„…A nemzeti kiberbiztonsági hatóság jogosítványai kiegészítésre kerülnek a kiberbiztonsági audittal kapcsolatos további rendelkezésekkel, összhangban a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) kiberbiztonsági hatósági tevékenységére irányadó, a kiberbiztonsági felügyelet és feladatellátás és a hatósági ellenőrzés lefolytatásának részletes szabályairól, valamint az információbiztonsági felügyelőről szóló
3/2025. (IV. 17.) SZTFH rendelet (a továbbiakban: 3/2025. SZTFH rendelet) szabályozásával.
…
A digitális államhoz kapcsolódó egyes törvények módosításáról szóló 2025. évi XXXII. törvény keretében módosított, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) módosítása értelmében az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) esetében a szakmai feladatellátáshoz szükséges és elfogadható szakképzettségek, akkreditált nemzetközi képzettségek (elfogadható szakképzettségek) listáját a jövőben az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási
Kompetenciaközpont és a kiberbiztonsági kompetenciaközösség számára kapcsolattartási pontként szolgáló, a Kiberbiztonsági tv. 75. §-a szerinti nemzeti koordinációs központ teszi közzé a honlapján. A kormányrendeletben foglalt módosítás ennek megfelelően pontosítja a normaszöveget.
2028. január 1-jétől a szakképzettség helyett elfogadható szakmai tapasztalat előírása kivezetésre kerül a jogrendszerből. Az IBF-ek esetében tehát 2027. december 31-ig fogadható el az informatikáért felelős miniszter rendeletében meghatározott szakterületeken és időtartamban szerzett szakmai tapasztalat az alapesetben elvárt szakképzettségek, akkreditált nemzetközi képzettségek helyett. Ezt követően az IBF-ek nyilvántartásában kizárólag olyan IBF szerepelhet, aki rendelkezik a nemzeti koordinációs központ által közzétett elfogadható szakképzettségek
listáján szereplő valamely szakképzettséggel, akkreditált nemzetközi képzettséggel. Erre figyelemmel a jelzett időpontot követően a hatóságnak benyújtandó adatok, dokumentumok körében történő feltüntetése sem szükséges.A Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti szervezet, amely egyben a Kiberbiztonsági tv. 2. vagy 3. mellékletének hatálya alá tartozik, köteles kiberbiztonsági auditra. Ennek eredményét a nemzeti kiberbiztonsági hatóság értékeli, és eljárása során jogosult a kiberbiztonsági auditjelentésben foglaltakat figyelembe venni.
A Kiberbiztonsági vhr. 4. §-a értelmében, ha a kiberbiztonsági audit során az auditor az adott elektronikus információs rendszerre vonatkozó biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során hiányosságot állapít meg, akkor a szervezet – a kiberbiztonsági audit eredményének kézhezvételét követ 90 napon belül – intézkedési tervet készít a hiányosság megszüntetésére, amelyet jóváhagyásra benyújt a nemzeti kiberbiztonsági hatóság részére.
A 3/2025. SZTFH rendeletben foglaltakkal összhangban rögzítésre kerül, hogy a „nem megfelelő” eredménnyel zárult audit esetén a nemzeti kiberbiztonsági hatóság kötelezheti a szervezetet arra, hogy az elektronikus információs rendszer biztonsági osztályát felülvizsgálja és módosítsa.A sérülékenységvizsgálat a tevékenység jellegénél fogva szolgáltatáskiesést vagy -csökkenést eredményezhet a sérülékenységvizsgálattal érintett elektronikus információs rendszerben és a szervezet működése kapcsán. Erre figyelemmel a sérülékenységvizsgálatot kizárólag a szervezet vezetője vagy tudomásával és felhatalmazása alapján olyan személy kezdeményezheti, aki kellő döntési jogkörrel és rálátással bír a szervezet működésére, és a sérülékenységvizsgálat felvállalhatósága kérdésében megalapozottan tud nyilatkozni. A kormányrendelet továbbá kiegészíti a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet esetében a sérülékenységvizsgálati alapdokumentum tartalmát a „jelentős” vagy „magas” megbízhatósági szintre nyilvántartásba vett vizsgáló laboratórium megnevezésével és a vizsgáló laboratórium által a sérülékenységvizsgálat során elvégzendő tevékenységek körével
…
A jogalkalmazói gyakorlat elősegítése érdekében a hatályos szabályozás kiegészítésre kerül azzal, hogy a Központ a kiberfenyegetés, a kiberbiztonsági incidensközeli helyzet és az üzemeltetési kiberbiztonsági incidens bejelentése során iránymutatást adhat.
…
A Kiberbiztonsági vhr. 2. mellékletében foglalt új táblázatban, a 2–5. sorban kiemelésre kerülnek a legfontosabb adatszolgáltatási kötelezettségek elmulasztásának esetei…”
Forrás:
189/2025. (VII. 3.) Korm. rendelet a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet módosításáról; Nemzeti Jogszabálytár
A Kormány 189/2025. (VII. 3.) Korm. rendelete a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet módosításáról; Magyar Közlöny; 2025. évi 80. szám; 2025. július 3.; 5244-5252. o. (PDF)
Végső előterjesztői indokolás a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet módosításáról szóló 189/2025. (VII. 3.) Korm. rendelethez; Indoklások Tára; 2025. évi 60. szám; 2025. július 4.; 1010-1012. o. (PDF)