Kifejezéskereső

  • ELI
  • ELIELI

Tartalomjegyzék

  • Szerkezet

7/2024. (VI. 24.) SZTFH rendelet

a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről

2026.06.11.

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (3) bekezdés h) pontjában, valamint a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § f) pontjában kapott felhatalmazás alapján,

a 7. §, a 8. § és az 1. melléklet tekintetében a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § b) pontjában kapott felhatalmazás alapján,

a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § (1)1 A Szabályozott Tevékenységek Felügyeleti Hatósága mint a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 23. § (1) bekezdés b) pontja szerinti kiberbiztonsági hatóság (a továbbiakban: felügyeleti hatóság) kiberbiztonsági felügyeleti tevékenysége keretében végzi a Kiberbiztonsági tv. szerinti auditor (a továbbiakban: auditor) vonatkozásában a Kiberbiztonsági tv. 21. § (3) bekezdése szerinti nyilvántartás (a továbbiakban: nyilvántartás) vezetését.

(2) A felügyeleti hatóság eljárása a felügyeleti hatóság által e célra rendszeresített elektronikus űrlapon kezdeményezhető.

2. § (1) Az auditornak a nyilvántartásba történő felvételére irányuló eljárás kérelemre indul, amelyet az auditor nyújt be a felügyeleti hatósághoz.

(2) Az (1) bekezdés szerinti kérelem tartalmazza

a) az auditor

aa) megnevezését,

ab) adószámát,

ac) cégjegyzékszámát,

ad) székhelyének címét,

ae) – felügyeleti hatóság honlapján közzétételre kerülő – elektronikus levelezési címét és telefonszámát és

af) – felügyeleti hatóság által tájékoztatási célra felhasználható – elektronikus levelezési címét az auditor kérelemben rögzített kérése alapján,

b)2

c) az auditor kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát, elektronikus levelezési címét, valamint

d) az auditor által a kiberbiztonsági audit során igénybe vett közreműködő adatait, valamint kijelölt kapcsolattartója azonosításához szükséges természetes személyazonosító adatait, telefonszámát és elektronikus levelezési címét.

(3) Az auditor az (1) bekezdés szerinti kérelemhez mellékeli

a) a (6) bekezdésben meghatározott dokumentumokat, valamint

b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének a Szabályozott Tevékenységek Felügyeleti Hatósága kiberbiztonsági feladataival összefüggő eljárásainak igazgatási szolgáltatási díjairól szóló rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.

(4)3 Az auditornak a következő feltételeknek kell megfelelnie:

a) legalább két olyan szakértőt foglalkoztat, aki a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel rendelkezik,

b) rendelkezik információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel,

c) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során,

d) rendelkezik az auditálás lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereikből és az archív mentéseikből, és

e)4 rendelkezik a Kiberbiztonsági tv. 22. § (6) bekezdése szerinti szabályzattal.

(5)5 Az auditornak a nyilvántartásba vételi eljárás során igazolnia kell a következő feltételek teljesítését:

a) foglalkoztat legalább kettő, a munka törvénykönyvéről szóló törvény szerinti munkavégzésre irányuló jogviszonyban álló személyt a Kiberbiztonsági tv. 22. § (6) bekezdése szerinti szabályzatban rögzített munkakörben;

b) rendelkezik minimum 15 000 000 forint éves összeghatárig kiterjedő tevékenységi felelősségbiztosítással;

c) rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló auditálás szolgáltatásra vonatkozóan legalább 5 referenciával.

(6)6 Az auditor a Kiberbiztonsági tv. 21. § (2) bekezdésében meghatározott és a (4) és (5) bekezdés szerinti feltételek meglétét a következő módon igazolja:

a)7 a Kiberbiztonsági tv. 21. § (2) bekezdésének teljesülését a Kiberbiztonsági tv. 57. § (1) bekezdés c) pontja szerinti, a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetekről vezetett nyilvántartásba vételről szóló határozattal;

b) a (4) bekezdés a) pontja esetében az érintett munkavállalók felsőfokú végzettséget igazoló okirat másolatával és szakmai önéletrajzzal;

c) a (4) bekezdés b) pontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;

d) a (4) bekezdés c) pontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;

e) a (4) bekezdés d) pontja esetében törlési eljárásrenddel és műszaki leírásokkal;

f)8 a (4) bekezdés e) pontja esetében a Kiberbiztonsági tv. 22. § (6) bekezdése szerinti szabályzattal;

g) az (5) bekezdés a) pontja esetében anonimizált munkaszerződésekkel;

h) az (5) bekezdés b) pontja esetében biztosítási kötvénnyel;

i) az (5) bekezdés c) pontja esetében referencianyilatkozattal;

j)9

k)10

l)11

(7)12 Ha a kérelmező auditort a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete alapján megfelelőségértékelő szervezetként nyilvántartásba vették, a (4) bekezdés a)–d) pontjában és az (5) bekezdés a) és b) pontjában foglaltak igazolására nem köteles.

(8) A felügyeleti hatóság a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizheti.

(9)13 Ha az auditor a Kiberbiztonsági tv. 21. § (2) bekezdésében meghatározott és a (4) és (5) bekezdésben szereplő feltételeket nem teljesíti, a felügyeleti hatóság a nyilvántartásba vételre irányuló kérelmet elutasítja. A kérelmező auditor a hatósági döntés véglegessé válását követő 90 napon belül új nyilvántartásba vételi kérelmet nem nyújthat be.

(10)14 A felügyeleti hatóság nyilvántartja a (2) bekezdés a) pont af) alpontja és a (6) bekezdés szerinti adatokat.

(11)15 A felügyeleti hatóság a honlapján közzéteszi a nyilvántartásba vett auditorok jegyzékét. A felügyeleti hatóság által közzétett jegyzék tartalmazza az auditor megnevezését, valamint a (2) bekezdés a) pont ae) alpontja szerinti elektronikus levelezési címét és telefonszámát.

3. § (1)16 A nyilvántartásba vett auditornak folyamatosan meg kell felelnie a Kiberbiztonsági tv. 21. § (2) bekezdésében meghatározott és a 2. § (4) és (5) bekezdése szerinti feltételeknek.

(2) A nyilvántartásba vett auditornak minden év január 31-ig az előző évben megkezdett, folyamatban lévő, illetve lezárult kiberbiztonsági audit lefolytatására irányuló szerződései kapcsán adatot kell szolgáltatnia a felügyeleti hatóság részére.

(3) A (2) bekezdés szerinti adatszolgáltatás a következő adatokat tartalmazza a kiberbiztonsági audit lefolytatására irányuló szerződések tekintetében:

a) sorszám,

b) szerződéskötés dátuma,

c) teljesítési határidő,

d) teljesítés dátuma,

e) a kiberbiztonsági audit díja.

(4)17 Az auditor a Kiberbiztonsági tv. 21. § (4) bekezdése és a 2. § (2) bekezdés a) pontja szerinti adatokban bekövetkező változást annak bekövetkezésétől számított 15 napon belül bejelenti a nyilvántartásba vétel érdekében a felügyeleti hatóság részére a felügyeleti hatóság által rendszeresített elektronikus űrlap alkalmazásával.

(5) Az auditor a változás beálltát követő 8 napon belül bejelenti a felügyeleti hatóságnak, ha

a)18 a 2. § (4) vagy (5) bekezdése szerinti követelmények nem teljesülnek, vagy

b) a legfőbb szerve a végelszámolásáról döntött, vagy csődeljárás, felszámolási eljárás vagy kényszertörlési eljárás indult ellene.

(6) A felügyeleti hatóság törli a nyilvántartásból az auditort, ha

a)19 a Kiberbiztonsági tv. 21. § (2) bekezdésében meghatározott feltételeknek nem felel meg,

b) a 2. § (4) és (5) bekezdése szerinti feltételeknek nem felel meg,

c) jogutód nélkül megszűnik, vagy

d) jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.

4. § Ez a rendelet a kihirdetését követő 31. napon lép hatályba.

5. § A 3. § (2) bekezdése szerinti adatszolgáltatási kötelezettséget az auditor első alkalommal 2025. március 1-jéig teljesíti.

5/A. §20 (1) E rendeletnek az egyes kiberbiztonsági tárgyú rendeletek módosításáról szóló 6/2026. (VI. 8.) SZTFH rendelettel (a továbbiakban: Módr.) módosított 2. § (2), (4)–(7) és (10) bekezdését a Módr. hatálybalépésekor folyamatban lévő nyilvántartásba vételi eljárásokban is alkalmazni kell, azzal, hogy a felügyeleti hatóság a kérelem elbírálása során figyelmen kívül hagyja azt, hogy a kérelmező a kiberbiztonsági audit tevékenységet milyen biztonsági osztályba sorolt elektronikus információs rendszerekre kívánja végezni.

(2) A felügyeleti hatóság az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény 47. § (1) bekezdés c) pontja alapján megszünteti azt a Módr. hatálybalépésekor folyamatban lévő nyilvántartásba vételi eljárást, amelyet nyilvántartásban szereplő auditor kezdeményezett annak nyilvántartásba vétele érdekében, hogy kiberbiztonsági audit tevékenységét a nyilvántartásban szereplőtől eltérő biztonsági osztályba sorolt elektronikus információs rendszerekre kívánja végezni. A felügyeleti hatóság egyidejűleg intézkedik a befizetett igazgatási szolgáltatási díj visszatérítéséről az auditor azon bankszámlájára, amelyről a befizetés érkezett.

6. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

7. §21

8. §22

1. melléklet a 7/2024. (VI. 24.) SZTFH rendelethez23

1

Az 1. § (1) bekezdése a 4/2025. (IV. 17.) SZTFH rendelet 32. §-ával megállapított szöveg.

2

A 2. § (2) bekezdés b) pontját a 6/2026. (VI. 8.) SZTFH rendelet 7. § a) pontja hatályon kívül helyezte.

3

A 2. § (4) bekezdés nyitó szövegrésze a 6/2026. (VI. 8.) SZTFH rendelet 7. § b) pontja szerint módosított szöveg.

4

A 2. § (4) bekezdés e) pontja a 4/2025. (IV. 17.) SZTFH rendelet 34. § a) pontja szerint módosított szöveg.

5

A 2. § (5) bekezdése a 6/2026. (VI. 8.) SZTFH rendelet 3. § (1) bekezdésével megállapított szöveg.

6

A 2. § (6) bekezdés nyitó szövegrésze a 4/2025. (IV. 17.) SZTFH rendelet 34. § b) pontja szerint módosított szöveg.

7

A 2. § (6) bekezdés a) pontja a 4/2025. (IV. 17.) SZTFH rendelet 33. §-ával megállapított szöveg.

8

A 2. § (6) bekezdés f) pontja a 4/2025. (IV. 17.) SZTFH rendelet 34. § a) pontja szerint módosított szöveg.

9

A 2. § (6) bekezdés j) pontját a 6/2026. (VI. 8.) SZTFH rendelet 7. § c) pontja hatályon kívül helyezte.

10

A 2. § (6) bekezdés k) pontját a 6/2026. (VI. 8.) SZTFH rendelet 7. § c) pontja hatályon kívül helyezte.

11

A 2. § (6) bekezdés l) pontját a 6/2026. (VI. 8.) SZTFH rendelet 7. § c) pontja hatályon kívül helyezte.

12

A 2. § (7) bekezdése a 6/2026. (VI. 8.) SZTFH rendelet 3. § (2) bekezdésével megállapított szöveg.

13

A 2. § (9) bekezdése a 4/2025. (IV. 17.) SZTFH rendelet 34. § c) pontja szerint módosított szöveg.

14

A 2. § (10) bekezdése a 6/2026. (VI. 8.) SZTFH rendelet 6. §-a szerint módosított szöveg.

15

A 2. § (11) bekezdését a 6/2026. (VI. 8.) SZTFH rendelet 3. § (3) bekezdése iktatta be.

16

A 3. § (1) bekezdése a 4/2025. (IV. 17.) SZTFH rendelet 34. § c) pontja szerint módosított szöveg.

17

A 3. § (4) bekezdése a 4/2025. (IV. 17.) SZTFH rendelet 34. § d) pontja szerint módosított szöveg.

18

A 3. § (5) bekezdés a) pontja a 6/2026. (VI. 8.) SZTFH rendelet 4. §-ával megállapított szöveg.

19

A 3. § (6) bekezdés a) pontja a 4/2025. (IV. 17.) SZTFH rendelet 34. § c) pontja szerint módosított szöveg.

20

Az 5/A. §-t a 6/2026. (VI. 8.) SZTFH rendelet 5. §-a iktatta be.

21

A 7. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

22

A 8. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

23

Az 1. melléklet a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

  • Másolás a vágólapra
  • Nyomtatás