Az új kiberbiztonsági törvény – és minden amit tudnod kell róla!

Magyarországon 2024-tól hatályba lép a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „kibertan tv”. Ez az új 2023. évi XXIII.-as jogszabály az EU kiberbiztonsági irányelveinek átültetését célozza meg, és számos intézkedést tartalmaz, amelyek az adott ország kiberbiztonsági védelmét erősítik vállalati szinten.

De mi indokolta e törvény megszületését, és milyen célokat szolgál?

A kibertan törvény megszületése

Az új törvény elsődleges célja, hogy átültesse az EU kiberbiztonsági irányelveit és rendeleteit a magyar jogszabályokba. A törvény a NIS2 irányelv alapján készült, amely az egész Európai Unióban kötelező.

Mivel Magyarország nem teljesen használta ki a NIS irányelvben megadott lehetőségeket, a kibertan törvény bevezetésével feljogosítják az országot a nemzeti szintű kiberbiztonsági tanúsítási rendszerek létrehozására és a kiberbiztonsági felügyeletre.

Az NIS2 irányelv közvetlenül alkalmazandó, de még nem került teljes átültetésre minden tagállamban, beleértve Magyarországot is. Az új törvény célja tehát a rendelet előírásainak teljesítése és a nemzeti kiberbiztonsági rendszer megerősítése.

A kibertan tv. céljai

A kibertan törvény kettő fő célt tűzött ki:

  1. Nemzeti szintű kiberbiztonsági tanúsítási rendszerek kialakítása:

Az új törvény lehetővé teszi Magyarország számára, hogy biztonsági követelményeket állítson fel az elektronikai eszközök és infokommunikációs termékek számára, hasonlóan az energiacímkéhez.

A cél az, hogy az emberek könnyen felismerhessék a kiberbiztonsági szinteket, ahogy ma az energetikai hatékonyságot és fogyasztást látjuk a háztartási készülékeken.

  1. Kiberbiztonsági felkészültség emelése a vállalatok és szervezetek körében:

A törvény – a NIS2 irányelvhez hasonlóan – célja, hogy az érintett szervezetek (különösen a közép- és felső szektorba tartozó vállalatok) kiberbiztonsági felkészültségi szintjét emelje.

Ez segíti az országot az új kihívásokkal szembeni hatékony védekezésben és a kibertámadások megelőzésében.

A törvény hatálya

Az új törvény hatálya az NIS2 irányelvhez igazodik, ami minimum jogharmonizációs követelményeket ír elő minden érintett szervezet számára. Azonban az NIS2-hez képest a kibertan tv. inkább a piaci szereplőket célozza.

A közigazgatási intézmények és a pénzügyi szektor (bankok és pénzügyi szolgáltatók) nagyobb hangsúlyt kapnak a szabályozás során.

Azonban a DORA előírás végett a financiális vállalatok számára történő NIS2 átültetés még várat magára – 2024. október 18.-ig.

Az érintett szektorok közé tartozik az egészségügy, az energiaszektor, a gyógyszergyárak, a gyógyszeripari cégek és az orvosdiagnosztikai eszközgyártók, valamint a postai-, illetve futárszolgálatok.

Melyikünk számára ne lenne ismerős a hamis postai csomaggal kapcsolatban küldött adathalász SMS?

Milyen biztonsági besorolásokat fog meghatározni az új rendelet?

A jelenlegi magyar szabályozás 5 szintet valósít meg, ami hatékony, viszont sok. Ritka az 1-es és az 5-ös rendszer is.

Mivel a tanúsításnál a biztonsági követelményeknek megfelelő termékek esetében 3 megbízhatósági szintet definiált az EU: alap, jelentős, magas – ezért az új paragrafus ezt fogja kivetíteni a szervezetekre is.

Viszont fontos megjegyezni, hogy nem a szervezetekre specifikusan, hanem minden egyes rendszerükre.

Tehát elképzelhető, hogy az adott cég egyik rendszere nagyobb kockázatnak van kitéve, akkor neki sokkal nagyobb védelmet kell tudnia biztosítani.

Intézkedések a kiberbiztonsági incidensek megelőzése érdekében

A kibertan törvény kifejezetten olyan intézkedéseket határoz meg, amelyek segítik az ország virtuális terében, rendszereiben elkövetett bűncselekmények megelőzését és leküzdését.

A rendelkezések között a kockázatelemzés és a védelmi intézkedések meghatározása minden érintett szervezet számára ajánlott instrukcióként jelenik meg. Azonban a részletszabályok még kidolgozásra váratnak, és a kiberbiztonsági auditokat csak 2025 végéig vezetik be.

Milyen eljárás vonatkozik a kiberbiztonsági események bejelentésére?

Az érintett szervezeteknek szigorúan be kell jelenteniük minden biztonsági incidenst és kockázatot a Nemzeti Kibervédelmi Intézetnek (CSIRT).

De a NIS2 egészen pontosan leírja, hogy mi a minimum elvárás: kell egy korai előjelzés, majd 24 órán belül egy első jelentés, 72 órán belül már egy részletes és 30 nap múlva egy zárójelentés.

Ezeknél a bejelentéseknél viszont mértékadó, hogy ne akadályozzák az elhárítást!

Milyen jogi következményeket vonnak maguk után a kötelezettségek megszegése?

Egyelőre ami lefektetésre került, hogy egyértelműen egy figyelmeztetés után bírság szabható ki, azon szervezetre, aki bármilyen törvényszegést követ el.

Az EU úgy gondolkodott már a NIS2-nél, elkezdik megerősíteni a vezetői felelősséget. Előírják azt, hogy a tagállam rendelkezhessen úgy, hogy amennyiben nem együttműködő egy szervezet, akkor az adott tevékenységét akár egy hatóság teljesen beszüntetheti.

Rosszabb esetben a cégvezetőt tilthatja el a cégvezetői tevékenység elvégzésétől.

A bírságok teljes egészében a NIS2-ből kerültek átültetésre?

Bírságtétel még nem került meghatározásra és a magyar jogszabályi környezet miatt ezt csak kormányrendeletben lehet majd rögzíteni, viszont nagyon nem tudunk elvonatkoztatni a NIS2-től.

A NIS2 azt definiálja, hogy bizonyos szervezeteknél az előző éves árbevétel maximum 1,7 százaléka, másoknál 2,4 százaléka, de a maximális bírságtétel 10 millió euróban került meghatározásra.

Ezekben az esetekben mindig van egy mérlegelés: milyen jellegű mulasztás történt, a kár hatása, stb.

Felkészülési tanácsok

A szervezeteknek a kibertan törvény előírásainak való megfelelésre kell teljes mértékben összpontosítaniuk. Az első lépések közé tartozik az adatvagyon és rendszerleltár elkészítése, valamint az üzleti folyamatok felmérése a kockázatok azonosítása érdekében.

Fontos, hogy a vállalatok minél előbb megkezdjék a felkészülést és együttműködjenek az auditor szervezetekkel a jövőbeni kötelező kiberbiztonsági auditok elvégzéséhez.

A kibertan törvény hatálya kiterjed azokra a multinacionális cégekre is, amelyek Magyarországon szolgáltatást nyújtanak, viszont nem magyar a székhelyük.

Ők is kötelesek teljesíteni az új jogszabály előírásait, és fel kell készülniük a hatósági felügyeletre és a kiberbiztonsági auditokra.

Mit vigyek magammal ebből a blogcikkből?

Az új paragrafus lehetőséget teremt, hogy hatékony kiberbiztonsági védelmet alakítson ki az adott ország a piaci szereplők körében. Az átültetett intézkedések segítenek az új kihívásokkal szembeni hatékony védekezésben és a kiberbiztonsági incidensek megelőzésében.

Az érintett szervezeteknek fel kell készülniük a törvény előírásainak megfelelésére, és figyelemmel kell kísérniük a későbbi kormányrendeleteket a részletszabályok meghatározása érdekében.

A szigorú kötelezettségek és az esetleges jogi következmények motiválhatják a vállalatokat és intézményeket a kiberbiztonság hatékony védelmére és a kibertanusítási folyamat végrehajtására.

Szeretnél az elsők között felkészülni az új kibertan tv. határozataira?

Ha a válaszod igen, ne habozz és lépj kapcsolatba velünk!

[Ez a cikk eredetileg a hacktify.eu oldalon jelent meg]