A kibertér védelmét megalapozó jogszabályok köre – az uniós jogforrásként megjelent NIS2 irányelvvel való összhangot megteremtve – jelentősen megújult 2025. január 1-jével, ezzel egyidejűleg a korábban ismert és alkalmazott törvények, úgy mint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) és a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.) hatályukat vesztették.

Ebben a megújult jogi környezetben az NBSZ NKI mint nemzeti kiberbiztonsági hatóság a települések képviselő-testületi hivatalaira (a továbbiakban: hivatalok) fókuszálva az alábbi rövid tájékoztató anyaggal támogatja a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) alapján a hivatalokra vonatkozó fontosabb rendelkezések megértését és helyes alkalmazását.

I. Az NKI-ról általában

A Nemzeti Kibervédelmi Intézet (NKI) a Nemzetbiztonsági Szakszolgálat egyik szervezeti egységeként látja el Magyarország operatív kiberbiztonsági feladatkörét. Az intézet kiemelt hatósági szerepkört tölt be az elektronikus információs rendszerek védelme terén, különösen az állami és kritikus infrastruktúrákat üzemeltető szervezetek tekintetében. Hatósági tevékenysége során az NKI ellenőrzi a vonatkozó jogszabályok betartását, szakhatósági eljárásokban vesz részt, és elősegíti a kiberbiztonsági követelmények egységes értelmezését és érvényesítését.

Az NKI másik kiemelt feladata a kiberbiztonsági események kezelése, amelyet a nemzeti CSIRT (Computer Security Incident Response Team) egység működtetésével valósít meg. A CSIRT folyamatosan figyelemmel kíséri a kiberfenyegetettségi helyzetet, incidenseket kezel, riasztásokat és elemzéseket ad ki, valamint együttműködik hazai és nemzetközi partnerekkel az események gyors és hatékony elhárítása érdekében. Emellett az NKI rendszeresen végez sérülékenységvizsgálatokat, amelyek célja az informatikai rendszerek biztonsági hibáinak feltárása, a kockázatok csökkentése és a védelmi intézkedések megerősítése.

A technikai feladatok mellett az NKI jelentős szerepet vállal a kiberbiztonsági tudatosításban is. Oktatási és kommunikációs tevékenységei hozzájárulnak a lakosság, a közszféra és a gazdasági szereplők biztonságtudatosságának növeléséhez. Az intézet emellett működteti az NCC-HU-t, vagyis a Nemzeti Koordinációs Központot, amely az Európai Kiberbiztonsági Kompetencia Központ hazai kapcsolattartója. Ennek keretében az NKI aktívan részt vesz a nemzeti kiberbiztonsági innováció, kutatás-fejlesztés és képzés támogatásában, valamint a pályázati lehetőségek koordinációjában.

II. A hatósági feladatok

Fontos rögzíteni, hogy 2025. január 1-jétől változatlanul továbbra is (több mint egy évtizede) az NBSZ NKI látja el a közigazgatási ágazat vonatkozásában a kiberbiztonsági hatósági feladatokat, így a hivatalok felügyeletét is. Az NBSZ NKI ellátja azon többségi állami befolyás alatt álló gazdálkodó szervezetek kiberbiztonsági hatósági felügyeletét is, melyek a NIS2 méretkorlát szabályának megfelelnek. Említést érdemel továbbá, hogy azon önkormányzati tulajdonban álló gazdálkodó szervezetek kiberbiztonsági hatósági felügyeletét, melyek NIS2 szerinti szolgáltatásokat nyújtanak és megfelelnek a jogszabályi kritériumoknak, a Szabályozott Tevékenységek Felügyeleti Hatósága látja el.

A fenti feladatkörhöz kapcsolódóan az NBSZ NKI az ügyfélkörébe tartozó szervezeteket különféle módokon igyekszik tájékoztatni a megújult jogszabályi környezetről, az ebből fakadó kötelezettségekről és lehetőségekről. Online konzultációkat tartottunk például az elektronikus információs rendszerek biztonságáért felelős személyek (a továbbiakban: IBF) meghatározott köre, egyes minisztériumok és az általuk felügyelt szervezetek számára. Január folyamán tájékoztató anyagokat küldtünk ki azon ügyfeleinknek, melyek IBF-jének aktuális elektronikus levelezési címével rendelkeztünk. Az NBSZ NKI honlapjára tájékoztatókat, ügyleírásokat helyeztünk ki. Fenti tevékenységünket folytatja és egészíti ki ez a cikk is, elősegítve a kiberbiztonság terén a szervezetek vezetőire háruló jogalkalmazói feladatok teljesítését. Mindezeken túl kérjük, hogy továbbra is kövessék figyelemmel a honlapunkat és a hatóságunktól érkező aktuális tájékoztatókat.

A nemzeti kiberbiztonsági hatóság alábbi linken elérhető honlapja (lásd: https://nki.gov.hu/) egyébként sem jelenthet újdonságot a hivataloknak, hiszen ahogy jeleztük, meglehetősen régóta az NBSZ NKI ügyfélkörbe tartoznak, mint ahogy az sem jelenthet új információt, hogy a nemzeti kiberbiztonsági hatósághoz benyújtandó kérelmeket kizárólag az e honlap Hatóság menüpont Űrlapok alpont alatt kiválasztható kérelem-nyomtatványokon tudják benyújtani a hivatali kapujukról megküldve.

Még az NBSZ NKI honlapján jártas felhasználók is találkozhatnak egy új kategóriával a Hatóság menüpont alatt (https://nki.gov.hu/hatosag/tartalom/ibf-nyilvantartas/). Az IBF-névjegyzék annak a jogszabályban meghatározott feladatnak tesz eleget, hogy egy nyilvános listát nyújtson azon személyekről, valamint elérhetőségükről, akik megfelelő szakmai előélettel, végzettséggel rendelkeznek és kérték oda felvételüket. Az érintett hivatal vezetője akár közülük is tárgyalhat megfelelő szakemberekkel az IBF feladatellátása érdekében.

Az IBF-ek alkalmasságához kapcsolódó fontos információ, hogy a jogalkotási folyamat még nem zárult le teljes mértékben, hiszen például az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet helyébe lépő új miniszteri rendelet egyeztetése még jelenleg is zajlik.

További újdonság az NBSZ NKI honlapjával kapcsolatban, hogy a Segédletek menüpont (https://nki.gov.hu/it-biztonsag/kiadvanyok/segedletek/) tartalmát folyamatosan frissítjük olyan sablonokkal, útmutatókkal és segédanyagokkal, melyek a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet gyakorlati alkalmazását hivatottak támogatni. A publikált anyagokkal kapcsolatban számos szakmai észrevételt kapunk, melyek azt mutatják számunkra, hogy azokat az ügyfelek ténylegesen hasznosítani tudják. Célunk, hogy az észrevételek feldolgozása és saját elgondolásaink alapján a segédleteket folyamatosan fejlesszük és továbbiakat publikáljunk.

Az alábbiakban azokat a feladatokat és kötelezettségeket emeljük ki a Kiberbiztonsági tv. rendelkezései közül, melyeket a hivatalok vonatkozásában a legfontosabbnak és aktuálisnak ítélünk.

Elsőként azt szükséges kihangsúlyozni, hogy a Kiberbiztonsági tv.-ben meghatározott „szervezet vezetője” fogalomnak a hivatal esetében a jegyző felel meg, akire nézve számos feladatot előír a jogszabály.

Másodsorban kiemelendő, hogy a hivatalok életében a helyi önkormányzati választásokat követően megnyíló hivatalalakítás folyamata és a Kiberbiztonsági tv. hatálybalépése egy időben zajlott, amely együtt járt azzal, hogy a 2025. január 1-jétől működő vagy működésüket megkezdő hivatalokat már a Kiberbiztonsági tv. szerinti bejelentési kötelezettség terheli: mind a szervezet jogutódlással történő megszűnése esetén a jogutód a változást követő 15 napon belül köteles nyilvántartásba vétel céljából bejelenteni a jogutódlást a nemzeti kiberbiztonsági hatóság részére, mind a szervezet a jogutódlás nélkül történő megszűnését – legkésőbb a megszűnés időpontjáig – köteles bejelenteni a nemzeti kiberbiztonsági hatóság részére.

További kiemelt jelentőséggel bír, hogy valamennyi a Kiberbiztonsági tv. hatálya alá tartozó szervezetet szigorú bejelentési kötelezettség terhel kiberbiztonsági incidensek esetén, melyet a jelen cikkben kiemelt szervezeti körök vonatkozásában a nemzeti kiberbiztonsági incidenskezelő központ, azaz az NBSZ NKI felé kell megtenni (https://nki.gov.hu/intezet/tartalom/incidens-bejelentes/). Az NBSZ NKI az érkező bejelentéseket feldolgozza, a publikálható adatokat (például: támadási vektorok) a további incidensek megelőzése érdekében megosztja az ügyfeleivel, szükséges és indokolt esetben pedig segítséget is nyújthat az incidenskezelési folyamatban.

A Kiberbiztonsági tv. a hivatalokat 20 000 főt meg nem haladó lakosságszámú települések hivatalaira és 20 000 főt meghaladó lakosságszámú települések hivatalaira, valamint a megyei jogú városok és a fővárosi kerületek hivatalaira bontja. Ebből adódóan a hivatalok kiberbiztonsági feladatai eltérőek lehetnek.

1. A 20 000 fő alatti lakosságszámú települések hivatalára (szervezetére) és annak vezetőjére váró főbb kiberbiztonsági feladatok

A szervezet adataival kapcsolatos regisztrációs kötelezettség

• Ha a szervezet nem szerepelt 2024. december 31-ig az NBSZ NKI nyilvántartásában (utódlás okán) 2025. január 30-ig kellett bejelenteni az NBSZ NKI-nak a nyilvántartásba vételhez szükséges adatokat. Amennyiben a korábban már regisztrált adatokban bármilyen változás áll be, akkor a változást követő 15 napon belül kell bejelenteni a módosult adatokat.

IBF regisztrációs kötelezettség

• Ha a szervezet nem jelentett be IBF-et 2024. december 31-ig az NBSZ NKI nyilvántartásába, akkor 2025. január 30-ig kellett ezt teljesíteni.
• E szervezettípus esetében nem követeli meg a törvény az IBF-ek vonatkozásában az új összeférhetetlenségi szabályok alkalmazását.
• Ha változás állt be a korábban regisztrált IBF-adatokban, akkor azt a változást követő 15 napon belül be kell jelenteni.
• Újítása a törvénynek, hogy ha az IBF feladatait szervezeten kívüli személy végzi megbízásos jogviszonyban, legalább háromhavonta egy napon – dokumentált módon – az érintett szervezetnél való fizikai jelenlét mellett köteles azt ellátni, valamint közvetlen elérhetőséget biztosító telefonszámot szükséges bejelenteni.

Adatosztályozás

• A törvény hatálybalépésétől számított 120 napon belül kell végrehajtani.
• Nem kapcsolódik hozzá önálló bejelentési kötelezettség – a kockázatmenedzsment keretrendszerhez és az elektronikus információs rendszer fejlesztéséhez, továbbfejlesztéséhez kapcsolódó bejelentésekhez kell csatolni az adatosztályozás eredményét.
• Kizárólag az adatosztályozás alapján, annak eredményére figyelemmel vehet a szervezet igénybe nem privát felhőszolgáltatást vagy kezelhet külföldön adatot, amennyiben más jogszabály a felhőszolgáltatás igénybevételét, vagy a külföldi adatkezelést nem tiltja vagy korlátozza.

Kockázatmenedzsment keretrendszer működtetése

• Nem kell teljes körű kockázatmenedzsment keretrendszert működtetni, ezért a korábbi szabályokhoz képest jelentősen egyszerűsödtek a kötelezettségek. Osztálybasorolási kötelezettség nem áll fenn a meglévő elektronikus információs rendszerek vonatkozásában. Minden meglévő elektronikus információs rendszer esetében elégséges az „alap” biztonsági osztályra előírt intézkedéseket teljesíteni.
• Ha a hivatal a Kiberbiztonsági tv. hatálybalépésekor már teljesítette az elektronikus információs rendszerei biztonsági osztályához korábban előírt követelményeket, az informatikáért felelős miniszter rendeletében [lásd: 7/2024. (VI. 24.) MK rendelet] előírt új védelmi intézkedések kivitelezésére a törvény hatálybalépésétől számított egy év áll rendelkezésére.
• Az „alap” biztonsági osztály esetében elvárt intézkedések teljesülését kell rendszeresen felülvizsgálni.
• Ha a szervezet korábban nem sorolta biztonsági osztályba az elektronikus információs rendszereit és erről nem rendelkezik az NBSZ NKI által hozott döntéssel, akkor 120 napon belül köteles azokat felmérni és bejelenteni felé.
• Amennyiben a szervezet korábban már elvégezte az osztályba sorolást, és erről hatósági döntéssel rendelkezik, akkor a döntéstől számított kétéves ciklusban kell felülvizsgálni a követelmények teljesülését és ismét bejelenteni az elektronikus információs rendszereket. Ha az aktuális felülvizsgálati ciklusból a Kiberbiztonsági tv. hatálybalépésekor kevesebb mint 180 nap van hátra, a rendelkezésre álló idő kiegészül 180 napra.
• Az elektronikus információs rendszer fejlesztése, továbbfejlesztése vonatkozásában a fontos szervezetekre előírt szabályokat kell alkalmazni, figyelemmel arra, hogy

○ elégséges az „alap” biztonsági osztály teljesítése,

○ az elektronikus információs rendszer fejlesztésének, továbbfejlesztésének megkezdését megelőzően be kell jelenteni azt az NBSZ NKI-hoz,

○ a szervezet vezetőjének az elektronikus információs rendszer használatba vételére, további használatára irányuló döntését követően a szervezeteknek ismételt bejelentési kötelezettsége van az NBSZ NKI irányába.

Kiberbiztonsági gyakorlatok

• Az NBSZ NKI kötelezése alapján önállóan, vagy az NBSZ NKI irányításával kell végrehajtani.
• Az önállóan lefolytatott gyakorlatról a lefolytatását követő 30 napon belül beszámolót kell benyújtani az NBSZ NKI-nak.

2. A 20 000 fő feletti lakosságszámú, valamint a megyei jogú városok és a fővárosi kerületek hivatalaira (szervezetére) és annak vezetőjére váró főbb feladatok

A feladatok közül a teljesség igénye nélkül azokat említjük, ahol eltér a kötelezettség a fentebb bemutatottaktól. Említést érdemel, hogy a közigazgatási ágazathoz tartozó többi szervezettípusnak (így például a fővárosi és vármegyei kormányhivatalok, a vármegyei közgyűlések hivatalai) is ezen szervezettípussal megegyező feladatai vannak.

IBF regisztrációs kötelezettség

• A Kiberbiztonsági tv. e szervezetek esetében megköveteli az IBF-ek vonatkozásában az összeférhetetlenségi szabályok alkalmazását, melynek teljesítésére a 2025. január 1-je előtt az NBSZ NKI-nál már regisztrált IBF esetében két év áll rendelkezésre.
• Ha az IBF feladatait szervezeten kívüli személy végzi megbízásos jogviszonyban, legalább kéthavonta egy napon – dokumentált módon – az érintett szervezetnél való fizikai jelenlét mellett köteles azt ellátni.

Kockázatmenedzsment keretrendszer működtetése

• Teljes körű kockázatmenedzsment keretrendszert kell létrehozni és működtetni.
• Ha a szervezet korábban nem sorolta biztonsági osztályba az elektronikus információs rendszereit és erről nem rendelkezik az NBSZ NKI által hozott döntéssel, akkor 120 napon belül köteles azokat felmérni, osztályba sorolni és bejelenteni az NBSZ NKI-nak.
• Ha a szervezet korábban már elvégezte az biztonsági osztályba sorolást, és erről hatósági döntéssel rendelkezik, akkor a döntéstől számított kétéves ciklusban kell felülvizsgálni a biztonság osztályba sorolást, a követelmények teljesülését és ismét bejelenteni az elektronikus információs rendszereket.
• Elektronikus információs rendszer fejlesztése, továbbfejlesztése során az alapvető szervezetekre előírt szabályokat kell alkalmazni figyelemmel arra, hogy

○ az elektronikus információs rendszer fejlesztésének, továbbfejlesztésének megkezdését megelőzően biztonsági osztályba kell sorolni és be kell jelenteni azt az NBSZ NKI-hoz.

Kiberbiztonsági gyakorlatok

• Legalább kétévente végre kell hajtani.

Az online térben megjelenő, az állampolgárok által is elérhető hírek (például zsarolóvírusokról, melyek települések elektronikus információs rendszereit, ezeken keresztül pedig a települések normál működését bénították meg szerte a világban), valamint a nyilvánosságot nem kapó esetek napjainkra olyan szintű fenyegetést jeleznek számunkra, amely egyértelművé teszi, hogy a kiberbiztonság nem elhanyagolható feladat, azzal érdemben foglalkozni kell. A Kiberbiztonsági tv. preambulumban deklarált célja szerint a nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása. A fent részletezett feladatok végrehajtása is ezen cél teljesülését hivatott elősegíteni. Annak érdekében, hogy az elektronikus információs rendszerek kitettsége mérséklődjön és az említett célt közösen elérjük, az NBSZ NKI élhet a teljes hatósági eszköztár alkalmazásával. A kibertér védelmét az NBSZ NKI egyéb módokon is (például: Automatikus Sebezhetőségdetektáló Rendszer, riasztások, nemzeti kiberbiztonsági incidenskezelő központ stb.) képes támogatni, amelyekről a https://nki.gov.hu/ weboldalon további információk találhatók.