GDPR

Adatvédelem mindenkinek / Data protection for everyone

A Parlament előtt a magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS2) átültetésére vonatkozó javaslat

2023. április 06. 11:33 - poklaszlo

Bőven az átültetésre nyitva álló határidő vége (2024. október 17.) előtt a Parlament elé került az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló irányelv (NIS 2 irányelv) átültetésére vonatkozó törvényjavaslat (T/3314. sz. törvényjavaslat, a törvény a Kibertan tv. rövidítés alapján "fut" majd; a NIS 2 irányelvről itt írtam részletesebben). Frissítés (2023.06.13.): Elfogadásra és 2023. május 15-én kihirdetésre került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.). 

A javaslat alapján megszülető új kibertanúsításra vonatkozó törvény (Kibertan tv.) egyérszt rendezi a nemzeti kiberbiztonsági tanúsítás, másrészt a kiberbiztonsági felügyelet alapvető kérdéseit. A törvény fontos igazodási pont lesz a kiberbiztonság témakörében, illetve alapvető, az infokommunikációt érintő fogalmak jogszabályi meghatározását is adja. 

Néhány alapfogalom, amelyet a javaslat alapján a Kibertan tv. meghatároz majd: 

  • adatközponti szolgáltatás: olyan szolgáltatás, amely központosított elhelyezést, összeköttetést és működést biztosít adattároló, -feldolgozó és -továbbító információtechnológiai és hálózati berendezések számára, ideértve az energiaellátást és környezeti felügyeletet biztosító létesítményeket és infrastruktúrát is, 
  • domain név: az internetes kommunikációhoz használt IP cím alfanumerikus karakterekből álló megfelelője,
  • felhőalapú számítástechnikai szolgáltatás: olyan digitális szolgáltatás, amely önkiszolgáló módon történő hálózati hozzáférést tesz lehetővé igény szerint méretezhető, megosztott fizikai vagy virtuális erőforrások rugalmas készletéhez,
  • felhőszolgáltató: felhőalapú számítástechnikai szolgáltatást nyújtó szervezet, 
  • közösségi média szolgáltatási platform: olyan platform, amely lehetővé teszi a végfelhasználók számára, hogy több eszközön keresztül kapcsolódjanak, tartalmakat osszanak meg, fedezzenek fel és kommunikáljanak egymással,
  • online-piactér: olyan szolgáltatás, amely a kereskedő által vagy a kereskedő nevében működtetett szoftvert, többek között weboldalt, valamely weboldal egy részét vagy valamely alkalmazást alkalmaz, és amelynek révén a fogyasztók távollevők közötti szerződést köthetnek más kereskedőkkel vagy fogyasztókkal.

1. Tanúsító hatóság kijelölése, tanúsítási rendszerekkel kapcsolatos szabályok  

A törvényjavaslat alapján, az Európai Uniós Kiberbiztonsági Ügynökségről (ENISA) is rendelkező, 2019/881 sz. rendelet (kiberbiztonsági jogszabály) szerinti nemzeti kiberbiztonsági tanúsító hatóság (tanúsító hatóság) feladatait - főszabály szerint - a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látná el Magyarországon, kivéve a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatokat, amelyeket a Kormány által kijelölt hatóság látja majd el.

Az SZTFH korábban már kapott izgalmas, az elektronikus információs rendszereket érintő feladatokat, mégpedig az elektronikus információs rendszerek védelméhez szükséges poszt-kvantumtitkosítás alkalmazást nyújtó szervezetek tekintetében. (Lásd erről ezt a korábbi bejegyzést.)  

Az elfogadásra kerülő jogszabály rendezi a tanúsító hatóság feladatait, a nemzeti kiberbiztonsági tanúsítási rendszerek követelményeit, a nemzeti kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjeit (az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szintet határozhatnak meg), a kiberbiztonsági tanúsítványokkal és a megfelelőségi nyilatkozatokkal kapcsolatos elvárásokat, a megfelelőségi önértékelés és megfelelőségértékelés feltételeit, valamint a kiberbiztonsági tanúsítás felügyeleti eljárására vonatkozó szabályokat. 

A tanúsító hatóság, többek között: 

  • a megfelelőségértékelő szervezet vonatkozásában engedélyezési eljárást folytat le,
  • nyilvántartást vezet, 
  • ellenőrzést végez,
  • ha a tanúsító hatóság tudomására jut vagy az ellenőrzése során megállapítja, hogy a megfelelőségértékelő szervezet vagy a gyártó a vonatkozó európai uniós vagy magyar jogszabályokban foglalt követelményeket és a kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, – a figyelmeztetést tartalmazó döntésében határidő tűzésével – felszólítja a megfelelőségértékelő szervezetet, valamint a gyártót a vonatkozó európai uniós és magyar jogszabályokban foglalt biztonsági követelmények és a kapcsolódó eljárási szabályok teljesítésére, 
  • ha a felszólítás ellenére a szervezet a jogszabályban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a tanúsító hatóság az eset összes körülményének mérlegelésével - kormányrendeletben meghatározottak szerint - bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.  

A javaslat alapján módosuló SZTFH törvény (2021. évi XXXII. törvény) szerint a hatóság nemzeti kiberbiztonsági tanúsító hatósági feladatkörében eljárva az ellenőrzés eredményeként a feltárt jogsértés súlyával arányosan, a jogsértésben rejlő kockázat mértékének és jellegének figyelembevételével – a termékek piacfelügyeletéről szóló törvényben és a Kibertan.tv.-ben foglaltakon túl – a következő jogkövetkezményeket is alkalmazhatja:

  • kötelezheti a gyártót az uniós és a nemzeti megfelelőségi nyilatkozat módosítására vagy visszavonására,
  • a megfelelőségértékelő szervezet tanúsítványkibocsátási jogát részben vagy teljeskörűen felfüggesztheti vagy visszavonhatja,
  • a megfelelőségértékelő szervezetet törölheti a nyilvántartásból,
  • az engedélyköteles tevékenység végzésére vonatkozó engedélyt módosíthatja vagy visszavonhatja,
  • az érintett termék, szolgáltatás vagy folyamat vonatkozásában elrendelheti a tanúsításra utaló kifejezés, jelölés használatával történő forgalmazás, nyújtás, reklámozás korlátozását vagy megtiltását,
  • az érintett termék, szolgáltatás vagy folyamat vonatkozásában elrendelheti a megfelelőségi jelölés eltávolíttatását, valamint
  • az uniós vagy a nemzeti kiberbiztonsági tanúsítvány hatályát korlátozhatja, felfüggesztheti vagy visszavonhatja.

2. Kiberbiztonsági felügyelet

Ahogy a NIS 2 irányelv bemutatása kapcsán korábban írtam, az egyik alapvető különbség a NIS 2 és a korábbi, NIS 1 irányelvek között, hogy a NIS 2 hatálya jóval több ágazatra terjed ki, mint az elődje. A korábban is fókuszban lévő ágazatok (energetika, közlekedés, ívóvíz-ellátás, pénzügyi infrastruktúra, stb.) mellett jelentősen kibővült az érintett szolgáltatások köre, amelyeket az irányelv két csoportra bont: (i) kiemelten kritikus ágazatok és (ii) egyéb kritikus ágazatok (lásd NIS 2 irányelv 1. és 2. sz. mellékletek).

Ez a hatályt érintő bővülés visszaköszön a törvényjavaslatban is. A jogszabályban foglaltakat ugyanis a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek (lásd 1. sz. melléklet), valamint a kockázatos ágazatokban működő szolgáltatók és szervezetek (2. sz. melléklet) elektronikus információs rendszereire kell alkalmazni. (A jogszabály megállapít - bizonyos feltételek mellett - néhány kivételt is a jogszabály alkalmazási körére vonatkozóan, figyelemmel például az érintett szervezet mikro- és kisvállalkozás státuszára, illetve egyes szervezetek esetében a honvédelmi célú elektronikus információs rendszereire és hálózataira, stb.).     

Kiemelten kockázatos ágazatok

  • energetika,
  • közlekedés,
  • egészségügy,
  • ívóvíz, szennyvíz, 
  • hírközlési szolgáltatás, 
  • digitális infrastruktúra,
  • kihelyezett IKT szolgáltatások,
  • űralapú szolgáltatás. 

Kockázatos ágazatok

  • postai és futárszolgálatok, 
  • élelmiszer előállítása, feldolgozása és forgalmazása, 
  • hulladékgazdálkodás, 
  • vegyszerek előállítása és forgalmazása,
  • gyártás, 
  • digitális szolgáltatók, 
  • kutatás.

Egyes ágazatokon belül több alágazat került meghatározásra (pl. közlekedésen belül: légi-, vasúti-, közúti-, vízi-, tömegközlekedés). Az ágzatokon/alágazatokon belül kerülnek megjelölésre az érintett szervezetek, entitások. (Lásd a javaslat 1. és 2. sz. mellékleteit.)

A kiberbiztonság körében, többek között, az alábbi alapvető követelmények kerülnek meghatározásra: 

  • az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról; a védelemnek ki kell terjednie: 
    1. az információbiztonsági irányítás rendszerére,
    2. az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,
    3. a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
    4. a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,
    5. az üzletmenet folytonosság biztosítására és
    6. az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére
  • ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a fenti követelményeknek a közreműködő esetében is teljesülniük kell és gondoskodni kell arról, hogy a követelményeket a közreműködővel megkötésre kerülő szerződésbe foglalják,
  • az érintett szervezet vezetője köteles: 
    1. meghatározni az elektronikus információs rendszerek biztonságáért felelős személy feladatait és felelősségi körét,
    2. meghatározni az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat, és
    3. gondoskodni a szervezet munkatársai rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról,
  • érintett szervezet köteles az elektronikus információs rendszereket, valamint az azon tárolt, továbbított vagy feldolgozott adatokat - a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján - biztonsági osztályba sorolni („alap”, „jelentős” vagy „magas” biztonsági osztályt kell alkalmazni, amely biztonsági osztályokra vonatkozóan alkalmazandó konkrét védelmi intézkedéseket a miniszter rendelete határozza meg), 
  • az SZTFH elnökének rendeletében meghatározott érintett szervezetek kötelesek az európai vagy nemzeti tanúsítási rendszer alapján tanúsított, az SZTFH elnökének rendeletében meghatározott IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni. 

Az alapvető követelmények tekintetében az érintett szervezetek, valamint azok elektronikus információs rendszerei kiberbiztonsági felügyeletét az SZTFH látja el a javaslat szerint. Az SZTFH, mint kiberbiztonsági felügyeleti hatóság az érintett szervezet tekintetében

  • hatósági ellenőrzést végezhet,
  • jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nem megfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.

Az érintett szervezeteka kiberbiztonsági követelményeknek való megfelelés bizonyítására kötelesek kétévente,  független auditorral kiberbiztonsági auditot végeztetni.

Ha az elektronikus információs rendszerben olyan biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget, amely

  1. az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz vagy
  2. jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára

az érintett szervezet köteles haladéktalanul az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerinti eseménykezelő központ részére bejelentést tenni.

Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

  • figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
  • határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, valamint
  • a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

Ha a fenti intézkedések alkalmazása ellenére az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a biztonsági hiányosságokat nem hárítja el vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével - kormányrendeletben meghatározottak szerint - bírságot szabhat ki, amely további nemteljesítés esetén megismételhető. 

Az SZTFH továbbá elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

Az SZTFH kiberbiztonsági felügyeleti tevékenységéért – a költségvetési szervek kivételével – az érintett szervezet az SZTFH elnökének rendeletében meghatározott mértékű kiberbiztonsági felügyeleti díj fizetésére köteles, amelynek mértéke a szervezet előző üzleti évi nettó árbevételének – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének – legfeljebb 0,15 százaléka. 

Az SZTFH az SZTFH elnökének rendeletében foglaltak szerint az érintett szervezetekről nyilvántartást vezet. 

3. Hatálybalépés, átmeneti rendelkezések, módosuló jogszabályok

A törvény részben a kihirdetést követő 8. napon, részben 2024. január 1-től, részben pedig - az irányelv átültetésére rendelkezésre álló határidőre tekintettel - 2024. október 18-tól lépne hatályba

Az átmeneti rendelkezések szerint: 

  • a 2024. január 1-jén érintett szervezetnek minősülő szervezet a szükséges adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében,
  • a 2024. január 1-jén érintett szervezetnek minősülő szervezet a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza, 
  • a 2024. január 1-jén érintett szervezetnek minősülő szervezet az első kiberbiztonsági auditot 2025. június 30-ig köteles elvégeztetni, 
  • az SZTFH az éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el. 

A javaslat alapján több törvény is módosításra (beleértve egyes rendelkezések hatályon kívül helyezését is) kerül, így többek között, az SZTFH-ra vonatkozó 2021. évi XXXII. törvény, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, illetve az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény.  

A törvény elfogadását követően számos részletkérdésben Kormányrendelet elfogadására kerül majd sor, így többek között Kormányrendelet rendezi majd a hatóság által kiszabható bírság mértékét, megállapításának szempontrendszerét, valamint a bírság megfizetése módjának részletes eljárási szabályaitA bírság lehetséges mértéke kapcsán érdemes utalni arra, hogy a NIS 2 irányelv komoly bírságkiszabási kereteket teremtett a tagállamok számára. A tagállamoknak ugyanis biztosítaniuk kell, hogy az alapvető szervezeteket [a magyar javaslat szerinti terminológiával: kiemelten kockázatos ágazatokban működő szervezetek] – amennyiben megsértik a kiberbiztonsági kockázatkezelési intézkedéseket (21. cikk) vagy a jelentéstételi kötelezettségeket (23. cikk) – legalább 10 000 000 EUR vagy, ha ez magasabb, legalább a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő maximális összegű közigazgatási bírsággal sújtsák. A fontos szervezetek [a magyar javaslat szerinti terminológiával: kockázatos ágazatokban működő szervezetek] esetében a NIS 2 irányelv 21. és 23. cikkek megsértése esetén a bírság legalább 7 000 000 EUR vagy, ha ez magasabb, legalább a vállalkozás előző pénzügyi évi globális éves forgalma teljes összege 1,4%-ának megfelelő maximális összeg lehet. (A javaslat 18-19. §-ai tartalmazzák az irányelv 21. cikkének megfelelő intézkedéseket és 26.§-a a kiberbiztonsági események jelentésére vonatkozó kötelezettségeket, figyelemmel az irányelv 23. cikkére.)

Szólj hozzá!
Címkék: bírság információbiztonság jogalkotás portfolioblogger kiberbiztonság Magyarország Európai Unió HU NIS Irányelv CSIRT digitális szolgáltatások eseménykezelő központ SZTFH Kibertan.tv.

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr5718094542

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása