A jogszabály mai napon ( 2024.12.04. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

2023. évi XXIII. törvény

a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről * 

A társadalom gyors digitális átalakulásával és összekapcsolódásával az elektronikus információs rendszerek, valamint a digitális eszközök a mindennapi élet központi elemévé váltak. A fejlődés a digitális fenyegetettségek körének bővüléséhez is vezetett, ami akadályozhatja a gazdasági tevékenységek folytatását, pénzügyi veszteséget okozhat és alááshatja a felhasználók bizalmát, ezzel jelentős károkat okozva a gazdasági és társadalmi életben. Ezen túlmenően a kiberbiztonság kulcsfontosságú tényező számos kritikus ágazat számára a digitális átalakulás sikeres felkarolásához és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásához. Mindezekre figyelemmel az Országgyűlés a következő törvényt alkotja:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. § E törvény alkalmazásában:

1. adatközponti szolgáltatás: olyan szolgáltatás, amely központosított elhelyezést, összeköttetést és működést biztosít adattároló, -feldolgozó és -továbbító információtechnológiai és hálózati berendezések számára, ideértve az energiaellátást és környezeti felügyeletet biztosító létesítményeket és infrastruktúrát is,

2. behatolásvizsgálat: az információs és kommunikációs technológia (a továbbiakban: IKT) rendszer, valamint az elektronikus információs rendszer gyenge pontjainak feltárása és kihasználhatóságának ellenőrzése a biztonsági intézkedések elleni rosszindulatú támadások szimulációjával,

3. belső informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az informatikai rendszer sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik,

4. bizalmasság: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

5. biztonsági esemény: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

6. DNS-szolgáltató: olyan szervezet, amely a következő szolgáltatások valamelyikét nyújtja:

a) autoritatív DNS-szolgáltatás: a domainnév – domainnév-regisztrációt végző szolgáltató által kezelt – adatainak lekérdezését közvetlenül lehetővé tevő szolgáltatás, amely a legfelső szintű domainnév-nyilvántartó szolgáltatás része,

b) rekurzív DNS-szolgáltatás: olyan DNS-szolgáltatás, amely a felhasználók domainnév-lekérdezéseit a megfelelő autoritatív DNS-szolgáltatókhoz továbbítja a hierarchikusan felépülő domainnévrendszerben és az autoritatív DNS-szolgáltató által a lekérdezésre adott válaszokat továbbítja a felhasználó részére,

c) DNS-gyorsítótárazás: a domainnév-lekérdezésre adott válaszok átmeneti tárolása és a felhasználói lekérdezéseknek a tárolt domainnévadatok alapján történő kiszolgálása,

7. domainnév: az internetes kommunikációhoz használt IP-cím alfanumerikus karakterekből álló megfelelője,

8. domainnév-regisztrációt végző szolgáltató: a legfelső szintű domainnév-nyilvántartó által felhatalmazott szolgáltató, amely jogosult domain regisztrálására,

9. elektronikus információs rendszer: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

10. európai kiberbiztonsági tanúsítási rendszer: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 9. pontja szerinti rendszer,

11. felhőalapú számítástechnikai szolgáltatás: olyan digitális szolgáltatás, amely önkiszolgáló módon történő hálózati hozzáférést tesz lehetővé igény szerint méretezhető, megosztott fizikai vagy virtuális erőforrások rugalmas készletéhez,

12. felhőszolgáltató: felhőalapú számítástechnikai szolgáltatást nyújtó szervezet,

13. gyártó: az IKT-termék gyártója, IKT-szolgáltatás nyújtója, valamint IKT-folyamat gyártója vagy nyújtója,

14. IKT-folyamat: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

15. IKT-szolgáltatás: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

16. IKT-termék: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

17. kiberbiztonsági audit: az elektronikus információs rendszerek tekintetében a kiberbiztonsági követelmények teljesülésére vonatkozó vizsgálat, ellenőrzés,

18. kiberfenyegetés: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

19. kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató: olyan kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató, amely a kiberbiztonsági kockázatok kezelését végzi vagy azzal összefüggő szolgáltatást nyújt,

20. kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató: olyan szervezet, amely az IKT-termék, hálózat, infrastruktúra, alkalmazás vagy bármely más elektronikus információs rendszer telepítésével, kezelésével, üzemeltetésével vagy karbantartásával kapcsolatos szolgáltatásokat nyújt a szolgáltatást igénybe vevő telephelyén vagy távolról,

21. közösségimédia-szolgáltatási platform: olyan platform, amely lehetővé teszi a végfelhasználók számára, hogy több eszközön keresztül kapcsolódjanak, tartalmakat osszanak meg, fedezzenek fel és kommunikáljanak egymással,

22. kutatóhely: a tudományos kutatásról, fejlesztésről és innovációról szóló törvény szerinti kutatóhely – az oktatási intézmények kivételével –, amelynek elsődleges célja alkalmazott kutatás vagy kísérleti fejlesztés folytatása a kutatás eredményeinek kereskedelmi célokra való hasznosítása céljából,

23. legfelső szintű domainnév-nyilvántartó: olyan szervezet, amelyre egy meghatározott legfelső szintű domaint bíztak és amely felelős egyrészt a legfelső szintű domain kezeléséért – ideértve a legfelső szintű domain alatti domainnevek nyilvántartásba vételét –, másrészt a legfelső szintű domain technikai üzemeltetéséért, amely magában foglalja a névszervereinek üzemeltetését, adatbázisainak karbantartását és a legfelső szintű domainzónafájlok elosztását a névszerverek között, függetlenül attól, hogy ezeknek az üzemeltetési tevékenységeknek bármelyikét maga a szervezet végzi vagy azokat kiszervezi, kivéve azokat az eseteket, amikor a legfelső szintű domainneveket a nyilvántartó kizárólag saját használatra veszi igénybe,

24. megfelelőségértékelés: az az értékelési eljárás, amely bizonyítja, hogy egy IKT-termékkel, IKT-folyamattal, IKT-szolgáltatással kapcsolatos, meghatározott követelmények teljesültek,

25. megfelelőségértékelő szervezet: a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről szóló, 2008. július 9-i 765/2008/EK európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

26. megfelelőségi nyilatkozat: a gyártó vagy a szolgáltató által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek,

27. megfelelőségi önértékelés: az (EU) 2019/881 európai parlamenti és tanácsi rendeletben ekként meghatározott fogalom,

28. nemzeti kiberbiztonsági tanúsítási rendszer: IKT-termékek, IKT-szolgáltatások és IKT-folyamatok tanúsítására, megfelelőségértékelésére Magyarországon alkalmazandó, az európai kiberbiztonsági rendszerek elvei alapján kidolgozott és a tanúsító hatóság által meghatározott szabályok, műszaki követelmények, szabványok és eljárások átfogó rendszere,

29. nemzeti kiberbiztonsági tanúsítvány: olyan független harmadik fél által kiállított dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében értékelték, hogy az megfelel-e valamely nemzeti kiberbiztonsági tanúsítási rendszer biztonsági követelményeinek,

30. online piactér: olyan szolgáltatás, amely a kereskedő által vagy a kereskedő nevében működtetett szoftvert, többek között weboldalt, valamely weboldal egy részét vagy valamely alkalmazást alkalmaz, és amelynek révén a fogyasztók távollevők közötti szerződést köthetnek más kereskedőkkel vagy fogyasztókkal,

31. rendelkezésre állás: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

32. sértetlenség: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti fogalom,

33. tanúsítás: független harmadik fél által végzett megfelelőségértékelési tevékenység,

34. tartalomszolgáltató hálózat szolgáltatója: a digitális tartalmak és szolgáltatások széles körű, akadálymentes és gyors rendelkezésre állását biztosító, földrajzilag elosztott szerverek hálózatának szolgáltatója,

35. távoli sérülékenységvizsgálat: olyan informatikai biztonsági vizsgálat, amelynek során

a) az elektronikus információs rendszer internet felőli, külső sérülékenységvizsgálatára kerül sor, amelynek keretében az interneten fellelhető, nyilvános adatbázisokban való szabad keresés, célzott információgyűjtés, valamint az elérhető számítógépek szolgáltatásai sebezhetőségének feltérképezése történik,

b) automatizált és kézi vizsgálatok útján kerülnek feltárásra a webes alkalmazások sérülékenységei, vagy

c) a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik.

2. § Az e törvény hatálya alá tartozó hatósági eljárásokban az általános közigazgatási rendtartásról szóló törvény rendelkezéseit az e törvényben, a fogyasztóvédelemről szóló törvényben, a termékek piacfelügyeletéről szóló törvényben és a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló törvényben foglalt eltérésekkel és kiegészítésekkel, valamint a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendeletben és a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) elnöke által kiadott rendeletben foglalt kiegészítésekkel kell alkalmazni.

II. FEJEZET

TANÚSÍTÁSI RENDSZEREK

1. A tanúsító hatóság feladatai

3. § (1) Az e fejezetben foglaltakat IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tanúsításával kapcsolatos hatósági tevékenységre kell alkalmazni.

(2) Az e fejezetben szabályozott kiberbiztonsági tanúsításra, valamint a tanúsító szervezet tevékenységére nem kell alkalmazni a megfelelőségértékelő szervezetek tevékenységéről szóló törvény rendelkezéseit.

4. § (1) Az (EU) 2019/881 európai parlamenti és tanácsi rendelet szerinti nemzeti kiberbiztonsági tanúsító hatóság (a továbbiakban: tanúsító hatóság) feladatait

a) – a b) pont kivételével – az SZTFH,

b) a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok tekintetében a Kormány által kijelölt hatóság

látja el.

(2) A hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a nemzeti kiberbiztonsági tanúsítási rendszereket az SZTFH elnöke rendeletben határozza meg. A hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a nemzeti kiberbiztonsági tanúsítási rendszerekre figyelemmel a tanúsítási rendszereket a Kormány rendeletben határozza meg.

5. § (1) A tanúsító hatóság az európai kiberbiztonsági tanúsítási rendszerekkel kapcsolatosan

a) nyomon követi az európai kiberbiztonsági tanúsítási rendszerek fejlesztését és figyelemmel kíséri a kapcsolódó szabványosítási folyamatokat,

b) részt vesz az európai kiberbiztonsági tanúsítási csoport tevékenységében,

c) információkat gyűjt azokról az ágazatokról és szakterületekről, amelyek nem esnek európai kiberbiztonsági tanúsítási rendszer hatálya alá és amelyek esetében a kiberbiztonság növelése szükséges,

d) az érdekelt feleknek szükség esetén tájékoztatást, támogatást nyújt,

e) elvégzi az (EU) 2019/881 európai parlamenti és tanácsi rendelet 57. cikk (4) bekezdése szerinti tájékoztatást.

(2) A tanúsító hatóság a nemzeti kiberbiztonsági tanúsítási rendszerek fenntartásával kapcsolatosan

a) legalább háromévente, az aktuális biztonsági kockázatokra figyelemmel értékeli a hatályos nemzeti kiberbiztonsági tanúsítási rendszereket,

b) felülvizsgálatot megalapozó ok felmerülését követően haladéktalanul intézkedik a nemzeti kiberbiztonsági tanúsítási rendszer felülvizsgálata érdekében,

c) európai kiberbiztonsági tanúsítási rendszer kiadása esetén haladéktalanul intézkedik az azonos tárgyú nemzeti kiberbiztonsági tanúsítási rendszer felülvizsgálata, továbbá hatályon kívül helyezése érdekében.

(3) Az (1) bekezdés b) és e) pontja szerinti feladatok tekintetében tanúsító hatóságként az SZTFH jár el.

2. A nemzeti kiberbiztonsági tanúsítási rendszerek követelményei

6. § A nemzeti kiberbiztonsági tanúsítási rendszernek a következő biztonsági célokat kell teljesítenie:

a) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan tárolással, kezeléssel, hozzáféréssel és közléssel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,

b) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan megsemmisítéssel, elvesztéssel, megváltoztatással vagy a hozzáférhetetlenséggel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt,

c) annak biztosítása, hogy a feljogosított személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhetnek hozzá,

d) az ismert függőségek és sebezhetőségek azonosítása és dokumentálása,

e) annak rögzítése, hogy a feljogosított személy, program vagy gép mely időpontban és mely védendő adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,

f) annak ellenőrizhetővé tétele, hogy a feljogosított személy, program vagy gép mely időpontban és mely adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt,

g) annak ellenőrzése, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok nem tartalmaznak-e ismert sebezhetőségeket,

h) fizikai vagy műszaki biztonsági esemény bekövetkeztekor az adatok, a szolgáltatások és a funkciók rendelkezésre állásának, valamint az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférésnek a mihamarabbi helyreállítása,

i) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok kockázatarányosan, alapértelmezetten és tervezetten biztonságosak legyenek,

j) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok szoftvere és hardvere naprakész legyen, és

k) annak biztosítása, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok vonatkozásában nem állnak fenn közismert sebezhetőségek, továbbá rendelkezésre állnak a biztonságos frissítésükre szolgáló mechanizmusok.

7. § (1) A nemzeti kiberbiztonsági tanúsítási rendszernek tartalmaznia kell:

a) a tanúsítási rendszer tárgyát és hatályát, az IKT-termékek, IKT-szolgáltatások és IKT-folyamatok típusát vagy kategóriáit,

b) a tanúsítási rendszer céljának és annak az egyértelmű meghatározását, hogy a kiválasztott szabványok, értékelési módszerek és megbízhatósági szintek milyen módon felelnek meg a rendszer célfelhasználói igényeinek,

c) hivatkozást az értékelésben alkalmazott nemzetközi, európai vagy nemzeti szabványokra, vagy ha nem állnak rendelkezésre ilyen szabványok vagy azok nem megfelelőek, az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről szóló, 2012. október 25-i 1025/2012/EU európai parlamenti és tanácsi rendelet II. mellékletében meghatározott követelményeket teljesítő műszaki előírásokra, vagy ha ilyen előírások nem állnak rendelkezésre, az európai kiberbiztonsági tanúsítási rendszerben meghatározott műszaki előírásra vagy egyéb kiberbiztonsági követelményekre való hivatkozást,

d) a megbízhatósági szintet vagy szinteket,

e) a megfelelőségi önértékelésre vonatkozó kizáró vagy megengedő rendelkezést,

f) a megfelelőségértékelést végző személyekre, szervezetekre alkalmazandó kiegészítő követelményeket,

g) az alkalmazandó konkrét értékelési kritériumokat és módszereket, ideértve az értékelés típusait is,

h) a jelölések vagy címkék használati feltételeit,

i) a kiadandó nemzeti kiberbiztonsági tanúsítvány vagy megfelelőségi nyilatkozat tartalmát és formátumát, és

j) a rendszer alapján kibocsátott nemzeti kiberbiztonsági tanúsítványok kibocsátására, érvényességi idejére, fenntartására, meghosszabbítására, megújítására, valamint a hatályának bővítésére vagy szűkítésére vonatkozó feltételeket.

(2) Ha a nemzeti kiberbiztonsági tanúsítási rendszer több megbízhatósági szintre is érvényes, akkor a követelményeknek tartalmazniuk kell a különböző megbízhatósági szintekre vonatkozó elvárások pontos megkülönböztetését.

(3) A nemzeti kiberbiztonsági tanúsítási rendszerben meg kell határozni

a) az egyes követelményekhez vagy követelmény csoportokhoz tartozó értékelési eljárásokat,

b) azokat a kritikus védelmi funkciókat, amelyek esetében végre kell hajtani a tevékenység utólagos nyomon követésére is alkalmas belső informatikai biztonsági vagy távoli sérülékenységvizsgálatot vagy behatolásvizsgálatot, kriptográfiai értékeléseket, biztonsági forráskód-elemzéseket, valamint

c) az értékelési eredmények dokumentálására vonatkozó követelményeket.

3. A nemzeti kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjei

8. § (1) A nemzeti kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, az IKT-szolgáltatásokra és az IKT-folyamatokra az „alap”, a „jelentős” és a „magas” megbízhatósági szintek közül egy vagy több szintet határozhatnak meg.

(2) A megbízhatósági szint arra vonatkozóan szolgál biztosítékkal, hogy az adott IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok teljesítik a vonatkozó biztonsági követelményeket, biztonsági funkciókat és olyan szintű értékelésen estek át, amely

a) „alap” megbízhatósági szinten a biztonsági eseményekkel és támadásokkal kapcsolatos alapvető, ismert kockázatok,

b) „jelentős” megbízhatósági szinten az ismert kiberbiztonsági kockázatok, valamint a korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők által végrehajtott biztonsági események és kiberbiztonsági támadások kockázatának,

c) „magas” megbízhatósági szinten a jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők által, a tudomány legutolsó állása szerinti technológiával végrehajtott kibertámadások kockázatának

minimalizálására törekszik.

(3) A megbízhatósági szintnek a biztonsági események valószínűsége és hatása szempontjából arányban kell állnia az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat rendeltetés szerinti használatához kapcsolódó kockázat szintjével.

(4) Az elvégzendő értékelési tevékenységeknek legalább a következőket kell magukban foglalniuk:

a) „alap” megbízhatósági szint esetén a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

b) „jelentős” megbízhatósági szint esetén

ba) a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

bb) a közismert sebezhetőségek hiánya megállapításának felülvizsgálatát, és

bc) az annak megállapítására szolgáló tesztelést, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelelően működteti-e a szükséges biztonsági funkciókat,

c) „magas” megbízhatósági szint esetén

ca) a műszaki dokumentáció áttekintését az adott tanúsítási rendszer elvárásainak teljesítése szempontjából,

cb) a közismert sebezhetőségek hiánya megállapításának felülvizsgálatát,

cc) az annak megállapítására szolgáló tesztelést, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat megfelelően, a legfejlettebb technika szerint működteti-e a szükséges biztonsági funkciókat, valamint

cd) behatolásvizsgálatok révén annak értékelését, hogy az mennyire ellenálló a jól képzett elkövetők által végrehajtott támadásokkal szemben.

4. A kiberbiztonsági tanúsítványokkal és a megfelelőségi nyilatkozatokkal kapcsolatos elvárások

9. § (1) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban meg kell jelölni:

a) azt a nemzeti kiberbiztonsági tanúsítási rendszert, amely alapján a tanúsítvány vagy a nyilatkozat kiállításra került,

b) a megbízhatósági szintet, valamint

c) a vonatkozó műszaki előírásokat, szabványokat és eljárásokat.

(2) A nemzeti kiberbiztonsági tanúsítványban és a nemzeti megfelelőségi nyilatkozatban fel kell tüntetni:

a) a kiállító szervezet nevét, címét,

b) a kiállítás dátumát,

c) a gyártó nevét és címét,

d) a megfelelőségértékelés megbízóját,

e) az alkalmazási területeket, vagy ha az adott alkalmazási területeken a megfelelőség feltételekkel érvényes, ezen feltételeket,

f) az érvényességi időt,

g) a tanúsítás tárgyát képező IKT-termék, IKT-szolgáltatás és IKT-folyamat azonosítását, ha van, annak verziószámát, valamint

h) a kiállító aláírását.

(3) A tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója vagy az olyan IKT-termék, IKT-szolgáltatás vagy IKT-folyamat gyártója, amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, köteles az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságát érintő sebezhetőségről vagy rendellenességről haladéktalanul tájékoztatni a tanúsító hatóságot.

10. § (1) Azon az IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban, amely tanúsított, vagy amelynek tekintetében megfelelőségi nyilatkozatot állítottak ki, – az SZTFH elnökének vagy a 4. § (1) bekezdés b) pontja szerinti esetben a Kormány rendeletében meghatározott módon – nemzeti vagy európai kiberbiztonsági tanúsítási rendszer által előírt formában megfelelőségi jelölést kell elhelyezni.

(2) Tilos az (1) bekezdés szerinti megfelelőségi jelölés jogosulatlan elhelyezése, valamint olyan jelölés elhelyezése, amely hasonlít a megfelelőségi jelölés formájára, vagy azt a látszatot kelti, hogy az IKT-termék, az IKT-szolgáltatás vagy az IKT-folyamat tanúsított, vagy annak vonatkozásában megfelelőségi nyilatkozatot állítottak ki, és így harmadik felet megtéveszthet.

5. Megfelelőségi önértékelés, megfelelőségértékelés

11. § (1) Megfelelőségi önértékelésre abban az esetben kerülhet sor, ha azt a nemzeti kiberbiztonsági tanúsítási rendszer az „alap” megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások és IKT-folyamatok esetében lehetővé teszi.

(2) A gyártó nemzeti megfelelőségi nyilatkozatot állít ki arról, hogy megtörtént annak vizsgálata, hogy a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülnek. A vizsgálatnak tartalmaznia kell a nemzeti kiberbiztonsági tanúsítási rendszer követelményei teljesülésének a tanúsítási rendszerben meghatározott módszertan szerinti értékelését.

(3) A megfelelőségi önértékelést végző gyártó a (2) bekezdés szerinti megfelelőségi nyilatkozat kiállítását követő 15 napon belül, nyilvántartásba vétel céljából – elektronikusan kereshető formában is – megküldi a tanúsító hatóság részére a megfelelőségi nyilatkozat másolati példányát, a műszaki dokumentációt, a nemzeti kiberbiztonsági tanúsítási rendszerben meghatározott értékelési módszer alapján elkészített értékelési jelentést, valamint a megjelölt tanúsítási rendszernek való megfeleléssel kapcsolatos összes egyéb lényeges értékelési információt.

12. § Harmadik fél által végzett megfelelőségértékelési tevékenységet csak olyan szervezet végezhet,

a) amelyet a vonatkozó nemzeti vagy európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményekre figyelemmel a nemzeti akkreditálásról szóló törvény szerint kijelölt akkreditáló szerv akkreditált vagy külföldi akkreditált státusz esetén e státuszát elismerte,

b) amely az SZTFH elnökének rendeletében az egyes megbízhatósági szintekre vonatkozóan meghatározott követelményeknek megfelel, és

c) amelyet a tanúsító hatóság nyilvántartásba vett.

6. A kiberbiztonsági tanúsítás felügyelete

13. § (1) A tanúsító hatóság eljárása során a sommás eljárás kizárt.

(2) A tanúsító hatóság ügyintézési határideje 120 nap.

(3) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a nemzeti akkreditáló szerv által akkreditált megfelelőségértékelő szervezetet a hatósági nyilvántartásba vételről szóló határozat véglegessé válásától számított 15 napon belül bejelenti az Európai Bizottság (a továbbiakban: Bizottság) részére. A kérelmező szervezet az akkreditált státuszát a nemzeti akkreditáló szerv határozatának csatolásával igazolja.

(4) A tanúsító hatóság a megfelelőségértékelő szervezet vonatkozásában engedélyezési eljárást folytat le, ha az IKT-termékre, IKT-szolgáltatásra vagy IKT-folyamatra vonatkozó nemzeti vagy európai kiberbiztonsági tanúsítási rendszer

a) kiegészítő követelményeket ír elő és ez alapján engedélyezési eljárás lefolytatása válik szükségessé, vagy

b) „magas” megbízhatósági szintet ír elő a rendszer keretében kiadandó kiberbiztonsági tanúsítványra és a tanúsító hatóság az ilyen tanúsítvány kiállításának feladatát egyes nemzeti vagy európai kiberbiztonsági tanúsítványok vonatkozásában vagy általános jelleggel átruházza a megfelelőségértékelő szervezetre.

(5) A (4) bekezdés b) pontja szerinti esetben az engedély megadásának feltétele, hogy a megfelelőségértékelő szervezet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti, a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek minősüljön.

(6) A (4) bekezdés szerinti engedély hatálya legfeljebb az akkreditált státusz lejártáig terjedhet.

(7) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a (4) bekezdés szerinti engedélyezési eljárás lefolytatása esetén a megfelelőségértékelő szervezetet az engedély megadásáról szóló határozat véglegessé válását követő 15 napon belül bejelenti a Bizottságnak.

(8) A tanúsító hatóság kiberbiztonsági tanúsítási felügyeleti feladatai keretében jogosult

a) felszólítani a megfelelőségértékelő szervezeteket és a megfelelőségi nyilatkozatok kibocsátóit a hatósági feladatellátáshoz szükséges információk, adatok rendelkezésre bocsátására, valamint

b) a megfelelőségértékelő szervezeteknél és a megfelelőségi nyilatkozatok kibocsátóinál hatósági ellenőrzést végezni.

(9) Az egyes tanúsító hatósági eljárásokért igazgatási szolgáltatási díjat kell fizetni. Az igazgatási szolgáltatási díj mértékét és az annak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat

a) a 4. § (1) bekezdés a) pontja szerinti tanúsító hatóság által lefolytatott eljárások esetében az SZTFH elnökének a nemzeti kiberbiztonsági tanúsító hatóság eljárásával összefüggő kiberbiztonsági tanúsítás keretében fizetendő igazgatási szolgáltatási díjról szóló rendelete,

b) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság által lefolytatott eljárások esetében az e törvény végrehajtására kiadott miniszteri rendelet

határozza meg.

14. § (1) A tanúsító hatóság nyilvántartja és kezeli:

a) az IKT-termékek, az IKT-szolgáltatások vagy az IKT-folyamatok gyártója által rendelkezésre bocsátott megfelelőségi nyilatkozat adatait,

b) a megfelelőségi nyilatkozathoz benyújtott műszaki dokumentációt és az IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok tanúsítási rendszernek való megfelelésével kapcsolatos információkat,

c) a megfelelőségértékelő szervezet és annak kijelölt kapcsolattartója azonosításához szükséges adatokat, ha a megfelelőségértékelő szervezet egyben az (EU) 2019/881 európai parlamenti és tanácsi rendelet 56. cikk (5) bekezdése szerinti közjogi szerv, ennek tényét, valamint az SZTFH elnökének rendeletében meghatározott követelmények teljesülését alátámasztó dokumentumokat,

d) a nemzeti akkreditáló szerv által akkreditált megfelelőségértékelő szervezet akkreditált státuszára vonatkozó határozatban foglalt, valamint az akkreditált státusz változására vonatkozó információkat,

e) ha a 13. § (4) bekezdése szerinti engedélyezési eljárás lefolytatása szükséges, akkor az azzal kapcsolatos kérelmet, adatokat és dokumentumokat,

f) az engedélyezési eljárás során kiadott engedélyre, annak felfüggesztésére, részben vagy egészben történő visszavonására vonatkozó adatokat, valamint annak tényét, hogy az engedély hatályát vesztette,

g) ha a tanúsító hatóság a „magas” megbízhatósági szintű kiberbiztonsági tanúsítvány kiállításának jogát megfelelőségértékelő szervezetre átruházta, a delegált jogkör azonosításához szükséges adatokat,

h) a Bizottság által a megfelelőségértékelő szervezet nyilvántartásba vételekor adott azonosító számot,

i) a megfelelőségértékelő szervezet által igénybe vett közreműködő, valamint kijelölt kapcsolattartója azonosításához szükséges adatokat,

j) a megfelelőségértékelő szervezet által kiadott tanúsítvány adatait,

k) a gyártó, valamint kijelölt kapcsolattartója azonosításához szükséges adatokat,

l) a tanúsítványok kiállításának megtagadásával, hatályának korlátozásával, felfüggesztésével és a visszavonásával kapcsolatos információkat,

m) a 9. § (3) bekezdése szerinti sebezhetőséggel vagy rendellenességgel kapcsolatos információt,

n) a felügyeleti tevékenység ellátása során tudomására jutott adatokat, dokumentumokat, valamint

o) a benyújtott panaszokkal kapcsolatos adatokat, dokumentumokat.

(2) Az (1) bekezdés szerinti nyilvántartás az (1) bekezdés f) és g) pontja szerinti adatok tekintetében közhiteles nyilvántartásnak minősül.

(3) Az (1) bekezdés szerinti adatok kezelésének célja az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat biztonságával összefüggő információk naprakészen tartása, valamint az azokat érintő sebezhetőséggel vagy rendellenességgel kapcsolatos feladatok, továbbá a tanúsító hatóság ellenőrzési és felügyeleti hatósági tevékenységének ellátása.

(4) Az (1) bekezdés szerinti nyilvántartásban szereplő bármely adatot érintően – ha jogszabály eltérően nem rendelkezik – a következő szervezetek részére végezhető adattovábbítás:

a) a Bizottság részére a bejelentett megfelelőségértékelő szervezetek jegyzékének összeállítása és frissítése,

b) a nemzeti akkreditálásról szóló törvény szerint kijelölt akkreditáló szerv részére a megfelelőségértékelő szervezetek tevékenységének akkreditációjával és felügyeletével kapcsolatos feladatok ellátása, valamint

c) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központok részére a 9. § (3) bekezdése szerinti sebezhetőséggel vagy rendellenességgel kapcsolatos tevékenység ellátása

érdekében.

(5) A megfelelőségértékelő szervezet és a gyártó az (1) bekezdés szerinti adatokat az adatok rendelkezésre állásától, valamint az adatok változását a változás bekövetkezésétől számított 8 napon belül megküldi a tanúsító hatóság részére a nyilvántartásba vétel érdekében.

15. § (1) Ha a tanúsító hatóság tudomására jut vagy az ellenőrzése során megállapítja, hogy a megfelelőségértékelő szervezet vagy a gyártó a vonatkozó európai uniós vagy magyar jogszabályokban foglalt biztonsági követelményeket és a kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, – a figyelmeztetést tartalmazó döntésében határidő tűzésével – felszólítja a megfelelőségértékelő szervezetet vagy a gyártót a vonatkozó európai uniós és magyar jogszabályokban foglalt biztonsági követelmények és a kapcsolódó eljárási szabályok teljesítésére.

(2) Ha az (1) bekezdésben meghatározottak ellenére a megfelelőségértékelő szervezet vagy a gyártó a jogszabályban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a tanúsító hatóság – az eset összes körülményének mérlegelésével, kormányrendeletben meghatározottak szerint – bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

16. § (1) A tanúsító hatóság a feladatellátása során megismert minősített adatot, személyes adatot vagy különleges adatot, valamint az üzleti titoknak, banktitoknak, fizetési titoknak, biztosítási titoknak, értékpapírtitoknak, pénztártitoknak, orvosi titoknak és más hivatás gyakorlásához kötött titoknak minősülő és törvény által védett egyéb adatot kizárólag a feladat ellátásának időtartama alatt, a célhoz kötöttség elvének figyelembevételével kezeli. A tanúsító hatóság a hatósági ellenőrzés eredményeként tett megállapításokat alátámasztó adatokat rögzíti, és az így rögzített adatokat a megfelelőségértékelő szervezet akkreditált státuszának megszűnését követő 10. év utolsó napjáig, vagy a gyártó által kiadott megfelelőségi nyilatkozat hatályosságának megszűnését követő 10. év utolsó napjáig kezeli azzal, hogy ha az ellenőrzéssel érintett IKT-termék, IKT-szolgáltatás vagy IKT-folyamat esetében megfelelőségértékelő szervezet által kiadott tanúsítvány és megfelelőségi önértékelés is rendelkezésre áll, az akkreditált státusz megszűnésének és a megfelelőségi nyilatkozat hatályossága megszűnésének időpontja közül a későbbi időpontot kell figyelembe venni. Ezt követően a tanúsító hatóság az adatokat az elektronikus információs rendszereiből és adathordozóiról törli.

(2) A tanúsító hatóság eljárása során keletkezett adatok – ha törvény eltérően nem rendelkezik – nem nyilvánosak.

(3) A tanúsító hatóság munkatársait az (1) bekezdés szerint megismert adatok tekintetében – a jogszabályban meghatározott kivételekkel – titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, minősített adatok tekintetében azok érvényességi idejének végéig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(4) A tanúsító hatóság a tanúsító hatósági tevékenységét, a hatósági ellenőrzést, valamint a nyilvántartás vezetésével kapcsolatos feladatainak ellátását az SZTFH elnöke – a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány – rendeletében foglaltak szerint végzi.

(5) A gyártó a megfelelőségi önértékelés során, valamint a megfelelőségértékelő szervezet a tanúsítási eljárás során az SZTFH elnöke – a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság tekintetében a Kormány – rendeletében foglaltak szerint jár el.

III. FEJEZET

KIBERBIZTONSÁGI FELÜGYELET

7. A kiberbiztonsági felügyelettel érintettek köre

17. § (1) Az e fejezetben foglaltakat

a) az 1. melléklet szerinti kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek, valamint

b) a 2. melléklet szerinti kockázatos ágazatokban működő szolgáltatók és szervezetek

(a továbbiakban együtt: érintett szervezet) elektronikus információs rendszereire kell alkalmazni.

(2) Az e fejezetben foglalt szabályokat nem kell alkalmazni a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikro- és kisvállalkozásokra, kivéve, ha az érintett szervezet

a) elektronikus hírközlési szolgáltató,

b) bizalmi szolgáltató,

c) DNS-szolgáltatást nyújtó szolgáltató,

d) legfelső szintű domainnév-nyilvántartó vagy

e) domainnév-regisztrációt végző szolgáltató.

(3) Az e fejezetben foglalt szabályokat nem kell alkalmazni az érintett szervezeteknek az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti honvédelmi célú elektronikus információs rendszereire és hálózataira.

18. § Az e fejezetben foglalt szabályokat nem kell alkalmazni az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti európai vagy nemzeti létfontosságú rendszerelemmé – a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény alapján – kijelölt rendszerelemeknek a létfontosságú tevékenységben közreműködő elektronikus információs rendszereinek, illetve az atomenergia alkalmazása körében a fizikai védelemről és a kapcsolódó engedélyezési, jelentési és ellenőrzési rendszerről szóló kormányrendelet hatálya alá tartozó programozható rendszerek védelmére.

8. Alapvető követelmények

19. § (1) Az érintett szervezet a kiberfenyegetések által okozható károk mértékével arányos módon köteles gondoskodni az elektronikus információs rendszerei és azok fizikai környezetének a biztonságáról.

(2) Az (1) bekezdés szerinti biztonság magában foglalja az elektronikus információs rendszerek, valamint fizikai környezetük védelmét minden olyan eseménytől, amely veszélyeztetheti

a) a tárolt, továbbított vagy feldolgozott adatok, információk, vagy

b) az elektronikus információs rendszerek által nyújtott vagy azon keresztül elérhető szolgáltatások

bizalmasságát, sértetlenségét és rendelkezésre állását.

(3) A (2) bekezdésben meghatározott védelemnek ki kell terjednie:

a) az információbiztonsági irányítás rendszerére,

b) az elektronikus információs rendszerek kockázatainak feltárására és kezelésére,

c) a kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,

d) a biztonsági események megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére,

e) az üzletmenet folytonosság biztosítására és

f) az elektronikus információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, és üzemeltetésére.

(4) Ha az érintett szervezet az elektronikus információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködőt vesz igénybe, a (3) bekezdés szerinti követelményeknek a közreműködő esetében is teljesülniük kell.

(5) Az érintett szervezet vezetője köteles gondoskodni arról, hogy az (1)–(3) bekezdés szerinti követelményeket a (4) bekezdés szerinti közreműködő tekintetében szerződésbe foglalják.

(6) Az érintett szervezet vezetője

a) meghatározza az elektronikus információs rendszerek biztonságáért felelős személy feladatait és felelősségi körét,

b) meghatározza az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat, és

c) gondoskodik a szervezet munkatársai rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról.

20. § (1) Az érintett szervezet köteles az elektronikus információs rendszereket, valamint az azon tárolt, továbbított vagy feldolgozott adatokat a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott szempontrendszer alapján biztonsági osztályba sorolni.

(2) A biztonsági osztályba sorolás eredményeként a bizalmasság, a sértetlenség, a rendelkezésre állás sérülésének kockázata alapján „alap”, „jelentős” vagy „magas” biztonsági osztályt kell alkalmazni.

(3) Az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben határozza meg.

(4) A 19. § (1)–(4) bekezdésében meghatározott egyes követelményeknek való megfelelés igazolására – ha rendelkezésre áll – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termék, IKT-szolgáltatás vagy IKT-folyamat alkalmazható.

(5) Az SZTFH elnökének rendeletében meghatározott érintett szervezetek kötelesek az európai vagy nemzeti kiberbiztonsági tanúsítási rendszer alapján tanúsított, az SZTFH elnökének rendeletében meghatározott IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot használni.

21. § (1) A legfelső szintű domain alatt bejegyzett domainnevekről a legfelső szintű domainnév-nyilvántartó központi nyilvántartást vezet.

(2) A központi domainnév-nyilvántartás tartalmazza:

a) az érintett domainnevet,

b) a domainnév-regisztráció dátumát,

c) a domainnév-használó nevét, kapcsolattartásra alkalmas elektronikus levelezési címét, telefonszámát, és

d) a domainnevet kezelő adminisztratív kapcsolattartó nevét, elektronikus levelezési címét és telefonszámát, ha azok eltérnek a c) pont szerinti adatoktól.

(3) A (2) bekezdés szerinti adatok kezelésének célja a domainnevet kezelő adminisztratív kapcsolattartó, valamint a domainnév-használó természetes vagy jogi személy azonosításához szükséges, valamint kapcsolattartási adatainak naprakészen tartása.

(4) A központi domainnév-nyilvántartás adatai hitelességének ellenőrzése és integritásának biztosítása érdekében a legfelső szintű domainnév-nyilvántartó köteles az ellenőrzésre vonatkozó – az SZTFH által előzetesen jóváhagyott – eljárásrendet nyilvánosan közzétenni.

(5) A legfelső szintű domainnév-nyilvántartó a központi domainnév-nyilvántartásban szereplő adatokat – a személyes adatok kivételével – nyilvánosan hozzáférhetővé teszi.

(6) A legfelső szintű domainnév-nyilvántartó a központi domainnév-nyilvántartásban szereplő adatokhoz az ügyészség, a nemzetbiztonsági szolgálatok, a nyomozó hatóságok és a büntetőeljárásról szóló törvény szerinti előkészítő eljárást folytató szervezetek részére közvetlen hozzáférést biztosít.

9. Kiberbiztonsági felügyeleti eszközök

22. § (1) A 19. §-ban és a 20. §-ban foglalt követelmények tekintetében az érintett szervezetek, valamint azok elektronikus információs rendszerei kiberbiztonsági felügyeletét az SZTFH látja el.

(2) Az SZTFH látja el az (1) bekezdés szerinti kiberbiztonsági felügyeletet, amelynek részletes szabályait az SZTFH elnökének rendelete határozza meg.

(3) Az érintett szervezet e fejezetben meghatározott kötelezettségeinek teljesítését az SZTFH ellenőrzi.

(4) Az SZTFH kiberbiztonsági felügyeleti jogkörében az érintett szervezet tekintetében

a) hatósági ellenőrzést végezhet,

b) jelentős biztonsági esemény bekövetkezése vagy a biztonsági követelményeknek való nem-megfelelés gyanúja esetén rendkívüli ellenőrzést hajthat végre vagy rendkívüli auditot rendelhet el.

(5) Az SZTFH a 19. §-ban és a 20. §-ban foglalt követelmények betartásának ellenőrzését

a) a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény alapján mikro- és kisvállalkozásnak minősülő

aa) elektronikus hírközlési szolgáltató,

ab) bizalmi szolgáltató,

ac) DNS-szolgáltatást nyújtó szolgáltató,

ad) legfelső szintű domainnév-nyilvántartó,

b) a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény alapján mikro- és kisvállalkozásnak nem minősülő, 1. melléklet szerinti szervezet, és

c) domainnév-regisztrációt végző szolgáltató

esetében kockázatértékelésen alapuló – az SZTFH elnökének rendelete szerint elkészített – éves ellenőrzési terv alapján végzi.

(6) Az SZTFH eljárása során a sommás eljárás alkalmazása kizárt.

(7) Az SZTFH által lefolytatott hatósági ellenőrzés ügyintézési határideje 120 nap.

(8) Az SZTFH a cél megjelölésével jogosult az érintett szervezettől bekérni és megismerni:

a) a biztonsági osztályba sorolás, valamint a biztonsági intézkedések megfelelőségét alátámasztó dokumentumokat,

b) a belső informatikai biztonsági vizsgálat végrehajtásáról készült dokumentumot, és

c) egyéb, a jogszabályi megfelelést alátámasztó adatot, információt, dokumentumot a felügyeleti feladatok elvégzése céljából.

(9) A hatósági ellenőrzés lefolytatásának részletes szabályait az SZTFH elnökének rendelete határozza meg.

23. § (1) Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor (a továbbiakban: auditor) által kiberbiztonsági auditot végeztetni.

(2) Az auditor az audit végrehajtása során ellenőrzi a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelőségét.

(3) A (2) bekezdés szerinti megfelelőség ellenőrzésére az auditor jogosult a tevékenység nyomon követésére alkalmas módon a következő vizsgálatokat elvégezni:

a) belső informatikai biztonsági és távoli sérülékenységvizsgálatot, valamint „jelentős” vagy „magas” biztonsági osztály esetén behatolásvizsgálatot,

b) kriptográfiai megfelelőségvizsgálatot, valamint

c) „jelentős” vagy „magas” biztonsági osztály esetén a kritikus biztonsági funkciókat végző egyedileg fejlesztett szoftverek biztonsági forráskódvizsgálatát.

(4) Kiberbiztonsági auditot az az auditor végezhet, amely a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel rendelkezik, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetnek minősül. Az auditorral szemben támasztott követelményeket az SZTFH elnöke rendeletben határozza meg.

(5) A kiberbiztonsági audit lefolytatásának rendjét, és az audit – általános forgalmi adó nélkül számított – legmagasabb díját az SZTFH elnöke rendeletben határozza meg.

(6) Az audit végrehajtására jogosult gazdálkodó szervezetekről az SZTFH nyilvántartást vezet az SZTFH elnökének rendeletében foglaltak szerint.

(7) A nyilvántartás tartalmazza:

a) az auditor adatait és annak kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, valamint elektronikus levelezési címét,

b) az auditor – nyilvántartásba vételekor kapott – azonosító számát,

c) az auditor által igénybe vett közreműködő adatait, valamint kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, elektronikus levelezési címét, és

d) az audit eredményét tartalmazó dokumentumot.

(8) Az (1) bekezdés szerinti audit eredményét az auditor az SZTFH és az érintett szervezet részére az audit befejezését követően haladéktalanul megküldi.

(9) Az auditor írásban haladéktalanul tájékoztatja az SZTFH-t, ha az érintett szervezet elektronikus információs rendszerével kapcsolatosan olyan tényt állapít meg, amely

a) a szervezet folyamatos működését súlyosan veszélyezteti, vagy

b) bűncselekmény elkövetésére, jogszabály megsértésére, az érintett szervezet belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlel.

(10) Az auditor az ellenőrzött szervezet kezelésében lévő, az audit lefolytatásához szükséges, az ellenőrzött szervezettől megkapott dokumentumokat – ideértve a személyes adatokat és az üzleti titoknak minősülő adatokat is – az audit során ellenőrzött követelmények teljesülésének vizsgálata céljából, az audit lefolytatásához szükséges mértékben, annak befejezéséig kezeli, azokat harmadik személy részére nem továbbíthatja.

(11) Az auditor köteles szabályzatban rögzíteni azokat a munkaköröket, amelyeket betöltő személyek az audit során az üzleti titkokhoz hozzáférhetnek, annak tartalmát megismerhetik. Az auditban részt vevő személyeket az audit során tudomásukra jutott személyes adatok, valamint üzleti titok tekintetében titoktartási kötelezettség terheli, amely a foglalkoztatásra irányuló jogviszony megszűnését követő 5 évig, személyes adatok tekintetében pedig időkorlát nélkül fennmarad.

(12) Az e fejezet szerinti kiberbiztonsági audit nem érinti a más jogszabály által előírt tanúsítási kötelezettséget.

(13) Az auditor e fejezetben meghatározott kötelezettségeinek teljesítését az SZTFH ellenőrzi a 22. § (6) és (7) bekezdése alkalmazásával.

24. § (1) Ha az érintett szervezet a jogszabályokban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

a) figyelmeztetni az érintett szervezetet a jogszabályokban foglalt biztonsági követelmények vagy az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) határidő tűzésével elrendelni az ellenőrzés vagy az audit során feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, vagy

c) a szervezet tevékenységét engedélyező vagy felügyelő hatóság véleményének figyelembevételével eltiltani az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

(2) Ha az (1) bekezdés szerinti intézkedések alkalmazása ellenére az érintett szervezet a jogszabályokban foglalt biztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

(3) A (2) bekezdés szerinti esetben a bírság kiszabásáról és a kiszabást megalapozó tényekről az SZTFH tájékoztatja a szervezet tevékenységét engedélyező vagy felügyelő hatóságot.

(4) Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól.

(5) Ha az auditor a jogszabályokban foglalt kiberbiztonsági követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az SZTFH jogosult

a) figyelmeztetni a jogszabályokban foglalt követelmények vagy az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) határidő tűzésével elrendelni az azonosított hiányosságok elhárítását vagy a megfeleléshez szükséges intézkedések meghozatalát, vagy

c) az auditori tevékenységtől ideiglenesen eltiltani.

(6) Ha az (5) bekezdés szerinti intézkedések alkalmazása ellenére az auditor a jogszabályokban foglalt követelményeket vagy az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, az azonosított hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, az SZTFH az eset összes körülményének mérlegelésével kormányrendeletben meghatározottak szerint bírságot szabhat ki, amely további nemteljesítés esetén megismételhető.

25. § (1) Az SZTFH kiberbiztonsági felügyeleti tevékenységéért – a költségvetési szervek kivételével – az érintett szervezet – ha az érintett szervezet a Polgári Törvénykönyvről szóló törvény szerinti elismert vállalatcsoport (a továbbiakban: elismert vállalatcsoport) ellenőrzött tagja, helyette az uralkodó tag – az SZTFH elnökének rendeletében a (2) bekezdésben foglaltak alapján meghatározott mértékű kiberbiztonsági felügyeleti díj fizetésére köteles.

(2) Az éves kiberbiztonsági felügyeleti díj mértéke az érintett szervezet előző üzleti évi nettó árbevételének – árbevétel hiányában a tárgyévi árbevétel egész évre vetített időarányos részének – legfeljebb 0,015 százaléka, de legfeljebb 10 millió forint. Az ugyanazon elismert vállalatcsoportban vagy az ugyanazon, a Polgári Törvénykönyvről szóló törvény szerinti tényleges vállalatcsoportban, vagy a számvitelről szóló törvény szerinti anyavállalatot, leányvállalatokat és a konszolidálásba bevont közös vezetésű vállalkozásokat tartalmazó, egy konszolidációs körbe tartozó vállalkozáscsoportban részt vevő érintett szervezetek tekintetében a fizetendő éves kiberbiztonsági felügyeleti díj együttes mértéke nem haladhatja meg az 50 millió forintot. A tényleges vállalatcsoportként vagy az egy konszolidációs körbe tartozó vállalkozáscsoportként való működés tényét az érintett szervezet az SZTFH elnökének (3) bekezdés szerinti rendeletében foglaltak szerint igazolja.

(3) A kiberbiztonsági felügyeleti díjat az (1) bekezdés szerinti kötelezett az SZTFH elnökének rendeletében meghatározott módon és időpontban köteles megfizetni az SZTFH részére a felügyeleti díj megfizetéséről szóló nyilatkozat (a továbbiakban: nyilatkozat) egyidejű benyújtása mellett. A felügyeleti díj megfizetése a nyilatkozattételi kötelezettséget nem pótolja.

26. § (1) Az SZTFH az SZTFH elnökének rendeletében foglaltak szerint az érintett szervezetekről nyilvántartást vezet, amely tartalmazza:

a) az érintett szervezet azonosításához szükséges adatokat,

b) ha az érintett szervezet nem az Európai Unióban letelepedett szervezet, de Magyarországon belül kínál szolgáltatásokat és magyarországi letelepedett képviselőt jelöl ki, a képviselő nevét vagy cégnevét, levelezési címét, telefonszámát és elektronikus levelezési címét,

c) az elektronikus információs rendszer biztonságáért felelős személy természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét, valamint

d) az SZTFH elnökének rendeletében előírt további, személyes adatnak nem minősülő adatokat.

(2) Az érintett szervezet a működése megkezdését követő 30 napon belül az (1) bekezdésben meghatározott adatokat megküldi az SZTFH részére a nyilvántartásba vétel érdekében.

(3) Az érintett szervezet köteles

a) a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és

b) a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.

(4) Az érintett szervezet az (1) bekezdés szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül megküldi a nyilvántartásba vétel érdekében.

(5) Az (1) bekezdés szerinti nyilvántartásból – ha jogszabály eltérően nem rendelkezik – adattovábbítás kizárólag az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott hatósági feladatokat ellátó szervezetek, valamint eseménykezelő központok részére végezhető.

(6) Az SZTFH, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti hatóságok közötti együttműködés és adatszolgáltatás rendjére vonatkozó részletes szabályokat a Kormány rendeletben határozza meg.

(7) Ha az érintett szervezet e törvény hatálya alá tartozó tevékenységet már nem végez, akkor az (1) bekezdés szerinti adatokat az SZTFH a tevékenység befejezésének bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

(8) Ha az (1) bekezdés szerinti adatok változását az érintett szervezet bejelenti, akkor az eredeti adatokat az SZTFH az adat változása bejelentését követő öt év elteltével köteles a nyilvántartásból törölni.

10. Kiberbiztonsági események jelentése

27. § (1) Ha az elektronikus információs rendszerben olyan biztonsági esemény történt vagy annak közvetlen bekövetkezése fenyeget, amely

a) az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz vagy

b) jelentős vagyoni vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára

az érintett szervezet köteles haladéktalanul az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központ részére a Kormány rendeletében részletezettek szerint bejelentést tenni.

(2) A hatáskörrel rendelkező eseménykezelő központ a biztonsági esemény kezelése és műszaki vizsgálata során a Kormány rendeletében foglaltak szerint jár el.

(3) Ha a szervezet a biztonsági események kezeléséhez közreműködőt vesz igénybe, a közreműködőnek az SZTFH által – az SZTFH elnökének rendeletében foglaltak szerint – kiállított tanúsítvánnyal kell rendelkeznie a (2) bekezdés szerinti, a biztonsági események kezelésére vonatkozó szabályoknak történő megfelelésről, valamint a biztonsági események kezeléséhez szükséges, az SZTFH elnökének rendeletében meghatározott feltételek teljesüléséről.

(4) Az (1) bekezdésben foglaltak nem érintik a más törvény alapján fennálló jelentési kötelezettségeket.

IV. FEJEZET

ZÁRÓ RENDELKEZÉSEK

11. Felhatalmazó rendelkezések

28. § (1) Felhatalmazást kap a Kormány, hogy rendeletben meghatározza

a) a tanúsító hatóság által kiszabható bírság mértékét, megállapításának szempontrendszerét, valamint a bírság megfizetése módjának részletes eljárási szabályait, * 

b) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság feladatának, a tanúsító hatósági tevékenység eljárásrendjének, az engedélyezési eljárásnak, a hatósági ellenőrzésnek, a nyilvántartás vezetésének részletes szabályait, valamint a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a megfelelőségi jelölés elhelyezésére vonatkozó szabályokat, * 

c) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a megfelelőségi önértékelésre, a tanúsítási eljárásra, valamint a megfelelőségértékelő szervezetek kötelezettségeire és tevékenységére vonatkozó részletes szabályokat, * 

d) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a nemzeti kiberbiztonsági tanúsítási rendszerekre figyelemmel a tanúsítási rendszereket,

e) a biztonsági események kezelésére, műszaki vizsgálatára és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központ részére történő bejelentésre vonatkozó részletes szabályokat,

f) az SZTFH és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti hatóságok közötti együttműködés és adatszolgáltatás rendjére vonatkozó részletes szabályokat, valamint

g) az SZTFH által az érintett szervezettel és az auditorral szemben kiszabható bírság mértékét, megállapításának szempontrendszerét, valamint a bírság megfizetése módjának részletes eljárási szabályait.

(2) Felhatalmazást kap a Kormány, hogy rendeletben kijelölje a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóságot. * 

(3) Felhatalmazást kap az SZTFH elnöke, hogy rendeletben meghatározza

a) a 4. § (1) bekezdés b) pontja szerinti tanúsító hatósági tevékenység kivételével a tanúsító hatósági tevékenység eljárásrendjének, az engedélyezési eljárásnak, a hatósági ellenőrzésnek, a nyilvántartás vezetésének részletes szabályait és a nyilvántartás személyes adatot nem tartalmazó adattartalmát, valamint a megfelelőségi jelölés elhelyezésére vonatkozó szabályokat, * 

b) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a megfelelőségi önértékelésre, a tanúsítási eljárásra, a megfelelőségértékelő szervezetekkel szemben támasztott követelményekre, valamint a megfelelőségértékelő szervezetek kötelezettségeire és azok tevékenységére vonatkozó részletes szabályokat, * 

c) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem kivételével a nemzeti kiberbiztonsági tanúsítási rendszereket, * 

d) a 20. § (5) bekezdése alapján kötelezően alkalmazandó nemzeti vagy európai kiberbiztonsági tanúsítási rendszer alapján tanúsított IKT-termékeket, IKT-szolgáltatásokat vagy IKT-folyamatokat, valamint az ezek alkalmazására kötelezett érintett szervezeteket,

e) a kiberbiztonsági felügyelet és feladatellátás, továbbá a hatósági ellenőrzés lefolytatásának és az éves ellenőrzési terv elkészítésének részletes szabályait,

f) az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásba vételének rendjét, valamint a nyilvántartás személyes adatnak nem minősülő adattartalmára vonatkozó részletes szabályokat, * 

g) a biztonsági eseménykezelésben részt vevő közreműködő esetében a biztonsági események kezeléséhez szükséges feltételeket, valamint a biztonsági eseménykezelésben részt vevő közreműködő biztonsági események kezelésére vonatkozó szabályoknak és a biztonsági események kezeléséhez szükséges feltételeknek történő megfelelése tanúsítására vonatkozó részletes szabályokat,

h) az auditorok nyilvántartásba vételi eljárásának rendjét, és az auditorral szemben támasztott követelményeket, * 

i) a kiberbiztonsági audit lefolytatásának rendjét, valamint a kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díját, valamint

j) a kiberbiztonsági felügyeleti díj mértékét, megfizetésének módját és időpontját.

(4) Felhatalmazást kap a honvédelemért felelős miniszter, hogy rendeletben meghatározza

a) az adópolitikáért felelős miniszterrel egyetértésben a 4. § (1) bekezdés b) pontja szerinti tanúsító hatóság eljárásáért fizetendő igazgatási szolgáltatási díj mértékét, a díjak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat, valamint * 

b) a hadiipari kutatás, fejlesztés, gyártás és kereskedelem tekintetében a megfelelőségértékelő szervezetekkel szemben támasztott követelményeket.

(5) Felhatalmazást kap a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter, hogy rendeletben meghatározza a biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket. * 

(6) A polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter az (5) bekezdés szerinti rendeletet az SZTFH elnöke véleményének kikérését követően adja ki.

12. Hatályba léptető rendelkezések

29. § (1) Ez a törvény – a (2)–(4) bekezdésben foglalt kivétellel – a kihirdetését követő 8. napon lép hatályba.

(2) A 15. § és a 28. § (1) bekezdés a) pontja az e törvény kihirdetését követő 16. napon lép hatályba.

(3) A 7. alcím, a 19. §, a 20. §, a 22. § (1) bekezdése, a 23. § (1), (4), (6), (7), (11) és (12) bekezdése, a 26. §, a 28. § (3) bekezdés d), f) és h) pontja, a 28. § (5) és (6) bekezdése, a 30. § (1), (2), (4) és (5) bekezdése, a 40. §, a 42. §, a 48. §, valamint az 1. és a 2. melléklet 2024. január 1-jén lép hatályba.

(3a) *  A 22. § (6) bekezdése 2024. június 25-én lép hatályba.

(4) *  A 21. §, a 22. § (2)–(5) és (7)–(9) bekezdése, a 23. § (2), (3), (5), (8)–(10) és (13) bekezdése, a 24. §, a 25. §, a 10. alcím, a 28. § (1) bekezdés e)–g) pontja, a 28. § (3) bekezdés e), g), i) és j) pontja, a 30. § (3) bekezdése, a 33–37. §, a 38. § a) és c) pontja, a 46. § és a 49. § 2024. október 18-án lép hatályba.

13. Átmeneti rendelkezések

30. § (1) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 26. § (1) bekezdésében meghatározott adatokat első alkalommal 2024. június 30-ig küldi meg az SZTFH-nak a nyilvántartásba vétel érdekében.

(2) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 20. § (3) bekezdése szerinti, a polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletében meghatározott konkrét védelmi intézkedéseket 2024. október 18-tól alkalmazza.

(3) Az SZTFH a 22. § (5) bekezdése szerinti éves ellenőrzési tervet első alkalommal 2025. január 1. napjáig készíti el.

(4) Az az érintett szervezet, amely 2024. október 18-a előtt megkezdte működését, a 26. § (3) bekezdés a) pontja szerinti kötelezettséget legkésőbb 2024. december 31-ig köteles teljesíteni.

(5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.

14. Az Alaptörvény sarkalatosságra vonatkozó követelményének való megfelelés

31. § A 39–42. §, a 47–49. § és az 51. § az Alaptörvény 23. cikke alapján sarkalatosnak minősül.

15. Az Európai Unió jogának való megfelelés

32. § (1) Ez a törvény az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

(2) Ez a törvény az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

16. Módosító rendelkezések

33. § * 

34. § * 

35–37. § * 

38. § Hatályát veszti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény

a) * 

b) * 

c) * 

d)–k) * 

39. § * 

40. § * 

41. § * 

42. § * 

43–45. § * 

46. § * 

47. § * 

48. § * 

49. § * 

50–51. § * 

1. melléklet a 2023. évi XXIII. törvényhez

Kiemelten kockázatos ágazatokban működő szolgáltatók és szervezetek

A B C
1 Ágazat Alágazat Szervezet
2 Energetika Villamos energia a villamos energiáról szóló törvény szerinti villamosenergia-ipari vállalkozás a közvilágítási üzemeltetési engedélyes kivételével,
3 Távfűtés és hűtés a távhőszolgáltatásról szóló törvény szerinti engedélyes,
4 Kőolaj a bányászatról szóló törvény szerinti
a) szénhidrogén szállítóvezetéket létesítő és üzemben tartó engedélyes,
b) a kőolajfeldolgozásban, tárolásban használt létesítmény üzemeltetője,
5 a behozott kőolaj és kőolajtermékek biztonsági készletezéséről szóló törvény szerinti központi készletező szervezet,
6 Földgáz – az egyablakos kapacitásértékesítő, a szervezett földgázpiaci engedélyes és a vezetékes PB-gáz szolgáltató kivételével – a földgázellátásról
szóló törvény szerinti engedélyes tevékenységet folytató földgázipari vállalkozás,
7 Hidrogén a hidrogéntermelés, -tárolás és -szállítás üzemeltetője,
8 Közlekedés Légi közlekedés a polgári légiközlekedés védelmének szabályairól és a Légiközlekedés Védelmi Bizottság jogköréről, feladatairól és működésének rendjéről szóló kormányrendelet szerinti légiközlekedés védelmében közreműködő szervezet,
9 Vasúti közlekedés a vasúti közlekedésről szóló törvény szerinti vasúti pályahálózat működtetője – a saját célú vasúti pályahálózatok, iparvágányok
kivételével –, a vállalkozó vasúti társaság, a vasúti pályakapacitás-elosztó szervezet,
10 Közúti közlekedés a közúti közlekedésről szóló törvény felhatalmazása alapján kiadott rendelet szerinti
a) intelligens közúti közlekedési rendszerek üzemeltetését végző szolgáltató,
b) forgalomirányítást végző szervezet,
11 Vízi közlekedés a víziközlekedésről szóló törvény szerinti hajózási tevékenység folytatásában részt vevő jogi személy, jogi személyiséggel nem rendelkező gazdálkodó szervezet,
12 Tömegközlekedés a vasúti és közúti személyszállítási közszolgáltatásról, valamint az 1191/69/EGK és az 1107/70/EGK tanácsi rendelet hatályon kívül helyezéséről szóló, 2007. október 23-i 1370/2007/EK európai parlamenti és tanácsi rendelet 2. cikk d) pontja szerinti közszolgáltató szervezet,
13 Egészségügy az egészségügyről szóló törvény szerinti egészségügyi szolgáltató,
magas biztonsági szintű biológiai laboratóriumok üzemeltetője,
egészségügyi tartalékokat és vérkészleteket kezelő szervezet,
gyógyszerek kutatásával és fejlesztésével foglalkozó szervezet,
gyógyszeripari alaptermékeket és gyógyszerkészítményeket gyártó szervezet,
gyógyszer-nagykereskedő, népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő
kritikus fontosságú orvostechnikai eszközt gyártó szervezet,
az emberi felhasználásra szánt gyógyszerek közösségi kódexéről szóló 2001. november 6-i 2001/83/EK európai parlamenti és tanácsi irányelv 79. cikke szerinti nagykereskedelmi forgalmazási engedélyek birtokában lévő szervezet,
14 Ivóvíz, szennyvíz Víziközmű szolgáltatás a víziközmű-szolgáltatásról szóló törvény szerinti víziközmű-szolgáltató,
15 Hírközlési szolgáltatás az elektronikus hírközlésről szóló törvény szerinti
a) elektronikus hírközlési szolgáltató,
b) adatkicserélő szolgáltatást nyújtó szolgáltató,
16 az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény szerinti bizalmi szolgáltató,
17 Digitális infrastruktúra a felhőszolgáltató,
18 adatközponti szolgáltatást nyújtó szolgáltató,
19 legfelső szintű domainnév-nyilvántartó,
20 a DNS-szolgáltató,
21 tartalomszolgáltató hálózat szolgáltatója,
22 Kihelyezett IKT szolgáltatások a) kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltató,
b) kihelyezett (irányított) infokommunikációs biztonsági szolgáltatást nyújtó szolgáltató,
23 Űralapú szolgáltatás űralapú szolgáltatások nyújtását támogató földi infrastruktúra üzemeltető

2. melléklet a 2023. évi XXIII. törvényhez

Kockázatos ágazatokban működő szolgáltatók és szervezetek

A B C
1 Ágazat Alágazat Entitás típusa
2 Postai és futárszolgálatok a postai szolgáltatásokról szóló törvény szerinti postai szolgáltató,
3 Élelmiszer előállítása, feldolgozása és forgalmazása az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás,
4 Hulladékgazdálkodás a hulladékról szóló törvény szerinti tevékenységet végző,
5 Vegyszerek előállítása és forgalmazása a vegyi anyagok regisztrálásáról, értékeléséről, engedélyezéséről és korlátozásáról (REACH),
az Európai Vegyianyag-ügynökség létrehozásáról, az 1999/45/EK irányelv módosításáról, valamint
a 793/93/EGK tanácsi rendelet, az 1488/94/EK bizottsági rendelet, a 76/769/EGK tanácsi irányelv, a 91/155/EGK, a 93/67/EGK, a 93/105/EK és a 2000/21/EK bizottsági irányelv hatályon kívül helyezéséről szóló, 2006. december 18-i 1907/2006/EK európai parlamenti és tanácsi rendelet 3. cikke szerinti gyártó, forgalmazó,
6 Gyártás Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása az orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről szóló, 2017. április 5-i (EU) 2017/745 európai parlamenti és tanácsi rendelet 2. cikkének 1. pontjában meghatározott orvostechnikai eszközöket, valamint az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről szóló, 2017 április 5-i (EU) 2017/746 európai parlamenti és tanácsi rendelet 2. cikkének 2. pontjában meghatározott in vitro diagnosztikai orvostechnikai eszközöket gyártó szervezet, kivéve a népegészségügyi szükséghelyzet kritikus fontosságú eszközeinek jegyzékén szereplő kritikus fontosságú orvostechnikai eszközöket gyártó szervezet,
7 Számítógép, elektronikai, optikai termék gyártása a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 26. ágazata szerinti „Számítógép, elektronikai, optikai termék gyártása” tevékenységet végző gazdálkodó szervezet,
8 Villamos berendezések gyártása a gazdasági tevékenységek statisztikai osztályozása
NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 27. ágazata szerinti „Villamos berendezés gyártása” tevékenységet végző gazdálkodó szervezet,
9 Máshova nem sorolt gépek és berendezések gyártása a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 28. ágazata szerinti „Gép, gépi berendezés gyártása” tevékenységet végző gazdálkodó szervezet,
10 Gépjárművek, pótkocsik és félpótkocsik gyártása a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 29. ágazata szerinti „Közúti jármű gyártása” tevékenységet végző gazdálkodó szervezet,
11 Egyéb szállítóeszközök gyártása a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 30. ágazata szerinti „Egyéb jármű gyártása” tevékenységet végző gazdálkodó szervezet,
12 Cement-, mész-, gipszgyártás a gazdasági tevékenységek statisztikai osztályozása NACE Rev. 2. rendszerének létrehozásáról és a 3037/90/EGK tanácsi rendelet, valamint egyes meghatározott statisztikai területekre vonatkozó
EK-rendeletek módosításáról szóló, 2006. december 20-i 1893/2006/EK európai parlamenti és tanácsi rendelet 23.5 alágazata szerinti „Cement-, mész-, gipszgyártás” tevékenységet végző gazdálkodó szervezet,
13 Digitális szolgáltatók a) az online-piactér szolgáltatója,
b) a 2001. évi CVIII. törvény szerinti keresőszolgáltató,
c) közösségi média szolgáltatási platform szolgáltatója,
d) domainnév regisztrációt végző szolgáltató,
14 Kutatás kutatóhely