A kiberbiztonság, mint fogalom napjainkra bekerült a köztudatba, mi több a legtöbb országban az állami és a nagyvállalati szektorban egyre tudatosabban ügyelnek az elektronikus adatok és információk, az informatikai eszközpark, és az online felületek megfelelő védelmére. A kis- és középvállalati szegmensben, valamint az állampolgárok szintjén azonban továbbra is megoldandó feladat a megfelelő kibervédelem.
Egy újonnan megjelenő szabályozásnak köszönhetően azonban tovább fejlődhet a hazai vállalkozások kibervédelmi tudatossága. A 2023. évi XXIII. törvény (kibervédelmi törvény) egy új kiberbiztonsági tanúsítást vezet be Magyarországon, amely a gyártókat, forgalmazókat és szoftverfejlesztőket érinti. A mikro- és kisvállalkozásokra nem vonatkozik a szabályozás, így a változásokra csak a középvállalatoknak, illetve az annál nagyobb cégeknek kell felkészülniük. Ennek megfelelően néhány egyedi kivételtől eltekintve a legalább 50 főt foglalkoztató, vagy évi 10 millió eurót meghaladó árbevétellel rendelkező cégeknek kell ellátniuk a termékeiket a megfelelő kiberbiztonsági jelölésekkel.
A törvény konkrét határidőket is megfogalmaz, amelyeket az érintett vállalatoknak követniük kell. Ez alapján 2024. június 30-ig meg kell történnie a cégek nyilvántartásba vételének, az elektronikus információs rendszerek biztonságáért felelős személyek kijelölésének és feladatkörük meghatározásának. Következő lépésként 2024. október 18-tól felügyeleti díj fizetési kötelezettség is keletkezik, és szükségessé válik a jogszabályban meghatározott védelmi intézkedések alkalmazása, majd 2024. december 31-ig meg kell kötni az első kiberbiztonsági audithoz kapcsolódó szerződést. Végül az első kiberbiztonsági audit lefolytatásának a határideje: 2025. december 31.
A kiberbiztonsági tanúsítás bevezetésével a jogalkotó célja, hogy a fogyasztók egy-egy termék megvásárlása esetén be tudják azonosítani az adott termék kiberbiztonsági tulajdonságait. A 2023-ban hazánkban elfogadott kiberbiztonsági törvény alapjául a NIS 2 uniós irányelv szolgált. Utóbbi célja, hogy a hálózati és információs rendszerek biztonságának az unióban egységesen magas szintet biztosító intézkedések kerüljenek bevezetésre. A NIS irányelvet a piaci szereplők elfogadták, értelmezése azonban nem egyértelmű, a megvalósítása pedig heterogén, tehát tagországonként változó. Magyarországon a kiberbiztonsági törvény az IKT-termékekre, IKT-szolgáltatásokra, illetve IKT-folyamatokra vonatkozik cégmérettől függően, a fentebb ismertetett módon és céllal.
Az érintett vállalkozásokat kockázati szintjük alapján két fő csoportra, kockázatos és kiemelten kockázatos ágazatokra lehet osztani.
A kiemelten kockázatos ágazatok közé tartozik az energiaszektor, a közlekedés, az egészségügy, a vízzel kapcsolatos tevékenységek, a gyógyszeripar, a digitális infrastruktúrák, a kihelyezett szolgáltatók és az űripar-űrkutatás, míg a kockázatos ágazatokhoz sorolható a posta, a futárszolgálatok, a hulladékgazdálkodás, az elektronikai gyártás, a járműipar, az élelmiszer előállítás és forgalmazás, a digitális szolgáltatások, a vegyipar és a kutatási tevékenységek.
A szabályozás alapján a kiberbiztonsági felügyeletet a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) fogja ellátni, tehát a törvénynek való megfelelőséget és az intézkedések végrehajtását is az SZTFH felügyeli, segíti. Az új rendszerben a cégvezetőnek – saját személyi felelősségük mellett – ki kell jelölniük egy biztonságért felelős személyt, át kell dolgozniuk a szervezeti szabályozásokat, valamint az elektronikus információs rendszerek biztonsági osztályának megfelelő védelmi intézkedéseket kell foganatosítaniuk, miközben figyelmet fordítanak a kiberbiztonsági tudatosításra is. Az elektronikus információs rendszerek biztonságáért felelős személy saját alkalmazott is lehet, de külső céget is megbízhat az érintett vállalkozás. Utóbbi esetben is fontos, hogy a külső megbízott kiberiztonsági felelős a vállalaton belül is személy szerint azonosítható legyen.
Az SZTFH elsősorban az érintettek jogkövető magatartását igyekszik majd támogatni. Az érintett szervezetek által foganatosított védelmi intézkedések megvalósítását kiberbiztonsági auditok alkalmával, kétévente független auditorokkal lesz szükséges auditáltatni.