A héten megjelent a Magyarország kiberbiztonságáról szóló törvény tervezetének társadalmi egyeztetésre történő felhívása. A jogszabállyal várhatóan hatályát veszti majd az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, valamint a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.). A jogszabálytervezet társadalmi egyeztetésére nyitva álló idő rendkívül rövid, annak határideje október 23.
A tervezet az L. törvény és a Kibertan. tv. rendelkezésit egy jogszabályba olvasztja össze, de számos új és jelentősen változó követelményt is tartalmaz. A teljesség igénye nélkül, szeretnénk pár lényeges változást kiemelni a Kibertan. tv. jelenleg hatályos követelményeihez képest:
1. A Kibertan. tv. az elektronikus információs rendszer biztonságáért felelős személy tekintetében nem határozott meg szakmai és egyéb elvárásokat, a hatóság is következetesen kommunikálta, hogy bárki betöltheti. A jelenlegi tervezet ezzel ellentétben az alábbiakat írja elő:
„(3) Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy végezheti, aki
a) cselekvőképes, büntetlen előéletű és rendelkezik a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy az informatikáért felelős miniszter rendeletében meghatározott szakterületen szerzett szakmai tapasztalattal.
(4) Elektronikus információs rendszer biztonságáért felelős személyként – az (5) bekezdésben foglalt kivétellel – nem jelölhető ki vagy bízható meg az a személy, aki a szervezeten belül informatikai üzemeltetéssel, informatikai fejlesztéssel vagy pénzügyi döntéshozatallal kapcsolatos munkakört lát el, illetve ilyen személy közvetlen alárendeltségébe tartozik.
(5) A (4) bekezdést nem kell alkalmazni az alábbi szervezetek vonatkozásában:
a) a fontos szervezetek,
b) azon minősített bizalmi szolgáltatók, legfelső szintű doménnév-nyilvántartók, valamint DNS-szolgáltatók, amelyek nem érik el a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvényben a középvállalkozásokra vonatkozóan előírt küszöbértékeket.”
Ez talán a tervezet egyik legjelentősebb változtatása a Kibertan. tv.-hez képest, ha figyelembe vesszük, hogy az elektronikus információs rendszer biztonságáért felelős személy kinevezése már minden szervezetnél meg kellett hogy történjen. A részletszabályokat további jogszabályok tartalmazzák/fogják tartalmazni.
2. A jogszabálytervezet a hatálya alá tartozó szervezetek tekintetében, így a Kibertan. tv. szerinti kiemelten kockázatos és kockázatos ágazatokba tartozó szervezetek esetében is alkalmaz egy osztályozási szempontrendszert (alapvető és fontos szervezetek), mely alapján – a jelenlegi Kibertan. tv.-től eltérően – különböző követelmények vonatkoznak majd a kiemelten kockázatos és kockázatos ágazatokba tartozó szervezetekre.
3. A törvény hatálya kibővült, a nemzeti kiberbiztonsági hatóság által a (6) bekezdés szerint alapvető vagy fontos szervezetként azonosított szervezetek elektronikus információs rendszereire is alkalmazni kell. A jogszabály nem tartalmaz hivatkozást a nemzeti kiberbiztonsági hatóság által lefolytatandó azonosítási eljárás szabályaira és erre vonatkozó felhatalmazó rendelkezést sem találtunk a tervezetben. A (6) bekezdés rendkívül szélesre nyitja az ollót, bármilyen szervezet ide sorolható. pl:
- 8. legalább öt, e törvény hatálya alá tartozó szervezetnek nyújt szolgáltatásokat;
- 11. az alapvető vagy fontos szervezet számára adatkezelést végez;
A fenti két pont rendkívül általános, nem tesz különbséget a nyújtott szolgáltatás és az adatkezelés jellegére tekintettel és nincs arányban a pont további követelményeivel, mellyel kapcsolatban kérdéssel fordultunk a jogalkotóhoz.
A jogszabály nem jött jókor, a jelenleg is rendkívül bizonytalan jogi helyzetet, véleményünk szerint, csak még tovább bonyolítja.
További sikeres felkészülést kívánunk mindenkinek!