Kibertan

Hatályba lépett a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (röviden: kibertan tv.)

A háttér

Ez  a  törvény az  ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az  információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

A törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

Alapvető követelmények

Az  érintett szervezet a  kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

 A biztonság magában foglalja az  elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

-a tárolt, továbbított vagy feldolgozott adatok, információk,

– az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmasságát, sértetlenségét és rendelkezésre állását.

 A  védelemnek ki kell terjednie: 

  • az információbiztonsági irányítás rendszerére,
  • az elektronikus információs rendszerek kockázatainak feltárására és kezelésére, 
  • a kockázatok csökkentésére irányuló, a  szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére
  • az üzletmenet folytonosság biztosítására 
  • az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

A kiberbiztonsági felügyelettel érintettek köre

A kiberbiztonsági felügyeletet kevés kivételtől eltekintve az SZFTH látja el.

A törvény melléklete részletesen felsorolja, hogy mely iparágak tartoznak a felügyelettel érintett, kiemelten kockázatos, illetve kockázatos kategóriába. A jelenlegi becslések alapján hazánkban ez mintegy 2500 közepes és nagyvállalatot érint közvetlenül.

Mi a teendő ?

A követelmények teljesítésére még több mint egy év van, a kezdő lépést érdemes megtenni – meg kell bízni a feladattal egy megfelelő információ biztonságért felelős személyt, aki elvégzi/elvégezteti a következő feladatokat:

  • az érintettség vizsgálata
  • a megjelenő publikus információk folyamatos gyűjtése, értékelése
  • a szervezet jelenlegi információbiztonsági helyzetének felmérése, az eltérések rögzítése
  • cselekvési terv kidolgozása

Határidők

2024. január 1.

  • Önazonosítás
  • Biztonsági osztályba sorolás
  • Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése

2024. június 30.

  • Nyilvántartásba vételre bejelentkezés

2024. október 18.

  • Védelmi intézkedések alkalmazása
  • Felügyeleti díj megfizetése

2024. december 31.

  • Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral

2025. december 31.

  • Első kiberbiztonsági audit lefolytatása