📄 Jogszabály szövege
Kiberbiztonsági tv. -
2024. évi LXIX. törvény Magyarország kiberbiztonságáról - Hatályos Jogszabályok Gyűjteménye
Ugrás az oldal tartalmához
Hatályos Jogszabályok Gyűjteménye fejléc
Új Jogtár bejelentkezés
Oldal nyomtatása
Hatály: ( 2026.VI.11. - 2026.XII.31. )
Váltás a jogszabály következő időállapotára (2027.I.1. - 2027.XII.10.)
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.
Megnyitom a Jogtárban
Jelen dokumentum a jogszabály 1. weboldalát tartalmazza. A teljes jogszabály nyomtatásához valássza a fejlécen található nyomtatás ikont!
2024. évi LXIX. törvény
Magyarország kiberbiztonságáról *
[1] A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása.
[2] Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme, amely hozzájárul Magyarország és az Európai Unió biztonságához, ellenálló képességének és versenyképességének növeléséhez.
[3] A társadalom gyors digitális átalakulásával és összekapcsolódásával az elektronikus információs rendszerek, valamint a digitális eszközök a mindennapi élet központi elemévé váltak. A fejlődés a digitális fenyegetettségek körének bővüléséhez is vezetett, ami akadályozhatja a gazdasági tevékenységek folytatását, pénzügyi veszteséget okozhat és alááshatja a felhasználók bizalmát, ezzel jelentős károkat okozva a gazdasági és társadalmi életben. Ezen túlmenően a kiberbiztonság kulcsfontosságú tényező számos kritikus ágazat számára a digitális átalakulás sikeres felkarolásához és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásához.
[4] Mindezekre, valamint az Európai Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelvére figyelemmel az Országgyűlés a következő törvényt alkotja:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. A törvény hatálya
1. § (1) E törvénynek a szervezetek kötelezettségeire és a kiberbiztonsági hatósági felügyeletre vonatkozó rendelkezéseit kell alkalmazni
a) az 1. mellékletben felsorolt, a közigazgatási ágazathoz tartozó szervezetekre,
b) * a többségi állami befolyás alatt álló azon gazdálkodó szervezetekre, amelyek nem tartoznak az a) pont hatálya alá és amelyek vonatkozásában legalább az egyik feltétel teljesül az alábbiak közül:
ba) összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy
bb) * éves nettó árbevétele vagy éves költségvetési bevételi előirányzata meghaladja a 10 millió eurónak megfelelő forintösszeget, és – a számvitelről szóló 2000. évi C. törvény 8. § (2) bekezdése szerinti beszámoló készítésére köteles szervezet esetében – mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszeget,
c) a 23. § (1) bekezdés a) pontja szerinti nemzeti kiberbiztonsági hatóság (a továbbiakban: nemzeti kiberbiztonsági hatóság), vagy a 23. § (2) bekezdése szerinti honvédelmi kiberbiztonsági hatóság (a továbbiakban: honvédelmi kiberbiztonsági hatóság) által a (6) bekezdés szerint alapvető vagy fontos szervezetként azonosított, az a), b) és d)–f) pont, valamint az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá nem tartozó szervezetekre,
d) * azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá és a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint középvállalkozásoknak minősülnek, valamint azokra a 2. és 3. melléklet szerinti szervezetekre, amelyek nem tartoznak az a) pont hatálya alá, és amelyek vonatkozásában legalább az egyik feltétel teljesül a következők közül:
da) összes foglalkoztatotti létszáma eléri vagy meghaladja az 50 főt, vagy
db) éves nettó árbevétele vagy éves költségvetési bevételi előirányzata meghaladja a 10 millió eurónak megfelelő forintösszeget, és – a számvitelről szóló 2000. évi C. törvény 8. § (2) bekezdése szerinti beszámoló készítésére köteles szervezet esetében – mérlegfőösszege meghaladja a 10 millió eurónak megfelelő forintösszeget,
e) * méretüktől függetlenül, az a) pont hatálya alá nem tartozó, a 2. és 3. melléklet szerinti szervezetekre, ha a szervezet
ea) elektronikus hírközlési szolgáltató,
eb) bizalmi szolgáltató,
ec) DNS-szolgáltató,
ed) legfelső szintű doménnév-nyilvántartó vagy
ee) doménnév-regisztrációt végző szolgáltató, valamint
f) a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságokra.
(1a) * Az (1) bekezdésben euróban meghatározott összegek forintra történő átszámításakor a Magyar Nemzeti Bank által közzétett, a szervezet üzleti évének lezárásakor vagy – költségvetési szerv esetében – a költségvetési év zárásakor érvényes hivatalos devizaárfolyamot kell alkalmazni. Újonnan alapított szervezet esetén a tárgyévet megelőző év utolsó napján érvényes, a Magyar Nemzeti Bank által közzétett hivatalos devizaárfolyamot kell alkalmazni.
(2) A kritikus szervezetek ellenálló képességéről szóló törvény (a továbbiakban: Kszetv.) alapján kijelölt kritikus szervezetek és kritikus infrastruktúrák (a továbbiakban együtt: kritikus szervezet), valamint a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény (a továbbiakban: Vbö.) alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek és infrastruktúrák (a továbbiakban együtt: az ország védelme és biztonsága szempontjából jelentős szervezet) vonatkozásában a szervezetnek az (1) bekezdés szerinti minősülése az irányadó e törvény rendelkezéseinek az alkalmazása során, kivéve, ha a kritikus szervezet vagy az ország védelme és biztonsága szempontjából jelentős szervezet az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozik.
(2a) * E törvénynek – a 9. § és a 13–15. § kivételével – az 1. § (1) bekezdés a) pontja szerinti szervezetekre irányadó rendelkezéseit kell alkalmazni arra a kritikus szervezetre vagy az ország védelme és biztonsága szempontjából jelentős szervezetre, amely nem minősül az (1) bekezdés szerinti szervezetnek.
(3) A szervezetek – az általuk nyújtott szolgáltatásnak az állam, a társadalom, a gazdaság működése szempontjából való kritikussága, valamint bizonyos esetekben a szervezet mérete alapján – alapvető vagy fontos szervezeteknek minősülnek.
(4) Az (1) bekezdés szerinti szervezetek közül alapvető szervezetnek minősülnek az alábbi szervezetek:
a) az 1. melléklet szerinti szervezetek, kivéve a 20 000 főt meg nem haladó lakosságszámú települések képviselő-testületének hivatalai,
b) * az (1) bekezdés b) pontja szerinti szervezetek,
c) azon szervezetek, amelyeket a nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság alapvető szervezetként azonosított,
d) a Kszetv. alapján kijelölt kritikus szervezetek,
e) a Vbö. alapján kijelölt, az ország védelme és biztonsága szempontjából jelentős szervezetek,
f) a 2. melléklet szerinti azon szervezetek, amelyek a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerint középvállalkozásnak minősülnek vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, valamint
g) a minősített bizalmi szolgáltatók és a legfelső szintű doménnév-nyilvántartók, valamint a DNS-szolgáltatók, méretüktől függetlenül,
h) * a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok.
(5) Az (1) bekezdés szerinti szervezetek közül fontos szervezetnek minősülnek és a szervezetekre vonatkozó rendelkezéseket az e törvényben foglalt eltérésekkel kell alkalmazni az alábbi szervezetekre:
a) a 20 000 főt meg nem haladó lakosságszámú települések képviselő-testületének hivatalai,
b) azon szervezetek, amelyeket a nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság fontos szervezetként azonosított,
c) a 2. melléklet szerinti szervezet, amely nem minősül alapvető szervezetnek, valamint
d) a 3. melléklet szerinti szervezet, amely a (4) bekezdés b)–e) pontja alapján nem minősül alapvető szervezetnek.
(6) Az (1) bekezdés c) pontja szerinti azonosítási eljárás feltétele, hogy a szervezet
1. Magyarországon egyedüli szolgáltatója egy olyan szolgáltatásnak, amely elengedhetetlen a kritikus társadalmi vagy gazdasági tevékenységek fenntartásához;
2. által nyújtott szolgáltatás zavara jelentős hatással lehet a közrendre, a közbiztonságra vagy a közegészségre;
3. által nyújtott szolgáltatás zavara jelentős hatást gyakorolhat kritikus fontosságú társadalmi vagy gazdasági tevékenységekre;
4. által nyújtott szolgáltatás zavara jelentős rendszerszintű kockázatot idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet;
5. nemzeti vagy regionális szinten különös fontossággal bír az adott ágazat vagy szolgáltatás típusa, vagy más, hazai kölcsönösen függő ágazatok szempontjából;
6. a nemzetbiztonsági védelem alá eső szervek és létesítmények köréről szóló kormányhatározat alapján nemzetbiztonsági védelem alatt áll; vagy nemzetbiztonsági okból a nemzeti kiberbiztonsági hatóság, honvédelmi vagy katonai nemzetbiztonsági okból a honvédelmi kiberbiztonsági hatóság indokoltnak tartja az azonosítását;
7. legalább 20000 személynek nyújt a 2. és 3. mellékletben foglalt ágazatok szerinti, vagy az állam működéséhez szükséges szolgáltatásokat;
8. * legalább 5, e törvény hatálya alá tartozó szervezetnek nyújt szolgáltatásokat;
9. többségi állami befolyás alatt áll;
10. jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozója;
11. az alapvető vagy fontos szervezet számára adatkezelést végez;
12. olyan köztulajdonban álló gazdasági társaságnak minősül, amely nem tartozik az (1) bekezdés b) pontjának hatálya alá vagy
13. költségvetési és európai uniós forrásból támogatott projektek keretében fejleszt elektronikus információs rendszert.
(7) E törvény kiberbiztonsági tanúsításra vonatkozó rendelkezéseit az információs és kommunikációs technológiai (a továbbiakban: IKT) termékek, IKT-szolgáltatások vagy IKT-folyamatok tanúsításával kapcsolatos tevékenységre kell alkalmazni.
(8) E törvény poszt-kvantumtitkosításra vonatkozó rendelkezéseit a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) elnökének rendeletében meghatározott, a következő szervezetekre (a továbbiakban: poszt-kvantumtitkosítás alkalmazására kötelezett szervezet) és hatósági felügyeletükre irányuló tevékenységre kell alkalmazni:
a) a kormányzati célú hálózatokról szóló kormányrendelet szerinti igénybevételre kötelezett szervezet, valamint
b) a következő törvények hatálya alá tartozó közműszolgáltató és a következő törvények felhatalmazása alapján kiadott jogszabályok hatálya alá tartozó, közszolgáltatást nyújtó szervezet:
ba) a földgázellátásról szóló törvény,
bb) a földgáz biztonsági készletezéséről szóló törvény,
bc) a villamos energiáról szóló törvény,
bd) a távhőszolgáltatásról szóló törvény,
be) a víziközmű-szolgáltatásról szóló törvény, valamint
bf) a hulladékról szóló törvény.
(9) E törvény sérülékenységvizsgálatra vonatkozó rendelkezéseit kell alkalmazni:
a) * az (1) bekezdés a)–c) és f) pontja szerinti szervezetek elektronikus információs rendszereit, valamint
b) a megállapodásban foglalt eltérésekkel a 61. § szerinti megállapodásban meghatározott elektronikus információs rendszereket
érintő sérülékenységvizsgálatokra.
(10) E törvény kiberbiztonsági incidenskezelésre vonatkozó rendelkezéseit kell alkalmazni:
a) az (1) bekezdés szerinti szervezetek, valamint
b) az e törvényben meghatározott eltérésekkel az (EU) 2022/2554 európai parlamenti és tanácsi rendelet hatálya alá tartozó szervezetek
elektronikus információs rendszereit érintő kiberbiztonsági incidensek kezelésére.
(11) A (10) bekezdésben meghatározott szervezeteken kívüli szervezetek, illetve személyek által önkéntesen bejelentett kiberbiztonsági incidensek esetén a nemzeti kiberbiztonsági incidenskezelő központ az e törvényben meghatározottak szerint jár el.
2. § (1) E törvény rendelkezéseit kell alkalmazni
a) a Magyarország területén letelepedett vagy letelepedett képviselővel rendelkező 1. § szerinti szervezetekre,
b) a Magyarország területén szolgáltatást nyújtó elektronikus hírközlési szolgáltatókra,
c) * azokra a DNS-szolgáltatókra, legfelső szintű doménnév-nyilvántartókra, doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetekre, felhőszolgáltatókra, adatközpont-szolgáltatókra, tartalomszolgáltató hálózati szolgáltatókra, kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltatókra, kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltatókra, az online piacterek, online keresőprogramok és közösségimédia-szolgáltatási platformok szolgáltatóira, amelyek üzleti tevékenységének fő helye Magyarország területén található.
(2) Az (1) bekezdés c) pontja szerinti szervezet üzleti tevékenységének fő helye abban az esetben van Magyarországon, ha
a) a kiberbiztonsági kockázatkezelési intézkedésekkel kapcsolatos döntéseket túlnyomórészt Magyarországon hozzák meg,
b) a szervezet elektronikus információs rendszereivel kapcsolatos kiberbiztonsági műveleteket Magyarországon végzik, vagy
c) a szervezetnek a legmagasabb munkavállalói létszámmal rendelkező telephelye Magyarországon van.
3. § (1) E törvény hatálya nem terjed ki
a) a minősített adatot kezelő elektronikus információs rendszerekre,
b) a műveleti célú elektronikus információs rendszerekre,
c) az atomenergia alkalmazása körében a fizikai védelemről és a kapcsolódó engedélyezési, jelentési és ellenőrzési rendszerről szóló kormányrendelet hatálya alá tartozó programozható rendszerekre, valamint
d) a Kormány rendeletében kijelölt szerv által nyújtott kiberbiztonsági szolgáltatásokra.
(2) A Kormány rendeletében határozza meg az (1) bekezdés d) pontja szerinti kiberbiztonsági szolgáltatások körét és az igénybevételére kötelezett, illetve jogosult szervezetek körét.
(3) E törvény rendelkezéseit a honvédelmi célú elektronikus információs rendszerek vonatkozásában az e törvényben meghatározott eltérésekkel kell alkalmazni.
2. Értelmező rendelkezések
4. § E törvény alkalmazásában
1. adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas;
2. adatfeldolgozás: az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti fogalom;
3. adatfeldolgozó: az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti fogalom;
4. adatkezelés: az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti fogalom;
5. adatkezelő: az információs önrendelkezési jogról és az információszabadságról szóló törvény szerinti fogalom;
6. adatkicserélő szolgáltatás: az elektronikus hírközlésről szóló törvény szerinti fogalom;
7. adatközponti szolgáltatás: olyan szolgáltatás, amely központosított elhelyezést, összeköttetést és működést biztosít adattároló, -feldolgozó és -továbbító információtechnológiai és hálózati berendezések számára, ideértve az energiaellátást és környezeti felügyeletet biztosító létesítményeket és infrastruktúrát is;
8. adatosztályozás: a szervezet által az elektronikus információs rendszerben kezelt adatok és információk biztonsági besorolása azok bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából;
9. ágazaton belüli kiberbiztonsági incidenskezelő központ: olyan kiberbiztonsági incidenskezelő központ, amelyet az e törvény hatálya alá tartozó egy vagy több, egy ágazathoz tartozó szervezet az ágazaton belül meghatározott szakterületen előforduló kiberbiztonsági incidenseinek a központosított és egységes kezelése érdekében üzemeltet;
10. auditor: az e törvény szerinti kiberbiztonsági audittevékenység végzésére jogosult, független gazdálkodó szervezet;
11. behatolásvizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az IKT-rendszer, valamint az elektronikus információs rendszer gyenge pontjainak feltárására és kihasználhatóságának ellenőrzésére kerül sor a biztonsági intézkedések elleni rosszindulatú támadások szimulációjával;
12. belső informatikai biztonsági vizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az informatikai rendszer sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik, vagy a belső hálózatban használt eszköz, vagy rendszerelem vizsgálata kerül végrehajtásra;
13. bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról;
14. bizalmi szolgáltatás: a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti fogalom;
15. bizalmi szolgáltató: a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti fogalom;
16. biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;
17. biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása;
18. digitális szolgáltatás: a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti fogalom;
19. DNS: hierarchikusan felépülő elnevezési rendszer, más néven doménnévrendszer, amely lehetővé teszi az internetes szolgáltatások és erőforrások azonosítását, lehetővé téve a végfelhasználók eszközei számára az internetes útvonal-meghatározási és összekapcsolási szolgáltatások igénybevételét e szolgáltatások és erőforrások elérése érdekében;
20. DNS-szolgáltató: olyan szervezet, amely a következő szolgáltatások valamelyikét nyújtja a szervezeten kívüli más szervezet vagy személy részére:
a) autoritatív DNS-szolgáltatás: a doménnév – doménnév-regisztrációt végző szolgáltató által kezelt – adatainak lekérdezését közvetlenül lehetővé tevő szolgáltatás, amely a legfelső szintű doménnév- nyilvántartó szolgáltatás része,
b) rekurzív DNS-szolgáltatás: olyan DNS-szolgáltatás, amely a felhasználók doménnév-lekérdezéseit a megfelelő autoritatív DNS-szolgáltatókhoz továbbítja a hierarchikusan felépülő doménnévrendszerben és az autoritatív DNS-szolgáltató által a lekérdezésre adott válaszokat továbbítja a felhasználó részére,
c) DNS-gyorsítótárazás: a doménnév-lekérdezésre adott válaszok átmeneti tárolása és a felhasználói lekérdezéseknek a tárolt doménnévadatok alapján történő kiszolgálása,
21. doménnév: az internetes kommunikációhoz használt IP-cím alfanumerikus karakterekből álló megfelelője,
22. doménnév-regisztrációt végző szolgáltató: a legfelső szintű doménnév-nyilvántartó által felhatalmazott szolgáltató, amely jogosult domén regisztrálására;
23. elektronikus hírközlési szolgáltató: az elektronikus hírközlésről szóló törvény szerinti fogalom;
24. elektronikus információs rendszer:
a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlési hálózat,
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi, ideértve a kiber-fizikai rendszereket, vagy
c) az a) és b) alpontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;
25. elektronikus információs rendszer biztonsága: az elektronikus információs rendszerek azon képessége, hogy adott bizonyossággal ellenálljanak minden olyan eseménynek, amely veszélyeztetheti a rajtuk tárolt, továbbított vagy kezelt adatok vagy az említett hálózati és információs rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát;
26. életciklus: az elektronikus információs rendszer tervezését, fejlesztését, üzemeltetését és megszüntetését magába foglaló időtartam;
27. esemény: az elektronikus információs rendszerben bekövetkezett állapotváltozás;
28. európai kiberbiztonsági tanúsítási rendszer: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 9. pontja szerinti fogalom;
29. felhasználó szervezet: központi rendszert vagy központi szolgáltatást igénybe vevő szervezet;
30. felhőszolgáltatás: olyan digitális szolgáltatás, amely önkiszolgáló módon történő hálózati hozzáférést tesz lehetővé igény szerint méretezhető, megosztott fizikai vagy virtuális erőforrások rugalmas készletéhez;
31. felhőszolgáltató: felhőalapú számítástechnikai szolgáltatást nyújtó szervezet;
31a. * gazdálkodó szervezet: a polgári perrendtartásról szóló törvény szerinti fogalom;
32. gyártó: az IKT-termék gyártója, IKT-szolgáltatás nyújtója, valamint IKT-folyamat gyártója vagy nyújtója;
33. használatbavétel: az elektronikus információs rendszer adatokkal való feltöltése és rendeltetésszerű használatának megkezdése;
34. honvédelmi célú elektronikus információs rendszer:
a) a honvédelmi szervezetek, a honvédelemért felelős miniszter fenntartói irányítása alá tartozó, honvédségi szervezetnek nem minősülő többcélú szakképző intézmény, a honvédelemért felelős miniszter tulajdonosi joggyakorlása alá tartozó gazdasági társaságok, valamint jogszabály szerint a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok elektronikus információs rendszereinek összessége, amely ágazatspecifikus módon támogatja a honvédelmi ágazaton belüli és ágazatok közötti működést,
b) az ország védelme és biztonsága szempontjából jelentős honvédelmi ágazaton belüli szervezet és infrastruktúra elektronikus információs rendszerei,
c) * az ország védelme és biztonsága szempontjából jelentős kettős kijelöléssel nem érintett szervezet és infrastruktúra elektronikus információs rendszerei, valamint
d) a honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezet elektronikus információs rendszere;
35. honvédelmi kiberbiztonsági incidenskezelő központ: a 63. § (2) bekezdése szerint kijelölt szerv;
36. ideiglenes hozzáférhetetlenné tétel: az elektronikus adathoz való hozzáférés ideiglenes megakadályozása;
37. IKT-folyamat: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 14. pontjában meghatározott fogalom;
38. IKT-szolgáltatás: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 13. pontjában meghatározott fogalom;
39. IKT-termék: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 12. pontjában meghatározott fogalom;
40. jelentős kiberbiztonsági incidens:
a) a közvetlenül alkalmazandó európai uniós jogi aktusban ekként meghatározott kiberbiztonsági incidens,
b) közvetlenül alkalmazandó európai uniós jogi aktus hiányában az olyan kiberbiztonsági incidens, amely
ba) a szervezet üzleti szolgáltatásának vagy a szervezet által nyújtott szolgáltatásnak legalább 5%-os csökkenésével vagy a szervezet éves bevételének legalább 5%-os kiesésével jár vagy fenyeget;
bb) súlyos működési zavart okoz vagy képes okozni a szolgáltatásokban, vagy pénzügyi vagy reputációs veszteséget okoz vagy képes okozni a kiberbiztonsági incidens által érintett szervezetnek vagy személynek; vagy
bc) jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett, vagy képes érinteni;
41. jelentős kiberfenyegetés: olyan kiberfenyegetés, amelyről – technikai jellemzői alapján – feltételezhető, hogy jelentős vagyoni vagy nem vagyoni hátrányt vagy kárt okozva súlyos hatást gyakorolhat egy szervezet elektronikus információs rendszereire vagy a szervezet szolgáltatásainak felhasználóira;
42. képviselő: Magyarországon letelepedett minden olyan természetes vagy jogi személy, akit vagy amelyet kifejezetten kijelöltek arra, hogy valamely, Magyarországon nem letelepedett szervezet nevében eljárjon, és akihez vagy amelyhez a kiberbiztonsági hatóság, vagy a kiberbiztonsági incidenskezelő központ az adott szervezet helyett fordulhat;
43. kiberbiztonság: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 1. pontjában meghatározott fogalom;
44. kiberbiztonsági audit: az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségének ellenőrzése;
45. kiberbiztonsági hatóság: a 23. § (1) bekezdés a) és b) pontja, valamint (2) bekezdése szerinti hatóság;
46. kiberbiztonsági incidens: olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát;
47. kiberbiztonsági incidenskezelés: minden olyan tevékenység és eljárás, amelynek célja a kiberbiztonsági incidens megelőzése, észlelése, elemzése és elszigetelése vagy a kiberbiztonsági incidensre való reagálás és a kiberbiztonsági incidenst követően a működés helyreállítása;
48. kiberbiztonsági incidenskezelő központ: a 63. § (1) és (2) bekezdése szerinti szerv;
49. kiberbiztonsági incidensközeli helyzet: olyan esemény, amely veszélyeztethette volna az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát, de amelynek bekövetkezését sikerült megakadályozni, vagy amely nem következett be;
50. kiberfenyegetés: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 8. pontjában meghatározott fogalom;
51. kiber-fizikai rendszer: olyan programozható elektronikus információs rendszerek, amelyek kölcsönhatásba lépnek a fizikai környezettel vagy kezelik a fizikai környezettel kölcsönhatásba lépő eszközöket. Ezek az elektronikus információs rendszerek közvetlenül fizikai változást érzékelnek vagy idéznek elő az eszközök, folyamatok és események megfigyelésével vagy vezérlésével;
52. kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató: olyan kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, amely a kiberbiztonsági kockázatok kezelését végzi vagy azzal összefüggő szolgáltatást nyújt;
53. kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató: olyan szervezet, amely az IKT-termék, hálózat, infrastruktúra, alkalmazás vagy bármely más elektronikus információs rendszer telepítésével, kezelésével, üzemeltetésével vagy karbantartásával kapcsolatos szolgáltatásokat nyújt a szolgáltatást igénybe vevő telephelyén vagy távolról;
54. kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának, bekövetkezési valószínűségének és az ez által okozott kár nagyságának a függvénye;
55. kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének, fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése;
56. kockázatkezelés: az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló intézkedésrendszer kidolgozása és az intézkedések végrehajtása;
57. kockázatmenedzsment keretrendszer: olyan strukturált, ugyanakkor rugalmas megközelítés és szervezeti folyamatok összessége, amely integrálja a kiberbiztonsággal kapcsolatos kockázatkezelési tevékenységeket a rendszerfejlesztési életciklusban a kockázatokkal arányos védelmi intézkedések azonosításán, bevezetésén, értékelésén, működtetésén és nyomon követésén keresztül az új és már használatban lévő rendszerek fenyegetettségeinek folyamatos felderítése, és kockázatainak hatékony kezelése érdekében;
58. közigazgatási szerv: az 1. melléklet 1–13. pontja szerinti szervezet;
59. közösségimédia-szolgáltatási platform: olyan platform, amely lehetővé teszi a végfelhasználók számára, hogy több eszközön keresztül kapcsolódjanak, tartalmakat osszanak meg, fedezzenek fel és kommunikáljanak egymással;
60. központi rendszer: egyes állami, önkormányzati feladatok ellátását segítő, zárt ügyfélkör számára központosítottan fejlesztett vagy működtetett elektronikus információs rendszer, amelyen keresztül megvalósított funkciókat egy adott intézményi körben kötelezően vagy opcionálisan vesznek igénybe a felhasználó szervezetek;
61. központi szolgáltatás: a központi szolgáltató által kötelezően vagy egyedi igény alapján biztosítandó szolgáltatás;
62. központi szolgáltató: olyan szervezet, amely állami és önkormányzati feladatot ellátó szervezet részére jogszabály alapján kizárólagos joggal nyújt informatikai és elektronikus hírközlési szolgáltatást;
63. kutatóhely: a tudományos kutatásról, fejlesztésről és innovációról szóló törvény szerinti kutatóhely – az oktatási intézmények kivételével –, amelynek elsődleges célja alkalmazott kutatás vagy kísérleti fejlesztés folytatása a kutatás eredményeinek kereskedelmi célokra való hasznosítása céljából;
64. legfelső szintű doménnév-nyilvántartó: olyan szervezet, amelyre egy meghatározott legfelső szintű domént bíztak és amely felelős egyrészt a legfelső szintű domén kezeléséért – ideértve a legfelső szintű domén alatti doménnevek nyilvántartásba vételét –, másrészt a legfelső szintű domén technikai üzemeltetéséért, amely magában foglalja a névszervereinek üzemeltetését, adatbázisainak karbantartását és a legfelső szintű doménzónafájlok elosztását a névszerverek között, függetlenül attól, hogy ezeknek az üzemeltetési tevékenységeknek bármelyikét maga a szervezet végzi vagy azokat kiszervezi, kivéve azokat az eseteket, amikor a legfelső szintű doménneveket a nyilvántartó kizárólag saját használatra veszi igénybe;
65. * megfelelőségértékelés: – a IX/A. Fejezet kivételével – az az értékelési eljárás, amely bizonyítja, hogy egy IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesültek;
66. megfelelőségértékelő szervezet: a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről szóló, 2008. július 9-i 765/2008/EK európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom;
67. megfelelőségi nyilatkozat: a gyártó vagy a szolgáltató által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek;
68. megfelelőségi önértékelés: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom;
69. mérföldkő: az európai uniós forrásból finanszírozott központi rendszer fejlesztése esetén a Helyreállítási és Rezilienciaépítési Eszköz létrehozásáról szóló, 2021. február 12-i (EU) 2021/241 európai parlamenti és tanácsi rendelet 2. cikk 4. pontja és az Európai Regionális Fejlesztési Alapra, az Európai Szociális Alap Pluszra, a Kohéziós Alapra, az Igazságos Átmenet Alapra és az Európai Tengerügyi, Halászati és Akvakultúra-alapra vonatkozó közös rendelkezések, valamint az előbbiekre és a Menekültügyi, Migrációs és Integrációs Alapra, a Belső Biztonsági Alapra és a határigazgatás és a vízumpolitika pénzügyi támogatására szolgáló eszközre vonatkozó pénzügyi szabályok megállapításáról szóló, 2021. június 24-i (EU) 2021/1060 európai parlamenti és tanácsi rendelet 2. cikk 4. pontja szerinti, valamint a fejlesztésekre irányuló egyéb projektek esetén a projektben meghatározott fogalom;
70. minősített bizalmi szolgáltatás: a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti fogalom;
71. minősített bizalmi szolgáltató: a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvény szerinti fogalom;
72. műszaki előírás: az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/ EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről szóló, 2012. október 25-i 1025/2012/EU európai parlamenti és tanácsi rendelet (a továbbiakban: 1025/2012/EU rendelet) 2. cikk 4. pontjában meghatározott fogalom;
73. műveleti célú elektronikus információs rendszer:
a) a rendvédelmi szervek és a nemzetbiztonsági szolgálatok számára törvényben meghatározott közbiztonsági, nemzetbiztonsági feladatok ellátása érdekében használt elektronikus információs rendszer és
b) a honvédségi szervezetek által, a törvényben meghatározott katonai műveleti feladatok – így különösen közvetlen művelettámogatás, -tervezés, -vezetés, helyzetkövetés – ellátása érdekében használt elektronikus információs rendszer;
74. nagyszabású kiberbiztonsági incidens: olyan kiberbiztonsági incidens, amely olyan mértékű zavart okoz, amely meghaladja Magyarországnak az arra való reagálási képességét, vagy amely Magyarországra és legalább még egy másik országra jelentős hatást gyakorol;
75. nem privát felhőszolgáltatás: olyan szolgáltató által nyújtott felhőszolgáltatás, amelyet a szolgáltató bárki számára elérhető módon vagy kizárólag a szervezetek egy meghatározott köre számára nyújt;
76. nemzeti kiberbiztonsági incidenskezelő központ: az Európai Hálózat- és Információbiztonsági Ügynökség ajánlásai szerint működő, kiberbiztonsági incidensekre reagáló egység, amely a nemzetközi hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben tagsággal rendelkezik [európai használatban: CSIRT (Computer Security Incident Response Team), amerikai használatban: CERT (Computer Emergency Response Team)];
77. nemzeti kiberbiztonsági tanúsítási rendszer: IKT-termékek, IKT-szolgáltatások és IKT-folyamatok tanúsítására, megfelelőségértékelésére Magyarországon alkalmazandó, az európai kiberbiztonsági rendszerek elvei alapján kidolgozott és a tanúsító hatóság által meghatározott szabályok, műszaki követelmények, szabványok és eljárások átfogó rendszere;
78. nemzeti kiberbiztonsági stratégia: a kiberbiztonság területén követendő stratégiai célokat és prioritásokat, valamint a megvalósításukhoz szükséges irányítási intézkedéseket meghatározó dokumentum;
79. nemzeti kiberbiztonsági tanúsítvány: olyan független harmadik fél által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek;
80. * nemzeti válságkezelési terv: az (EU) 2022/2555 európai parlamenti és tanácsi irányelv alapján a nagyszabású kiberbiztonsági incidensek és válságok elhárítására szolgáló nemzeti terv, amely meghatározza a nagyszabású kiberbiztonsági incidensek és válságok kezelésének célkitűzéseit és szabályait;
81. online keresőprogram: az online közvetítő szolgáltatások üzleti felhasználói tekintetében alkalmazandó tisztességes és átlátható feltételek előmozdításáról szóló, 2019. június 20-i (EU) 2019/1150 európai parlamenti és tanácsi rendelet 2. cikk 5. pontjában meghatározott fogalom;
82. online piactér: olyan szolgáltatás, amely a kereskedő által vagy a kereskedő nevében működtetett szoftvert, többek között weboldalt, valamely weboldal egy részét vagy valamely alkalmazást használ, és amelynek révén a fogyasztók távollevők közötti szerződést köthetnek más kereskedőkkel vagy fogyasztókkal;
83. regisztrált felhasználói jogosultság: a biztonsági vizsgálatot végző személy számára a sérülékenységvizsgálat elvégzése érdekében célzottan létrehozott felhasználói jogosultság;
84. rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
85. sebezhetőség: IKT-termék, -szolgáltatás, -folyamat gyengesége, érzékenysége vagy hiányossága, amelynek kihasználása veszélyezteti vagy sérti az IKT-termék, -szolgáltatás, -folyamat bizalmasságát, sértetlenségét vagy rendelkezésre állását;
86. sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik, azaz hiteles, valamint a származás ellenőrizhetőségét, bizonyosságát, azaz letagadhatatlanságát is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható;
87. sérülékenység: az elektronikus információs rendszer gyengesége, érzékenysége vagy hiányossága, amelynek kihasználása veszélyezteti vagy sérti egy elektronikus információs rendszer bizalmasságát, sértetlenségét vagy rendelkezésre állását;
88. sérülékenységkezelési terv: a sérülékenységek megszüntetésére irányuló tervdokumentum;
89. sérülékenységvizsgálat: sérülékenységmenedzsment eszköz vagy módszer, amely során informatikai rendszerek, hardverek és szoftverek biztonsági szempontból történő átvizsgálása zajlik, az ellenőrzést automatizált eszközökkel és közvetlen, szakértő által végzett vizsgálatokkal hajtják végre;
90. szabvány: az 1025/2012/EU rendelet 2. cikk 1. pontjában meghatározott fogalom;
91. szervezet: állami szerv vagy állami szervezet, a Polgári Törvénykönyvről szóló törvény szerinti jogi személy, jogi személyiség nélküli szervezet;
92. támogató rendszer: az 1. § (1) bekezdés a)–c) pontja szerinti szervezet alapfeladatainak ellátásában közvetlenül nem részt vevő elektronikus információs rendszer, amely szükséges azon rendszerek működéséhez, amelyek alapfeladatot látnak el;
93. tanúsítás: független harmadik fél által végzett megfelelőségértékelési tevékenység;
94. tartalomszolgáltató hálózat szolgáltatója: a digitális tartalmak és szolgáltatások széles körű, akadálymentes és gyors rendelkezésre állását biztosító, földrajzilag elosztott szerverek hálózatának szolgáltatója;
95. távoli sérülékenységvizsgálat: olyan sérülékenységvizsgálat, amelynek során
a) az elektronikus információs rendszer internet felőli, külső sérülékenységvizsgálatára kerül sor, amelynek keretében az interneten fellelhető, nyilvános adatbázisokban való szabad keresés, célzott információgyűjtés, valamint az elérhető számítógépek szolgáltatásai sebezhetőségének feltérképezése történik,
b) automatizált és kézi vizsgálatok útján kerülnek feltárásra a webes alkalmazások sérülékenységei, vagy
c) a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik;
96. továbbfejlesztés: az érintett, már működő elektronikus információs rendszer olyan mértékű fejlesztése, amely funkcionalitásának érdemi megváltozásával jár, vagy védelmének elvárt erősségére hatással van;
96a. * többségi állami befolyás alatt álló gazdálkodó szervezet:
a) a magyar államnak a Polgári Törvénykönyvről szóló törvényben meghatározott többségi befolyása, vagy
b) a Kormány, annak tagja, az Országgyűlés elnöke közvetlen, vagy az általa irányított költségvetési szerven keresztül gyakorolt rendelkezési, irányítási, felügyeleti joga
alatt álló gazdálkodó szervezet;
97. üzemeltetési kiberbiztonsági incidens: olyan kiberbiztonsági incidens, amely az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált, vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását nem szándékoltan csökkenti vagy megszünteti;
98. üzemeltető: az a természetes személy, jogi személy, jogi személyiség nélküli szervezet vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi és a működésért felelős;
99. zárt, teljes körű, folytonos és a kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme,
a) amely az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósul,
b) amely az elektronikus információs rendszer valamennyi elemére kiterjed,
c) amely az összes számításba vehető fenyegetést, veszélyt figyelembe veszi, valamint
d) amelynek költségei arányosak a fenyegetések által okozható károk értékével.
3. Általános alapelvek
5. § (1) Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell
a) az elektronikus információs rendszerben kezelt adatok, információk és az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások bizalmassága, sértetlensége és rendelkezésre állása, valamint
b) az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása
vonatkozásában a zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet.
(2) Az elektronikus információs rendszer védelme keretében az elektronikus információs rendszer felett rendelkezési jogosultsággal rendelkező szervezet, az adatkezelő vagy az adatfeldolgozó által, adott cél érdekében
a) az adatok, információk kezelésére használt eszközök, ideértve a környezeti infrastruktúrát, a hardvert, a hálózatot és az adathordozókat
b) az adatok, információk kezelésére használt eljárások, ideértve a szabályozást, a szoftvert és a kapcsolódó folyamatokat, valamint
c) az a) és b) pontban foglaltakat kezelő személyek
együttesének védelmét is biztosítani szükséges.
(3) Megfelelő költségvetési forrást kell biztosítani
a) a nemzeti kiberbiztonsági hatóság és a honvédelmi kiberbiztonsági hatóság,
b) az 57. § (1) bekezdése szerinti sérülékenységvizsgálat végzésére jogosult állami szerv (a továbbiakban: sérülékenységvizsgálat végzésére jogosult állami szerv), valamint
c) a 63. § szerinti nemzeti kiberbiztonsági incidenskezelő központ és a honvédelmi kiberbiztonsági incidenskezelő központ
működésére.
II. FEJEZET
ALAPVETŐ ÉS FONTOS SZERVEZETEK KÖTELEZETTSÉGEI
4. Az alapvető és fontos szervezetek általános kötelezettségei
6. § (1) A szervezet elektronikus információs rendszerének kell tekinteni a szervezet rendelkezésében lévő elektronikus információs rendszert.
(2) A szervezet vezetője az elektronikus információs rendszerek védelme érdekében kockázatmenedzsment keretrendszert hoz létre és működtet a közvetlenül alkalmazandó európai uniós jogi aktusban, ennek hiányában és a közvetlenül alkalmazandó európai uniós jogi aktus által nem szabályozott kérdésekben az informatikáért felelős miniszter rendeletében foglaltak szerint.
(3) A (2) bekezdésben meghatározott tevékenység keretében a szervezet vezetője
1. gondoskodik a szervezet által használt elektronikus információs rendszerek, központi szolgáltatások felméréséről és nyilvántartásba vételéről a következők szerinti bontásban:
a) a szervezet rendelkezésében lévő elektronikus információs rendszerek,
b) a szervezet által használt központi rendszerek,
c) a szervezet által igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek,
d) a szervezet rendelkezésében lévő vagy a szervezet által használt egyéb támogató rendszerek;
2. meghatározza a szervezet rendelkezésében lévő, továbbá a szervezet használatában lévő elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősöket, feladatokat és az ehhez szükséges hatásköröket, kinevezi vagy megbízza az elektronikus információs rendszer biztonságáért felelős személyt;
3. az 1. melléklet szerinti szervezet esetében gondoskodik az 1. pont a) alpontja szerinti elektronikus információs rendszerben kezelt adatok felméréséről és osztályozásáról;
4. az informatikáért felelős miniszter rendelete szerinti hatáselemzést és kockázatmenedzsment tevékenységet végez az 1. pont a) alpontja szerinti elektronikus információs rendszerekre és azok környezetére vonatkozóan;
5. a jogszabályban meghatározottak szerint biztonsági osztályba sorolja az 1. pont a) alpontja szerinti elektronikus információs rendszereket;
6. meghatározza az 1. pont a) alpontja szerinti elektronikus információs rendszerek vonatkozásában a kockázatokkal arányos védelmi intézkedéseket;
7. kiadja a felhasználókra és az elektronikus információbiztonsági követelményekre vonatkozó információbiztonsági szabályzatot, valamint gondoskodik annak legalább kétévente vagy a jogszabályban meghatározott esetekben történő felülvizsgálatáról;
8. biztosítja az elektronikus információs rendszerek védelme vonatkozásában meghatározott védelmi intézkedések teljesülését;
9. gondoskodik – ha releváns – az európai uniós jogi aktusban foglaltak, valamint az informatikáért felelős miniszter rendelete szerint kiválasztott védelmi intézkedések megfelelőségének első biztonsági osztályba sorolás alkalmával történő értékeléséről,
10. rendszeresen gondoskodik a védelmi intézkedések időszakos értékeléséről, ennek keretében legalább kockázatelemzések, ellenőrzések, független és a kiberbiztonsági hatóság által kiadott ajánlás szerinti belső kiberbiztonsági értékelés lefolytatása révén meggyőződik arról, hogy a jogszabályoknak és a kockázatoknak megfelelően meghatározott védelmi intézkedések megfelelően biztosítják-e a szervezet és elektronikus információs rendszerei biztonságát;
11. gondoskodik a biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során feltárt hiányosságok orvoslásáról;
12. a szervezeten belül dönt az elektronikus információs rendszerek használatbavételéről vagy használatának folytatásáról és
13. gondoskodik a kiberbiztonsági hatósági kötelezések teljesítéséről.
(4) * A (3) bekezdés 10. pontjában meghatározott feladatokat a szervezet vezetője legalább kétévente, az információbiztonsági szabályzat felülvizsgálatával, illetve amennyiben annak végrehajtására kötelezett, a biztonsági osztályba sorolás felülvizsgálatával egyidejűleg hajtja végre.
(5) A szervezet vezetője az elektronikus információs rendszer védelmének biztosítása érdekében
a) gondoskodik az elektronikus információs rendszerek védelmi feladatainak és az azokhoz kapcsolódó felelősségi köröknek az oktatásáról, saját maga és a szervezet munkatársainak – az informatikáért felelős miniszter rendeletében meghatározott – kiberbiztonsági képzéséről, továbbképzéséről;
b) biztosítja a kötelezően előírt hazai kiberbiztonsági gyakorlatokon történő részvételt, illetve kiberbiztonsági gyakorlat önálló megtartását;
c) gondoskodik az elektronikus információs rendszer eseményeinek nyomonkövethetőségéről;
d) ha a szervezet közreműködőt vesz igénybe az elektronikus információs rendszer létrehozása, üzemeltetése, auditálása, karbantartása, javítása, illetve a kiberbiztonsági incidensek kezelése során, vagy a szervezet elektronikus információs rendszerével kapcsolatos adatkezelési, adatfeldolgozási tevékenység ellátásához, gondoskodik arról, hogy a közreműködő által az elektronikus információs rendszerrel kapcsolatosan ellátott tevékenységgel összefüggésben szükséges kiberbiztonsági követelmények az e törvényben foglaltaknak megfelelően szerződéses kötelemként teljesüljenek;
e) az elektronikus információs rendszert érintő kiberfenyegetés, kiberbiztonsági incidensközeli helyzet vagy kiberbiztonsági incidens bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a gyors és hatékony reagálásról, az illetékes kiberbiztonsági incidenskezelő központnak való bejelentésről, a kiberbiztonsági incidensek kezeléséről, valamint a helyreállításról;
f) gondoskodik az érintetteknek a kiberbiztonsági incidensekről és a lehetséges fenyegetésekről történő haladéktalan tájékoztatásáról;
g) gondoskodik a kiberbiztonsági hatóság és az illetékes kiberbiztonsági incidenskezelő központ ajánlásainak, iránymutatásainak az elektronikus információs rendszer védelmének biztosítása érdekében történő figyelembevételéről;
h) köteles törekedni arra, hogy a jelen jogszabályban meghatározott feladatokat a lehető legrövidebb időn belül hajtsa végre;
i) az 1. § (1) bekezdés a)–c) pontja szerinti szervezetek esetében gondoskodik arról, hogy a szervezet által az adott évben informatikai fejlesztésre fordított költségek legalább 5%-ának megfelelő összeget a szervezet a tárgyév során kiberbiztonsági fejlesztésekre fordítson és
j) megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.
(6) A (3)–(5) bekezdésben meghatározott feladatokért a szervezet vezetője az (5) bekezdés d) pontjában meghatározott esetben is felelős, kivéve – az igénybe vett szolgáltatások mértékéig – azokat az esetköröket, amikor központi szolgáltatót vagy központi rendszert kell a szervezetnek igénybe vennie.
(7) Az (5) bekezdés e) pontja szerinti jelentési kötelezettség teljesítése nem érinti a más törvény alapján fennálló jelentési kötelezettségeket.
(8) Az (1)–(5) bekezdés szerinti egyes követelményeknek való megfelelés igazolására – ha rendelkezésre áll – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.
(9) * Az informatikáért felelős miniszter rendeletében – a honvédelmi célú elektronikus információs rendszerek tekintetében a honvédelmi miniszter rendeletében – meghatározott, 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezetek, valamint az SZTFH elnökének rendeletében meghatározott, 1. § (1) bekezdés d) és e) pontja szerinti szervezetek kötelesek az európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított – az informatikáért felelős miniszter, a honvédelmi miniszter vagy az SZTFH elnöke rendeletében meghatározott – IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni.
(10) Az 1. § (1) bekezdés a) és c) pontja hatálya alá tartozó fontos szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja hatálya alá tartozó szervezet rendelkezésében lévő elektronikus információs rendszerek vonatkozásában
a) nem szükséges a (2) bekezdésben foglalt teljes körű kockázatmenedzsment keretrendszert működtetni,
b) * nem kell teljesíteni a (3) bekezdés 4–5. és 9. pontjában foglaltakat, valamint
c) legalább az „alap” biztonsági osztályra irányadó követelményeket kell teljesíteni.
(11) A honvédelmi célú elektronikus információs rendszer felett rendelkezési jogosultsággal bíró szervezet a honvédelmi célú elektronikus információs rendszer vonatkozásában a hatósági eljárásban a honvédelmi kiberbiztonsági hatóságot keresi meg, az e törvény által előírt bejelentési és egyéb kötelezettségeket a honvédelmi kiberbiztonsági hatóság felé teljesíti.
(12) * A hazai kiberbiztonsági gyakorlatok megtartásának részletszabályait, valamint az 1. § (1) bekezdés a)–c) és f) pontja hatálya alá tartozó szervezetek kötelezettségeire vonatkozó részletes rendelkezéseket kormányrendelet határozza meg.
7. § (1) * A kiberbiztonsági felügyeleti tevékenységért – a költségvetési szervek kivételével – az 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a 2. és 3. melléklet szerinti szervezet is, valamint az 1. § (1) bekezdés d) és e) pontja szerinti szervezet – ha a szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoport (a továbbiakban: elismert vállalatcsoport) ellenőrzött tagja, helyette az uralkodó tag – az SZTFH elnökének rendeletében – a (2) bekezdésben foglaltak alapján – meghatározott mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.
(2) Az éves kiberbiztonsági felügyeleti díj mértéke az (1) bekezdés szerinti szervezet előző üzleti évi nettó árbevételének – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének – legfeljebb 0,015 százaléka, de legfeljebb 10 millió forint. Az ugyanazon elismert vállalatcsoportban vagy az ugyanazon, a Polgári Törvénykönyvről szóló törvény szerinti tényleges vállalatcsoportban, vagy a számvitelről szóló törvény szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő szervezetek tekintetében a fizetendő éves kiberbiztonsági felügyeleti díj együttes mértéke nem haladhatja meg az 50 millió forintot. A tényleges vállalatcsoportként vagy az egy konszolidációs körbe tartozó vállalkozáscsoportként való működés tényét az (1) bekezdés szerinti szervezet az SZTFH elnökének rendeletében foglaltak szerint igazolja.
(3) A kiberbiztonsági felügyeleti díjat az (1) bekezdés szerinti kötelezett az SZTFH elnökének rendeletében meghatározott módon és időpontban köteles megfizetni az SZTFH részére.
8. § (1) Az e törvény hatálya alá tartozó elektronikus információs rendszert működtető, nem Magyarországon bejegyzett szervezetnek Magyarország területén működő képviselőt kell írásban kijelölnie, aki az e törvényben foglaltak végrehajtásáért a szervezet vezetőjére vonatkozó szabályok szerint felel. A képviselő kijelölése nem érinti a szervezet, illetve a szervezet vezetőjének felelősségét.
(2) A szervezet vezetője köteles gondoskodni arról, hogy a szervezet együttműködjön a kiberbiztonsági hatósággal.
(3) Az együttműködés során a szervezet vezetője
a) * gondoskodik a jogszabályban és a hatóság honlapján meghatározottak szerint az adatoknak, dokumentumoknak, valamint ezek változásainak, a változást követő 14 napon belül a kiberbiztonsági hatóság részére – nyilvántartásba vétel céljából – történő megküldéséről, valamint
b) biztosítja az ellenőrzés lefolytatásához szükséges feltételeket.
(4) Az 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezet – az 51. alcímben foglalt kivételekkel – az e törvény hatálya alá kerülését követő *
a) * 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére a 28. § (1) bekezdés 1. pont a)–e) és j) alpontjában meghatározott adatokat, nyilvántartásba vétel céljából,
b) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére az elektronikus információs rendszer biztonságáért felelős személy adatait,
c) 90 napon belül a 6. § (3) bekezdés 1. pontjában foglaltaknak megfelelően felméri a szervezet által használt elektronikus információs rendszereket,
d) 120 napon belül – ha releváns – elvégzi a 9. § szerinti adatosztályozást,
e) 180 napon belül megküldi a nemzeti kiberbiztonsági hatóság részére a szervezet információbiztonsági szabályzatát,
f) * 180 napon belül a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – amennyiben annak végrehajtására kötelezett – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását, valamint felméri az elektronikus információs rendszerekhez kapcsolódó védelmi intézkedéseket, azok megfelelőségét és státuszát, továbbá megteszi a Kormány rendeletében meghatározott tartalmú bejelentést a nemzeti kiberbiztonsági hatóságnak.
(5) Az 1. § (1) bekezdés b) pontja hatálya alá tartozó, és egyidejűleg 2. és 3. melléklet szerinti szervezetnek minősülő szervezet, valamint az 1. § (1) bekezdés d) és e) pontja szerinti szervezet köteles a működése megkezdését követő vagy az e törvény hatálya alá kerülést követő 30 napon belül a 29. § (1) bekezdés a) pontjában meghatározott adatokat – a 29. § (1) bekezdés a) pont ab) alpontja szerinti adatok kivételével – megküldeni az SZTFH részére a nyilvántartásba vétel érdekében.
(6) A (4) és (5) bekezdés alkalmazása szempontjából az e törvény hatálya alá kerülés időpontja
a) új szervezet esetében a szervezet létesítésének,
b) * az 1. § (1) bekezdés b) vagy d) pontja szerinti esetben
ba) az e törvény hatálya alá kerülésre okot adó feltétel bekövetkezését követő év első, vagy
bb) ha a szervezet a ba) alpont szerinti napot megelőzően benyújtott nyilvántartásba vételi kérelmében ezt kéri, a szervezet nyilvántartásba vételéről szóló döntés véglegessé válásának,
c) a hatály alá kerülést eredményező jogállást megalapozó jogi aktus hatálybalépésének
napja.
(6a) * Ha az 1. § (1) bekezdés b) vagy d) pontja szerinti szervezet esetében az e törvény hatálya alá kerülésre okot adó 1. § (1) bekezdés b) pont ba) vagy bb) alpontja, illetve 1. § (1) bekezdés d) pont da) vagy db) alpontja szerinti feltétel megszűnik, az e törvény hatálya alól történő kikerülés időpontja a feltétel megszűnését követő második év vége.
(7) A szervezet a kiberbiztonsági információk megosztása érdekében az informatikáért felelős miniszter rendeletében meghatározott együttműködések megvalósítása céljából – a honvédelmi célú elektronikus információs rendszerekre vonatkozó információk kivételével – kiberbiztonsági információmegosztási megállapodásokat köthet. A szervezet kiberbiztonsági információmegosztási megállapodás megkötéséről, ilyen megállapodásban való részvételéről vagy annak felmondásáról tájékoztatja a kiberbiztonsági hatóságot.
5. Adatosztályozás
9. § (1) Annak érdekében, hogy a szervezet által kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, az 1. § (1) bekezdés a) pontja szerinti szervezet köteles az általa az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint.
(2) * Az 1. § (1) bekezdés b) és c), a honvédelmi célú elektronikus információs rendszerei vonatkozásában az f) pontja szerinti szervezet az adatosztályozást nem privát felhőszolgáltatás igénybevétele és külföldi adatkezelés megvalósítása esetén köteles elvégezni, a külföldi vagy nem privát felhőszolgáltatás igénybevételével történő adatkezelés kockázatainak felmérése érdekében.
(3) Az adatosztályozás során figyelembe kell venni a logikailag együtt, egységben kezelt elektronikus adatok – ideértve az adatbázist, adattárat, egyedi dokumentumot és egyéb adatállományt – együttes biztonsági igényét.
(4) * Az 1. § (1) bekezdés a)–c) és a honvédelmi célú elektronikus információs rendszerei vonatkozásában az f) pontja szerinti szervezet kizárólag az adatosztályozás alapján, annak eredményére figyelemmel vehet igénybe nem privát felhőszolgáltatást, vagy kezelhet külföldön adatot, amennyiben más jogszabály a felhőszolgáltatás igénybevételét, vagy a külföldi adatkezelést nem tiltja vagy korlátozza.
(5) A szervezet a biztonsági osztályba sorolás keretében, valamint abban az esetben vizsgálja felül az adatosztályozást, amennyiben az elektronikus információs rendszerben kezelendő adatok körében változás következik be.
6. A biztonsági osztályba sorolás
10. § (1) A szervezet elektronikus információs rendszerei, valamint az azokban kezelt adatok, a nyújtott szolgáltatások kockázatokkal arányos védelmének biztosítása érdekében a szervezet az e törvény hatálya alá tartozó, a szervezet rendelkezésében lévő elektronikus információs rendszereit „alap”, „jelentős” vagy „magas” biztonsági osztályba sorolja az érintett elektronikus információs rendszer sértetlensége és rendelkezésre állása, valamint az általa kezelt adat bizalmassága, sértetlensége és rendelkezésre állásának kockázata alapján, szigorodó védelmi előírásokkal.
(2) A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolás eredményét a szervezet az elektronikus információs rendszerek nyilvántartásában vagy egyéb belső szabályzatban rögzíti.
(3) A biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket az informatikáért felelős miniszter rendeletben határozza meg.
(4) A szervezet az elektronikus információs rendszer biztonsági osztálya alapján meghatározza és megvalósítja az informatikáért felelős miniszter rendeletében előírt védelmi intézkedéseket az adott elektronikus információs rendszerre vonatkozóan.
(5) * Az 1. § (1) bekezdés a) és a honvédelmi célú elektronikus információs rendszerei vonatkozásában az f) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja szerinti szervezet elektronikus …
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.