Új kiberbiztonsági törvény, új szervezetekre vonatkozó követelmények (információbiztonság)
A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) alapján a települések képviselő-testületének hivatalaira vonatkozó alábbi határidőkre hívom fel a figyelmet (a 8. § (4) bekezdés alapján:
A törvény hatálya alá kerülését követő
a) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére a 28. § (1) bekezdés 1. pont a)–e) és j) alpontjában meghatározott adatokat, a szervezet vonatkozásában:
- a szervezet azonosításához szükséges adatokak
- a szervezet elérhetőségeit, ideértve elektronikus elérhetőségeket, valamint a szervezet által használt nyilvános IP-címeket vagy IP- - tartományokat, valamint a szervezet székhelyét, telephelyét, fióktelepét,
- a szervezet alapvető vagy fontos szervezetnek minősülését,
- a 2. és 3. melléklet szerinti ágazatba, alágazatba, szervezettípusba tartozását (a Hivatalok nem tartoznak a kockázatos vagy kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek közé),
b) 30 napon belül bejelenti a nemzeti kiberbiztonsági hatóság részére az elektronikus információs rendszer biztonságáért felelős személy adatait
ELEKTRONIKUS INFORMÁCIÓS RENDSZER BIZTONSÁGÁÉRT FELELŐS BEJELENTÉSE
KÉRELEM ÉS TÁJÉKOZTATÓ LETÖLTÉSE
c) 90 napon belül a 6. § (3) bekezdés 1. pontjában foglaltaknak megfelelően felméri a szervezet által használt elektronikus információs rendszereket, gondoskodik a szervezet által használt elektronikus információs rendszerek, központi szolgáltatások felméréséről és nyilvántartásba vételéről a következők szerinti bontásban:
- a szervezet rendelkezésében lévő elektronikus információs rendszerek,
- a szervezet által használt központi rendszerek,
- a szervezet által igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek,
- a szervezet rendelkezésében lévő vagy a szervezet által használt egyéb támogató rendszerek;
d) 120 napon belül elvégzi a 9. § szerinti adatosztályozást (annak érdekében, hogy a szervezet által kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, a szervezet köteles az általa az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint)
e) 180 napon belül megküldi a nemzeti kiberbiztonsági hatóság részére a szervezet információbiztonsági szabályzatát,
f) 180 napon belül – a 6. § szerinti kockázatmenedzsment keretrendszer létrehozatalával együttesen – elvégzi a már meglévő elektronikus információs rendszereinek biztonsági osztályba sorolását és megteszi a Kormány rendeletében meghatározott tartalmú bejelentést a nemzeti kiberbiztonsági hatóságnak - a Kiberbiztonsági tv, 6. § (10) b) alapján az un. fontos szervezeteknek nem kell teljesíteni.
A Kiberbiztonsági tv. 11. §-ban az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó főbb elvárások:
- A szervezet vezetője az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.
- A megállapodás kötelező tartalmi elemeit kormányrendelet tartalmazza. Megállapodás megkötése esetén is meg kell jelölni azt a természetes személyt, aki az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátja.
Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó bejelentés magában foglalja a vonatkozó munka-, megbízási szerződés vagy más megállapodás másolatának hatóság számára történő megküldését olyan módon, hogy abból csak a hatóság számára releváns, a feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A megállapodáshoz csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat, vagy nyilatkozat másolatát.
(4) Az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó megállapodásnak legalább a következőket kell tartalmaznia:
a) a szerződő felek azonosítására alkalmas adatokat,
b) az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátó természetes személy azonosítására alkalmas adatokat,
c) a megbízás tárgyát,
d) a felek jogait és kötelezettségeit a hatályos jogszabályokban foglaltaknak megfelelően.
- Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy végezheti, aki cselekvőképes, büntetlen előéletű és rendelkezik a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt felsőfokú végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy az informatikáért felelős miniszter rendeletében meghatározott szakterületen szerzett szakmai tapasztalattal.
Készítette:
Szűcsné Tóth Éva
ügyvezető
elektronikus információs rendszer biztonságáért felelős
IP Monitoring Kft.
+36 30 205 23 84
szucsne.toth.eva@ipmonitoring.hu
|
ipmonitoring.hu ejelent.hu gdpreg.hu |
Hivatkozott jogszabályok:
- Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény
- Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet