2023. évi XXIII. törvény

a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről[1]

A társadalom gyors digitális átalakulásával és összekapcsolódásával az elektronikus információs rendszerek, valamint a digitális eszközök a mindennapi élet központi elemévé váltak. A fejlődés a digitális fenyegetettségek körének bővüléséhez is vezetett, ami akadályozhatja a gazdasági tevékenységek folytatását, pénzügyi veszteséget okozhat és alááshatja a felhasználók bizalmát, ezzel jelentős károkat okozva a gazdasági és társadalmi életben. Ezen túlmenően a kiberbiztonság kulcsfontosságú tényező számos kritikus ágazat számára a digitális átalakulás sikeres felkarolásához és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásához. Mindezekre figyelemmel az Országgyűlés a következő törvényt alkotja:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. § E törvény alkalmazásában:

1. adatközponti szolgáltatás: olyan szolgáltatás, amely központosított elhelyezést, összeköttetést és működést biztosít adattároló, -feldolgozó és -továbbító információtechnológiai és hálózati berendezések számára, ideértve az energiaellátást és környezeti felügyeletet biztosító létesítményeket és infrastruktúrát is,

2. behatolásvizsgálat: az információs és kommunikációs technológia (a továbbiakban: IKT) rendszer, valamint az elektronikus információs rendszer gyenge pontjainak feltárása és kihasználhatóságának ellenőrzése a biztonsági intézkedések elleni rosszindulatú támadások szimulációjával,

3. belső informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az informatikai rendszer sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik,

4. bizalmasság: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

5. biztonsági esemény: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

6. DNS-szolgáltató: olyan szervezet, amely a következő szolgáltatások valamelyikét nyújtja:

a) autoritatív DNS-szolgáltatás: a domainnév - domainnév-regisztrációt végző szolgáltató által kezelt - adatainak lekérdezését közvetlenül lehetővé tevő szolgáltatás, amely a legfelső szintű domainnév-nyilvántartó szolgáltatás része,

b) rekurzív DNS-szolgáltatás: olyan DNS-szolgáltatás, amely a felhasználók domainnév-lekérdezéseit a megfelelő autoritatív DNS-szolgáltatókhoz továbbítja a hierarchikusan felépülő domainnévrendszerben és az autoritatív DNS-szolgáltató által a lekérdezésre adott válaszokat továbbítja a felhasználó részére,

c) DNS-gyorsítótárazás: a domainnév-lekérdezésre adott válaszok átmeneti tárolása és a felhasználói lekérdezéseknek a tárolt domainnévadatok alapján történő kiszolgálása,

7. domainnév: az internetes kommunikációhoz használt IP-cím alfanumerikus karakterekből álló megfelelője,

8. domainnév-regisztrációt végző szolgáltató: a legfelső szintű domainnév-nyilvántartó által felhatalmazott szolgáltató, amely jogosult domain regisztrálására,

9. elektronikus információs rendszer: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

10. európai kiberbiztonsági tanúsítási rendszer: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 9. pontja szerinti rendszer,

11. felhőalapú számítástechnikai szolgáltatás: olyan digitális szolgáltatás, amely önkiszolgáló módon történő hálózati hozzáférést tesz lehetővé igény szerint méretezhető, megosztott fizikai vagy virtuális erőforrások rugalmas készletéhez,

12. felhőszolgáltató: felhőalapú számítástechnikai szolgáltatást nyújtó szervezet,

13. gyártó: az IKT-termék gyártója, IKT-szolgáltatás nyújtója, valamint IKT-folyamat gyártója vagy nyújtója,

14. IKT-folyamat: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

15. IKT-szolgáltatás: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

16. IKT-termék: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

17. kiberbiztonsági audit: az elektronikus információs rendszerek tekintetében a kiberbiztonsági követelmények teljesülésére vonatkozó vizsgálat, ellenőrzés,

18. kiberfenyegetés: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

19. kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató: olyan kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, amely a kiberbiztonsági kockázatok kezelését végzi vagy azzal összefüggő szolgáltatást nyújt,

20. kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató: olyan szervezet, amely az IKT-termék, hálózat, infrastruktúra, alkalmazás vagy bármely más elektronikus információs rendszer telepítésével, kezelésével, üzemeltetésével vagy karbantartásával kapcsolatos szolgáltatásokat nyújt a szolgáltatást igénybe vevő telephelyén vagy távolról,

21. közösségimédia-szolgáltatási platform: olyan platform, amely lehetővé teszi a végfelhasználók számára, hogy több eszközön keresztül kapcsolódjanak, tartalmakat osszanak meg, fedezzenek fel és kommunikáljanak egymással,

22. kutatóhely: a tudományos kutatásról, fejlesztésről és innovációról szóló törvény szerinti kutatóhely - az oktatási intézmények kivételével -, amelynek elsődleges célja alkalmazott kutatás vagy kísérleti fejlesztés folytatása a kutatás eredményeinek kereskedelmi célokra való hasznosítása céljából,

23. legfelső szintű domainnév-nyilvántartó: olyan szervezet, amelyre egy meghatározott legfelső szintű domaint bíztak és amely felelős egyrészt a legfelső szintű domain kezeléséért - ideértve a legfelső szintű domain alatti domainnevek nyilvántartásba vételét -, másrészt a legfelső szintű domain technikai üzemeltetéséért, amely magában foglalja a névszervereinek üzemeltetését, adatbázisainak karbantartását és a legfelső szintű domainzónafájlok elosztását a névszerverek között, függetlenül attól, hogy ezeknek az üzemeltetési tevékenységeknek bármelyikét maga a szervezet végzi vagy azokat kiszervezi, kivéve azokat az eseteket, amikor a legfelső szintű domainneveket a nyilvántartó kizárólag saját használatra veszi igénybe,

24. megfelelőségértékelés: az az értékelési eljárás, amely bizonyítja, hogy egy IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesültek,

25. megfelelőségértékelő szervezet: a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről szóló, 2008. július 9-i 765/2008/EK európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

26. megfelelőségi nyilatkozat: a gyártó vagy a szolgáltató által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek,

27. megfelelőségi önértékelés: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

28. nemzeti kiberbiztonsági tanúsítási rendszer: IKT-termékek, IKT-szolgáltatások és IKT-folyamatok tanúsítására, megfelelőségértékelésére Magyarországon alkalmazandó, az európai kiberbiztonsági rendszerek elvei alapján kidolgozott és a tanúsító hatóság által meghatározott szabályok, műszaki követelmények, szabványok és eljárások átfogó rendszere,

29. nemzeti kiberbiztonsági tanúsítvány: olyan független harmadik fél által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek,

30. online piactér: olyan szolgáltatás, amely a kereskedő által vagy a kereskedő nevében működtetett szoftvert, többek között weboldalt, valamely weboldal egy részét vagy valamely alkalmazást alkalmaz, és amelynek révén a fogyasztók távollevők közötti szerződést köthetnek más kereskedőkkel vagy fogyasztókkal,

31. rendelkezésre állás: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

32. sértetlenség: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

33. tanúsítás: független harmadik fél által végzett megfelelőségértékelési tevékenység,

34. tartalomszolgáltató hálózat szolgáltatója: a digitális tartalmak és szolgáltatások széles körű, akadálymentes és gyors rendelkezésre állását biztosító, földrajzilag elosztott szerverek hálózatának szolgáltatója,

35. távoli sérülékenységvizsgálat: olyan informatikai biztonsági vizsgálat, amelynek során

a) az elektronikus információs rendszer internet felőli, külső sérülékenységvizsgálatára kerül sor, amelynek keretében az interneten fellelhető, nyilvános adatbázisokban való szabad keresés, célzott információgyűjtés, valamint az elérhető számítógépek szolgáltatásai sebezhetőségének feltérképezése történik,

b) automatizált és kézi vizsgálatok útján kerülnek feltárásra a webes alkalmazások sérülékenységei, vagy

c) a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik.

2. § Az e törvény hatálya alá tartozó hatósági eljárásokban az általános közigazgatási rendtartásról szóló törvény rendelkezéseit az e törvényben, a fogyasztóvédelemről szóló törvényben, a termékek piacfelügyeletéről szóló törvényben és a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló törvényben foglalt eltérésekkel és kiegészítésekkel, valamint a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendeletben és a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) elnöke által kiadott rendeletben foglalt kiegészítésekkel kell alkalmazni.

II. FEJEZET

TANÚSÍTÁSI RENDSZEREK

1. A tanúsító hatóság feladatai

3. § (1) Az e fejezetben foglaltakat IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tanúsításával kapcsolatos hatósági tevékenységre kell alkalmazni.

(2) Az e fejezetben szabályozott kiberbiztonsági tanúsításra, valamint a tanúsító szervezet tevékenységére nem kell alkalmazni a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseit.

4. § (1) Az (EU) 2019/881 európai parlamenti és tanácsi rendelet szerinti nemzeti kiberbiztonsági tanúsító hatóság (a továbbiakban: tanúsító hatóság) feladatait

a) - a b) pont kivételével - az SZTFH,

b) a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok tekintetében a Kormány által kijelölt hatóság

látja el.

(2) A hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a nemzeti kiberbiztonsági tanúsítási rendszereket az SZTFH elnöke rendeletben határozza meg. A hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a nemzeti kiberbiztonsági tanúsítási rendszerekre figyelemmel a tanúsítási rendszereket a Kormány rendeletben határozza meg.

5. § (1) A tanúsító hatóság az európai kiberbiztonsági tanúsítási rendszerekkel kapcsolatosan

a) nyomon követi az európai kiberbiztonsági tanúsítási rendszerek fejlesztését és figyelemmel kíséri a kapcsolódó szabványosítási folyamatokat,

b) részt vesz az európai kiberbiztonsági tanúsítási csoport tevékenységében,

c) információkat gyűjt azokról az ágazatokról és szakterületekről, amelyek nem esnek európai kiberbiztonsági tanúsítási rendszer hatálya alá és amelyek esetében a kiberbiztonság növelése szükséges,

d) az érdekelt feleknek szükség esetén tájékoztatást, támogatást nyújt,

e) elvégzi az (EU) 2019/881 európai parlamenti és tanácsi rendelet 57. cikk (4) bekezdése szerinti tájékoztatást.

(2) A tanúsító hatóság a nemzeti kiberbiztonsági tanúsítási rendszerek fenntartásával kapcsolatosan

a) legalább háromévente, az aktuális biztonsági kockázatokra figyelemmel értékeli a hatályos nemzeti kiberbiztonsági tanúsítási rendszereket,

b) felülvizsgálatot megalapozó ok felmerülését követően haladéktalanul intézkedik a nemzeti kiberbiztonsági tanúsítási rendszer felülvizsgálata érdekében,

c) európai kiberbiztonsági tanúsítási rendszer kiadása esetén haladéktalanul intézkedik az azonos tárgyú nemzeti kiberbiztonsági tanúsítási rendszer felülvizsgálata, továbbá hatályon kívül helyezése érdekében.

(3) Az (1) bekezdés b) és e) pontja szerinti feladatok tekintetében tanúsító hatóságként az SZTFH jár el.

2. A nemzeti kiberbiztonsági tanúsítási rendszerek követelményei

6. § A nemzeti kiberbiztonsági tanúsítási rendszernek a következő biztonsági célokat kell teljesítenie:

a) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan tárolással, kezeléssel, hozzáféréssel és közléssel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,

b) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan megsemmisítéssel, elvesztéssel, megváltoztatással vagy a hozzáférhetetlenséggel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,

c) annak biztosítása, hogy a feljogosított személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhetnek hozzá,

d) az ismert függőségek és sebezhetőségek azonosítása és dokumentálása,

e) annak rögzítése, hogy a feljogosított személy, program vagy gép mely időpontban és mely védendő adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,

f) annak ellenőrizhetővé tétele, hogy a feljogosított személy, program vagy gép mely időpontban és mely adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,

g) annak ellenőrzése, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok nem tartalmaznak-e ismert sebezhetőségeket,

h) fizikai vagy műszaki biztonsági esemény bekövetkeztekor az adatok, a szolgáltatások és a funkciók rendelkezésre állásának, valamint az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférésnek a mihamarabbi helyreállítása,

i) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok kockázatarányosan, alapértelmezetten és tervezetten biztonságosak legyenek,

j) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok szoftvere és hardvere naprakész legyen, és

k) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok vonatkozásában nem állnak fenn közismert sebezhetőségek, továbbá rendelkezésre állnak a biztonságos frissítésükre szolgáló mechanizmusok.

7. § (1) A nemzeti kiberbiztonsági tanúsítási rendszernek tartalmaznia kell:

a) a tanúsítási rendszer tárgyát és hatályát, az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok típusát vagy kategóriáit,

b) a tanúsítási rendszer céljának és annak az egyértelmű meghatározását, hogy a kiválasztott szabványok, értékelési módszerek és megbízhatósági szintek milyen módon felelnek meg a rendszer célfelhasználói igényeinek,

c) hivatkozást az értékelésben alkalmazott nemzetközi, európai vagy nemzeti szabványokra, vagy ha nem állnak rendelkezésre ilyen szabványok vagy azok nem megfelelőek, az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről szóló, 2012. október 25-i 1025/2012/EU európai parlamenti és tanácsi rendelet II. mellékletében meghatározott követelményeket teljesítő műszaki előírásokra, vagy ha ilyen előírások nem állnak rendelkezésre, az európai kiberbiztonsági tanúsítási rendszerben meghatározott műszaki előírásra vagy egyéb kiberbiztonsági követelményekre való hivatkozást,

d) a megbízhatósági szintet vagy szinteket,

e) a megfelelőségi önértékelésre vonatkozó kizáró vagy megengedő rendelkezést,

f) a megfelelőségértékelést végző személyekre, szervezetekre alkalmazandó kiegészítő követelményeket,

g) az alkalmazandó konkrét értékelési kritériumokat és módszereket, ideértve az értékelés típusait is,

h) a jelölések vagy címkék használati feltételeit,

i) a kiadandó nemzeti kiberbiztonsági tanúsítvány vagy megfelelőségi nyilatkozat tartalmát és formátumát, és

j) a rendszer alapján kibocsátott nemzeti kiberbiztonsági tanúsítványok kibocsátására, érvényességi idejére, fenntartására, meghosszabbítására, megújítására, valamint a hatályának bővítésére vagy szűkítésére vonatkozó feltételeket.

(2) Ha a nemzeti kiberbiztonsági tanúsítási rendszer több megbízhatósági szintre is érvényes, akkor a követelményeknek tartalmazniuk kell a különböző megbízhatósági szintekre vonatkozó elvárások pontos megkülönböztetését.

(3) A nemzeti kiberbiztonsági tanúsítási rendszerben meg kell határozni

a) az egyes követelményekhez vagy követelmény csoportokhoz tartozó értékelési eljárásokat,

b) azokat a kritikus védelmi funkciókat, amelyek esetében végre kell hajtani a tevékenység utólagos nyomon követésére is alkalmas belső informatikai biztonsági vagy távoli sérülékenységvizsgálatot vagy behatolásvizsgálatot, kriptográfiai értékeléseket, biztonsági forráskód-elemzéseket, valamint

c) az értékelési eredmények dokumentálására vonatkozó követelményeket.

3. A nemzeti kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjei

8. § (1) A nemzeti kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az "alap", a "jelentős" és a "magas" megbízhatósági szintek közül egy vagy több szintet határozhatnak meg.

(2) A megbízhatósági szint arra vonatkozóan szolgál biztosítékkal, hogy az adott IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok teljesítik a vonatkozó biztonsági követelményeket, biztonsági funkciókat és olyan szintű értékelésen estek át, amely

a) "alap" megbízhatósági szinten a biztonsági eseményekkel és támadásokkal kapcsolatos alapvető, ismert kockázatok,

b) "jelentős" megbízhatósági szinten az ismert kiberbiztonsági kockázatok, valamint a korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők által végrehajtott biztonsági események és kiberbiztonsági támadások kockázatának,

c) "magas" megbízhatósági szinten a jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők által, a tudomány legutolsó állása szerinti technológiával végrehajtott kibertámadások kockázatának

minimalizálására törekszik.

(3) A megbízhatósági szintnek a biztonsági események valószínűsége és hatása szempontjából arányban kell állnia az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat rendeltetés szerinti használatához kapcsolódó kockázat szintjével.

(4) Az elvégzendő értékelési tevékenységeknek legalább a következőket kell magukban foglalniuk:

a) "alap" megbízhatósági szint esetén a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

b) "jelentős" megbízhatósági szint esetén

ba) a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

bb) a közismert sebezhetőségek hiánya megállapításának felülvizsgálatát, és

bc) az annak megállapítására szolgáló tesztelést, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelelően működteti-e a szükséges biztonsági funkciókat,

c) "magas" megbízhatósági szint esetén

ca) a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

cb) a közismert sebezhetőségek hiánya megállapításának felülvizsgálatát,

cc) az annak megállapítására szolgáló tesztelést, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelelően, a legfejlettebb technika szerint működteti-e a szükséges biztonsági funkciókat, valamint

cd) behatolásvizsgálatok révén annak értékelését, hogy az mennyire ellenálló a jól képzett elkövetők által végrehajtott támadásokkal szemben.

4. A kiberbiztonsági tanúsítványokkal és a megfelelőségi nyilatkozatokkal kapcsolatos elvárások

9. § (1) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban meg kell jelölni:

a) azt a nemzeti kiberbiztonsági tanúsítási rendszert, amely alapján a tanúsítvány vagy a nyilatkozat kiállításra került,

b) a megbízhatósági szintet, valamint

c) a vonatkozó műszaki előírásokat, szabványokat és eljárásokat.

(2) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban fel kell tüntetni:

a) a kiállító szervezet nevét, címét,

b) a kiállítás dátumát,

c) a gyártó nevét és címét,

d) a megfelelőségértékelés megbízóját,

e) az alkalmazási területeket, vagy ha az adott alkalmazási területeken a megfelelőség feltételekkel érvényes, ezen feltételeket,

f) az érvényességi időt,

g) a tanúsítás tárgyát képező IKT-termék, IKT-szolgáltatás és IKT-folyamat azonosítását, ha van, annak verziószámát, valamint

h) a kiállító aláírását.

(3) A tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója vagy az olyan IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója, amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, köteles az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságát érintő sebezhetőségről vagy rendellenességről haladéktalanul tájékoztatni a tanúsító hatóságot.

10. § (1) Azon az IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban, amely tanúsított, vagy amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, - az SZTFH elnökének vagy a 4. § (1) bekezdés b) pontja szerinti esetben a Kormány rendeletében meghatározott módon - nemzeti vagy európai kiberbiztonsági tanúsítási rendszer által előírt formában megfelelőségi jelölést kell elhelyezni.

(2) Tilos az (1) bekezdés szerinti megfelelőségi jelölés jogosulatlan elhelyezése, valamint olyan jelölés elhelyezése, amely hasonlít a megfelelőségi jelölés formájára, vagy azt a látszatot kelti, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat tanúsított, vagy annak vonatkozásában megfelelőségi nyilatkozatot állítottak ki, és így harmadik felet megtéveszthet.

5. Megfelelőségi önértékelés, megfelelőségértékelés

11. § (1) Megfelelőségi önértékelésre abban az esetben kerülhet sor, ha azt a nemzeti kiberbiztonsági tanúsítási rendszer az "alap" megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetővé teszi.

(2) A gyártó nemzeti megfelelőségi nyilatkozatot állít ki arról, hogy megtörtént annak vizsgálata, hogy a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülnek. A vizsgálatnak tartalmaznia kell a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülésének a tanúsítási rendszerben meghatározott módszertan szerinti értékelését.

(3) A megfelelőségi önértékelést végző gyártó a (2) bekezdés szerinti megfelelőségi nyilatkozat kiállítását követő 15 napon belül, nyilvántartásba vétel céljából - elektronikusan kereshető formában is - megküldi a tanúsító hatóság részére a megfelelőségi nyilatkozat másolati példányát, a műszaki dokumentációt, a nemzeti kiberbiztonsági tanúsítási rendszerben meghatározott értékelési módszer alapján elkészített értékelési jelentést, valamint a megjelölt tanúsítási rendszernek való megfeleléssel kapcsolatos összes egyéb lényeges értékelési információt.

12. § Harmadik fél által végzett megfelelőségértékelési tevékenységet csak olyan szervezet végezhet,

a) amelyet a vonatkozó nemzeti vagy európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményekre figyelemmel a nemzeti akkreditálásról szóló törvény szerint kijelölt akkreditáló szerv akkreditált vagy külföldi akkreditált státusz esetén e státuszát elismerte,

b) amely az SZTFH elnökének rendeletében az egyes megbízhatósági szintekre vonatkozóan meghatározott követelményeknek megfelel, és

c) amelyet a tanúsító hatóság nyilvántartásba vett.

6. A kiberbiztonsági tanúsítás felügyelete

13. § (1) A tanúsító hatóság eljárása során a sommás eljárás kizárt.

(2) A tanúsító hatóság ügyintézési határideje 120 nap.

(3) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a nemzeti akkreditáló szerv által akkreditált megfelelőségértékelő szervezetet a hatósági nyilvántartásba vételről szóló határozat véglegessé válásától számított 15 napon belül bejelenti az Európai Bizottság (a továbbiakban: Bizottság) részére. A kérelmező szervezet az akkreditált státuszát a nemzeti akkreditáló szerv határozatának csatolásával igazolja.

(4) A tanúsító hatóság a megfelelőségértékelő szervezet vonatkozásában engedélyezési eljárást folytat le, ha az IKT-termékre, IKT-szolgáltatásra vagy IKT-folyamatra vonatkozó nemzeti vagy európai kiberbiztonsági tanúsítási rendszer

a) kiegészítő követelményeket ír elő és ez alapján engedélyezési eljárás lefolytatása válik szükségessé, vagy

b) "magas" megbízhatósági szintet ír elő a rendszer keretében kiadandó kiberbiztonsági tanúsítványra és a tanúsító hatóság az ilyen tanúsítvány kiállításának feladatát egyes nemzeti vagy európai kiberbiztonsági tanúsítványok vonatkozásában vagy általános jelleggel átruházza a megfelelőségértékelő szervezetre.

(5) A (4) bekezdés b) pontja szerinti esetben az engedély megadásának feltétele, hogy a megfelelőségértékelő szervezet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti, a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek minősüljön.

(6) A (4) bekezdés szerinti engedély hatálya legfeljebb az akkreditált státusz lejártáig terjedhet.

(7) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a (4) bekezdés szerinti engedélyezési eljárás lefolytatása esetén a megfelelőségértékelő szervezetet az engedély megadásáról szóló határozat véglegessé válását követő 15 napon belül bejelenti a Bizottságnak.

(8) A tanúsító hatóság kiberbiztonsági tanúsítási felügyeleti feladatai keretében jogosult

a) felszólítani a megfelelőségértékelő szervezeteket és a megfelelőségi nyilatkozatok kibocsátóit a hatósági feladatellátáshoz szükséges információk, adatok rendelkezésre bocsátására, valamint

b) a megfelelőségértékelő szervezeteknél és a megfelelőségi nyilatkozatok kibocsátóinál hatósági ellenőrzést végezni.

(9) Az egyes tanúsító hatósági eljárásokért igazgatási szolgáltatási díjat kell fizetni. Az igazgatási szolgáltatási díj mértékét és az annak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat

a) a 4. § (1) bekezdés a) pontja szerinti tanúsító hatóság által lefolytatott eljárások esetében az SZTFH elnökének a nemzeti kiberbiztonsági tanúsító hatóság eljárásával összefüggő kiberbiztonsági tanúsítás keretében fizetendő igazgatási szolgáltatási díjról szóló rendelete,

b) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság által lefolytatott eljárások esetében az e törvény végrehajtására kiadott miniszteri rendelet

határozza meg.

14. § (1) A tanúsító hatóság nyilvántartja és kezeli:

a) az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok gyártója által rendelkezésre bocsátott megfelelőségi nyilatkozat adatait,

b) a megfelelőségi nyilatkozathoz benyújtott műszaki dokumentációt és az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok tanúsítási rendszernek való megfelelésével kapcsolatos információkat,

c) a megfelelőségértékelő szervezet és annak kijelölt kapcsolattartója azonosításához szükséges adatokat, ha a megfelelőségértékelő szervezet egyben az (EU) 2019/881 európai parlamenti és tanácsi rendelet 56. cikk (5) bekezdése szerinti közjogi szerv, ennek tényét, valamint az SZTFH elnökének rendeletében meghatározott követelmények teljesülését alátámasztó dokumentumokat,

d) a nemzeti akkreditáló szerv által akkreditált megfelelőségértékelő szervezet akkreditált státuszára vonatkozó határozatban foglalt, valamint az akkreditált státusz változására vonatkozó információkat,

e) ha a 13. § (4) bekezdése szerinti engedélyezési eljárás lefolytatása szükséges, akkor az azzal kapcsolatos kérelmet, adatokat és dokumentumokat,

f) az engedélyezési eljárás során kiadott engedélyre, annak felfüggesztésére, részben vagy egészben történő visszavonására vonatkozó adatokat, valamint annak tényét, hogy az engedély hatályát vesztette,

g) ha a tanúsító hatóság a "magas" megbízhatósági szintű kiberbiztonsági tanúsítvány kiállításának jogát megfelelőségértékelő szervezetre átruházta, a delegált jogkör azonosításához szükséges adatokat,

h) a Bizottság által a megfelelőségértékelő szervezet nyilvántartásba vételekor adott azonosító számot,

i) a megfelelőségértékelő szervezet által igénybe vett közreműködő, valamint kijelölt kapcsolattartója azonosításához szükséges adatokat,

j) a megfelelőségértékelő szervezet által kiadott tanúsítvány adatait,

k) a gyártó, valamint kijelölt kapcsolattartója azonosításához szükséges adatokat,

l) a tanúsítványok kiállításának megtagadásával, hatályának korlátozásával, felfüggesztésével és a visszavonásával kapcsolatos információkat,

m) a 9. § (3) bekezdése szerinti sebezhetőséggel vagy rendellenességgel kapcsolatos információt,

n) a felügyeleti tevékenység ellátása során tudomására jutott adatokat, dokumentumokat, valamint

o) a benyújtott panaszokkal kapcsolatos adatokat, dokumentumokat.

(2) Az (1) bekezdés szerinti nyilvántartás az (1) bekezdés f) és g) pontja szerinti adatok tekintetében közhiteles nyilvántartásnak minősül.

(3) Az (1) bekezdés szerinti adatok kezelésének célja az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságával összefüggő információk naprakészen tartása, valamint az azokat érintő sebezhetőséggel vagy rendellenességgel kapcsolatos feladatok, továbbá a tanúsító hatóság ellenőrzési és felügyeleti hatósági tevékenységének ellátása.

(4) Az (1) bekezdés szerinti nyilvántartásban szereplő bármely adatot érintően - ha jogszabály eltérően nem rendelkezik - a következő szervezetek részére végezhető adattovábbítás:

a) a Bizottság részére a bejelentett megfelelőségértékelő szervezetek jegyzékének összeállítása és frissítése,

b) a nemzeti akkreditálásról szóló törvény szerint kijelölt akkreditáló szerv részére a megfelelőségértékelő szervezetek tevékenységének akkreditációjával és felügyeletével kapcsolatos feladatok ellátása, valamint

c) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központok részére a 9. § (3) bekezdése szerinti sebezhetőséggel vagy rendellenességgel kapcsolatos tevékenység ellátása

érdekében.

(5) A megfelelőségértékelő szervezet és a gyártó az (1) bekezdés szerinti adatokat az adatok rendelkezésre állásától, valamint az adatok változását a változás bekövetkezésétől számított 8 napon belül megküldi a tanúsító hatóság részére a nyilvántartásba vétel érdekében.

15. § (1) Ha a tanúsító hatóság tudomására jut vagy az ellenőrzése során megállapítja, hogy a megfelelőségértékelő szervezet vagy a gyártó a vonatkozó európai uniós vagy magyar jogszabályokban foglalt biztonsági követelményeket és a kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, - a figyelmeztetést tartalmazó döntésében határidő tűzésével - felszólítja a megfelelőségértékelő szervezetet vagy a gyártót a vonatkozó európai uniós és magyar jogszabályokban foglalt biztonsági követelmények és a kapcsolódó eljárási szabályok teljesítésére.

(2) Ha az (1) bekezdésben meghatározottak ellenére a megfelelőségértékelő szervezet vagy a gyártó a jogszabályban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a tanúsító hatóság - az eset összes körülményének mérlegelésével, kormányrendeletben meghatározottak szerint - bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

16. § (1) A tanúsító hatóság a feladatellátása során megismert minősített adatot, személyes adatot vagy különleges adatot, valamint az üzleti titoknak, banktitoknak, fizetési titoknak, biztosítási titoknak, értékpapírtitoknak, pénztártitoknak, orvosi titoknak és más hivatás gyakorlásához kötött titoknak minősülő és törvény által védett egyéb adatot kizárólag a feladat ellátásának időtartama alatt, a célhoz kötöttség elvének figyelembevételével kezeli. A tanúsító hatóság a hatósági ellenőrzés eredményeként tett megállapításokat alátámasztó adatokat rögzíti, és az így rögzített adatokat a megfelelőségértékelő szervezet akkreditált státuszának megszűnését követő 10. év utolsó napjáig, vagy a gyártó által kiadott megfelelőségi nyilatkozat hatályosságának megszűnését követő 10. év utolsó napjáig kezeli azzal, hogy ha az ellenőrzéssel érintett IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében megfelelőségértékelő szervezet által kiadott tanúsítvány és megfelelőségi önértékelés is rendelkezésre áll, az akkreditált státusz megszűnésének és a megfelelőségi nyilatkozat hatályossága megszűnésének időpontja közül a későbbi időpontot kell figyelembe venni. Ezt követően a tanúsító hatóság az adatokat az elektronikus információs rendszereiből és adathordozóiról törli.

(2) A tanúsító hatóság eljárása során keletkezett adatok - ha törvény eltérően nem rendelkezik - nem nyilvánosak.

(3) A tanúsító hatóság munkatársait az (1) bekezdés szerint megismert adatok tekintetében - a jogszabályban meghatározott kivételekkel - titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, minősített adatok tekintetében azok érvényességi idejének végéig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(4) A tanúsító hatóság a tanúsító hatósági tevékenységét, a hatósági ellenőrzést, valamint a nyilvántartás vezetésével kapcsolatos feladatainak ellátását az SZTFH elnöke - a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány - rendeletében foglaltak szerint végzi.

(5) A gyártó a megfelelőségi önértékelés során, valamint a megfelelőségértékelő szervezet a tanúsítási eljárás során az SZTFH elnöke - a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány - rendeletében foglaltak szerint jár el.

III. FEJEZET

KIBERBIZTONSÁGI FELÜGYELET

7. A kiberbiztonsági felügyelettel érintettek köre

17. § (1) Az e fejezetben foglaltakat

a) az 1. melléklet szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint

b) a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek

(a továbbiakban együtt: érintett szervezet) elektronikus információs rendszereire kell alkalmazni.

(2) Az e fejezetben foglalt szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet

a) elektronikus hírközlési szolgáltató,

b) bizalmi szolgáltató,

c) DNS-szolgáltatást nyújtó szolgáltató,

d) legfelső szintű domainnév-nyilvántartó vagy

e) domainnév-regisztrációt végző szolgáltató.

(3) Az e fejezetben foglalt szabályokat nem kell alkalmazni az érintett szervezeteknek az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti honvédelmi célú elektronikus információs rendszereire és hálózataira.

18. § Az e fejezetben foglalt szabályokat nem kell alkalmazni az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti európai vagy nemzeti létfontosságú rendszerelemmé - a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény alapján - kijelölt rendszerelemeknek a létfontosságú tevékenységben közreműködő elektronikus információs rendszereinek, illetve az atomenergia alkalmazása körében a fizikai védelemről és a kapcsolódó engedélyezési, jelentési és ellenőrzési rendszerről szóló kormányrendelet hatálya alá tartozó programozható rendszerek védelmére.

8. Alapvető követelmények

19. § (1) Az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

(2) Az (1) bekezdés szerinti biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

a) a tárolt, továbbított vagy feldolgozott adatok, információk, vagy

b) az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások

bizalmasságát, sértetlenségét és rendelkezésre állását.

(3) A (2) bekezdésben meghatározott védelemnek ki kell terjednie:

a) az információbiztonsági irányítás rendszerére,

b) az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,

c) a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,

d) a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,

e) az üzletmenet folytonosság biztosítására és

f) az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

(4) Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.

(5) Az érintett szervezet vezetője köteles gondoskodni arról, hogy az (1)-(3) bekezdés szerinti követelményeket a (4) bekezdés szerinti közreműködő tekintetében szerződésbe foglalják.

(6) Az érintett szervezet vezetője

a) meghatározza az elektronikus információs rendszerek biztonságáért felelős személy feladatait és felelősségi körét,

b) meghatározza az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat, és

c) gondoskodik a szervezet munkatársai rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról.

20. § (1) Az érintett szervezet köteles az elektronikus információs rendszereket, valamint az azon tárolt, továbbított vagy feldolgozott adatokat a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján biztonsági osztályba sorolni.

(2) A biztonsági osztályba sorolás eredményeként a bizalmasság, a sértetlenség, a rendelkezésre állás sérülésének kockázata alapján "alap", "jelentős" vagy "magas" biztonsági osztályt kell alkalmazni.

(3) Az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozza meg.

(4) A 19. § (1)-(4) bekezdésében meghatározott egyes követelményeknek való megfelelés igazolására - ha rendelkezésre áll - európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.

(5) Az SZTFH elnökének rendeletében meghatározott érintett szervezetek kötelesek az európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított, az SZTFH elnökének rendeletében meghatározott IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni.

21. §[2]

9. Kiberbiztonsági felügyeleti eszközök

22. § (1) A 19. §-ban és a 20. §-ban foglalt követelmények tekintetében az érintett szervezetek, valamint azok elektronikus információs rendszerei kiberbiztonsági felügyeletét az SZTFH látja el.

(2)[3]

(3)[4]

(4)[5]

(5)[6]

(6)[7]

(7)[8]

(8)[9]

(9)[10]

23. § (1) Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

(2)[11]

(3)[12]

(4) Kiberbiztonsági auditot az az auditor végezhet, amely a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel rendelkezik, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek minősül. Az auditorral szemben támasztott követelményeket az SZTFH elnöke rendeletben határozza meg.

(5)[13]

(6) Az audit végrehajtására jogosult gazdálkodó szervezetekről az SZTFH nyilvántartást vezet az SZTFH elnökének rendeletében foglaltak szerint.

(7) A nyilvántartás tartalmazza:

a) az auditor adatait és annak kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, valamint elektronikus levelezési címét,

b) az auditor - nyilvántartásba vételekor kapott - azonosító számát,

c) az auditor által igénybe vett közreműködő adatait, valamint kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, elektronikus levelezési címét, és

d) az audit eredményét tartalmazó dokumentumot.

(8)[14]

(9)[15]

(10)[16]

(11) Az auditor köteles szabályzatban rögzíteni azokat a munkaköröket, amelyeket betöltő személyek az audit során az üzleti titkokhoz hozzáférhetnek, annak tartalmát megismerhetik. Az auditban részt vevő személyeket az audit során tudomásukra jutott személyes adatok, valamint üzleti titok tekintetében titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(12) Az e fejezet szerinti kiberbiztonsági audit nem érinti a más jogszabály által előírt tanúsítási kötelezettséget.

(13)[17]

24. §[18]

25. §[19]

26. § (1) Az SZTFH az SZTFH elnökének rendeletében foglaltak szerint az érintett szervezetekről nyilvántartást vezet, amely tartalmazza:

a) az érintett szervezet azonosításához szükséges adatokat,

b) ha az érintett szervezet nem az Európai Unióban letelepedett szervezet, de Magyarországon belül kínál szolgáltatásokat és magyarországi letelepedett képviselőt jelöl ki, a képviselő nevét vagy cégnevét, levelezési címét, telefonszámát és elektronikus levelezési címét,

c) az elektronikus információs rendszer biztonságáért felelős személy természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint

d) az SZTFH elnökének rendeletében előírt további, személyes adatnak nem minősülő adatokat.

(2) Az érintett szervezet a működése megkezdését követő 30 napon belül az (1) bekezdésben meghatározott adatokat megküldi az SZTFH részére a nyilvántartásba vétel érdekében.

(3) Az érintett szervezet köteles

a) a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és

b) a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.

(4) Az érintett szervezet az (1) bekezdés szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül megküldi a nyilvántartásba vétel érdekében.

(5) Az (1) bekezdés szerinti nyilvántartásból - ha jogszabály eltérően nem rendelkezik - adattovábbítás kizárólag az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott hatósági feladatokat ellátó szervezetek, valamint eseménykezelő központok részére végezhető.

(6) Az SZTFH, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti hatóságok közötti együttműködés és adatszolgáltatás rendjére vonatkozó részletes szabályokat a Kormány rendeletben határozza meg.

(7) Ha az érintett szervezet e törvény hatálya alá tartozó tevékenységet már nem végez, akkor az (1) bekezdés szerinti adatokat az SZTFH a tevékenység befejezésének bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(8) Ha az (1) bekezdés szerinti adatok változását az érintett szervezet bejelenti, akkor az eredeti adatokat az SZTFH az adat változása bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

10. Kiberbiztonsági események jelentése

27. §[20]

IV. FEJEZET

ZÁRÓ RENDELKEZÉSEK

11. Felhatalmazó rendelkezések

28. § (1) Felhatalmazást kap a Kormány, hogy rendeletben meghatározza

a) a tanúsító hatóság által kiszabható bírság mértékét, megállapításának szempontrendszerét, valamint a bírság megfizetése módjának részletes eljárási szabályait,

b) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság feladatának, a tanúsító hatósági tevékenység eljárásrendjének, az engedélyezési eljárásnak, a hatósági ellenőrzésnek, a nyilvántartás vezetésének részletes szabályait, valamint a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a megfelelőségi jelölés elhelyezésére vonatkozó szabályokat,

c) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a megfelelőségi önértékelésre, a tanúsítási eljárásra, valamint a megfelelőségértékelő szervezetek kötelezettségeire és tevékenységére vonatkozó részletes szabályokat,

d) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a nemzeti kiberbiztonsági tanúsítási rendszerekre figyelemmel a tanúsítási rendszereket,

e)[21]

f)[22]

g)[23]

(2) Felhatalmazást kap a Kormány, hogy rendeletben kijelölje a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóságot.

(3) Felhatalmazást kap az SZTFH elnöke, hogy rendeletben meghatározza

a) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatósági tevékenység kivételével a tanúsító hatósági tevékenység eljárásrendjének, az engedélyezési eljárásnak, a hatósági ellenőrzésnek, a nyilvántartás vezetésének részletes szabályait és a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a megfelelőségi jelölés elhelyezésére vonatkozó szabályokat,

b) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a megfelelőségi önértékelésre, a tanúsítási eljárásra, a megfelelőségértékelő szervezetekkel szemben támasztott követelményekre, valamint a megfelelőségértékelő szervezetek kötelezettségeire és azok tevékenységére vonatkozó részletes szabályokat,

c) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a nemzeti kiberbiztonsági tanúsítási rendszereket,

d) a 20. § (5) bekezdése alapján kötelezően alkalmazandó nemzeti vagy európai kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termékeket, IKT-szolgáltatásokat vagy IKT-folyamatokat, valamint az ezek alkalmazására kötelezett érintett szervezeteket,

e)[24]

f) az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásba vételének rendjét, valamint a nyilvántartás személyes adatnak nem minősülő adattartalmára vonatkozó részletes szabályokat,

g)[25]

h) az auditorok nyilvántartásba vételi eljárásának rendjét, és az auditorral szemben támasztott követelményeket,

i)[26]

j)[27]

(4) Felhatalmazást kap a honvédelemért felelős miniszter, hogy rendeletben meghatározza

a) az adópolitikáért felelős miniszterrel egyetértésben a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság eljárásáért fizetendő igazgatási szolgáltatási díj mértékét, a díjak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat, valamint

b) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a megfelelőségértékelő szervezetekkel szemben támasztott követelményeket.

(5) Felhatalmazást kap a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter, hogy rendeletben meghatározza a biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket.

(6) A polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter az (5) bekezdés szerinti rendeletet az SZTFH elnöke véleményének kikérését követően adja ki.

12. Hatályba léptető rendelkezések

29. § (1) Ez a törvény - a (2)-(4) bekezdésben foglalt kivétellel - a kihirdetését követő 8. napon lép hatályba.

(2) A 15. § és a 28. § (1) bekezdés a) pontja az e törvény kihirdetését követő 16. napon lép hatályba.

(3) A 7. alcím, a 19. §, a 20. §, a 22. § (1) bekezdése, a 23. § (1), (4), (6), (7), (11) és (12) bekezdése, a 26. §, a 28. § (3) bekezdés d), f) és h) pontja, a 28. § (5) és (6) bekezdése, a 30. § (1), (2), (4) és (5) bekezdése, a 40. §, a 42. §, a 48. §, valamint az 1. és a 2. melléklet 2024. január 1-jén lép hatályba.

(4) A 21. §, a 22. § (2)-(9) bekezdése, a 23. § (2), (3), (5), (8)-(10) és (13) bekezdése, a 24. §, a 25. §, a 10. alcím, a 28. § (1) bekezdés e)-g) pontja, a 28. § (3) bekezdés e), g), i) és j) pontja, a 30. § (3) bekezdése, a 33-37. §, a 38. § a) és c) pontja, a 46. § és a 49. § 2024. október 18-án lép hatályba.

13. Átmeneti rendelkezések

30. § (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

(2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

(3)[28]

(4) Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a 26. § (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

(5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

14. Az Alaptörvény sarkalatosságra vonatkozó követelményének való megfelelés

31. § A 39-42. §, a 47-49. § és az 51. § az Alaptörvény 23. cikke alapján sarkalatosnak minősül.

15. Az Európai Unió jogának való megfelelés

32. § (1) Ez a törvény az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

(2) Ez a törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

16. Módosító rendelkezések

33. §[29]

34. §[30]

35. §[31]

36. §[32]

37. §[33]

38. § Hatályát veszti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény

a)[34]

b)[35]

c)[36]

d)[37]

e)[38]

f)[39]

g)[40]

h)[41]

i)[42]

j)[43]

k)[44]

39. §[45]

40. §[46]

41. §[47]

42. §[48]

43. §[49]

44. §[50]

45. §[51]

46. §[52]

47. §[53]

48. §[54]

49. §[55]

50. §[56]

51. §[57]

Novák Katalin s. k.,

köztársasági elnök

Dr. Latorcai János s. k.,

az Országgyűlés alelnöke

1. melléklet a 2023. évi XXIII. törvényhez

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

2. melléklet a 2023. évi XXIII. törvényhez

Kockázatos ágazatokban működő szolgáltatók és szervezetek