Kiberbiztonság: nem árt résen lenni, három határidő is vészesen közeleg

Még nem késő teljesíteni a kiberbiztonsági auditra vonatkozó szerződéskötési kötelezettséget – figyelmeztet a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) –, azonban legkésőbb augusztus 31-ig lépni kell. A szerződést az arra kötelezett szervezeteknek azért kell megkötniük, mert ezen keresztül bízhatnak meg egy auditort az elektronikus rendszerük kiberbiztonságának auditálásával.

A szerződéskötés határideje új kötelezettség – amely az SZTFH, valamint a Magyar Kereskedelmi és Iparkamara (MKIK) javaslatára született –, de az alkalmas auditor felkutatását a hatóság megkönnyítette: holnapján megtalálható a tárgyalt szerződések megkötésére igénybe vehető auditorok elérhetősége. A vonatkozó törvény egyébként már korábban is előírta az auditálási kötelezettséget, de abban egy korábbi, ez év december 31-i dátum szerepelt, az auditorral való szerződéskötési kötelezettség határideje pedig nem volt a törvény része.

A működés megkezdésének ideje a választóvíz

A Magyarország kiberbiztonságáról szóló 2024-es törvény módosítása alapján azon kiberbiztonsági auditra kötelezett szervezetek, amelyek már 2025. január 1. előtt is működtek, 2026. június 30-ig kötelesek elvégeztetni az első kiberbiztonsági auditjukat. A jövő nyári határidőig ugyan van bőven idő, de a hatóság mégis elvárja, hogy ez év augusztus 31-ig szülessenek meg a szerződések a nyilvántartásában szereplő valamely auditorral, mert így lehet majd kiegyensúlyozottan használni az auditorok erőforrásait. Ez az oka annak is, hogy az SZFTH szeptember 15-től ellenőrizni fogja a kiberbiztonsági auditra vonatkozó szerződés meglétét.

Azok a szervezetek, amelyek 2025. január 1. után kezdték meg működésüket, az első kiberbiztonsági auditot a nyilvántartásba vételtől számított két éven belül kötelesek elvégeztetni. A kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról az SZTFH 1/2025. (I.31.) rendelet rendelkezik.

A vállalkozók érdeke döntött

Az auditálási kötelezettség eredeti, de már felülírt határideje az év végén járt volna le. Az ehhez képest számított féléves haladékot az SZTFH és az MKIK a hazai vállalkozások érdekeit figyelembe véve javasolta, és a jogalkotó ugyanezen megfontolásból fogadta el.

Alapvető érdek a kiberbiztonság

A hatóság a honlapján néhány figyelemfelhívó példát hoz arra, milyen kockázatokkal jár, ha nem teljes a szervezetek elektronikus rendszereinek kiberbiztonsága:

• Csaló áruvásárlási ajánlatokba futhatunk bele az interneten, e-mailekben, kamu webshopokban, áljótékonysági szervezeteknél.
• Mobilos adathalászok jelentkezhetnek be telefonon vagy sms-ben azzal, hogy csomagunk érkezett, vagy nyertünk valamit, fizetnünk kell, vagy tennünk valami mást.
• Kamu koncertjegy- vagy utazási ajánlatok futhatnak be hozzánk az online térben.

Az előbbiekhez hasonló visszaélésekre az ad módot a csalóknak, ha beférkőzhetnek a kiszemelt számítógépes rendszerekbe vagy hálózatokba, így jogosulatlanul hozzáférnek bizonyos adatokhoz, digitális eszközökhöz. A kiberbiztonság a rosszindulatú támadásokkal, jogosulatlan hozzáféréssel és károkozással szembeni védelmet jelenti.