3/2025. (IV. 17.) SZTFH rendelet
3/2025. (IV. 17.) SZTFH rendelet
a kiberbiztonsági felügyelet és feladatellátás és a hatósági ellenőrzés lefolytatásának részletes szabályairól, valamint az információbiztonsági felügyelőről
[1] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a kiberbiztonsági felügyelet és feladatellátás, továbbá a hatósági ellenőrzés lefolytatására vonatkozó rendelkezések megállapítása.
[2] A rendelet további célja az információbiztonsági felügyelő személyével szembeni követelményekre, a kirendelésére, jogosítványaira, feladataira vonatkozó részletes szabályok megalkotása.
[3] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés d) pontjában kapott felhatalmazás alapján,
a 2. alcím tekintetében a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés f) pontjában kapott felhatalmazás alapján,
a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. A kiberbiztonsági felügyelet és feladatellátás, továbbá a hatósági ellenőrzés szabályai
1. § (1) A Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti feladatkörében eljárva – kiberbiztonsági hatóságként – jogosult a Kiberbiztonsági tv. 1. § (1) bekezdés d) és e) pontja szerinti – a Kiberbiztonsági tv. 23. § (1) bekezdés a) pontja hatálya alá nem tartozó – szervezetek (a továbbiakban együtt: szervezet) tekintetében
a) a biztonsági osztályba sorolást, a védelmi intézkedéseket és az ezekhez kapcsolódó eljárási szabályok teljesülését ellenőrizni,
b) a szervezet által meghatározott biztonsági osztályhoz tartozó védelmi intézkedéseken túl további biztonsági követelményeket meghatározni,
c) a szervezet által elfogadott kiberbiztonsági kockázatkezelési intézkedések – többek között a dokumentált kiberbiztonsági szabályzatok – értékeléséhez, valamint az információk bejelentésére vonatkozó kötelezettség betartásának értékeléséhez szükséges tájékoztatást kérni,
d) a védelmi intézkedések és az ezekhez kapcsolódó eljárási szabályok teljesülését ellenőrizni,
e) rendszeres, eseti és célzott biztonsági ellenőrzéseket végezni, ideértve a helyszíni ellenőrzéseket, a távoli felügyeleti intézkedéseket és a véletlenszerű ellenőrzéseket is,
f) a felügyeleti feladatai ellátásához szükséges adatokhoz, dokumentumokhoz és információkhoz hozzáférni és ezeket bekérni, illetve a megküldött dokumentumok felülvizsgálatát elrendelni,
g) az ellenőrzés során feltárt hiányosságok felszámolásához szükséges intézkedéseket elrendelni, ezek teljesülését ellenőrizni,
h) a kiberbiztonsági audit eredményeképp előállított auditjelentést megalapozó bizonyítékokhoz hozzáférni és ezeket bekérni, ezek tartalmát felülvizsgálni,
i) a meglévő auditjelentés eredménye alapján a következő audit célkitűzését meghatározni,
j) rendkívüli auditot elrendelni.
(2) A Hatóság a feladatai ellátása során együttműködik
a) a kiberbiztonsági hatóságokkal,
b) a kiberbiztonsági incidenskezelő központokkal,
c) a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendelet szerinti hatósággal,
d) a rendvédelmi szervekkel,
e) a nemzetbiztonsági szolgálatokkal,
f) a Nemzeti Média- és Hírközlési Hatósággal,
g) a Nemzeti Adatvédelmi és Információszabadság Hatósággal,
h) a kritikus szervezetek ellenálló képességéről szóló törvény szerinti kijelölő hatósággal és szakhatósággal,
i) a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti kijelölő hatósággal és szakhatósággal,
j) az Európai Unió tagállamainak kiberbiztonsági felügyeleti hatóságaival, valamint
k) más tagállamok illetékes hatóságaival.
(3) Ha egy szervezet egynél több európai uniós tagállamban nyújt szolgáltatásokat, vagy egy vagy több európai uniós tagállamban nyújt szolgáltatásokat, és hálózati és információs rendszerei egy vagy több másik európai uniós tagállamban találhatóak, a Hatóság szükség szerint együttműködik a másik tagállam illetékes hatóságával.
(4) A (3) bekezdés szerinti együttműködés keretében a Hatóság
a) az általa alkalmazott felügyeleti intézkedésekről – az egyedüli kapcsolattartó ponton keresztül – tájékoztathatja az érintett európai uniós tagállam illetékes hatóságát,
b) felkérheti a másik európai uniós tagállam illetékes hatóságát felügyeleti intézkedések megtételére,
c) egy másik európai uniós tagállam illetékes hatóságától származó indokolt kérelem kézhezvételét követően – a saját erőforrásaihoz mérten arányos módon – kölcsönös segítséget nyújt a megkereső hatóság számára, annak érdekében, hogy a felügyeleti intézkedéseket hatékonyan, eredményesen és következetesen lehessen végrehajtani.
(5) A (4) bekezdés c) pontja szerinti megkeresést a Hatóság nem utasíthatja el, kivéve, ha megállapítja, hogy nem rendelkezik hatáskörrel a kért segítség nyújtására, a kért segítség nem arányos a hatóság felügyeleti feladataival, vagy a megkeresés olyan információra vonatkozik, vagy olyan tevékenységeket foglal magában, amelyek közlése vagy végrehajtása ellentétes lenne Magyarország nemzetbiztonságának, közbiztonságának vagy védelmének alapvető érdekeivel. A megkeresés elutasítása előtt a Hatóság konzultálhat más illetékes hatósággal, valamint az Európai Bizottsággal és az Európai Uniós Kiberbiztonsági Ügynökséggel.
(6) A Hatóság közös felügyeleti intézkedéseket hajthat végre más európai uniós tagállamok illetékes hatóságaival.
2. § (1) A Hatóság az éves ellenőrzési terv alapján végez ellenőrzést, illetve rendkívüli ellenőrzést hajthat végre.
(2) Az ellenőrzés alapján tett intézkedések nyomon követése érdekében a Hatóság utóvizsgálatot rendelhet el.
(3) A Hatóság az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény 104. § (3) bekezdés c) pontjában foglaltak alapján az értesítést akkor mellőzheti, ha
a) súlyos fenyegetettség áll fenn,
b) jelentős kiberbiztonsági incidens történt,
d) az érintett szervezet a rendelkezésre álló adatok alapján az ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.
3. § (1) A Hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – az ellenőrzés keretében jogosult önállóan vagy más hatósággal együtt
a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani,
c) az ellenőrzés során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint
d) információtechnológiai műszaki vizsgálatokat végezni, az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.
(2) A Hatóság az elektronikus információs rendszerek és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, az elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek.
4. § (1) Az ellenőrzéssel érintett szervezet vezetője, munkatársa, alkalmazottja, illetve szerződéses jogviszony alapján az elektronikus információbiztonság tekintetében érintett egyéb közreműködő és az elektronikus információs rendszer biztonságáért felelős személy köteles a Hatósággal együttműködni.
(2) Az elektronikus információs rendszer biztonságáért felelős személy köteles a helyszíni ellenőrzésen részt venni.
(3) A szervezet köteles a Hatóság által benyújtani kért dokumentumokat rendezett, átlátható formában átadni.
(4) A Hatóság a hatósági ellenőrzésről készített feljegyzés vagy jegyzőkönyv egy példányát az ügyfélnek a helyszínen átadja, vagy azt az ügyfél részére az ellenőrzés befejezésétől számított 8 napon belül megküldi.
(5) Az ellenőrzött szervezet az ellenőrzés során készített jegyzőkönyv megállapításaira a közlést követő 15 napon belül a Hatóságnál írásban észrevételt tehet.
5. § A Hatóság kötelezi a szervezetet az elektronikus információs rendszer biztonsági osztályának felülvizsgálatára és módosítására, ha a kiberbiztonsági audit lefolytatása során, a szervezet által megállapított biztonsági osztály megfelelőségének vizsgálata eredményeként az auditor „nem megfelelő” értékelést rögzített.
6. § (1) A Hatóság az elektronikus információbiztonsági, kiberbiztonsági követelmények teljesülése érdekében – megfelelő határidő kitűzése mellett – felszólítja a szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértésének megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, valamint az elvárt intézkedés megtételére.
(2) A Hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos kiberbiztonsági incidens bekövetkeztével fenyeget.
(3) A Hatóság az incidenskezelő központ értesítése esetén megfelelő határidő tűzése mellett felszólítja a szervezetet vagy a közvetítő szolgáltatót a jogszabálysértő tevékenység vagy a jogsértő állapot megszüntetésére, ennek keretében bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.
(4) A hatósági döntés megtámadására nyitva álló keresetindítási határidő lejártáig, illetve közigazgatási per indítása esetén a bíróság jogerős határozatáig a vitatott jogszabálysértésekkel érintett adatok nem törölhetőek, illetve nem semmisíthetőek meg.
(5) A Hatóság a Kiberbiztonsági tv. 30. § (1), (5), illetve (6) bekezdése szerinti jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe:
a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett védelmi követelmény súlyát,
b) a jogsértés időtartamát,
c) történt-e jelentős kiberbiztonsági incidens vagy nagyszabású kiberbiztonsági incidens, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,
d) az incidens hatását vagy lehetséges hatását az érintett szervezetre vagy más szervezetekre,
e) az okozott bármely vagyoni vagy nem vagyoni kárt, beleértve bármely pénzügyi vagy gazdasági veszteséget, az egyéb szolgáltatásokra gyakorolt hatásokat és az érintett felhasználók számát,
f) az esemény egyedi vagy ismételt jellegét,
g) az érintett szervezet által korábban elkövetett releváns jogsértéseket,
h) a jogsértés elkövetőjének bármely szándékosságát vagy gondatlanságát,
i) az érintett szervezet magatartását, a szervezet által a vagyoni vagy nem vagyoni kár megelőzésére vagy mérséklésére tett bármely intézkedést,
j) azt, hogy a jóváhagyott magatartási kódexek vagy jóváhagyott tanúsítási mechanizmusok betartásra kerültek-e,
k) a felelősnek tartott természetes vagy jogi személyek illetékes hatóságokkal való együttműködésének szintjét, valamint
l) az alkalmazni tervezett jogkövetkezmény hatékonyságát, arányosságát és visszatartó erejét.
(6) Súlyos jogsértésnek minősülnek
a) az ismételt jogsértések,
b) a jelentős események bejelentésének vagy orvoslásának elmaradása,
c) a hiányosságok orvoslásának elmaradása az illetékes hatóságok kötelező erejű utasításait követően,
d) a jogsértés megállapítását követően az illetékes hatóság által elrendelt ellenőrzések vagy ellenőrzési tevékenységek akadályozása,
e) a hamis vagy súlyosan pontatlan információk közlése.
2. Az információbiztonsági felügyelő
7. § (1) A szervezethez kirendelésre kerülő információbiztonsági felügyelőt a Hatóság elnöke a Hatóság munkatársai közül rendelheti ki.
(2) Az információbiztonsági felügyelő – ha a kirendelés indokai ezt lehetővé teszik – egyidejűleg több szervezethez is kirendelhető.
(3) Határozott időtartamú kirendelés esetén a kirendelés meghosszabbítására a kirendelés idejének lejárta előtt, legfeljebb egy alkalommal kerülhet sor, a folyamatban lévő intézkedések lezárásáig. A kirendelés időtartamának meghatározásakor figyelemmel kell lenni az érintett szervezet kötelezettségszegésének súlyára és a fenyegetés elhárításához szükséges védelmi intézkedésekre.
(4) A kirendelésről szóló határozat – az általános közigazgatási rendtartásról szóló törvényben előírtakon túl – tartalmazza a kirendelés célját, tárgyát, az információbiztonsági felügyelő személyazonosításához szükséges adatokat, a kirendelésre okot adó körülményeket, a kirendelés időtartamát, a tevékenység ellátásának módjára és rendszerességére vonatkozó adatokat.
8. § (1) Az információbiztonsági felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ezekhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben
a) az érintett szervezet vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni, azzal, hogy a szóbeli tájékoztatást jegyzőkönyvbe kell foglalni,
b) intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében az érintett szabályzatok felülvizsgálatát kezdeményezni.
(2) A szervezet vezetője, az elektronikus információs rendszer biztonságáért felelős személy, valamint a szervezet munkatársai kötelesek az információbiztonsági felügyelővel együttműködni, részére a szükséges információkat megadni, dokumentumokat átadni.
(3) Az információbiztonsági felügyelő kirendelésének megszűnéséről a Hatóság írásban haladéktalanul tájékoztatja az érintett szervezet vezetőjét.
3. Záró rendelkezések
9. § Ez a rendelet a kihirdetését követő napon lép hatályba.
10. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelv 26. cikk (5) bekezdésének, 32. cikk (2)–(4), valamint (7), (8) és (10) bekezdésének, 33. cikk (1)–(5) bekezdésének és 37. cikkének való megfelelést szolgálja.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás