Az információbiztonsági felelős kinevezésének jogi és szakmai követelményei

Magyarországon a Kiberbiztonsági Törvény (2024. évi LXIX.) pontosan meghatározza, hogy milyen feltételek szerint kell a szervezeteknek információbiztonsági felelőst kineveznie. Tehát az ITSecure által kínált IBF szolgáltatás igénybevétele nem csupán választható belső döntés, hanem komoly jogszabályi kötelezettség, amelynek elmulasztása komoly szankciókat vonhat maga után.

Mit követel meg a jogszabály?

A hatályos törvényi előírások pontosan meghatározzák, hogy milyen feltételeknek kell megfelelnie az IBF-nek, ami azt is magában foglalja, hogy a kijelölt személynek milyen képesítéssel kell rendelkeznie.

Fontos kitétel, hogy az IBF nem lehet olyan személy, aki a szervezet gazdasági vezetője, informatikai fejlesztéssel vagy üzemeltetéssel foglalkozó munkavállalója, illetve ezek közvetlen alárendeltje. További követelmény a releváns felsőfokú végzettség, a szakmai tapasztalat és bizonyos minősítések megléte, mint például a CISA, CISM vagy CISSP tanúsítvány.

A képesítés nélküli kinevezés kockázatai

Ha egy szervezet olyan személyt nevez ki IBF-nek, aki nem rendelkezik a jogszabályok által előírt képesítéssel, jelentős kockázatot vállal. Egyrészt jogsértést követ el, amely szankciókat vonhat maga után, de ami ennél is rosszabb, a nem megfelelő szakmai felkészültség okán nő a biztonsági incidensek kockázata, ami kibertámadáshoz, adatszivárgáshoz és ezeken keresztül komoly anyagi károk elszenvedéséhez vezethet.

Arról nem is beszélve, hogy a hatóságok pénzbüntetéssel sújthatják a szabálysértőket, emellett pedig kötelező helyreállítási intézkedéseket írhatnak elő, ezek többletköltségeket eredményezhetnek az elszenvedett károkon felül is.

Mi a megoldás?

A megoldást természetesen kizárólag a jogszabályi előírásoknak megfelelő, releváns képesítéssel rendelkező IBF kinevezése jelentheti. Ha a szervezetben nincs olyan személy, aki rendelkezik a megfelelő szakmai képesítésekkel, akkor két lehetőség adódik. Az egyik megoldás a munkatársak továbbképzése, mint például az NKE elektronikus információbiztonsági vezető oklevele.

A másik lehetőség egy külső szakértő bevonása, aki teljes körű információbiztonsági feladatokat tud ellátni, biztosítva a szervezet folyamatos megfelelését a vonatkozó előírásoknak, illetve a szervezet kiberbiztonságára leselkedő valós kockázatoknak. 

Bármelyiket is válassza az adott szervezet a két lehetőség közül, a megfelelő IBF megtalálása hosszú távon csökkentheti a jogi és pénzügyi kockázatokat, miközben garantálja az információbiztonság megfelelő színvonalát. Nem szabad elfelejteni, a kiberbiztonság a szervezet egészséges működésének elengedhetetlen feltétele, nem pusztán bürokratikus kötelezettség.