A 2023-ban elfogadott Kibertanúsítási törvény, mely az EU-s ENISA rendelet és a NIS 2 Irányelv alapján jött létre, új korszakot nyit a magyar kibervédelmi és tanúsítási rendszerben. Az összefoglaló betekintést nyújt a törvény alapelveibe, a kibertanúsítás gyakorlati alkalmazásába és annak a szervezetek kiberbiztonsági gyakorlatára gyakorolt hatására.
A 2023-ban elfogadott Kibertanúsítási törvény alkotja meg a magyar kibertanúsítási rendszer alapelveit.
Előírja az elektronikus információs rendszerek biztonsági kategóriákba sorolását, és az IKT termékekhez kapcsolódó nemzeti tanúsításokat. Az új szabályok a hazai és az EU-s jogrendszert és követelményeket is integrálják, így átfogó kiberbiztonsági keretrendszert teremtenek. A szabályok mind az EU-s ENISA rendelet, mind pedig a NIS 2 Irányelv egyes előírásait közvetítik. A NIS2 irányelv több ponton is érinti az ENISA Rendelet által szabályozott IKT termékeket, szolgáltatásokat és folyamatokat, ezért tudta a magyar jogalkotó egy jogszabályban részletezni a kapcsolatos uniós előírásokat.
Mi az elektronikus információs rendszer és az IKT termék, szolgáltatás és folyamat?
A Kibertanúsítási törvény NIS 2-t magyarországi jogba átültető részének központi fogalma az elektronikus információs rendszer. Ezzel egy időben az IKT termékek, szolgáltatások és folyamatok fogalma is meghatározásra kerül, amely nagy átfedésben van az elektronikus információs rendszer fogalmával. Lássuk ezt részletesebben.
A Kibertanúsítási törvény az elektronikus információs rendszer meghatározásánál a 2013-as állami és önkormányzati információbiztonsági törvényre hivatkozik vissza, ez alapján:
„a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat;
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi; vagy
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;”
Az IKT termék, szolgáltatás és folyamat definícióit pedig az EU-s ENISA rendelet adja meg, amelyre a NIS 2 Irányelv és a magyar törvény is hivatkozik:
„IKT-termék”: valamely hálózati vagy információs rendszer eleme vagy elemeinek csoportja;
„IKT-szolgáltatás”: olyan szolgáltatás, amely teljes mértékben vagy legnagyobb részben információ hálózati és információs rendszerek útján történő továbbításából, tárolásából, lekérdezéséből vagy kezeléséből áll;
„IKT-folyamat”: valamely IKT-termék vagy IKT-szolgáltatás tervezése, fejlesztése, rendelkezésre bocsátása, illetve nyújtása vagy karbantartása céljából végzett tevékenységek összessége;
Jól látható, hogy a fenti IKT fogalmak alapvetően a hálózati és/vagy információs rendszereket, ezekkel kapcsolatos szolgáltatásokat, folyamatokat jelenti. Hálózati és/vagy információs rendszerek meghatározását az ENISA rendelet szerint a NIS 2 Irányelv előzményeként született NIS 1 Irányelvben találjuk meg. A NIS 1 Irányelv definícióját veszi át lényegében a NIS 2 Irányelv is:
- az (EU) 2018/1972 irányelv 2. cikkének 1. pontjában meghatározott elektronikus hírközlő hálózat;
- minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatikus kezelését végzi; vagy
- az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;”
A fenti hálózati/információs rendszerek fogalom nagy átfedésben van a Kibertanúsítási törvény szerinti elektronikus információs rendszerek fogalmával, ebből adódóan az IKT termékek, szolgáltatások, folyamatok elektronikus információs rendszereket, ezek elemeit, ezekkel kapcsolatos szolgáltatásokat és folyamatokat jelent.
- Az IKT termékek elektronikus információs rendszereket vagy azok részét jelenti, így ott teljes az átfedés.
- Az IKT szolgáltatások olyan szolgáltatásokat jelent, amely elektronikus információs rendszert vesz igénybe, így ez esetben is nehezen képzelhető el, hogy a NIS2-nek való megfelelési követelmény kikerülhető.
- Az IKT folyamatok az IKT termékekkel és szolgáltatásokkal összefüggő egyéb tevékenységeket jelent, így ez esetben is nehezen képzelhető el, hogy a NIS2-nek való megfelelési követelmény kikerülhető.
Látható, hogy az elektronikus információs rendszer és az IKT termékek és szolgáltatások, folyamatok fogalma között nagy az átfedés.
Ebből pedig az következik, hogy az IKT termékek, szolgáltatások és folyamatok is nagyobbrészt beletartoznak a Kibertanúsítási törvény NIS2-t implementáló részének hatálya alá, amennyiben olyan személy használja, amelyre vonatozik a NIS2 személyi hatálya.
Fontos elhatárolni a Kibertanúsítási törvény II. és III. fejezetét, az előbbibe csak azon IKT termékek, szolgáltatások és folyamatok tartozhatnak, amelyekhez az SZTFH nemzeti tanúsítási rendszert bocsátott ki (azaz a gyártónak tanúsíttatni vagy önellenőrizni kell, vagy lehet), utóbbiba (III. fejezet) viszont azok is beletartozhatnak, amelyekre nincsen tanúsítási kötelezettség előírva.
Fontos megjegyezni, hogy amennyiben egy IKT termékhez, szolgáltatáshoz vagy folyamathoz európai vagy nemzeti tanúsítvány készült, az igazolja, hogy megfelel a kiberbiztonsági előírásoknak (20.§ (4) bekezdés). A tanúsítás folyamán lehetővé tett önértékelések azonban nem biztosítanak ilyen igazolást.
A Kibertanúsítási törvény előírja, hogy az elektronikus információs rendszereket biztonsági kategóriákba kell sorolni: alap, közepes és magas szintűek lehetnek. A pontos kritériumokat egy későbbi miniszteri rendelet határozza majd meg. Nem egyértelmű, hogy a tanúsított IKT termékek, szolgáltatások és folyamatok mentesülnek-e ezen besorolás alól, figyelemmel arra, hogy a 20.§ (4) bekezdése szerinti mentesség csak a 19.§ (1)-(4) bekezdésére hivatkozik vissza, míg a besorolást a 20.§ írja elő. Lényeges, hogy az IKT termékeket, szolgáltatásokat és folyamatokat is megbízhatósági (alap, közepes és magas) szintekbe kell sorolni, így kérdésként merül fel, hogy a megbízhatósági besorolás és a biztonsági osztályba sorolás, hogyan viszonyul egymáshoz – logikusnak tűnik, hogy a tanúsított IKT termék megbízhatósági besorolása a biztonsági osztályba sorolásnál is irányadó legyen.
Végül fontos megjegyezni, hogy a kibertanúsítás alapvetően önkéntes, csak akkor kötelező, ha egy EU- s vagy magyar jogszabály ezt előírja.
A Kibertanúsítási törvény szerinti érintett szervezeteknek előnyökkel járhat, ha tanúsított IKT terméket fognak alkalmazni elektronikus információs rendszereikben. Példaként említhető, hogyha egy érintett szervezet IKT-terméket vásárol az elektronikus informatikai rendszeréhez, és a gyártó IKT termékként már megfelelően tanúsíttatta a vásárolt terméket. Az érintett szervezetnek nem kell mást tennie ebben az esetben, csak hivatkoznia a tanúsítványra a kiberbiztonsági megfelelőség igazolásához. Ez rávilágít arra, hogy
a gyártóknak ilyen szempontból előnyük is származhat abból, ha önkéntesen beszerzik a megfelelő tanúsítványokat a termékeikhez (még akkor is, ha az nem kötelező), mert ez növelheti a termékeik piaci versenyképességét.
Fontos kiemelni, hogy még tanúsított IKT-termékek használata esetén is vannak azonban az érintett szervezeteknek egyéb kiberbiztonsági kötelezettségeik. Például a kiberbiztonsági eseményeket értelemszerűen itt is be kell jelenteni.