A közintézmények mellett piaci szereplőket, cégeket is érint az új jogszabály. A kötelezetti körről azért nincsen pontosabb számadat, mivel hatálya alá tartozik minden szervezet, amely kritikus infrastruktúra üzemeltetője, a nemzeti adatvagyon adatfeldolgozója, vagy az állam és önkormányzatok számára adatkezelést végez, és e cégek száma időről időre változhat.

Solymár Károly Balázs kiemelte, hogy az érintett intézmények legfontosabb feladata, hogy úgynevezett biztonsági osztályba sorolják a saját informatikai rendszerüket, és meghatározzák az adott szervezet biztonsági szintjét. A besorolás elvégzéséhez a kihirdetés előtt álló miniszteri rendelet pontos útmutatást tartalmaz majd, és rögzíti az adott szint biztonsági követelményeit, amelyet az intézménynek vagy vállalkozásnak teljesíteniük kell. Tájékoztatása szerint a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) folyamatosan ellenőrzi a biztonsági besorolásnak való megfelelést.

A helyettes államtitkár hangsúlyozta: az idén bevezetett szabályozás alapvetően nem szankcióközpontú, a hatóság célja az információbiztonsággal kapcsolatos tudatosság kialakítása. A törvény hatálya alá tartozók egyetlen körében sem "aktuális" a bírság, a hatóság kötelezi, illetve felhívja az adott szervet az előírt követelmények teljesítésére – mondta.

Ismertetése szerint a Nemzeti Fejlesztési Minisztériumon (NFM) belül főosztályként működő Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) feladata az informatikai biztonsági problémák megelőzése, ennek érdekében éves terv alapján ellenőrzéseket végez. Ha bekövetkezett egy probléma, a bejelentés a Kormányzati Eseménykezelő Központhoz (GovCERT) érkezik. A központ kidolgozza az intézkedési tervet, és az üzemeltető felé jelzi, hogy milyen beavatkozást kell elvégezni a megoldás érdekében. A Nemzeti Biztonsági Felügyelet sérülékenységi vizsgálatot végez – egyedileg és terv szerint egyaránt – a NEIH felkérésére, amelyben egy konkrét rendszerről megállapítják, hogy az támadható-e. A KÜRT Információbiztonsági és Adatmentő Zrt. a jogszabály előkészítésében is részt vett, és – más információbiztonsággal foglalkozó szervezetek mellett – jelentős szerepet vállalt a törvény hatálya alá tartozó intézmények tájékoztatásában – közölte.

Kmetty József, a KÜRT Zrt. vezérigazgatója kiemelte, hogy az információbiztonság az internetes támadások gyakoribbá válása miatt minden szervezetet érint, a megfelelő védelem kialakítása közös érdek. A kiberbiztonság kérdése nemzeti szinten is problémát jelenthet – jegyezte meg. Példaként említette, hogy egy tizenöt fős csoport is komoly károkat tud okozni akár egy országnak vagy a teljes bankrendszernek kockázatmentesen, mivel a kiberbűnözők kiléte legtöbb esetben ismeretlen marad. A megfelelő védekezéshez szervezettség kell, a törvényi háttér, a meghatározott felügyeleti szervek teszik hatékonnyá az információbiztonságot. A világon jelenleg kevés ország rendelkezik a magyarországihoz hasonló információbiztonsági törvénnyel, ezért az új szabályok gyakorlati bevezetése rendkívüli feladatot jelent. Egy adott szervezet informatikai rendszerének hatékonysága csak egy esetleges támadás esetén mutatkozik meg – mondta.

Szólt arról is, hogy mivel rövid a határidő, a követelmények megvalósítása az intézmények sokszínűsége miatt többféle megoldást eredményezhet. Ezért célszerű lenne rendszeresen, például kéthavonta ismertetni az érdekeltekkel a legjobb megoldásokat és a tapasztalatokat. Ilyen megoldáson gondolkodnak, ennek az egyeztetése még a cégen belül is tart – mondta.

Az elektronikus információbiztonságról szóló Nemzeti Kiberbiztonsági Stratégiához kapcsolódó törvényt az Országgyűlés idén április 15-én fogadta el, és hatálybalépése óta számos végrehajtási rendelete is megjelent.