2025. június 24-én hatályba lépett a 322/2024. (XI. 6.) Kormányrendelet módosítása, amely részletes szabályokat határoz meg a tanúsítási kötelezettségre vonatkozóan, így nyújtva iránymutatást az érintett szervezetek számára a megfeleléshez. A műszaki rendelet a Digitális Állampolgárság Programhoz kapcsolódó műszaki, technikai és tanúsítási előírásokat tartalmazza, és a már korábban elfogadott a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvényre (Dáptv.) épül, amely meghatározta, mely intézmények kötelesek a program egyes digitális funkcióit biztosítani a felhasználók számára.
A tanúsítási kötelezettség a pénzügyi és biztosítási szektor meghatározott szereplőire vonatkozik, azaz a Dáptv. 80. § (1) bekezdés i)–n) pontja szerinti szervezetekre: ide tartoznak a hitelintézetek, pénzügyi vállalkozások, pénzforgalmi és elektronikuspénz-kibocsátó intézmények, Posta Elszámoló Központot működtető intézmények, biztosítók, viszontbiztosítók, befektetési vállalkozások, árutőzsdei szolgáltatók, biztosító egyesületek, valamint az Önkéntes Kölcsönös Biztosító Pénztárakról szóló törvény, a magánnyugdíjról és a magánnyugdíjpénztárakról szóló törvény, és a foglalkoztatói nyugdíjról és intézményeiről szóló törvény hatálya alá tartozó tevékenységet végzők. Ezeknek a szervezeteknek az informatikai rendszerüket úgy kell kialakítaniuk, hogy az zárt legyen, meggátolja a jogosulatlan hozzáférést és az észrevétlen módosításokat, valamint megfeleljen az általános információbiztonsági elvárásoknak.
A tanúsítási eljárás részletszabályaira hosszú ideje vártak az érintett szervezetek és a korábbi bizonytalanságot követően a 322/2024. Korm. rendelet módosítása több fontos kérdésre is választ ad. Könnyebbséget jelenthet az intézményeknek, hogy a korábbi találgatásokkal ellentétben, a tanúsítási eljárás során nem kell megfelelniük sem a Kiberbiztonsági törvénynek, sem az MK rendeletnek, elegendő lesz a már jól ismert 42/2015. Korm. rendelet szerinti követelménycsoportokra koncentrálniuk.
A 322/2024. (XI. 6.) Korm. rendelet 150/B. § szakaszatételesen felsorolja azokat a technikai és szervezeti feltételeket, amelyek szükségesek a tanúsítvány megszerzéséhez. Ezek a követelmények teljes mértékben megegyeznek a 42/2015. Korm. rendelet 5/B. § szakaszában rögzített elvárásokkal: mindkét jogszabály ugyanazt a 20 követelményt tartalmazza, teljes egyezéssel. Az egyetlen apró eltérés, hogy míg a 42/2015. rendelet „élesüzemi rendszerekre” hivatkozik, addig a 322/2024. Korm. rendelet „informatikai rendszerek” kifejezést használ.
A jogszabálymódosítással egyértelművé vált, hogy az érintett szervezeteknek nem kell regisztrálniuk az SZTFH-nál. Emellett az is világossá vált, hogy a tanúsítást olyan külső szervezet végezheti, amelyet az SZTFH „magas” megbízhatósági szintű kiberbiztonsági tanúsítvány kiadására alkalmasként nyilvántartásba vett. Jelenleg ilyen szervezet kizárólag a Hunguard.
A két tanúsítási eljárás közötti hasonlóságok sora nem ér véget a követelmények és a tanúsító szervezet egyezőségénél, hiszen a vizsgálat módszertana és menete is ismerős lesz azoknak a szervezeteknek, akik már részt vettek a 42/2015. Korm.rendelet szerinti tanúsítási eljárásban. Ez felvetheti azt a kérdést, miszerint ha a Dáptv. szerinti, valamint a 42/2015. Kormányrendelet szerinti tanúsítási eljárás követelményei és vizsgálati módszertana azonos, akkor miért van szükség két külön eljárásra. A Dáptv. szerinti szabályozás alapján ugyanis a tanúsító szervezet ezúttal is szakértői vizsgálatot végez, ami kockázatelemzéssel kezdődik, mely során kerülnek meghatározásra a kritikus üzleti funkciókat megvalósító rendszerek. Információink szerint több, a 42/2015. Kormányrendelet hatálya alá tartozó szervezet az idei Hunguard audit scope-jába így már belevette a DÁP API-t, illetve Ügyfélportálját. A tanúsítvány érvényessége jelen esetben is egy év, és legalább hat hónappal a lejárat előtt új eljárást kell kezdeményezni, ami garantálja azt, hogy a szervezet időben meg fogja kapni a tanúsítványát vagy a tanúsító szervezet meghosszabbítja számára az előzőt az új ellenőrzés lezártáig.
A tanúsítás díját a szervezet mérlegfőösszege határozza meg. Legfeljebb nettó 5 millió forintot kell fizetnie annak, akinek a mérlegfőösszege nem éri el a 10 milliárd forintot. 10 és 1000 milliárd forint között legfeljebb 25 millió forint, míg 1000 milliárd forint felett maximum 60 millió forint lehet az eljárás díja.
A jogszabály egy rövid átmeneti időszakot is biztosít. Azok az intézmények, amelyek a módosítás hatályba lépésekor, vagyis 2025. június 24-én már rendelkeznek a 42/2015. Kormányrendelet szerinti tanúsítvánnyal vagy már megkezdték a tanúsítási eljárást, csatlakozhatnak a rendszerhez külön tanúsítás nélkül. Ugyanakkor nekik is legkésőbb 2025. december 1-ig meg kell szerezniük a 322/2024. Kormányrendelet szerinti tanúsítványt.
