Új kiberbiztonsági törvény, új szervezetekre vonatkozó követelmények (információbiztonság)

A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) alapján a települések képviselő-testületének hivatalaira vonatkozó alábbi határidőkre hívom fel a figyelmet (a 8. § (4) bekezdés alapján:

A törvény hatálya alá kerülését követő

a) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére a 28. § (1) bekezdés 1. pont a)–e) és j) alpontjában meghatározott adatokat, a szervezet vonatkozásában:

  • a szervezet azonosításához szükséges adatokak
  • a szervezet elérhetőségeit, ideértve elektronikus elérhetőségeket, valamint a szervezet által használt nyilvános IP-címeket vagy IP-   - tartományokat, valamint a szervezet székhelyét, telephelyét, fióktelepét,
  • a szervezet alapvető vagy fontos szervezetnek minősülését,
  • a 2. és 3. melléklet szerinti ágazatba, alágazatba, szervezettípusba tartozását (a Hivatalok nem tartoznak a kockázatos vagy kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek közé), 

b) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére az elektronikus információs rendszer biztonságáért felelős személy adatait

ELEKTRONIKUS INFORMÁCIÓS RENDSZER BIZTONSÁGÁÉRT FELELŐS BEJELENTÉSE
KÉRELEM ÉS TÁJÉKOZTATÓ LETÖLTÉSE

c) 90 napon belül a 6. § (3) bekezdés 1. pontjában foglaltaknak megfelelően felméri a szervezet által használt elektronikus információs rendszereket, gondoskodik a szervezet által használt elektronikus információs rendszerek, központi szolgáltatások felméréséről és nyilvántartásba vételéről a következők szerinti bontásban:

  1. a szervezet rendelkezésében lévő elektronikus információs rendszerek,
  2. a szervezet által használt központi rendszerek,
  3. a szervezet által igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek,
  4. a szervezet rendelkezésében lévő vagy a szervezet által használt egyéb támogató rendszerek;

d) 120 napon belül elvégzi a 9. § szerinti adatosztályozást (annak érdekében, hogy a szervezet által kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, a szervezet köteles az általa az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint)

e) 180 napon belül megküldi a nemzeti kiberbiztonsági hatóság részére a szervezet információbiztonsági szabályzatát,

f) 180 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását és megteszi a Kormány rendeletében meghatározott tartalmú bejelentést a nemzeti kiberbiztonsági hatóságnak - a Kiberbiztonsági tv, 6. § (10) b) alapján az un. fontos szervezeteknek nem kell teljesíteni.

A Kiberbiztonsági tv. 11. §-ban az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó főbb elvárások:

  1. A szervezet vezetője az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.
     
  2. A megállapodás kötelező tartalmi elemeit kormányrendelet tartalmazza. Megállapodás megkötése esetén is meg kell jelölni azt a természetes személyt, aki az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátja.

    Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó bejelentés magában foglalja a vonatkozó munka-, megbízási szerződés vagy más megállapodás másolatának hatóság számára történő megküldését olyan módon, hogy abból csak a hatóság számára releváns, a feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A megállapodáshoz csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat, vagy nyilatkozat másolatát. 

    (4) Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó megállapodásnak legalább a következőket kell tartalmaznia:
    a) a szerződő felek azonosítására alkalmas adatokat,
    b) az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátó természetes személy azonosítására alkalmas adatokat,
    c) a megbízás tárgyát,
    d) a felek jogait és kötelezettségeit a hatályos jogszabályokban foglaltaknak megfelelően.
     
  3. Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy végezheti, aki cselekvőképes, büntetlen előéletű és rendelkezik a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt felsőfokú végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy az informatikáért felelős miniszter rendeletében meghatározott szakterületen szerzett szakmai tapasztalattal.

Készítette:

Szűcsné Tóth Éva   
ügyvezető
elektronikus információs rendszer biztonságáért felelős

IP Monitoring Kft.   
+36 30 205 23 84   
szucsne.toth.eva@ipmonitoring.hu                              

                                IP Monitoring Kft. - eJelent - GDPReg Kft.            ipmonitoring.hu               
ejelent.hu               
gdpreg.hu            
IP Monitoring Kft. - eJelent - GDPReg IP Monitoring - GDPReg • Informatika • Biztonság • Adatvédelem</strong>            oldalunkat!

 

Hivatkozott jogszabályok:

    



NE HALOGASSA, KEZDJE EL VAGY FOLYTASSA A GDPReg RENDSZERBEN!


Hírlevél • GDPReg Kft.

Hírlevél feliratkozás

IP Monitoring - GDPReg - Kövessen minket Facebookon is!