A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (3) bekezdés h) pontjában, valamint a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § f) pontjában kapott felhatalmazás alapján,
a 7. §, a 8. § és az 1. melléklet tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján,
a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § (1) A Szabályozott Tevékenységek Felügyeleti Hatósága mint a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertan.tv.) 22. § (1) bekezdése szerinti kiberbiztonsági felügyeletet ellátó hatóság (a továbbiakban: felügyeleti hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a kiberbiztonsági audit végrehajtására jogosult gazdálkodó szervezet (a továbbiakban: auditor) vonatkozásában a Kibertan.tv. 23. § (6) bekezdése szerinti nyilvántartás (a továbbiakban: nyilvántartás) vezetését.
(2) A felügyeleti hatóság eljárása a felügyeleti hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.
2. § (1) Az auditornak a nyilvántartásba történő felvételére irányuló eljárás kérelemre indul, amelyet az auditor nyújt be a felügyeleti hatósághoz.
(2) Az (1) bekezdés szerinti kérelem tartalmazza
a) az auditor
aa) megnevezését,
ab) adószámát,
ac) cégjegyzékszámát,
ad) székhelyének címét,
ae) – felügyeleti hatóság honlapján közzétételre kerülő – elektronikus levelezési címét és telefonszámát és
af) – felügyeleti hatóság által tájékoztatási célra felhasználható – elektronikus levelezési címét az auditor kérelemben rögzített kérése alapján,
b) azt, hogy az auditor a kiberbiztonsági audit tevékenységet milyen biztonsági osztályba sorolt elektronikus információs rendszerekre kívánja végezni,
c) az auditor kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, elektronikus levelezési címét, valamint
d) az auditor által a kiberbiztonsági audit során igénybe vett közreműködő adatait, valamint kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét.
(3) Az auditor az (1) bekezdés szerinti kérelemhez mellékeli
a) a (6) bekezdésben meghatározott dokumentumokat, valamint
b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
(4) Az auditornak – az (1) bekezdés szerinti kérelemben feltüntetett bármely biztonsági osztály esetében – a következő feltételeknek kell megfelelnie:
a) legalább két olyan szakértőt foglalkoztat, aki a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel rendelkezik,
b) rendelkezik információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel,
c) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során,
d) rendelkezik az auditálás lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereikből és az archív mentéseikből, és
e) rendelkezik a Kibertan.tv. 23. § (11) bekezdése szerinti szabályzattal.
(5) Az auditornak a nyilvántartásba vételi eljárás során igazolnia kell – a (2) bekezdés b) pontjában megjelölt biztonsági osztályhoz tartozóan – a következő feltételek teljesítését:
a) foglalkoztat
aa) „alap” biztonsági osztály esetén legalább kettő,
ab) „jelentős” biztonsági osztály esetén legalább tíz,
a munka törvénykönyvéről szóló törvény szerinti munkavégzésre irányuló jogviszonyban álló személyt a Kibertan.tv. 23. § (11) bekezdése szerinti szabályzatban rögzített munkakörben;
b) rendelkezik
ba) „alap” biztonsági osztály esetén minimum 15 000 000 forint,
bb) „jelentős” biztonsági osztály esetén minimum 50 000 000 forint
éves összeghatárig kiterjedő tevékenységi felelősségbiztosítással;
c) rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló auditálás szolgáltatásra vonatkozóan
ca) „alap” biztonsági osztály esetén legalább 5,
cb) „jelentős” biztonsági osztály esetén legalább 15
referenciával;
d) „jelentős” biztonsági osztály esetén rendelkezik a nyilvántartásba vételi kérelem benyújtását megelőző 7 évben legalább 5 éven keresztül a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephelybiztonsági tanúsítvánnyal;
e) „jelentős” biztonsági osztály esetén az auditjelentés kiállításához a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti „jelentős” vagy „magas” megbízhatósági szint követelményeinek megfelelő vizsgálólaboratóriumot vesz igénybe;
f) „magas” biztonsági osztály esetén szerepel a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti megfelelőségértékelő szervezetek jegyzékén „magas” megbízhatósági szinten.
(6) Az auditor a Kibertan.tv. 23. § (4) bekezdésében meghatározott és a (4) és (5) bekezdés szerinti feltételek meglétét a következő módon igazolja:
a) a Kibertan.tv. 23. § (4) bekezdésének teljesülését az Alkotmányvédelmi Hivatal által kiállított nyilvántartásba vételi határozattal;
b) a (4) bekezdés a) pontja esetében az érintett munkavállalók felsőfokú végzettséget igazoló okirat másolatával és szakmai önéletrajzzal;
c) a (4) bekezdés b) pontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;
d) a (4) bekezdés c) pontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;
e) a (4) bekezdés d) pontja esetében törlési eljárásrenddel és műszaki leírásokkal;
f) a (4) bekezdés e) pontja esetében a Kibertan.tv. 23. § (11) bekezdése szerinti szabályzattal;
g) az (5) bekezdés a) pontja esetében anonimizált munkaszerződésekkel;
h) az (5) bekezdés b) pontja esetében biztosítási kötvénnyel;
i) az (5) bekezdés c) pontja esetében referencianyilatkozattal;
j) az (5) bekezdés d) pontja esetében telephelybiztonsági tanúsítvánnyal;
k) az (5) bekezdés e) pontja esetében a közreműködő vizsgálólaboratórium nyilatkozatával;
l) az (5) bekezdés f) pontja esetében a nyilvántartásba vételi határozat számának megjelölésével.
(7) Ha a kérelmező auditort a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete alapján megfelelőségértékelő szervezetként nyilvántartásba vették, és a (2) bekezdés b) pontjában megjelölt biztonsági osztály nem magasabb a megfelelőségértékelő szervezetként nyilvántartásba vett megbízhatósági szintnél, a (4) bekezdés a)–d) pontjában és az (5) bekezdés a), b) és d) pontjában foglaltak igazolására nem köteles.
(8) A felügyeleti hatóság a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizheti.
(9) Ha az auditor a Kibertan.tv. 23. § (4) bekezdésében meghatározott és a (4) és (5) bekezdésben szereplő feltételeket nem teljesíti, a felügyeleti hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező auditor a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be.
(10) A felügyeleti hatóság nyilvántartja a (2) bekezdés a) pont af) alpontja, a (2) bekezdés b) pontja és a (6) bekezdés szerinti adatokat.
3. § (1) A nyilvántartásba vett auditornak folyamatosan meg kell felelnie a Kibertan.tv. 23. § (4) bekezdésében meghatározott és a 2. § (4) és (5) bekezdése szerinti feltételeknek.
(2) A nyilvántartásba vett auditornak minden év január 31-ig az előző évben megkezdett, folyamatban lévő, illetve lezárult kiberbiztonsági audit lefolytatására irányuló szerződései kapcsán adatot kell szolgáltatnia a felügyeleti hatóság részére.
(3) A (2) bekezdés szerinti adatszolgáltatás a következő adatokat tartalmazza a kiberbiztonsági audit lefolytatására irányuló szerződések tekintetében:
a) sorszám,
b) szerződéskötés dátuma,
c) teljesítési határidő,
d) teljesítés dátuma,
e) a kiberbiztonsági audit díja.
(4) Az auditor a Kibertan.tv. 23. § (7) bekezdése és a 2. § (2) bekezdés a) pontja szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a felügyeleti hatóság részére a felügyeleti hatóság által rendszeresített elektronikus űrlap alkalmazásával.
(5) Az auditor a változás beálltát követő 8 napon belül bejelenti a felügyeleti hatóságnak, ha
a) a 2. § (4) bekezdése szerinti általános, valamint a 2. § (5) bekezdése szerinti, nyilvántartásba vett biztonsági osztályra vonatkozó követelmények nem teljesülnek, vagy
b) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.
(6) A felügyeleti hatóság törli a nyilvántartásból az auditort, ha
a) a Kibertan.tv. 23. § (4) bekezdésében meghatározott feltételeknek nem felel meg,
b) a 2. § (4) és (5) bekezdése szerinti feltételeknek nem felel meg,
c) jogutód nélkül megszűnik, vagy
d) jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
4. § Ez a rendelet a kihirdetését követő 31. napon lép hatályba.
5. § A 3. § (2) bekezdése szerinti adatszolgáltatási kötelezettséget az auditor első alkalommal 2025. március 1-jéig teljesíti.
6. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
7–8. § *