Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) a hatálya alá tartozó szervezetek számára kötelezően előírja elektronikus információs rendszer biztonságáért felelős személy (más néven információbiztonsági felelős vagy informatikai biztonsági felelős, röviden: IBF) megbízását. Az új EU-s jogszabály, a NIS 2 kiberbiztonsági irányelv, illetve a bevezetéséhez kapcsolódó, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.) a kritikus ágazatokban működő cégek és egyéb szervezetek számára határoz meg új informatikai biztonsági feladatokat és intézkedéseket, köztük IBF megbízását is.


Információbiztonsági felelős feladatainak ellátása

Az IBF fő feladata az Ibtv. hatálya alá tartozó szervezet információbiztonsággal összefüggő jogszabályi követelményeknek való megfelelőségét biztosítani, többek között az alábbi tevékenységek ellátásával:

  • gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,
  • elvégzi vagy irányítja fenti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,
  • előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,
  • előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,
  • véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,
  • továbbá kapcsolatot tart a felügyeleti hatósággal, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézettel és a Kormányzati Eseménykezelő Központtal (GovCert).

Az információbiztonsági felelősnek az ellátandó feladatok komplexitása miatt a jogszabályban meghatározott szakképesítéssel, illetve minimum 5 év szakmai gyakorlattal kell rendelkeznie, a megbízott IBF adatait a felügyeleti hatóság felé is be kell jelenteni.

Cégünk 2009 óta foglalkozik információbiztonsági tanácsadással, 2013 óta pedig a törvény hatálya alá tartozó szervezetek számára információbiztonsági felelős biztosításával. A felügyeleti hatósággal történő megfelelő és hatékony kommunikációban többéves tapasztalattal rendelkezünk.

Szolgáltatásunk keretében vállaljuk az információbiztonsági felelős feladatainak szakszerű ellátását!


NIS 2 megfelelés

A 2023-ban hatályba lépett NIS 2 kiberbiztonsági irányelv az egész EU-ra kiterjedő új jogszabály, amely kötelező előírásokat tartalmaz a kiberbiztonság általános szintjének növelésére a kritikus ágazatokban működő cégek és szervezetek számára.

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.) határozza meg, hogy hazánkban az új előírások hatálya mely cégekre, szervezetekre terjed ki, ezek főbb ágazatok szerint az alábbiak:

Nagy kritikusságú ágazatok (kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek):

  • energetika,
  • közlekedés,
  • egészségügy, gyógyszeripar,
  • víziközmű szolgáltatás,
  • digitális infrastruktúra,
  • hírközlési szolgáltatás,
  • digitális infrastruktúra,
  • kihelyezett IKT szolgáltatások,
  • űralapú szolgáltatás.

Egyéb kritikus ágazatok (kockázatos ágazatokban működő szolgáltatók és szervezetek):

  • postai és futárszolgálat,
  • élelmiszer előállítása, feldolgozása és forgalmazása,
  • hulladékgazdálkodás,
  • vegyszerek előállítása és forgalmazása,
  • gyártás (pl.: orvostechnikai eszközök, elektronikai eszközök, gépek és berendezések, gépjármű és egyéb szállítóeszközök),
  • digitális szolgáltatók,
  • kutatás.

A NIS 2 hatálya alá tartozó cégeknek biztosítaniuk kell, hogy a tevékenységük végzéséhez, illetve szolgáltatásaik nyújtásához használt informatikai rendszerek és hálózatok a korábbinál magasabb kiberbiztonsági szintet érjenek el. Ennek érdekében többek között kockázatelemzésen alapuló módon a kockázatokkal arányos információbiztonsági intézkedéseket kell alkalmazniuk, mint például korszerűbb titkosítási és hitelesítési megoldásokat, üzletmenet-folytonossági terveket és eljárásokat, továbbá rendszeres biztonsági oktatásokat kell tartaniuk a felhasználói tudatosság növelésére. A bekövetkezett kiberbiztonsági eseményeket a nemzeti hatáskörben e feladatra kijelölt központi állami szerv felé be is kell majd jelenteniük. Emellett éves felügyeleti díjat is kell fizetniük a hatóság felé. A konkrét követelményeket tartalmazó rendelet tervezete már megjelent, hamarosan várható a hatályba lépése.

A Kibertantv. és kapcsolódó végrehajtási rendeletei alapján a bevezetett információbiztonsági intézkedések megfelelőségét és a NIS 2 irányelvnek történő megfelelést a cégeknek rendszeresen – két évente lefolytatott független, külső kiberbiztonsági audit által – igazolniuk is kell. Az auditor céggel 2024. december 31-ig kötelesek szerződést kötni, az első audit 2025. december 31-ig kell, hogy megtörténjen.

A jogalkotási folyamat jelenleg is zajlik, a NIS 2 hazai jogi implementációja befejezésének végső határideje 2024. október 17., addig kell, hogy megjelenjen minden ezzel kapcsolatos új jogszabályi előírás és részletszabály, követelmény.

A NIS 2 hatálya alá tartozó cégeknek addig a megfelelésre történő felkészülés keretében többek között az alábbi, már ismert kötelezettségei, feladatai vannak:

  • jogszabályban meghatározott adataikat nyilvántartásba vétel (regisztráció) érdekében kötelesek a törvényben kijelölt ellenőrző, felügyeleti hatóság, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) számára megküldeni;
  • elektronikus információs rendszer biztonságáért felelőst (információbiztonsági felelős vagy IBF) kell megbízniuk, a hatóság felé az adatait szintén be kell jelenteniük a regisztráció során a nyilvántartásba vételi kérelemben 2024. június 30-ig;
  • elektronikus információs rendszereiket biztonsági osztályba kell sorolniuk, ezt megfelelően dokumentálni;
  • a biztonsági osztálynak megfelelő védelmi intézkedéseket alkalmazni a külön jogszabályban (végrehajtási rendelet) meghatározott követelmények alapján (pl.: informatikai biztonsági és kockázatkezelési szabályozókat, üzletmenet-folytonossági, cselekvési és intézkedési terveket készíteni és bevezetni, kockázatmenedzsment keretrendszert kialakítani és működtetni, a bevezetett intézkedéseket rendszeresen ellenőrizni, értékelni, korszerű informatikai biztonsági eszközöket, fejlett és biztonságos titkosítási és hitelesítési megoldásokat alkalmazni, rendszeres biztonsági képzéseket tartani a felhasználói tudatosság növelésére).

Információbiztonsági felelős feladatainak ellátása szolgáltatásunk keretében IBF szakértőink ehhez nyújtanak professzionális támogatást.


Tekintse meg referenciánkat!