Elfogadták a kiberbiztonságról szóló törvényjavaslatot

Az Országgyűlés december 17-én fogadta el a „Magyarország kiberbiztonságáról” címet viselő törvényjavaslatot, ami a hazai kiberbiztonsági szabályozás új keretrendszereként fog szolgálni a jövőben. A várhatóan január elsején hatályba lépő törvény célja az Európai Unió NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A törvény a NIS2 mintájára kategorizálja a magyar kiberbiztonsági jogszabályok hatálya alá tartozó szervezeteket. Ez alapján az érintett vállalatok – méretüktől függően, illetve ha az általuk nyújtott szolgáltatás alapján alapvető vagy fontos szervezeteknek minősülhetnek.

A 2023-ban hatályba lépett NIS2 (Network and Information Security Directive) a 2016-os változat hiányosságait korrigálva igyekszik új alapokra helyezni a nemzetközösség informatikai védvonalait. Az október 18-tól kötelező érvénnyel alkalmazandó irányelv egyik legfontosabb velejárója, hogy a korábbiakhoz képest nagyjából 15-ször annyi entitásra terjed ki a hatálya, mely komoly hatást gyakorol az érintett cégek, főként a magánvállalkozások működésére. A kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt – a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda. 

A kiberbiztonsági törvény részben átveszi a NIS2 joghatósági szabályozását, ugyanakkor az átültetés bizonyos esetekben (például DNS-, felhő-, adatközpont- szolgáltatókra, irányított biztonsági szolgáltatókra, az online piacterek, keresőprogramok és közösségimédia-platformok szolgáltatóira vonatkozóan) nem követi teljesen a NIS2-t. Egy fontos elhatároló tényező még, hogy az illető szervezet kiemelten kockázatos vagy csak egyszerűen kockázatos ágazatban tevékenykedik.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Az új törvény újdonságként behozza az érintetti körbe a többségi állami befolyás alatt lévő szervezeteket. Amennyiben ezek elérik a középvállalati méretet, alapvető szervezetnek fognak minősülni, és az NBSZ lesz a hatóságuk. Szintén komoly újítás, hogy a nemzeti és a katonai kibervédelmi hatóság (vagyis praktikusan az NBSZ és a KNBSZ) jogosultságot kap arra, hogy alapvető vagy fontos szervezetnek minősítsen egyes szervezeteket – emelte ki Dr. Kiss Csaba nemzetbiztonsági vezérőrnagy az ITBusiness-nek adott interjújában.

A kiberbiztonsági törvény hatálya alá tartozó nem Magyarországon bejegyzett szervezetnek a törvényben foglaltak végrehajtásáért felelős, Magyarország területén működő képviselőt kell írásban kijelölnie. A rendszer biztonságáért felelős személynek bizonyos esetekben rendelkeznie kell a feladatellátáshoz szükséges, rendeletben előírt végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy a szakterületen szerzett szakmai tapasztalattal. Ha a vállalat nem rendelkezik ilyen szakértelmű személlyel, akkor az SZTFH által nyilvántartásba vett, kiberbiztonsági incidens kezelésére jogosult szervezetet kell megbíznia.

A kategorizálásnak megfelelően a cégekre különböző követelmények és szankciók vonatkoznak. A meg nem felelés már a NIS2 szerint is jelentős, szervezettől függően akár 10 millió eurós bírsággal járhat, és a magyar jogalkotó ennél akár magasabb maximális bírságot is megállapíthat. Egy másik lehetséges szankció az információbiztonsági felügyelő kirendelése az érintett szervezet költségére.