyás alatt álló gazdálkodó szervezetek is.
A Kibertantv.-hez képest a kiberbiztonsági tanúsításra, illetve az Ibtv.-hez képest a poszt-kvantumtitkosításra vonatkozó szabályozás nem változik.
Fogalmi és technikai változások
A fogalmi rendszerben is újítások következnek be, például az értelmező rendelkezések fogalmainak pontosításával (pl. sérülékenységvizsgálat), vagy bővítésével. Az elektronikus információs rendszer fogalmába immár egyértelműen beletartoznak a kiber-fizikai rendszerek (más néven ipari rendszerek) is.
Az eseménykezelés korábbi két típusát felváltja egy több komponensből álló skála, mely a következő elemeket tartalmazza: „esemény” – „kiberbiztonsági incidensközeli helyzet” – „üzemeltetési kiberbiztonsági incidens” – „kiberbiztonsági incidens” – „jelentős kiberbiztonsági incidens” – „szándékolt kiberbiztonsági incidens” – „nagyszabású kiberbiztonsági incidens”. Ennek a szélesebb skálának a bevezetésére a NIS2 irányelv elvárásainak okán, valamint az elmúlt évek tapasztalati alapján is szükség volt.
A biztonsági osztályok típusai ugyanakkor az Ibtv.-ben alkalmazott korábbi öt helyett háromra csökkennek, ezek az „alap”, „jelentős” és „magas” osztályok. Az „alap” biztonsági osztály olyan rendszerekre vonatkozik, amelyek sérülése korlátozott kárt okozhat. A „jelentős” osztályba már azok a rendszerek tartoznak, amelyek kompromittálódása súlyos következményekkel járhat, míg a „magas” osztályú rendszerek a kritikus infrastruktúra részei. Ezen kívül a biztonsági osztályba sorolás felülvizsgálati időszaka a korábbi három évről két évre módosul.
A nemzeti kiberbiztonsági hatóság szerepe
A törvény egységesen nemzeti kiberbiztonsági hatóság fogalmat használ, azonban a tényleges hatóság a gyakorlatban
• a NIS2 irányelv miatt érintett piaci szereplők felett a továbbiakban is a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) marad a hatóság;
• az állami szféra civil oldala felett a Nemzetbiztonsági Szakszolgálat, míg a honvédelmi vonatkozású szervezetek vagy rendszerek esetén a Katonai Nemzetbiztonsági Szakszolgálat (KNBSZ) lehet a külön kormányrendeletben kijelölt hatóság;
• a Magyar Nemzeti Bank (MNB), amelyet a közvetlenül érvényes, tehát a hazai jogrendbe átültetni nem szükséges uniós DORA rendelet jelöl ki hatóságnak a banki és pénzügyi szektor tekintetében.
A nemzeti kiberbiztonsági hatóság feladatai kibővülnek az Ibtv.-ben meghatározottak mellett. A hatóság többek között előírhatja minősített bizalmi szolgáltatások igénybevételét vagy európai és nemzetközi szabványok, műszaki előírások alkalmazását. Újdonság még a hatóság azon jogköre, hogy a törvény hatálya alá nem tartozó szervezetet alapvető vagy fontos szervezetként azonosíthatja.
A módosult hatálynak megfelelően felülvizsgálatra került azon szervezetek köre is, amelyek vonatkozásában a sérülékenységvizsgálatot kizárólag a kormány által kijelölt szerv végezheti. A bekövetkezett változtatások lehetővé teszik, hogy - az elsődlegesen – állami szervezet által végzett vizsgálat helyett bizonyos esetekben a feltételeknek megfelelő gazdálkodó szervezet végezze el a sérülékenységvizsgálatot.
Az alapvető és fontos szervezetek kötelezettségei kapcsán változás, hogy az elektronikus rendszer adatkezelője helyett a rendszer felett rendelkezési joggal bíró szervezet jelenik meg a rendszer kiberbiztonságával kapcsolatos kötelezettségek címzettjeként.
Jogkövetkezmények és szankciók
A törvényben jogkövetkezmények rendszere részletesebben kerül kifejtésre. Ide tartozik a figyelmeztetés, felszólítás, kötelezés, felügyelő szervhez vagy a tulajdonosi joggyakorlóhoz fordulás, információbiztonsági felügyelő kirendelése vagy bírság kiszabása (a bírságok mértéke 50 000 forinttól egészen 15,000,000 forintig terjedhet).
A nem közigazgatási szerv alapvető szervezet esetében a NIS 2 irányelv szigorúbb jogkövetkezmények alkalmazási lehetőségét írja elő, amely megjelenik a törvényben is. Azonban ezeket az ideiglenes felfüggesztéseket és eltiltásokat csak a legszükségesebb megoldásként szabad alkalmazni, az egyéb intézkedések kimerítése után és amíg az érintett szervezet meghozza a szükséges intézkedéseket.
Mindemellett fontos megemlíteni, hogy a cégbíróság a kiberbiztonsági hatóság jelzése alapján legfeljebb öt évre köteles eltiltani a kiberbiztonsági hatóság által megjelölt szervezetnél azt a vezető tisztségviselőt, akinek felelősségét a kiberbiztonsági hatóság végleges határozatával megállapította a tekintetben, hogy a szervezet határidőn belül nem tett eleget a szervezet elektronikus információs rendszereinek kiberbiztonságára vonatkozó hatósági kötelezésnek.
Összegzés
A törvény jelentősen átalakítja a kiberbiztonsági felügyeletet és tanúsítást Magyarországon: több újítást vezet be a kiberbiztonsági felügyelet és tanúsítás terén, különös tekintettel a szervezeti kategóriákra és kockázatmenedzsmentre, a hatóság hatásköreire és a fogalomrendszerre. Ezek a változások a nemzetbiztonság növelésére és az EU-s megfelelés biztosítására, vagyis a NIS2 irányelv alapján a hazai szabályozás korszerűsítésére irányulnak. A törvénynek való megfelelés érdekében a vállalkozásoknak érdemes tájékozódniuk az új rendelkezésekről és az előírt kiberbiztonsági követelményeknek való megfelelőségről.
Szerző: dr. Menczelesz Adrián, Schönherr Hetényi Ügyvédi Iroda
Kapcsolódó cikkek
- Új törvény szabályozza a kiberbiztonságot
- A karácsony 12 (kiber)fenyegetése
- Az EU-s cégek 22%-át támadták már meg kiberbűnözők – veszélyben a kis cégek is
- Kiberbiztonsági technológiák fejlesztésével foglalkozó cégben szerez részesedést a ViVeTech Nyrt.
- 3. szintű CSMS tanúsítványt szerzett az LG
- Kiberbiztonsági tanúsítványt szerzett az LG
- Újabb átverés terjed – ügyvédi irodák nevével élnek vissza a csalók
- Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
- Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen
- A kiberbiztonságról rendeztek konferenciát a Széchenyi István Egyetemen