Informatika

Kiberbiztonsági gigajogszabály lép hatályba

kibertámadás

A tegnapi napon megjelent, az egyes kiberbiztonsági tárgyú és egyéb kormányrendeletek módosításáról szóló 375/2020. (VII. 30.) korm. rendelet olyan szertegágazó, és annyira sok alacsonyabb szintű normát érint, hogy részleteiben aligha érdemes elemezni egyelőre, ezért most csak egy-két érdekesebb részt emelnék ki belőle.

A minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) korm. rendelet a következőkkel egészül majd ki.

Rejtjelző eszköz fejlesztését, illetve gyártását állami szerv vagy telephely biztonsági tanúsítvánnyal rendelkező, kizárólagos belföldi tulajdonban álló gazdálkodó szervezet végezheti (ez egy teljesen új szabályozás). Rejtjelző eszköz fejlesztését, illetve gyártását végző szervezetnek rendelkeznie kell a fejlesztéshez kapcsolódó dokumentumok minősítési szintjének megfelelő, az NBF működésének, valamint a minősített adat kezelésének rendjéről szóló kormányrendeletben meghatározott engedéllyel, rendszerengedéllyel és rejtjelszabályzattal.

A rejtjelző eszközzel kapcsolatos fejlesztési tevékenység, illetve a rejtjelző eszköz gyártásának engedélyezésére irányuló kérelmet az érintett minősített adatot elektronikus rendszeren kezelő szerv biztonsági vezetője vagy a rejtjelző eszközt fejlesztő, illetve gyártó szerv vezetője nyújtja be írásban az NBF-nek.

A rejtjelző eszközzel kapcsolatos fejlesztési tevékenység engedélyezésére irányuló kérelemnek tartalmaznia kell a tervezett eszköz megnevezését, jellegét, a védeni tervezett adat minősítési szintjét, valamint a fejlesztés befejezésének tervezett időpontját.

A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) korm. rendelet is módosulni fog.

Az nem változik, hogy a kijelölő hatóság a nemzeti létfontosságú rendszerelemmé történő kijelölésről, valamint a kijelölés visszavonásáról szakhatóság bevonásával dönt. Ha kijelölő hatóságként a hivatásos katasztrófavédelmi szerv központi, területi vagy helyi szerve jár el, a horizontális kritériumok teljesülése fennállásának a kérdését a hatósági eljárás során a kijelölő hatóság vizsgálja.

Az viszont igen, hogy ebben hatósági, illetve szakhatósági eljárásban a hivatásos katasztrófavédelmi szerv központi vagy területi szerve
a) a gazdasági hatás kritériuma teljesülésének kérdésében a Nemzeti Adó- és Vámhivatal központi szerve,
b) a társadalmi hatás kritériuma teljesülésének kérdésében az általános rendőrségi feladatok ellátására létrehozott szerv területi, illetve központi szerve, az Alkotmányvédelmi Hivatal központi szerve, a Terrorelhárítási Központ,
a Terrorelhárítási Információs és Bűnügyi Elemző Központ, valamint az Országos Idegenrendészeti Főigazgatóság,
c) a politikai hatás kritériuma teljesülésének lehetősége tekintetében az illetékes kormánymegbízott,
d) a környezeti hatás kritériuma teljesülésének lehetősége kérdésében a területi környezetvédelmi hatóság, a területi vízügyi és vízvédelmi hatóság, az országos természetvédelmi és környezetvédelmi hatóság, valamint az országos vízügyi és vízvédelmi hatóság,
e) a védelem kritériuma teljesülésének kérdésében a hivatásos katasztrófavédelmi szerv területi szerve véleményét kérheti majd.

Azon alapvető szolgáltatást nyújtó szereplők azonosítására, amelyek nem üzemeltetnek kijelölt létfontosságú rendszerelemet, a kormány az Lrtv. alapján a Nemzetbiztonsági Szakszolgálatot (azonosító hatóság) jelöli ki.

Az azonosító hatóság megvizsgálja az alapvető szolgáltatást nyújtó szereplőként történő azonosítás lehetőségét a nemzetbiztonsági védelem alá eső szervek és létesítmények esetében, az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az egyedüli kapcsolattartó ponthoz érkezett európai uniós megkeresésben szereplő szervezet vonatkozásában, az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság, az Ibtv. szerinti sérülékenységvizsgálat és biztonsági esemény vizsgálatából eredő, valamint a nevesített eseménykezelő központ adatai alapján.

Az egyes rendvédelmi szervek létfontosságú rendszerei és létesítményei azonosításáról, kijelöléséről és védelméről, valamint a Rendőrség szerveiről és a Rendőrség szerveinek feladat- és hatásköréről szóló 329/2007. (XII. 13.) korm. rendelet módosításáról szóló 512/2013. (XII. 29.) korm. rendelet (a továbbiakban a következő szabályokkal egészül ki.

Közbiztonság-védelem ágazatban rendkívüli eseménynek minősül:
a) a kijelölt rendvédelmi rendszer, létesítmény épületeiben történt tűzeset vagy műszaki mentés,
b) olyan infrastruktúrában bekövetkezett zavar vagy kiesés, amely esetén az érintett rendvédelmi szerv a törvényben meghatározott feladatai közül legalább kettőt nem tud ellátni, és a rendszer, létesítmény várhatóan 12 órán belül nem helyettesíthető,
c) az érintett rendvédelmi szerv legalább kettő alapfeladata ellátásában részt vevő szervezeti egységének olyan kiesése, amely várhatóan 48 órán belül sem pótolható, vagy
d) az érintett rendvédelmi szerv alapfeladatának ellátását biztosító informatikai és infokommunikációs rendszerek olyan kiesése, amely várhatóan 8 órán belül nem pótolható.

Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) korm. rendelet módosítása alapján az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságként a kormány továbbra is a Nemzetbiztonsági Szakszolgálatot jelöli ki.

A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében jogosult önállóan, vagy más hatósággal együtt
a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint
c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.

Azonban az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) korm. rendelet  a következő bekezdéssel egészül ki: „az Információs Hivatal köteles biztosítani, hogy a helyszíni ellenőrzés során az elektronikus információs rendszeren tárolt adat a vizsgálatot végző hatóság számára ne legyen hozzáférhető.”

Az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 249/2017. (IX. 5.) Korm. rendelet módosítása alapján jelentős zavar mértéke a digitális infrastruktúra ágazatban, ha a helyhez kötött internet-hozzáférési (elérési) szolgáltatás, nomadikus internet-hozzáférési (elérési) szolgáltatás, valamint mobil internet-hozzáférési (elérési) szolgáltatás esetében az üzemeltető által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha az üzemeltető által a szolgáltatás nyújtása érdekében üzemeltetett
a) rendszerelem működése közvetlenül vagy közvetve összesen több mint húszezer előfizetőt érinthet,
b) rendszerelem igénybevételével az egyetemes elektronikus hírközlési szolgáltató az Eht. szerinti egyetemes elektronikus hírközlési szolgáltatást nyújt, vagy
c) rendszerelemet az Lrtv.  mellékletében meghatározott ágazat valamelyikébe tartozó üzemeltető nemzeti létfontosságú rendszerelemének üzemeltetése érdekében veszi igénybe.

A rendelet mellékletében foglalt táblázat szerinti adatkicserélő (IXP) szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha
a) az adatkicserélő központ kapacitása 1 órát meghaladó időtartamra kevesebb, mint a teljes rendelkezésre álló kapacitás 50%-ára esik vissza, vagy
b) az adatkicserélő központot érintő incidens a kapcsolódó szervezetek ügyfelei közül 100 000-nél több esetén jár az adatok integritásának, eredetiségének vagy bizalmasságának a sérülésével.

A rendelet. mellékletében foglalt táblázat szerinti DNS-szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha a rekurzív DNS-szolgáltatás 2 órát meghaladóan kiesik, illetve a DNS-kiszolgálók adatbázisai kompromittálódnak, amely legalább 100 000 felhasználót érint.

A rendelet mellékletében foglalt táblázat szerinti legfelső szintű domain név nyilvántartó szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha
a) a TLD regisztrátor authoritatív DNS-szolgáltatása több mint 50 000 domain név esetén 2 órát meghaladó időtartamra elérhetetlenné válik, vagy
b) a TLD regisztrátor által kezelt DNS-bejegyzések módosítását a domain név jogosultjai 24 órát meghaladó időtartamon keresztül nem tudják elvégezni.

Az infokommunikációs technológiák ágazatban rendkívüli eseménynek minősül ezentúl
a) létesítmény, szolgáltatás nyújtását érintő igénybe vett közműszolgáltatások előreláthatóan 4 órát meghaladó kimaradása,
b) az olyan esemény, amely a szükséges feltételek leállásához vagy az alaptevékenység átalakításához vezet,
c) létesítmény, eszköz vagy berendezés olyan meghibásodása, zavara, amely legalább az alábbi hatások valamelyikével jár:
ca) a helyhez kötött internet-hozzáférés szolgáltatás olyan meghibásodása, amely az előfizetők 30%-át érinti, várhatóan 4 órát meghaladó időtartamban,
cb) a mobil rádiótelefon- vagy mobil internet-hozzáférés szolgáltatás olyan meghibásodása, amely a szolgáltatással ellátott terület minimum 30%-át érinti, várhatóan 4 órát meghaladó időtartamban,
cc) a mobil rádiótelefon szolgáltatás minőségének jelentős romlása, így különösen a sikeres hívások arányának 2 órát meghaladó időtartamban fennálló csökkenése, az esemény bekövetkezését megelőző év átlagához képest 35%-ot meghaladó mértékben,
cd) az elektronikus hírközlő hálózatok olyan meghibásodása, amely a kormányzati, közigazgatási, nemzetbiztonsági, rendőrségi, honvédelmi, katasztrófavédelmi igények kielégítését szolgáló elektronikus hírközlő hálózatokban, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény hatálya alá tartozó infrastruktúrában szolgáltatáskiesést okoz, nemzetközi összeköttetést vagy segélyhívó szolgáltatást érint,
ce) az olyan, a kábeltelevíziós, digitális földfelszíni vagy műholdas műsorterjesztési szolgáltatás nyújtását ellehetetlenítő vagy jelentős mértékben veszélyeztető eseményt és annak folytán kialakult helyzetet, amely országos közszolgálati vagy jelentős befolyásoló erejű médiaszolgáltató médiaszolgáltatását 2 órát meghaladó időtartamra elérhetetlenné teszi,
cf) a postai szolgáltatás normál üzemmenetét 5 órát meghaladóan akadályozó zavar,
cg) különleges jogrend, katasztrófaveszély, honvédelmi veszélyhelyzet vagy egészségügyi válsághelyzet idején bekövetkezett minden olyan esemény, amely az elektronikus hírközlési, a postai és a műsorszórás szolgáltatás ellátásának megszűnéséhez, átalakításához vezet,
d) az, ha az illetékes hatóság a kijelölt létfontosságú rendszerelemnél egészségügyi zárlatot rendel el,
e) a humánerőforrás olyan mértékű kritikus hiánya, ami a tevékenység leállításához, szüneteltetéséhez vezethet.

Mindezek mellett a rendelet számos egyéb jogszabályt is módosít, ezért a rendelkezéseinek a teljes és áfogó megismeréséhez nem megkerülhető a jogforrás teljeskörű áttekintése.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom

Továbbiak:Informatika