Magyarországon 2024-tól hatályba lép a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „kibertan tv”. Ez az új 2023. évi XXIII.-as jogszabály az EU kiberbiztonsági irányelveinek átültetését célozza meg, és számos intézkedést tartalmaz, amelyek az adott ország kiberbiztonsági védelmét erősítik vállalati szinten.
De mi indokolta e törvény megszületését, és milyen célokat szolgál?
A kibertan törvény megszületése
Az új törvény elsődleges célja, hogy átültesse az EU kiberbiztonsági irányelveit és rendeleteit a magyar jogszabályokba. A törvény a NIS2 irányelv alapján készült, amely az egész Európai Unióban kötelező.
Mivel Magyarország nem teljesen használta ki a NIS irányelvben megadott lehetőségeket, a kibertan törvény bevezetésével feljogosítják az országot a nemzeti szintű kiberbiztonsági tanúsítási rendszerek létrehozására és a kiberbiztonsági felügyeletre.
Az NIS2 irányelv közvetlenül alkalmazandó, de még nem került teljes átültetésre minden tagállamban, beleértve Magyarországot is. Az új törvény célja tehát a rendelet előírásainak teljesítése és a nemzeti kiberbiztonsági rendszer megerősítése.
A kibertan tv. céljai
A kibertan törvény kettő fő célt tűzött ki:
- Nemzeti szintű kiberbiztonsági tanúsítási rendszerek kialakítása:
Az új törvény lehetővé teszi Magyarország számára, hogy biztonsági követelményeket állítson fel az elektronikai eszközök és infokommunikációs termékek számára, hasonlóan az energiacímkéhez.
A cél az, hogy az emberek könnyen felismerhessék a kiberbiztonsági szinteket, ahogy ma az energetikai hatékonyságot és fogyasztást látjuk a háztartási készülékeken.
- Kiberbiztonsági felkészültség emelése a vállalatok és szervezetek körében:
A törvény – a NIS2 irányelvhez hasonlóan – célja, hogy az érintett szervezetek (különösen a közép- és felső szektorba tartozó vállalatok) kiberbiztonsági felkészültségi szintjét emelje.
Ez segíti az országot az új kihívásokkal szembeni hatékony védekezésben és a kibertámadások megelőzésében.
A törvény hatálya
Az új törvény hatálya az NIS2 irányelvhez igazodik, ami minimum jogharmonizációs követelményeket ír elő minden érintett szervezet számára. Azonban az NIS2-hez képest a kibertan tv. inkább a piaci szereplőket célozza.
A közigazgatási intézmények és a pénzügyi szektor (bankok és pénzügyi szolgáltatók) nagyobb hangsúlyt kapnak a szabályozás során.
Azonban a DORA előírás végett a financiális vállalatok számára történő NIS2 átültetés még várat magára – 2024. október 18.-ig.
Az érintett szektorok közé tartozik az egészségügy, az energiaszektor, a gyógyszergyárak, a gyógyszeripari cégek és az orvosdiagnosztikai eszközgyártók, valamint a postai-, illetve futárszolgálatok.
Melyikünk számára ne lenne ismerős a hamis postai csomaggal kapcsolatban küldött adathalász SMS?
Milyen biztonsági besorolásokat fog meghatározni az új rendelet?
A jelenlegi magyar szabályozás 5 szintet valósít meg, ami hatékony, viszont sok. Ritka az 1-es és az 5-ös rendszer is.
Mivel a tanúsításnál a biztonsági követelményeknek megfelelő termékek esetében 3 megbízhatósági szintet definiált az EU: alap, jelentős, magas – ezért az új paragrafus ezt fogja kivetíteni a szervezetekre is.
Viszont fontos megjegyezni, hogy nem a szervezetekre specifikusan, hanem minden egyes rendszerükre.
Tehát elképzelhető, hogy az adott cég egyik rendszere nagyobb kockázatnak van kitéve, akkor neki sokkal nagyobb védelmet kell tudnia biztosítani.
Intézkedések a kiberbiztonsági incidensek megelőzése érdekében
A kibertan törvény kifejezetten olyan intézkedéseket határoz meg, amelyek segítik az ország virtuális terében, rendszereiben elkövetett bűncselekmények megelőzését és leküzdését.
A rendelkezések között a kockázatelemzés és a védelmi intézkedések meghatározása minden érintett szervezet számára ajánlott instrukcióként jelenik meg. Azonban a részletszabályok még kidolgozásra váratnak, és a kiberbiztonsági auditokat csak 2025 végéig vezetik be.
Milyen eljárás vonatkozik a kiberbiztonsági események bejelentésére?
Az érintett szervezeteknek szigorúan be kell jelenteniük minden biztonsági incidenst és kockázatot a Nemzeti Kibervédelmi Intézetnek (CSIRT).
De a NIS2 egészen pontosan leírja, hogy mi a minimum elvárás: kell egy korai előjelzés, majd 24 órán belül egy első jelentés, 72 órán belül már egy részletes és 30 nap múlva egy zárójelentés.
Ezeknél a bejelentéseknél viszont mértékadó, hogy ne akadályozzák az elhárítást!
Milyen jogi következményeket vonnak maguk után a kötelezettségek megszegése?
Egyelőre ami lefektetésre került, hogy egyértelműen egy figyelmeztetés után bírság szabható ki, azon szervezetre, aki bármilyen törvényszegést követ el.
Az EU úgy gondolkodott már a NIS2-nél, elkezdik megerősíteni a vezetői felelősséget. Előírják azt, hogy a tagállam rendelkezhessen úgy, hogy amennyiben nem együttműködő egy szervezet, akkor az adott tevékenységét akár egy hatóság teljesen beszüntetheti.
Rosszabb esetben a cégvezetőt tilthatja el a cégvezetői tevékenység elvégzésétől.
A bírságok teljes egészében a NIS2-ből kerültek átültetésre?
Bírságtétel még nem került meghatározásra és a magyar jogszabályi környezet miatt ezt csak kormányrendeletben lehet majd rögzíteni, viszont nagyon nem tudunk elvonatkoztatni a NIS2-től.
A NIS2 azt definiálja, hogy bizonyos szervezeteknél az előző éves árbevétel maximum 1,7 százaléka, másoknál 2,4 százaléka, de a maximális bírságtétel 10 millió euróban került meghatározásra.
Ezekben az esetekben mindig van egy mérlegelés: milyen jellegű mulasztás történt, a kár hatása, stb.
Felkészülési tanácsok
A szervezeteknek a kibertan törvény előírásainak való megfelelésre kell teljes mértékben összpontosítaniuk. Az első lépések közé tartozik az adatvagyon és rendszerleltár elkészítése, valamint az üzleti folyamatok felmérése a kockázatok azonosítása érdekében.
Fontos, hogy a vállalatok minél előbb megkezdjék a felkészülést és együttműködjenek az auditor szervezetekkel a jövőbeni kötelező kiberbiztonsági auditok elvégzéséhez.
A kibertan törvény hatálya kiterjed azokra a multinacionális cégekre is, amelyek Magyarországon szolgáltatást nyújtanak, viszont nem magyar a székhelyük.
Ők is kötelesek teljesíteni az új jogszabály előírásait, és fel kell készülniük a hatósági felügyeletre és a kiberbiztonsági auditokra.
Mit vigyek magammal ebből a blogcikkből?
Az új paragrafus lehetőséget teremt, hogy hatékony kiberbiztonsági védelmet alakítson ki az adott ország a piaci szereplők körében. Az átültetett intézkedések segítenek az új kihívásokkal szembeni hatékony védekezésben és a kiberbiztonsági incidensek megelőzésében.
Az érintett szervezeteknek fel kell készülniük a törvény előírásainak megfelelésére, és figyelemmel kell kísérniük a későbbi kormányrendeleteket a részletszabályok meghatározása érdekében.
A szigorú kötelezettségek és az esetleges jogi következmények motiválhatják a vállalatokat és intézményeket a kiberbiztonság hatékony védelmére és a kibertanusítási folyamat végrehajtására.
Szeretnél az elsők között felkészülni az új kibertan tv. határozataira?
Ha a válaszod igen, ne habozz és lépj kapcsolatba velünk!
