Az Országgyűlés 2021. decemberében módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényt annak érdekében, hogy meghatározza poszt-kvantumtitkosításra vonatkozó alapvető követelményeket, kijelölje a témáért felelős hatóságot, illetve azt a személyi kört, amely tekintetében a poszt-kvantum titkosítás alkalmazása mindenképpen szükséges. A módosítások 2022. július 1-én lépnek hatályba. (A módosító törvény, azaz a 2021. évi CXXXVI. törvény a Magyar Közlöny 231. számában jelent meg.)
Miért van erre szükség?
A kvantumszámítástechnika fejlődése azzal kecsegtet, hogy olyan számításokat, amelyek hagyományos számítógépekkel rettentő hosszú ideig (akár több ezer évig) tartanának, néhány perc (vagy másodperc) alatt is elvégezhetnek. Az új lehetőségek persze új (adatvédelmi) kockázatokat is hozhatnak, különösen az adatbiztonság, a titkosítás területén. Bár a kvantumszámítógépek fejlesztése vélhetően még hosszabb időt vehet igénybe, de a felkészülés a poszt-kvantum érára különösen fontos olyan szervezetek esetében, amelyek tekintetében a kezelt adatok és információk biztonsága kulcsfontosságú, különösen, ha ezek megőrzésére hosszabb ideig van szükség (hiszen ebben az esetben a megőrzés átnyúlhat a poszt-kvantum időszakba és a régi sztenderdek szerinti titkosítás feltörhetővé válhat).
Mi az a poszt-kvantumtitkosítás?
A törvény bevezeti a poszt-kvantumtitkosítás fogalmát. Eszerint poszt-kvantumtitkosítás: a matematikailag valószínűsíthetően igazolható, kvantumszámítógép által megvalósított támadás ellen a hagyományos kriptográfiai alkalmazáson felüli poszt-kvantum alkalmazást, illetve megoldást nyújtó titkosítás, amely során a két végpont közötti kommunikáció felhasználásával, az adatátvitellel megosztott kulcsot hoz létre a két végfelhasználó között, anélkül, hogy a kulcsot jogosulatlan harmadik fél megismerné (lásd 2013. évi L. törvény - 2022.07.01-től hatályos - 1. § (1) bekezdés, 49. pontja).
Mely szervezeteknek kell alkalmazniuk a poszt-kvantumtitkosítást?
A poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetek a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnökének rendeletében meghatározott,
- a kormányzati célú hálózatokról szóló kormányrendelet szerinti igénybevételre kötelezett szervezet (346/2010. (XII. 28.) Korm. rendelet),
- a hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény szerinti bank, valamint
- a 2013. évi L. törvény 1. mellékletben meghatározott törvények hatálya alá tartozó közműszolgáltató és az 1. mellékletben meghatározott törvények felhatalmazása alapján kiadott jogszabályok hatálya alá tartozó közszolgáltatást nyújtó szervezet. Az alábbi törvények hatálya alá tartozó közműszolgáltató és a következő törvények felhatalmazása alapján kiadott jogszabályok hatálya alá tartozó, közszolgáltatást nyújtó szervezet minősül poszt-kvantumtitkosítás alkalmazására kötelezett szervezetnek:
- a földgázellátásról szóló törvény,
- a földgáz biztonsági készletezéséről szóló törvény,
- a villamos energiáról szóló törvény,
- a távhőszolgáltatásról szóló törvény,
- a víziközmű-szolgáltatásról szóló törvény, valamint
- a hulladékról szóló törvény.
Milyen szabályoknak kell megfelelniük a poszt-kvantumtitkosítás alkalmazása körében az érintett szervezeteknek?
A 2013. évi L. törvény kiegészül egy III/B. fejezettel, amely a poszt-kvantumtitkosítás alkalmazásának szabályait tartalmazza. A fejezet három részre bontva határozza meg a szabályokat:
- a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezet védelme,
- a poszt-kvantumtitkosítás alkalmazást nyújtó szervezetre vonatkozó feltételek,
- a tanúsító szervezetre vonatkozó rendelkezések.
A poszt-kvantumtitkosítás alkalmazásra kötelezett szervezet a jogszabályban meghatározott feladatainak ellátása körében köteles
- a fizikailag elkülönített helyszínei közötti kormányzati célú hálózaton, továbbá a publikus internet felületen zajló, az elektronikus hírközlési törvény szerinti szolgáltató igénybevételével vagy egyéb információs társadalommal összefüggő szolgáltatás igénybevétele esetén poszt-kvantumtitkosítás alkalmazást annak kiépítéséhez az alkalmazás nyújtására jogosult, nyilvántartásba vett szervezettől beszerezni, és
- a kezelésében álló hálózatain a védelmet kialakítani, annak érdekében, hogy az elektronikus úton történő információáramlás a kvantumszámítógép okozta kibertámadás ellen biztosított legyen.
A törvény alapján kizárólag olyan szervezet nyújthat poszt-kvantumtitkosítás alkalmazást a poszt-kvantumtitkosításra kötelezett szervezet számára (poszt-kvantumtitkosítás alkalmazást nyújtó szervezet), amely
- nemzetbiztonsági kockázatot nem jelent és
- a törvényben (22/H. §) meghatározott követelményeknek megfelel.
A poszt-kvantumtitkosítás alkalmazást nyújtani kívánó szervezetnek a tanúsító szervezet által kiadott, az informatikai rendszerre vonatkozó zártsági tanúsítással kell igazolnia, hogy a törvényben meghatározott követelményeknek megfelel. Az SZTFH nyilvántartást vezet azokról a szervezetekről (tanúsított szervezet), amelyek poszt-kvantumtitkosítás alkalmazásra vonatkozó tevékenységet a poszt-kvantumtitkosításra kötelezett felhasználó számára jogosult nyújtani.
Milyen lépések várhatók a szabályok hatálybalépését követően?
A poszt-kvantumtitkosításra vonatkozó rendelkezések 2022. július 1-i hatályba lépését követően szükség lesz arra, hogy a törvény alapján kapott felhatalmazással élve az SZTFH elnöke rendeletben meghatározza az alábbiakat:
- a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezeteket,
- a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet nyilvántartásba vételére vonatkozó részletes szabályokat,
- a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet informatikai rendszerelemei zártsága tanúsítására vonatkozó részletes szabályokat.
Az SZTFH elnökének a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet nyilvántartásba vételére vonatkozó részletes szabályokat tartalmazó, és a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetekre vonatkozó rendeletei hatálybalépését követő 60. napot követően, a rendeletekben meghatározott poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetek kötelesek alkalmazni az új poszt-kvantumtitkosítási szabályokat.