Bajban vagyok: képesítés nélküli IBF-et jelöltem ki!

Számos szervezet számára az információbiztonsági felelős (IBF) kinevezése nem csupán egy belső döntés, hanem jogszabályi kötelezettség is. A hatályos előírások meghatározzák, hogy az érintett intézményeknek megfelelő képesítéssel rendelkező IBF-et kell kijelölniük. De mi lesz a következménye, ha ez nem történik meg? Mutatjuk a megoldási lehetőségeket!

A legfrissebb jogszabályok

A legújabb jogszabály a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, közismert nevén a Kiberbiztonsági törvény. Ez határozza meg az információbiztonsági felelős (IBF) kinevezésének követelményeit és a szervezetek információbiztonsági kötelezettségeit. A törvény végrehajtásáról a 418/2024. (XII. 23.) Korm. rendelet rendelkezik. Az IBF feladatai közé tartozik többek között a szervezet információbiztonsági tevékenységeinek irányítása és a jogszabályi megfelelés biztosítása.

A Kiberbiztonsági törvény előírja, hogy az érintett szervezeteknek megfelelő képesítéssel rendelkező IBF-et kell kinevezniük. A kinevezésre vonatkozóan több megkötés is érvényes, különösen a kizárható személyek tekintetében. A pozíciót jellemzően nem töltheti be olyan személy, aki a szervezet vezető gazdasági feladatait látja el, informatikai üzemeltetéssel vagy fejlesztéssel foglalkozik, illetve aki ilyen munkakörben dolgozók közvetlen alárendeltségébe tartozik.

A törvény hatálya alá tartozó szervezeteknek fontos biztosítaniuk, hogy az IBF megfeleljen a jogszabályban előírt képesítési követelményeknek, ellenkező esetben jogi és pénzügyi következményekkel kell számolniuk.

Miért fontos a megfelelő IBF kinevezése?

A hatályos előírások értelmében minden érintett szervezetnek információbiztonsági felelőst kell kineveznie. Az IBF szerepe kulcsfontosságú, hiszen ő felel az információbiztonsági irányelvek betartásáért, a kockázatok kezeléséért és a megfelelőség biztosításáért.

A probléma akkor kezdődik, amikor egy szervezet olyan személyt jelöl ki erre a pozícióra, aki nem rendelkezik a szükséges képesítéssel vagy tapasztalattal. Ez nem szimplán a szervezetet veszélyezteti, hanem pénzügyi és jogi szempontokból is fenyegetést jelent.

Mik a képesítési követelmények?

Az IBF kijelölésének jogszabályi feltételei a következők:

Büntetlen előélet: Az IBF-nek nem lehet korábbi bűntette.

Felsőfokú végzettség: Szükséges egy releváns területen szerzett diploma.

Szakmai képesítés vagy tapasztalat: Az alábbi képesítések valamelyike szükséges:

Certified Information Systems Auditor (CISA)

Certified Information Security Manager (CISM)

Certified Information Systems Security Professional (CISSP)

Nemzeti Közszolgálati Egyetem elektronikus információbiztonsági vezető oklevele

Legalább 5 év releváns szakmai tapasztalat az információbiztonság területén

Ha ezeknek a feltételeknek nem felel meg a kijelölt személy, az komoly problémákat jelenthet a szervezet számára.

A képesítés nélküli IBF kinevezésének veszélyei

Ha egy szervezet képesítés nélküli IBF-et nevez ki, az alábbi problémák merülhetnek fel:

Jogszabálysértés: Az információbiztonsági törvények megsértése jogi következményeket vonhat maga után.

Hiányos biztonsági intézkedések: Egy tapasztalatlan IBF nem feltétlenül képes az információbiztonsági fenyegetések megfelelő kezelésére.

Hatósági szankciók: A hatóságok büntetéseket vagy kötelező helyreállítási intézkedéseket rendelhetnek el.

Adatvédelmi incidensek: Egy nem megfelelő IBF hozzájárulhat ahhoz, hogy a szervezet kibertámadások vagy adatvesztések áldozatává váljon.

Hogyan kerüljük el ezt a helyzetet?

Ha a szervezet már kijelölt egy képesítés nélküli IBF-et, vagy éppen most készül erre, érdemes megfontolni az alábbi megoldásokat:

1. Megfelelő képesítésű IBF kinevezése
Érdemes olyan személyt kijelölni, aki már rendelkezik a szükséges képesítéssel vagy megbízni egy külső szakértőt a feladattal.

2. Külső szakértő bevonása
Amennyiben a szervezeten belül nincs megfelelő személy, külső szolgáltatók, például az ITSecure Kft. segíthetnek a megfelelő IBF biztosításában.

3. Munkatársak képzése
A szervezet támogathatja munkatársai képzését annak érdekében, hogy megszerezzék a szükséges képesítéseket, például az NKE elektronikus információbiztonsági vezető képzésén való részvétellel.

Összegzés

Az információbiztonsági felelős kijelölése nem csak egy adminisztratív döntés, hanem komoly felelősséggel és követelményekkel járó folyamat. Ha egy szervezet képesítés nélküli IBF-et jelöl ki, az nemcsak a jogszabályok megsértését jelentheti, hanem az információbiztonságot és az adatvédelmet is veszélyezteti. Érdemes tehát körültekintően eljárni és biztosítani, hogy az IBF megfelelő képesítéssel és tapasztalattal rendelkezzen, vagy külső szakértőt bevonni.

Az ITSecure Kft. átfogó támogatást nyújt az IBF kijelölésének folyamatában, valamint vállalja az információbiztonsági felelős feladatkör betöltését is. Vegye fel még ma a kapcsolatot szakértőinkkel!

További tartalmaink

7 kritikus lépés a NIS2 megfeleléshez – Készen áll a változásokra?

A NIS2 irányelv jelentős változásokat hoz a kiberbiztonsági szabályozásban, és a megfelelő felkészülés kulcsfontosságú.

Biztonságos felhőhasználat a pénzügyi szektorban: Kockázatok és lehetőségek az MNB legfrissebb ajánlása mentén

A pénzügyi intézmények egyre nagyobb mértékben veszik igénybe a közösségi és publikus felhőszolgáltatásokat, hogy kihasználják azok rugalmasságát és költséghatékonyságát. Az MNB 2/2025. (I.13.) számú ajánlása meghatározza a felhőszolgáltatások használatával kapcsolatos elvárásokat és kockázatkezelési gyakorlatokat.

Hogyan biztosíthatják a pénzügyi intézmények IT-rendszereik és adataik védelmét?

A digitalizáció előretörésével az IT-biztonság kiemelt prioritássá vált a pénzügyi szektorban. Az MNB új ajánlása, az 1/2025. (I.13.) számú szabályozás részletes iránymutatást ad az intézményeknek a jogszabályi megfelelés és a kockázatalapú védelem kialakításában.

Informatikai biztonság

Audit

Adatvédelem

Informatikai szabályzatok