8/2025. (VIII. 21.) SZTFH rendelet
egyes kiberbiztonsági tárgyú és fenntarthatósági célú átvilágítási kötelezettségekkel összefüggő rendeletek módosításáról
[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a Szabályozott Tevékenységek Felügyeleti Hatósága mint kiberbiztonsági hatóság által a felügyelt szervezetekről vezetett nyilvántartás szabályainak kiegészítése, illetve adatszolgáltatás előírása a felügyelt szervezetek elektronikus információs rendszereinek darabszáma tekintetében.
[2] A rendelet további célja az ESG tanácsadóként történő akkreditálás eljárási szabályainak módosítása az ESG tanácsadóként történő akkreditálás követelményrendszeréről szóló miniszteri rendelet módosítására tekintettel.
[3] A rendelet a vállalkozások számára kedvezően módosítja az ESG adatszolgáltatás folyamatát támogató ESG szoftver kiberbiztonsági tanúsítványának megszerzési határidejét.
[4] A sérülékenységvizsgálat kiemelt szereppel bír az elektronikus információs rendszerek tekintetében, különös figyelemmel arra, hogy ezen vizsgálatok azonosítani tudják az informatikai rendszerekben rejlő hibákat, átfogó képet tudnak adni a rendszerek biztonsági állapotáról, ezzel segítve azon intézkedések megtételét, amelyek hatékony védelmet biztosíthatnak a szervezetek számára. A módosítás célja, hogy pontosítsa azon gazdálkodó szervezetek foglalkoztatottjaival szembeni követelményeket, akik jogosultak lehetnek az elektronikus információs rendszerek vonatkozásában sérülékenységvizsgálat lefolytatására.
[5] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés e) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva,
a 2. alcím tekintetében a fenntartható finanszírozás és az egységes vállalati felelősségvállalás ösztönzését szolgáló környezettudatos, társadalmi és szociális szempontokat is figyelembe vevő, vállalati társadalmi felelősségvállalás szabályairól és azzal összefüggő egyéb törvények módosításáról szóló 2023. évi CVIII. törvény 52. § (5) bekezdés c) és f) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) pontjában és 13/A. § 1. pontjában meghatározott feladatkörömben eljárva,
a 3. alcím tekintetében a fenntartható finanszírozás és az egységes vállalati felelősségvállalás ösztönzését szolgáló környezettudatos, társadalmi és szociális szempontokat is figyelembe vevő, vállalati társadalmi felelősségvállalás szabályairól és azzal összefüggő egyéb törvények módosításáról szóló 2023. évi CVIII. törvény 52. § (5) bekezdés f) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) pontjában és 13/A. § 1. pontjában meghatározott feladatkörömben eljárva,
a 4. alcím tekintetében a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (7) bekezdés a) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva - a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (8) bekezdésében és a Kormány tagjainak feladat- és hatásköréről szóló 182/2022. (V. 24.) Korm. rendelet 160. § 15. pontjában meghatározott feladatkörében eljáró energiaügyi miniszter véleményének kikérésével -
a következőket rendelem el:
1. Az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet módosítása
1. § Az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendelet (a továbbiakban: R1.) 2. § (2) bekezdés d) pontja helyébe a következő rendelkezés lép:
[Az (1) bekezdés szerinti kérelem tartalmazza]
"d) a szervezet következő technikai adatait:
da) a szervezet rendelkezésében lévő elektronikus információs rendszerek darabszámát,
db) az elektronikus információs rendszerei által nyújtott nyilvános szolgáltatásokat,
dc) az elektronikus információs rendszerei által használt, a szervezethez rendelt nyilvános, fix IP-címet,
dd) az elektronikus információs rendszerei által használt doménnevet,
de) az elektronikus információs rendszerei üzemeltetésében részt vevő vagy abban közreműködő jogi személy vagy jogi személyiséggel nem rendelkező szervezet megnevezését és adószámát,
df) az elektronikus információs rendszerei működtetéséhez igénybe vett elektronikus hírközlési szolgáltatást vagy közvetítő szolgáltatást és az e szolgáltatásokat nyújtó szolgáltató megnevezését és adószámát, valamint"
2. § Az R1. a következő 5/A. §-sal egészül ki:
"5/A. § (1) Az egyes kiberbiztonsági tárgyú és fenntarthatósági célú átvilágítási kötelezettségekkel összefüggő rendeletek módosításáról szóló 8/2025. (VIII. 21.) SZTFH rendelettel (a továbbiakban: Módr.) módosított 2. § (2) bekezdés d) pont da) alpontját a Módr. hatálybalépését követően indult eljárásokra kell alkalmazni.
(2) Az a szervezet, amely nem az (1) bekezdés szerinti eljárás alapján került felvételre a Kiberbiztonsági tv. 29. § (1) bekezdés a) pontja szerinti nyilvántartásba, a Módr.-rel módosított 2. § (2) bekezdés d) pont da) alpontja szerinti adatot 2025. december 31. napjáig jelenti be a felügyeleti hatóság részére."
3. § Az R1. 2. § (2) bekezdés c) pontjában az "és cégjegyzékszámát" szövegrész helyébe az "és cégjegyzékszámát," szöveg lép.
2. Az ESG tanácsadóként történő akkreditálás eljárási szabályairól és az ESG tanácsadók nyilvántartásáról szóló 11/2024. (VIII. 8.) SZTFH rendelet módosítása
4. § Az ESG tanácsadóként történő akkreditálás eljárási szabályairól és az ESG tanácsadók nyilvántartásáról szóló 11/2024. (VIII. 8.) SZTFH rendelet (a továbbiakban: R2.) 3. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A természetes személy kérelmező esetén a 2. § szerinti kérelem tartalmazza
a) a természetes személy kérelmező családi és utónevét, születési családi és utónevét, születési helyét, születési idejét, állampolgárságát, adóazonosító jelét és
b) a természetes személy kérelmező postacímét, telefonszámát, elektronikus levelezési címét."
5. § Az R2.
a) 5. § (1) bekezdés e) pontjában az "a munkavállalók, illetve a személyesen közreműködő tag nyilvántartási számát" szövegrész helyébe az "a munkavállalók vagy munkavégzésre irányuló egyéb jogviszonyban foglalkoztatottak, illetve a személyesen közreműködő tag nyilvántartási számát" szöveg,
b) 5. § (6) bekezdésében az "az NGM rendelet 2. § (3) bekezdés a) pontja, illetve 2. § (4) bekezdése" szövegrész helyébe az "az NGM rendelet 2. § (3) bekezdés a) pontja" szöveg,
c) 10. § (1) bekezdésében a "munkavállalók, illetve a személyesen közreműködő tag családi és utónevét, valamint a munkavállalók, illetve a személyesen közreműködő tag nyilvántartási számát" szövegrész helyébe a "munkavállalók vagy munkavégzésre irányuló egyéb jogviszonyban foglalkoztatottak, illetve a személyesen közreműködő tag családi és utónevét, valamint a munkavállalók vagy munkavégzésre irányuló egyéb jogviszonyban foglalkoztatottak, illetve a személyesen közreműködő tag nyilvántartási számát" szöveg,
d) 10. § (6) bekezdésében az "az NGM rendelet 4. § (3) bekezdés a) pontja, illetve 4. § (4) bekezdése" szövegrész helyébe az "az NGM rendelet 4. § (3) bekezdés a) pontja" szöveg
lép.
6. § Hatályát veszti az R2. 1. § 2. pontja.
3. Az ESG beszámolók, az ESG minősítők és az ESG szoftverek nyilvántartásáról szóló 12/2024. (VIII. 15.) SZTFH rendelet módosítása
7. § Az ESG beszámolók, az ESG minősítők és az ESG szoftverek nyilvántartásáról szóló 12/2024. (VIII. 15.) SZTFH rendelet 12. § (3) bekezdésében a "2025. november 1-jéig" szövegrész helyébe a "2026. november 1-jéig" szöveg lép.
4. A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásáról és a velük szemben támasztott követelményekről szóló 5/2025. (VI. 20.) SZTFH rendelet módosítása
8. § A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetek és természetes személyek nyilvántartásáról és a velük szemben támasztott követelményekről szóló 5/2025. (VI. 20.) SZTFH rendelet (a továbbiakban: R3.) 3. § (2) bekezdése helyébe a következő rendelkezés lép:
"(2) A sérülékenységvizsgálat végzésére jogosult természetes személynek rendelkeznie kell
a) a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen szerzett felsőfokú végzettséggel, amelynek szakirányú képzése hálózatbiztonsági, kiberbiztonsági vagy azzal egyenértékű információbiztonsági területre irányul, vagy
b) olyan képzettséggel, illetve képesítéssel, amely alapján alkalmas a következő tevékenységek közül legalább kettő végzésére:
ba) elektronikus információs rendszerek gyenge pontjainak feltárása és azok kihasználhatóságának ellenőrzése;
bb) webes alkalmazások sérülékenységeinek azonosítása;
bc) vezeték nélküli hozzáférési és kapcsolódási pontok felkutatása, feltérképezése, a használt titkosítási eljárások elemzése, valamint a titkosítási kulcsok visszafejthetőségének ellenőrzése;
bd) pszichológiai manipulációs (social engineering) támadások tervezése és kivitelezése."
9. § (1) Az R3. 4. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A nyilvántartásba vett sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és a 3. § (1) bekezdése szerinti feltételeknek, továbbá a sérülékenységvizsgálat végzésére jogosult természetes személynek folyamatosan meg kell felelnie a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, valamint a 3. § (2) bekezdése szerinti feltételeknek."
(2) Az R3. 4. § (3) bekezdése helyébe a következő rendelkezés lép:
"(3) A sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezet a változás beálltát követő 8 napon belül bejelenti a kiberbiztonsági hatóságnak, ha
a) nem felel meg a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja és a 3. § (1) bekezdése szerinti feltételeknek,
b) az általa foglalkoztatott sérülékenységvizsgálat végzésére jogosult természetes személy nem felel meg a Kiberbiztonsági tv. 57. § (2) bekezdés a) és c) pontja, illetve a 3. § (2) bekezdése szerinti feltételeknek, vagy
c) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene."
5. Záró rendelkezések
10. § Ez a rendelet a kihirdetését követő napon lép hatályba.
11. § Az 1. alcím az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek (NIS 2 irányelv) való megfelelést szolgálja.
Dr. Nagy László s. k.,
elnök