Az Energiaügyi Minisztérium társadalmi egyeztetésre bocsátotta új rendelettervezetét, amely az állami és stratégiai jelentőségű szervezetek kiberbiztonsági felkészültségét szabályozná. A jogszabály célja, hogy konkrét képesítési és továbbképzési követelményeket határozzon meg azok számára, akik kulcsszerepet játszanak az ilyen szervezetek informatikai védelmében. A rendelet még nem lépett hatályba, csak tervezetként jelent meg, és a véleményezési szakaszban van.

A rendelet azokra a szervezetekre vonatkozna, amelyek a 2024-ben elfogadott kiberbiztonsági törvény hatálya alá tartoznak. Ezek lehetnek állami, önkormányzati, energetikai, közlekedési, egészségügyi, banki, távközlési vagy más, nemzetbiztonsági szempontból kritikus szervezetek. A szabályozás három fő szereplőre fókuszál:

1. A szervezet vezetőjére,
2. Az elektronikus információs rendszer biztonságáért felelős személyre (gyakorlatilag az IT-biztonsági vezetőre),
3. Az információbiztonsági felügyelőre (külső szakértőként kirendelt személy).

A tervezet részletesen meghatározza, hogy az IT-biztonságért felelős személynek milyen végzettséggel és szakképzettséggel kell rendelkeznie, valamint évente kötelező 20 órás továbbképzésen kell részt vennie. A témák között szerepelnek például a kiberbiztonsági trendek, kockázatkezelés, incidenskezelés és az uniós szabályozási környezet változásai.

A szervezet vezetője sem marad ki a kötelezettségek alól:

egy évvel a kinevezése után legalább 8 órás, majd évente 4 órás továbbképzésen kell részt vennie, amely a kiberbiztonsági stratégiai ismeretekre és jogi kötelezettségekre koncentrál.

Az információbiztonsági felügyelőként csak olyan szakember rendelhető ki, aki megfelelő szakképzettséggel, aktuális továbbképzéssel és legalább ötéves, igazolt szakmai tapasztalattal rendelkezik ezen a területen.

Hogyan zajlana a képzés?

A továbbképzések jelenléti, online vagy hibrid formában is megvalósíthatók. A hiányzási küszöb 10%: ha valaki a tanfolyam időtartamának ennél nagyobb részéről hiányzik, újra kell kezdenie a képzést. Az elvégzett képzésekről a képző intézmény igazolást állít ki, amelyet a kiberbiztonsági hatóság bármikor ellenőrizhet.

Fontos kitétel, hogy a szervezeti biztonsági osztályba sorolás alapján előírt más képzések nem mentesítenek az új rendeletben foglalt tanfolyamok alól.

A már jelenleg is megbízott szakembereknek lenne némi türelmi idejük. A jogszabály értelmében 2025 végéig kinevezett IT-biztonsági vezetőknek 2026 végéig kell elvégezniük az első kötelező továbbképzést. Ugyanez vonatkozik a szervezeti vezetőkre is.

Azok a személyek, akik nem rendelkeznek az előírt végzettséggel, 2027 végéig öt év szakmai tapasztalattal még alkalmasnak minősülhetnek bizonyos feltételek mellett, például ha korábban etikus hackerként vagy kockázatelemzőként dolgoztak.

A tervezet uniós jogharmonizációs célt is szolgál: az úgynevezett NIS 2 irányelv előírásainak megfelelését célozza, amely egységes, magas szintű kiberbiztonságot követel meg az EU-tagállamoktól. Az új magyar szabályok tehát részben ebből fakadó kötelezettségeket emelnek át a hazai rendszerbe.

A tervezet hatályba lépésével megszűnne egy korábbi, 2013-as rendelet, amely az állami és önkormányzati szervek IT-biztonságáért felelős személyeinek képzését szabályozta. Az új előírások ennél átfogóbbak, szigorúbbak, és már a versenyszféra kritikus infrastruktúráit is bevonják a hatályuk alá.

A rendelet a tervek szerint a kihirdetését követő napon lépne hatályba, azzal a kivétellel, hogy a felnőttképzési rendszerbe illesztésre vonatkozó rendelkezés csak 2028. január 1-jétől lenne alkalmazandó. Mindez azonban csak akkor valósulhat meg, ha a társadalmi egyeztetést követően véglegesítik a rendeletet, és az kihirdetésre is kerül.

Az Energiaügyi Minisztérium társadalmi egyeztetése május 16-ig tart.

Kapcsolódó cikkünk