Információbiztonság

Előzmények

2013 év óta főtevékenységünk az informatikai biztonsági tanácsadás. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) az önkormányzati szervek, a helyi önkormányzatok képviselő-testületének hivatalai számára feladatokat, kötelezettségeket határozott meg, melyekhez jellemzően humán erőforrás és kompetencia hiányában külső tanácsadó igénybevétele volt szükséges.

2016-tól az önkormányzati ASP központhoz történő csatlakozás országos pályázat keretében több száz települési önkormányzatnál készítettük a Működésfejlesztés és szabályozási keretek kialakítása feladat keretében az Informatikai biztonsági szabályzatot.

2024. december végén megjelentek és hatályosak az új kiberbiztonsági jogszabályok, hatályon kívül helyezve az Ibtv-t. A kiberbiztonsági követelmények változása valamennyi települési önkormányzatot és képviselő-testületének hivatalát érinti.

A Hivatal vezetője, a jegyző az elektronikus információs rendszerek védelme érdekében jogszabályban meghatározott, itt felsorolt kiberbiztonsági feladatokat köteles ellátni.

Ezek teljesítését elektronikus információs rendszer biztonságáért felelősként nem kizárólag irányítjuk és szakmai támogatással segítjük, hanem igény vagy lehetőség szerint azok előkészítésében, végrehajtásában és dokumentálásában is közreműködünk, jelentős adminisztratív és szakmai terhet átvállalva.

A jegyző az elektronikus információs rendszerek védelme érdekében kockázatmenedzsment keretrendszert hoz létre és működtet*, melynek keretében:

A szervezet vezetőjeként az elektronikus információs rendszer védelmének biztosítása érdekében:

  1. gondoskodik az elektronikus információs rendszerek védelmi feladatainak és az azokhoz kapcsolódó felelősségi köröknek az oktatásáról, saját maga és a szervezet munkatársainak – az informatikáért felelős miniszter rendeletében meghatározott – kiberbiztonsági képzéséről, továbbképzéséről;
  2. biztosítja a kötelezően előírt hazai kiberbiztonsági gyakorlatokon történő részvételt, illetve kiberbiztonsági gyakorlat önálló megtartását;
  3. gondoskodik az elektronikus információs rendszer eseményeinek nyomonkövethetőségéről;
  4. ha a szervezet közreműködőt vesz igénybe az elektronikus információs rendszer létrehozása, üzemeltetése, auditálása, karbantartása, javítása, illetve a kiberbiztonsági incidensek kezelése során, vagy a szervezet elektronikus információs rendszerével kapcsolatos adatkezelési, adatfeldolgozási tevékenység ellátásához, gondoskodik arról, hogy a közreműködő által az elektronikus információs rendszerrel kapcsolatosan ellátott tevékenységgel összefüggésben szükséges kiberbiztonsági követelmények az e törvényben foglaltaknak megfelelően szerződéses kötelemként teljesüljenek;
  5. az elektronikus információs rendszert érintő kiberfenyegetés, kiberbiztonsági incidensközeli helyzet vagy kiberbiztonsági incidens bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a gyors és hatékony reagálásról, az illetékes kiberbiztonsági incidenskezelő központnak való bejelentésről, a kiberbiztonsági incidensek kezeléséről, valamint a helyreállításról;
  6. gondoskodik az érintetteknek a kiberbiztonsági incidensekről és a lehetséges fenyegetésekről történő haladéktalan tájékoztatásáról;
  7. gondoskodik a kiberbiztonsági hatóság és az illetékes kiberbiztonsági incidenskezelő központ ajánlásainak, iránymutatásainak az elektronikus információs rendszer védelmének biztosítása érdekében történő figyelembevételéről;
  8. köteles törekedni arra, hogy a jelen jogszabályban meghatározott feladatokat a lehető legrövidebb időn belül hajtsa végre;
  9. gondoskodik arról, hogy a szervezet által az adott évben informatikai fejlesztésre fordított költségek legalább 5%-ának megfelelő összeget a szervezet a tárgyév során kiberbiztonsági fejlesztésekre fordítson és
  10. megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.

Mit vállalunk?

A települések képviselő-testületének hivatalaira vonatkozóan:

  • az elektronikus információs rendszer biztonságáért felelős személy (IBF) feladatainak ellátását,
  • az elektronikus információs rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtését és fenntartását

Mivel?

A kockázatfelmérést, kockázatkezelést és intézkedési tervet saját fejlesztésű online rendszerben készítjük.

Jogszabályi háttér

A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) és a végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet (Kiberbiztonsági vhr.) a Magyarországon működő, elektronikus információs rendszereket használó vagy üzemeltető, jogszabályban meghatározott szervezetek kiberbiztonsági kötelezettségeit, az elektronikus információs rendszerek védelmére vonatkozó követelményeket, továbbá az ezekkel összefüggő szervezeti, felelősségi és működési szabályokat határozza meg.

A biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket a 7/2024. (VI. 24.) MK rendelet határozza meg.

Kinek kötelező?

A közigazgatási ágazathoz tartozó szervezetek közül pl. a települések képviselő-testületének hivatalaira. A települési önkormányzatokkal nem szükséges szerződést kötnünk, a hivatallal kötött szerződés keretében ellátjuk valamennyi szükséges feladatot.

Tévhit: Az ügyfélkörünkbe tartozó hivatalok kiberbiztonsági audit lefolytatására nem kötelezettek, a Nemzeti Kibervédelmi Intézet (NKI) felügyelete és szakmai ellenőrzése alá tartoznak.

A törvény eltérő követelményeket határozott meg:

  • a 20 000 főt meghaladó lakosságszámú települések képviselő-testületének hivatalaira, az ún. alapvető szervezetekre *, melyek közül jelenleg hatot képviselünk,
  • valamint a 20 000 főt meg nem haladó lakosságszámú települések képviselő-testületének hivatalaira, az ún. fontos szervezetekre.

IBF kijelölési kötelezettség

A jegyzőnek az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül ki kell jelölnie az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást kell kötnie.

IBF jogosultság

Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy láthatja el, aki cselekvőképes, büntetlen előéletű és rendelkezik az informatikáért felelős miniszter rendeletében meghatározott felsőfokú végzettséggel, szakképzettséggel vagy akkreditált nemzetközi képzettséggel. Az elfogadott végzettségek, szakképzettségek és képzések hivatalos listáját a Nemzeti Kibervédelmi Koordinációs Központ teszi közzé: NCC – IBF képzések listája

* az alapvető szervezetek esetében elektronikus információs rendszer biztonságáért felelős személyként nem jelölhető ki vagy bízható meg a szervezet gazdasági vezetői feladatait, informatikai üzemeltetéssel vagy informatikai fejlesztéssel kapcsolatos munkakört ellátó, valamint az ilyen személy közvetlen alárendeltségébe tartozó személy.

2025.06.30-án lejárt főbb feladatok:

A Hivatal és az önkormányzat(ok) rendelkezésében lévő elektronikus információs rendszerek, általa használt központi rendszerek és igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek felmérése és nyilvántartásba vétele, biztonsági osztályba sorolás, adatosztályozás, információbiztonsági szabályzat elkészítése, az előírt védelmi intézkedések meghatározása és azok teljesítéséről is adatszolgáltatás a Nemzeti Kiberbiztonsági Intézet számára, beleértve az elektronikus információs rendszerek nyilvántartását és a kiberbiztonsági hatóság részére benyújtandó NBSZ-OVI űrlapok előkészítését is.

Hatósági ellenőrzési tapasztalatunk

A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet által hivatalból indított hatósági ellenőrzések során 2017–2026 között 7 polgármesteri vagy közös önkormányzati hivatal esetében működtünk közre a megfelelés biztosításában (közte 2 megyei jogú város polgármesteri hivatalánál).

Új megbízások vállalása

Új megbízást korlátozottan tudunk vállalni. Jelenleg két fő rendelkezik elektronikus információs rendszer biztonságáért felelős jogosultsággal, amely a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt végzettségen, szakképzettségen, akkreditált nemzetközi képzettségen vagy szakmai tapasztalaton alapul.

Elektronikus információs rendszer biztonságáért felelős szakértőink

Szűcsné Tóth Éva Zsuzsanna

ügyvezető,
elektronikus információs rendszerek biztonságáért felelős

+36 30 205 23 84
szucsne.toth.eva@ipmonitoring.hu

Lapos Bence

szoftverfejlesztő,
elektronikus információs rendszerek biztonságáért felelős

+36 20 500 78 91
lapos.bence@ipmonitoring.hu

Elektronikus információs rendszer biztonságáért felelős szakképzettség megszerzésében részt vevő szakértőnk:

Dr. Neuwirth Barbara LL.M.

Adatbiztonsági és adatvédelmi szakjogász, adatvédelmi szakmai vezető

+36 30 525 25 26
dr.neuwirth.barbara@ipmonitoring.hu

Kapcsolat

Érdeklődés esetén tájékoztatást az ügyvezető ad.

Érdeklődés és ajánlat kérése »

Hivatal / Önkormányzat
Elektronikus Információs
Rendszereiben Kezelt
Adatok és Információk

ügyiratok, elektronikus dokumentumok,
a szakrendszerekben kezelt adatok
(pl. szociális, anyakönyvi, hagyatéki,
gazdálkodási stb.), nyilvántartások,
rendszerbeállítások, naplóadatok

Vonatkozó jogszabály Kiberbiztonsági tv.
Hatály helyi önkormányzat képviselő-testületének hivatala
Jegyző által kijelölt felelős elektronikus információs rendszer biztonságáért felelős (IBF)
Ellenőrző szerv Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet (NBSZ NKI)

elektronikus információs
rendszerekben kezelt
személyes adatok

Azok a személyes adatok,
amelyeket a hivatal /
önkormányzat elektronikus
információs rendszereiben
kezel.

Természetes Személyre
Vonatkozó Adatok
(GDPR Hatálya)

természetes személyre vonatkozó adatok,
azok tárolási formájától függetlenül:
elektronikus és papíralapú

Vonatkozó jogszabály GDPR rendelet (Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete)
Hatály költségvetési szerv (adatkezelő: hivatal, önkormányzat, intézmény)
Adatkezelő által kijelölt felelős adatvédelmi tisztviselő (DPO)
Ellenőrző szerv Nemzeti Adatvédelmi és Információszabadság hatóság (NAIH)