Alig pár hét és itt a következő fontos határidő, ami további feladatokat is jelent minden a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló jogszabály (Kibertantv ) által érintett szervezet életében.
forrás: pexels.com
A következő nagy nap – október 18
Október 18-től a minden érintett cégnek 2 új előírásnak kell megfelelnie:
- a felügyeleti díj befizetése a Hatóságnak
- védelmi intézkedések alkalmazása a szervezetnél
De mit is jelentenek ezek?
Felügyeleti díj
Október 18-tól kell megfizetni az SZTFH felé a felügyeleti díjat minden nyilvántartásba vett cégnek. Ez egy belátható összeg lesz az árbevétel 0,015%, vagy maximum 10 millió forint. A hatóság sávozásos fizetésben gondolkodik, de ennek részleteiről még nincs hír.
Az is fontos tudnivaló, hogy nem október 18-ig kell ezt a díjat befizetni, hanem ettől az időpontól kezdik számolni. Tehát a 2024-es év egy tört év lesz! Az SZTFH munkatársa egyik konferencián megemlítette lehet, hogy csak jövőre fogja ezt a díjat beszedni a felügyelet, de mint oly sok mindenben még nincs végleges szabályozás. Egy szó, mint száz, október 18. nem fizetési határidő, de számolni kell vele.
Védelmi intézkedések
A Kibertantv és a nyáron megjelent a 7/2024. (VI. 24.) MK rendeletben foglaltak szerint október 18-tól a jogszabályoknak megfelelően kell az érintett cégeknek működniük. Ez egy nagyon ideális állapot lenne, de természetesen senki sem várja el, hogy ekkortól minden érintett cég már így működjön. Nem véletlen, hogy az első kiberbiztonsági auditok végrehajtását 2025-re tűzték ki. Azonban ez nem jelenti azt, hogy nincs teendő. Innentől kezdve elindul a számonkérés és ha incidens történik, akkor azt már a kihirdetett törvények, rendeletek alapján kell kezelni. A kijelölt Információ Biztonsági Felelősnek (IBF) rengeteg feladata lesz.
forrás: pixabay.com
A legfontosabb az incidensmenedzsment
Ha incidens történik az érintett szervezetnél, akkor azt a törvényben meghatározottak szerint kell kezelnie az IBF-nek pl. be kell jelentenie. Ez azért is fontos, mert majd a kiberbiztonsági audit során visszamenőleg is nézni fogják az auditorok, hogy a törvénynek, rendeleteknek megfelelően járt-e el a szervezet! Szóval figyelni kell és már október közepétől megfelelően cselekedni!
A fekete leves – DÁP
Azonban van egy másik jogszabály, ami alapvetően bolygatja meg a felkészülési tervét minden érintett cégnek: a 2023. évi CIII. törvény a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól megnevezésű törvény. A jogszabály 2025. június 1-én hatályba lépő verziójában nevesítve vannak úgynevezett Digitális szolgáltatás biztosítására kötelezett szervezetek. Sok szervezet fel van sorolva pl. hulladékgazdálkodási területen tevékenykedő cégek, távközlési vállalkozások. Mindenki ellenőrizze, hogy érintett-e a jogszabály által! Mert aki érintett, annak a kiberbiztonsági auditot 2025. december 31-i határidő helyett 2025. május 31-ig kell végrehajtania….
Nagy Imre Gábor
A szerző a ZETRON Kft munkatársa, ISO 27001-es vezető auditor, és a Nemzeti Közszolgálati Egyetem Elektronikus Információbiztonsági Vezető szakán végzett
A rovat a kamarai ICT bizottság szakmai támogatásával valósul meg.