A kiberbiztonság napjainkban a technológiai fejlődés és a cégek digitális átállása miatt kiemelten fontos terület. A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvény célja az IT-rendszerekhez kapcsolódó veszélyeknek különösen kitett szervezetek biztonságának megerősítése – hívja fel a figyelmet a Baker McKenzie összefoglalójában.

Hacker,Attack,,Cyber,Crime,Concept
A gazdálkodószervezeteknek biztonsági osztályokba kell sorolniuk az IT-rendszereiket.
Fotó: Shutterstock

„A törvény csak bizonyos iparágakba tartozó, illetve bizonyos tevékenységeket folytató szervezetekre vonatkozik. Így például a gépjárműgyártókra, az elektronikai termékek gyártóira, számos energetikai és gyógyszeripari cégre, valamint a felhőszolgáltatókra és az adatközpont-szolgáltatást nyújtókra. Az érintett iparágak, illetve tevékenységek teljes listáját a törvény mellékletei rögzítik” – mutat rá a Hegymegi-Barakonyi és Fehérváry Baker & McKenzie Ügyvédi Iroda, amely a Baker McKenzie International tagja. Majd hozzáteszik:

a jogszabály néhány kivételtől eltekintve nem alkalmazandó a mikro- és kisvállalkozásokra. Ám, ha a vállalkozás például elektronikus hírközlési szolgáltatónak vagy bizalmi szolgáltatónak minősül, akkor rá is vonatkozik.

A törvény hatálya alá tartozó szervezeteknek számos új szabálynak kell megfelelniük: 

  • Biztonsági osztályokba kell sorolniuk az IT-rendszereiket, és gondoskodniuk kell azok észszerű, kockázatokkal arányos szintű védelméről. 
  • Az IT-rendszerek létrehozásához, üzemeltetéséhez, karbantartásához pedig kizárólag olyan közreműködőket – például külső IT-szolgáltatókat – vehetnek igénybe, amelyek szintén megfelelnek a törvényben foglalt követelményeknek. 
  • Az érintett szervezetek kötelesek kinevezni egy információbiztonságért felelős személyt, meghatározva annak feladat- és felelősségi körét.

„A törvény hatálya alá eső szervezeteknek javasolt felülvizsgálniuk az IT-szolgáltatóikkal kötött szerződéseiket, és szükség esetén szerződésmódosításokat kell kezdeményezniük az új törvénynek való megfelelés érdekében. Szükséges lehet továbbá az információbiztonságért felelős személy munkaszerződésének és munkaköri leírásának felülvizsgálata és szükség szerinti módosítása. Ha pedig nincs ilyen személy a szervezetnél, gondoskodni kell a kinevezéséről – hívja fel a figyelmet Vári Csaba, a Baker McKenzie IPTech csoportjának vezetője.

IMG_8326
A törvény csak bizonyos iparágakba tartozó, illetve bizonyos tevékenységeket folytató szervezetekre vonatkozik.
Fotó: Gábor János

A fentieken túl, az érintett szervezeteknek információbiztonsági szabályzatot kell alkotniuk, és meg kell tenniük a szükséges műszaki intézkedéseket. 

Gyakori jelenség, hogy az IT-rendszerekkel kapcsolatos veszélyekről a munkavállalók csak keveset vagy egyáltalán nem tudnak, ezért a törvény kitér az IT-rendszerek felhasználóinak oktatására is. 

Az érintett szervezetek kötelesek rendszeres információbiztonsági képzéseket szervezni a dolgozóik számára.

Az új kiberbiztonsági törvénnyel adminisztratív feladatok is járnak 

  • A hatálya alá eső cégeknek regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) nyilvántartásába. A nyilvántartásba vételi kérelmet érdemes mielőbb előkészíteni. 
  •  Ezenfelül az említett cégeknek kétévente független auditor bevonásával kiberbiztonsági auditot kell végeztetniük, aminek az eredményét a vizsgálatot végző szakértő elküldi az SZTFH-nak.
  • Ha a cég IT-rendszerét olyan esemény éri, amely abban kedvezőtlen változást vagy addig ismeretlen helyzetet idéz elő, és amelynek hatására megszűnik vagy megsérül az IT-rendszerben kezelt információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása – úgynevezett „biztonsági esemény” következik be –, a szervezet köteles lesz kivizsgálni a biztonsági eseményt, és szükség esetén be kell jelentenie az érintett eseménykezelő központnak, amely jelenleg a Nemzetbiztonsági Szakszolgálat.
AI robot brain and circuit
A cégeknek kétévente független auditor bevonásával kiberbiztonsági auditot kell végeztetniük.
Fotó: Yuichiro Chino

„Kiemelt fontosságú, hogy az érintett szervezeteknek legyenek olyan belső, előre meghatározott szabályaik, amelyek lehetővé teszik a biztonsági események hatékony kezelését.” 

A biztonsági események könnyen eredményezhetnek olyan helyzeteket, amelyekben az érintett szervezeteknek rendkívül gyorsan kell reagálniuk.

„Ilyenkor egyrészt meg kell előzni, illetve enyhíteni kell a biztonsági eseményből eredő hátrányos következményeket, másrészt pedig meg kell felelni a kapcsolódó bejelentési kötelezettségeknek. Ha a biztonsági esemény személyes adatokat is érint, azt is meg kell vizsgálni, hogy az eseményt be kell-e jelenteni az adatvédelmi felügyeleti hatóságnak” – tette hozzá Gaál András, a Baker McKenzie IPTech csoportjának ügyvédje.

Törvényi elégtelenség esetén akár ötvenmilliós bírság is jöhet

Az SZTFH a törvény alapján fennálló kötelezettségeknek való meg nem felelés esetén – többek között – akár 50 millió forint mértékű bírságot is kiszabhat, amely további meg nem felelés esetén megismételhető, és több szabálytalanság esetén összeadandó. Ha a meg nem felelés a személyes adatok biztonságát is érinti, a jogsértéssel összefüggésben az illetékes adatvédelmi felügyeleti hatóság – amely Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság – szintén kiszabhat bírságot, amelynek mértéke akár 20 millió euró vagy a vállalkozás előző éves világpiaci forgalmának 4 százaléka is lehet, adott esetben amelyik magasabb összeg.