Skip to main content
gazdaságinformatikaInternetközigazgatás: magyarközigazgatási informatikapolitikatörvények, határozatok

Újraszabályozott hazai kiberbiztonság – beszélgetés a Nemzetbiztonsági Szakszolgálat (NBSZ) főigazgatójával

Szerző: 2025. január 5.No Comments

„December 17-én az Országgyűlés elfogadta a „Magyarország kiberbiztonságáról” címet viselő törvényjavaslatot, amely egyrészt egységesíti, másrészt megújítja a hazai kibervédelemről szóló jogszabályokat. Az új törvény elveiről, a várható változásokról és az érintett szereplőkről Dr. Kiss Csaba nemzetbiztonsági vezérőrnaggyal, a javaslat kidolgozásában oroszlánrészt vállaló Nemzetbiztonsági Szakszolgálat (NBSZ) főigazgatójával beszélgettünk, de szóba kerültek azok a feladatok is, amelyet az NBSZ lát majd el. (Az interjú még a törvény elfogadása előtt készült – a szerk.)

◼︎ Egységes kibertörvény készül

– Miért született az a döntés, hogy a korábban elfogadott jogszabályokat, köztük az alig másfél éves Kibertantv-t, a 2023. évi XXIII. törvényt egy új, átfogó törvénnyel váltják fel?

– Számos változás következett be azóta, hogy 2013-ban elfogadták az 2013. évi L. törvényt, amely az önkormányzatok és az állami szervek elektronikus információbiztonságára vonatkozott. Először is, 2016-ban megjelent, majd 2018-ban a magyar jogrendbe is bekerült az eredeti NIS irányelv, amely alapvetően szintén ezt a kört szabályozta. Később megszületett a NIS2 irányelv, amely a követelményeket egy sokkal szélesebb körre, a piaci szereplők jelentős részére is kiterjesztette. Számos új feladat jelent meg a hatóságok esetében, bővült az érintettek köre, és ezt mind rendezni kellett. Azt meg már a praktikum tanácsolta, hogy minden rendelkezés egyetlen törvényben jelenjen meg, az érintetteknek, legyenek bármilyen jogcímen érintettek, csak egyetlen jogszabályt kelljen forgatniuk, és ne többől legyenek kénytelenek kihámozni a rájuk vonatkozó rendelkezéseket. Egységesítettük a terminológiát és az IT-biztonsági szakma által használt kifejezések ugyanazzal a tartalommal jelennek meg a jogszabályban – nincs többé például zavar az esemény és az incidens elkülönítésében. Nem utolsósorban pedig megtörtént az egyértelmű feladatelhatárolás a különféle szervek, hatóságok között.

– Mi volt az alapelv a törvény megszövegezésénél? Egyszerűen csak össze akarták fésülni a korábbi jogszabályok szövegét, vagy új alapokra is helyezték a rendelkezéseket?

– Mind a kettő jelen van. Egyrészt fontos volt a megőrzés, mert a legfontosabb biztonsági alapelvek változatlanok maradtak az elmúlt 10-15 évben. A legfőbb elvárás továbbra is az elektronikus rendszerekben tárolt és kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása – ebben nincs változás. Másrészt, ahogy említettem, a NIS2-vel megjelent az érintettek egy újabb jelentős köre, ami szintén változásokat indukált. Harmadrészt a támadások intenzitása és jellege nagyon is változott, sőt, folyamatosan változik. Ezért úgy kellett megszövegezni a jogszabályt, hogy kellően pontos és egzakt legyen, ugyanakkor hagyjon megfelelően tág teret az állandóan fejlődő kiberbiztonsági környezethez való alkalmazkodásra. Ebben az értelemben új alapokra helyeztük a jogszabályt.

A kiberbiztonság felett őrködő hatóságok

– Említette a feladatelhatárolást. Az új törvény szerint mely szervezetek járnak majd el hatósági jogkörben kiberbiztonsági kérdésekben és ügyekben?

– Ezt a Kibertantv-ből hozta magával az új jogszabály is. Ha valaki megnézi a törvénytervezetet, azt találja, hogy sok helyen „nemzeti kiberbiztonsági hatóságot” emleget a szöveg. Nem kell megijedni, nem áll fel egy újabb hatóság, ez inkább csak jogtechnikai kérdés. Arról van szó, hogy minden olyan tevékenységnél, ahol a törvény szerint a kormány alárendeltségébe tartozó szervezet fogja ellátni a feladatot, ott külön kormányrendelet fogja kijelölni az illető szervezetet. Az állami szféra civil oldala felett a Nemzetbiztonsági Szakszolgálat lesz ez a hivatal, ahol pedig honvédelmi vonatkozású szervezetekről vagy rendszerekről van szó, ott a Katonai Nemzetbiztonsági Szakszolgálat (KNBSZ) látja el a hatósági feladatokat.

Ez eddig ugye két hatóság, és lesz, illetve van még kettő. Főszabály szerint a NIS2 irányelv miatt érintetté váló piaci szereplők felett a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) lesz a hatóság, ahogy eddig is volt. Fontos körülmény, hogy az SZTFH nem a kormány, hanem a Parlament alárendeltségébe tartozik, így feladatait, hatásköreit csak törvényben lehet módosítani. A negyedik pedig a Magyar Nemzeti Bank (MNB), amelyet a közvetlenül érvényes, tehát a hazai jogrendbe átültetni nem szükséges uniós DORA rendelet jelöl ki hatóságnak a banki és pénzügyi szektor fölé.

– Milyen érintett szervezetekre terjed ki az új törvény hatálya?

– Ez már fogósabb kérdés. Van logikája a jogszabálynak, csak nem mindig könnyű érteni, ugyanis némiképp mátrixrendszerben határozza meg azt, hogy ki hova, melyik hatóság alá fog tartozni. Az érintettek körét egyébként a törvény 1-3. melléklete tartalmazza.

Egyrészt a törvény – az általuk nyújtott szolgáltatásnak az állam, a társadalom, a gazdaság működése szempontjából való kritikussága alapján – megkülönböztet alapvető és fontos szervezeteket. Előbbiek közé tartoznak például az államigazgatási intézmények és a kiemelten kockázatos ágazatokban tevékenykedő szervezetek, utóbbiak közé a kisebb települések önkormányzatainak hivatalai vagy a kockázatos ágazatok cégei.

A fentiekből adódó másik fontos elhatároló tényező, hogy az illető szervezet, vállalat kiemelten kockázatos vagy csak egyszerűen kockázatos ágazatban tevékenykedik. Ezek is ismerősek lehetnek a NIS2 irányelvből, illetve a Kibertantv-ből. Főszabályként az fogalmazható meg, hogy a kockázatos ágazatok vállalkozásaira enyhébb szabályok vonatkoznak.

Itt is van azonban kivétel. Az új törvény kritikus szervezetként azonosítja azokat a szervezeteket, amelyek kritikus infrastruktúrát (a korábbi terminológia szerint létfontosságú rendszereket) üzemeltetnek. Ezek, hiába tartoznak esetleg pusztán kockázatos ágazatba, mégis alapvető szervezetként lesznek azonosítva. Az is újdonság, hogy ha valamely vállalatnak akár csak egyetlen kritikus rendszere, rendszereleme is van, már kritikus szervezetnek fog minősülni.

– Azt honnan lehet majd tudni, hogy melyik érintetti kör felett melyik hatóság gyakorolja a jogokat?

– A fenti, látszólag bonyolult rendszer egyik fő célja pont az, hogy világosan eldönthető legyen, melyik szervezetnek melyik lesz a hatósága. Ha maradt volna a korábbi rendszer, előfordulhatott volna, hogy egy szervezet két hatóság alá tartozik, amiből csak a bonyodalom származott volna mind a két fél számára. A kritikus infrastruktúrákat vagy rendszereket üzemeltető szervezetek ebbéli minőségükben eddig az NBSZ vagy a KNBSZ hatókörébe tartoztak, de a NIS2 miatt az SZTFH, illetve az MNB is megjelenne felettük.

Az új törvény szerint viszont, ha az ilyen szervezet az 1. mellékletben szerepel, akkor az NBSZ a hatósága; ha a 2. vagy 3. mellékletben, akkor az SZTFH; ha pedig honvédelmi érintettsége van, akkor a KNBSZ, illetve a pénzügy ágazatban az MNB. Így előáll az a megnyugtató helyzet, hogy a kritikus szervezetek mindegyikének csak egy hatóság felé kell megfelelniük.

– Milyen újdonságok említhetők még az érintetti kör kapcsán?

– Az új törvény újdonságként behozza az érintetti körbe a többségi állami befolyás alatt lévő szervezeteket. Amennyiben ezek elérik a középvállalati méretet, alapvető szervezetnek fognak minősülni, és az NBSZ lesz a hatóságuk.

Szintén komoly újítás, hogy a nemzeti és a katonai kibervédelmi hatóság (vagyis praktikusan az NBSZ és a KNBSZ) jogosultságot kap arra, hogy alapvető vagy fontos szervezetnek minősítsen egyes szervezeteket. Ha egy szervezet alapból nem tartozna a törvény hatálya alá, de a tevékenysége olyan jellegű, hogy vonatkoznia kellene rá a szabályoknak, a hatóságok léphetnek. A törvényben, illetve a várható kormányrendeletben részletezett feltételrendszer szerint azonosítják, hogy alapvető vagy fontos szervezetről van szó, majd azzá minősítik, és innentől kezdve a szervezetnek meg kell felelnie a rá vonatkozó szabályoknak.

– Hogyan látják el az egyes hatóságok a felügyeleti és ellenőrzési tevékenységüket?

– Itt is megmutatkozik majd a különbség az SZTFH, illetve az NBSZ és a KNBSZ között. Az SZTFH, és a hozzá tartozó piaci szereplők esetében alapvetően külső auditorokon keresztül történik majd a jogszabályi megfelelés ellenőrzése, bár közvetlen hatósági ellenőrzésre is lesz lehetőség. Az érintettek a közzétett listáról maguk választhatják ki az auditorokat, akiket egyébként szintén az SZTFH felügyel majd. Ezzel ellentétben az alájuk rendelt szervezeteknél az NBSZ és a KNBSZ közvetlenül végzi el az auditálást. A többségi állami befolyású vállalatok esetén – ezek azon szervezetek, amelyek a törvény 2. és 3. számú melléklete szerinti tevékenységet végzik –, szintén kötelező lesz auditor igénybevétele. Ami viszont mind a három hatóság esetében közös, az a követelményjegyzék, amelynek az érintetteknek meg kell felelniük: ez a nyáron megjelent 7/2024-es MK-rendelet az osztályba sorolásról és a védelmi intézkedésekről. A negyedik hatóságnak, az MNB-nek saját, a DORA-ból levezetett, és a NIS2-nél nem egy esetben szigorúbb követelményjegyzéke van.

– Milyen fontosabb újítások említhetők még az új kiberbiztonsági törvény kapcsán?

– Módosult például a szankcionálás lehetősége. Eddig inkább csak elvi lehetőség volt, hiszen az informatikáért felelős miniszter döntése volt, hogy információbiztonsági felügyelőt rendeljenek ki egy szervezethez. Ez a személy amolyan „biztonsági csődbiztos” – pénzügyi döntéseket nem hozhat, de előírhatja, hogy milyen intézkedéseket kell hozni a kiberbiztonság javítása érdekében. Egyszerűbb lesz egy másik intézkedés, az ideiglenesen hozzáférhetetlenné tétel alkalmazása is; ez azt takarja, amikor valamilyen okból az internet felől elérhetetlenné teszik egy szervezet hálózatát, rendszereit.

Változik az információbiztonsági felelősök, az IBF-ek rendszere is. A törvény rendelkezik arról, hogy milyen képesítéssel kell rendelkezniük, és többlépcsős rendszert vezet be. A közigazgatási szervek esetében például szigorúbb feltételeknek kell megfelelni, mint a fontos piaci szereplőknél.

– Milyen rendeletek kiadására van még szükség, hogy teljessé legyen a mostani törvény?

– A legfontosabb a törvény végrehajtásáról szóló kormányrendelet, amely már a közigazgatási egyeztetés fázisában jár, és remélhetően a törvénnyel együtt, január 1-jén hatályba is tud lépni. Ennek terjedelme összemérhető a törvényével, mintegy 100 oldal lesz, és egyebek mellett tartalmazza a kormány általi kijelöléseket.

Az informatikáért felelős miniszter három rendeletet jegyez. Ebből az említett 7/2024-es már meg is jelent. A második az IBF-ek, valamint a kötelezett szervezetek vezetőinek elvárható szakmai képzettségére, továbbképzésére vonatkozik, a harmadik pedig a tanúsított IKT-termékek és -szolgáltatások igénybe vételéről rendelkezik. Két további rendelet is körvonalazódik, az egyik az OT-, a másik pedig a felhőalapú rendszerek szabályozásáról.

Az SZTFH részéről nagyon várja a szakma azt a rendeletet, amely a kijelölt auditorok árszabásáról szól. Ezen felül várhatók még további SZTFH-, illetve honvédelmi miniszteri rendeletek, a saját hatáskörbe tartozó szervezetekre vonatkozóan.
————————-
Alapvető szervezetek

  • a közigazgatási ágazathoz tartozó szervezetek (például: központi államigazgatási szervek, Sándor-palota, Országgyűlés Hivatala, Alkotmánybíróság, bíróságok, ügyészségek, Állami Számvevőszék, Magyar Nemzeti Bank, kormányhivatalok, 20 ezer főt meghaladó települések képviselő-testületének hivatalai, a központi szolgáltatók, a központi rendszerek szolgáltatói)
  • a többségi állami befolyás alatt álló gazdálkodó szervezetek (amennyiben legalább középvállalatok)
  • azon szervezetek, amelyeket a nemzeti kiberbiztonsági hatóság alapvető szervezetként azonosított
  • a kritikus szervezetek
  • az ország védelme és biztonsága szempontjából jelentős szervezetek
  • a kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek (amennyiben legalább középvállalatok)
  • a minősített bizalmi szolgáltatók és a legfelső szintű doménnév-nyilvántartók, valamint a DNS-szolgáltatók, méretüktől függetlenül.

Fontos szervezetek

  • a 20 000 főt meg nem haladó lakosságszámú települések képviselő-testületének hivatalai
  • azon szervezetek, amelyeket a nemzeti kiberbiztonsági hatóság fontos szervezetként azonosított
  • egyes kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek (ha nem közép- vagy nagyvállalatok: elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatást nyújtó szolgáltatók, legfelső szintű domainnév-nyilvántartók vagy domainnév-regisztrációt végző szolgáltatók)
  • a kockázatos ágazatokban működő szolgáltatók és szervezetek.

————————-
Kiemelten kockázatos ágazatok

  • energetika
  • közlekedés
  • egészségügy
  • ivóvíz, szennyvíz
  • hírközlési szolgáltatás
  • digitális infrastruktúra
  • kihelyezett szolgáltatások
  • űralapú szolgáltatások

Kockázatos ágazatok

  • postai és futárszolgálatok
  • élelmiszer előállítása és forgalmazása
  • hulladékgazdálkodás
  • vegyszerek előállítása és forgalmazása
  • gyártás
  • kutatás

Forrás:
Újraszabályozott hazai kiberbiztonság; Schopp Attila; IT Business; 2024. december. 19.

Tags: