A magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS 2) magyar jogba történő átültetése példás gyorsasággal történt meg. Az átületetésre 2024. október 18-ig kaptak időt a tagállamok, de Magyarországon már elfogadásra és kihirdetésre is került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.), amely eleget tett az uniós kötelezettségnek. A hatálybalépés több lépcsőben történik meg 2024. október 18-ig. (A NIS 2 irányelvről itt írtam, míg az átültetsre vonatkozó törvényjavaslatról itt.)
1. Mikor lép hatályba a jogszabály?
A törvény
- részben a kihirdetést (2023. május 15.) követő 8. napon (ebbe a körbe elsősorban a kiberbiztonsági tanúsításra vonatkozó rendelkezések tartoznak),
- részben 2024. január 1-től (alapvetően a kiberbiztonsági felügyeletre vonatkozó rendelkezések),
- részben pedig 2024. október 18-tól (többek között a központi domainnév-nyilvántartásra, a kiberbiztonsági felügyeleti eszközökre vonatkozó egyes rendelkezések, a kiberbiztonsági események jelentésére vonatkozó szabályok, stb.)
lép(ett) hatályba.
(A köztársasági elnöknek aláírásra megküldött változatban egyszerre láthatók a különböző időállapotban hatályba lépő rendelkezések.)
2. Mit tartalmaz a törvény?
A Kibertan tv. egyérszt rendezi az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tanúsításával kapcsolatos feladatokat, másrészt a kiberbiztonsági felügyelet alapvető kérdéseit. A törvény fontos igazodási pont lesz a kiberbiztonság témakörében, illetve alapvető, az infokommunikációt érintő fogalmak jogszabályi meghatározását is adja.
Az IKT-tennék, IKT-szolgáltatás, illetve IKT-folyamat fogalmät az EU 2019/881 európai parlamenti és tanácsi rendelete (kiberbiztonsági jogszabály) határozza meg (2. cikk 12-14. pontok):
„IKT-termék”: valamely hálózati vagy információs rendszer eleme vagy elemeinek csoportja;
„IKT-szolgáltatás”: olyan szolgáltatás, amely teljes mértékben vagy legnagyobb részben információ hálózati és információs rendszerek útján történő továbbításából, tárolásából, lekérdezéséből vagy kezeléséből áll;
„IKT-folyamat”: valamely IKT-termék vagy IKT-szolgáltatás tervezése, fejlesztése, rendelkezésre bocsátása illetve nyújtása vagy karbantartása céljából végzett tevékenységek összessége;
A nemzeti kiberbiztonsági tanúsító hatóság (tanúsító hatóság) feladatait - a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok kivételével - a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el Magyarországon.
A Kibertantv-ben foglaltakat a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek (lásd 1. sz. melléklet), valamint a kockázatos ágazatokban működő szolgáltatók és szervezetek (2. sz. melléklet) elektronikus információs rendszereire kell alkalmazni. (A jogszabály megállapít - bizonyos feltételek mellett - néhány kivételt is a jogszabály alkalmazási körére vonatkozóan, figyelemmel például az érintett szervezet mikro- és kisvállalkozás státuszára, illetve egyes szervezetek esetében a honvédelmi célú elektronikus információs rendszereire és hálózataira, stb.).
Kiemelten kockázatos ágazatok:
- energetika,
- közlekedés,
- egészségügy,
- ívóvíz, szennyvíz,
- hírközlési szolgáltatás,
- digitális infrastruktúra,
- kihelyezett IKT szolgáltatások,
- űralapú szolgáltatás.
Kockázatos ágazatok:
- postai és futárszolgálatok,
- élelmiszer előállítása, feldolgozása és forgalmazása,
- hulladékgazdálkodás,
- vegyszerek előállítása és forgalmazása,
- gyártás,
- digitális szolgáltatók,
- kutatás.
Egyes ágazatokon belül több alágazat került meghatározásra (pl. közlekedésen belül: légi-, vasúti-, közúti-, vízi-, tömegközlekedés). Az ágzatokon/alágazatokon belül kerülnek megjelölésre az érintett szervezetek, entitások. (Lásd a Kibertantv. 1. és 2. sz. mellékleteit.)
3. Kinek, mikor és milyen feladatai vannak a törvény alapján?
Az elfogadott törvény alapján még számos, a részletes kötelezettségeket meghatározó rendelet (Kormány rendelet, honvédelemért felelős miniszter rendelete, SZTNH elnökének rendelete) szükséges ahhoz, hogy a Kibertantv. teljeskörű alkalmazásához szükséges minden feltétel rendelkezésre álljon. A törvény átmeneti rendelkezései adnak egy képet arról, hogy az érintett szervezeteknek a felkészülésük kapcsán milyen határidőket kell figyelembe venniük.
A törvény - 2024. januás 1-én hatályba lépő - átmeneti rendelkezései szerint:
- az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a szükséges adatokat (lásd Kibertan tv. 26. § (1) bek.) első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében,
- az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket (Kibertantv. 20. § (3) bek.) - a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben meghatározottak szerint - 2024. október 18-tól alkalmazza,
- az SZTFH az éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el,
- az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a - Kibertantv. 23. § (1) bekezdése szerinti - kiberbiztonsági audit elvégzésére a nyilvántartásban szereplő auditorral 2024. december 31-ig köteles megállapodást kötni,
- az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, az első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.
Természetesen a fentieken túlmenően is számos, a felkészülés részleteit érintő feladat merül fel az érintett szervezeteknél, amelyeket folyamatosan érdemes számba venni és amelyekkel kapcsolatban a szükséges lépéseket minöl elübb indokolt megtenni, hogy a fenti határidők tarthatóak legyenek az érintett szervezetek számára.
