5/2025. (VI. 20.) SZTFH rendelet

a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásáról és a velük szemben támasztott követelményekről

[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásba vételére vonatkozó eljárási szabályok megállapítása, valamint az e személyekkel szembeni követelmények megállapítása.

[2] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (7) bekezdés a) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva - a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (8) bekezdésében és a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 160. § 15. pontjában meghatározott feladatkörében eljáró energiaügyi miniszter véleményének kikérésével -,

a 6. §, a 7. § és az 1. melléklet tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva

a következőket rendelem el:

1. § (1) A Szabályozott Tevékenységek Felügyeleti Hatósága mint a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági hatóság (a továbbiakban: kiberbiztonsági hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet és természetes személy vonatkozásában a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti nyilvántartás (a továbbiakban együtt: nyilvántartás) vezetését.

(2) A kiberbiztonsági hatóság eljárása a kiberbiztonsági hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.

2. § (1) A nyilvántartásba történő felvételre irányuló eljárás a kiberbiztonsági hatósághoz benyújtott kérelemre indul.

(2) Az (1) bekezdés szerinti kérelem tartalmazza

a) a kérelmező

aa) megnevezését,

ab) adószámát,

ac) cégjegyzékszámát,

ad) székhelyének címét,

ae) - a kiberbiztonsági hatóság honlapján közzétételre kerülő - elektronikus levelezési címét és telefonszámát,

b) a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét,

c) a sérülékenységvizsgálat végzésére jogosult természetes személy azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint

d) azt, hogy a kérelmező milyen biztonsági osztályba sorolt elektronikus információs rendszerekre kíván sérülékenységvizsgálatot végezni.

(3) A kérelmező az (1) bekezdés szerinti kérelemhez mellékeli

a) a 3. § (3) bekezdése szerinti dokumentumokat, valamint

b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.

3. § (1) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek a következő feltételeknek kell megfelelnie a sérülékenységvizsgálattal érintett elektronikus információs rendszer biztonsági osztálya szerint:

a) "alap" biztonsági osztály esetén

aa) legalább kettő, a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, valamint a (2) bekezdés szerinti feltételeknek megfelelő szakértőt - mint sérülékenységvizsgálat végzésére jogosult természetes személyt - foglalkoztat,

ab) rendelkezik információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel,

ac) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során,

ad) rendelkezik a sérülékenységvizsgálat lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereiből és az archív mentéseiből,

b) "jelentős" vagy "magas" biztonsági osztály esetén az a) pontban foglalt feltételeknek való megfelelésen túl a sérülékenységvizsgálat lefolytatásához a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti "jelentős" vagy "magas" megbízhatósági szintre nyilvántartásba vett vizsgáló laboratóriumot vesz igénybe.

(2) A sérülékenységvizsgálat végzésére jogosult természetes személynek rendelkeznie kell

a) a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel és

b) olyan képzettséggel, illetve képesítéssel, amely alapján alkalmas a következő tevékenységek közül legalább kettő végzésére:

ba) számítógépes kódok, számítógépes programok fejlesztésére,

bb) az elektronikus információs rendszer gyenge pontjainak feltárására és kihasználhatóságának ellenőrzésére,

bc) a webes alkalmazások sérülékenységei feltárására,

bd) vezeték nélküli hozzáférési és kapcsolódási pontok keresésére, feltérképezésére, titkosítási eljárások elemzésére, titkosítási kulcsok visszafejthetőségének ellenőrzésére,

be) pszichológiai manipulációs támadások kivitelezésére, illetve tervezésére és megvalósítására.

(3) A kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, valamint az (1) és (2) bekezdés szerinti feltételek teljesítését a következő módon igazolja:

a) a telephely biztonsági tanúsítványra vonatkozó feltétel teljesítését a telephely biztonsági tanúsítvánnyal;

b) a Kiberbiztonsági tv. 57. § (2) bekezdés a) pontja esetében a nemzetbiztonsági ellenőrzést lefolytató nemzetbiztonsági szolgálat által kiállított igazolással;

c) a Kiberbiztonsági tv. 57. § (2) bekezdés c) pontja esetében szakmai önéletrajzzal, valamint a kétéves szakmai tapasztalatot alátámasztó referencianyilatkozattal;

d) az (1) bekezdés a) pont aa) alpontja esetében olyan okirattal, amely a foglalkoztatási jogviszony fennállását és annak típusát igazolja;

e) az (1) bekezdés a) pont ab) alpontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;

f) az (1) bekezdés a) pont ac) alpontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;

g) az (1) bekezdés a) pont ad) alpontja esetében törlési eljárásrenddel és műszaki leírásokkal;

h) az (1) bekezdés b) pontja esetében a közreműködő vizsgáló laboratórium nyilatkozatával;

i) a (2) bekezdés a) pontja esetében a felsőfokú végzettséget igazoló okirat másolatával;

j) a (2) bekezdés b) pontja esetében a képzettséget, illetve képesítést igazoló okirattal.

(4) A kiberbiztonsági hatóság a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizheti.

(5) A Kiberbiztonsági tv. 57. § (4) bekezdése alapján a sérülékenységvizsgálat lefolytatásához szükséges szakértelem és infrastrukturális feltételek teljesülésének megállapítása érdekében - a (3) bekezdés c) és e)-j) pontjában megjelölt dokumentumok megküldésével - a kiberbiztonsági hatóság megkeresi a sérülékenységvizsgálat végzésére jogosult állami szervet.

(6) Ha a kérelmező a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve az (1) és (2) bekezdés szerinti feltételeket nem teljesíti, a kiberbiztonsági hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be a korábbival megegyező tartalommal.

(7) A (2) bekezdés b) pontja szerinti követelménynek való megfelelés szempontjából az érvényességi idővel rendelkező képzettség, illetve képesítés csak az érvényességi ideje lejártát megelőzően vehető figyelembe.

4. § (1) A nyilvántartásba vett sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, valamint a 3. § (1) és (2) bekezdése szerinti feltételeknek.

(2) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a Kiberbiztonsági tv. 29. § (1) bekezdés b) és c) pontja szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a kiberbiztonsági hatóság részére a kiberbiztonsági hatóság által rendszeresített elektronikus űrlap alkalmazásával.

(3) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a változás beálltát követő 8 napon belül bejelenti a kiberbiztonsági hatóságnak, ha

a) nem felel meg

aa) a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja,

ab) a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve

ac) a 3. § (1) és (2) bekezdése

szerinti feltételeknek, vagy

b) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.

(4) A kiberbiztonsági hatóság törli a nyilvántartásból a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetet, ha

a) a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (1) és (2) bekezdése szerinti feltételeknek nem felel meg,

b) jogutód nélkül megszűnik, vagy

c) jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.

(5) A kiberbiztonsági hatóság törli a Kiberbiztonsági tv. 29. § (1) bekezdés c) pontja szerinti nyilvántartásból a sérülékenységvizsgálat végzésére jogosult természetes személyt, ha a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (2) bekezdése szerinti feltételeknek nem felel meg.

5. § Ez a rendelet a kihirdetését követő 31. napon lép hatályba.

6. §[1]

7. §[2]

Dr. Nagy László s. k.,

elnök

1. melléklet az 5/2025. (VI. 20.) SZTFH rendelethez[3]