Ez az útmutató azon ügyvédi irodák és jogi szolgáltatók számára készült, amelyek érzékeny littigációs és tranzakciós adatokat kezelnek. Megtudhatja, milyen konkrét biztonsági intézkedéseket kell megvalósítania az ügyfél-ügyvéd titok védelme és a NIS2 szerinti fontos entitás státusz teljesítéséhez.
A NIS2 szerinti fontos entitásnak minősülnek azok a jogi szolgáltatók, amelyek jelentős ügyfélkörrel (különösen nagy vállalatok, pénzügyi intézmények) dolgoznak, és rendszeres hozzáféréssel rendelkeznek szenzitív littigációs, M&A vagy szabályozási adatokhoz. E körbe tartoznak többek között a nagyobb ügyvédi irodák, szakosodott littigációs csapatok és nemzetközi jogi szolgáltatók magyarországi irodái.
Az összes ügyfélhez kapcsolódó dokumentumot, levelezést és ügyfél-ügyvéd titokkal érintett adatot titkosítással kell védeni, mind szállításkor (TLS 1.3 vagy magasabb), mind pedig pihenő állapotban (minimum AES-256). Ez kiterjed az ügyvédek laptopjain, mobil eszközein és a felhő alapú ügyvédi szoftveres platformokon tárolt fájlokra. A kulcskezelést egy központosított, audit-naplóval ellátott rendszer segítségével kell szervezni.
Az összes ügyvédi esetnaplózási, dokumentumkezelési és e-discovery platformnak kötelező legalább kétfaktoros hitelesítést (MFA) kell implementálnia, valamint szerepalapú hozzáférés-szabályozást (RBAC). Az esetnaplók és a littigációval kapcsolatos adatok csak az adott ügyre kijelölt jogosultságokkal rendelkező jogászok számára legyenek elérhetőek, és minden hozzáférést naplózni kell.
Tilos az ügyfél-ügyvéd titokkal érintett, illetve littigációs dokumentumok megosztása szöveges üzenetezésben, nem titkosított e-mailben vagy felhő alapú tárhelyen (pl. nem titkosított OneDrive, Dropbox). Kizárólag végpont-végpont titkosítás alkalmazásával ellátott jogi szoftvereket vagy dedikált, biztonságos dokumentummegosztó platformokat szabad használni, ahol az adatok titkosítottak, a megosztás rögzített, és visszavonható.
Az összes jogi szoftver, case management rendszer, e-discovery platform és ügyfélkapcsolati szoftver beszállítóit periodikus biztonsági értékelésen kell keresztülvinni, valamint a szerződésekben rögzíteni kell az adatvédelmi és biztonsági követelményeket. Legalább éves szinten kell auditálni a beszállítók kiberbiztonsági gyakorlatát, az adatok tárolási helyét, valamint az ügyféldonnées titkosítási módjait.
Ha egy biztonsági incidens az ügyfél-ügyvéd titok vagy az aktív littigáció/M&A tranzakció adataira hat, azt azonnal (24 órán belül) a SZTFH-nak (Szervezet Sikerességéért Felelős Tanács) és az érintett ügyfélnek is jelenteni kell. Az irodának kell, hogy legyen egy dokumentált incidens-eljárása, amely tartalmazza az eskalációs lépéseket, a kommunikációs protokollt és a bírósággal való koordinációs terveket az aktív perekben.
Legalább AES-256 szintű titkosítást kell alkalmaznia az összes ügyfélhez kötött dokumentumra pihenő állapotban (hard driveken, szervereken, felhőben), és TLS 1.3-at vagy magasabbat a szállítás során. Ez kiterjed a case management rendszerekre, az e-discovery platformokra és az ügyvédek személyes eszközeire.
Azonnal értesítenie kell a SZTFH-t és az érintett ügyfeleket, ha az incidens az ügyfél-ügyvéd titkos vagy littigációs adatokra hat. Egy szállítói szerződésnek rögzítenie kell az azonnali értesítési kötelezettséget (24 óra alatt) és azt, hogy a beszállító hogyan nyújtja a nyomozásban történő együttműködést.
A SZTFH a NIS2 szerinti szankciók mellett 500 000 Ft-tól kezdődő bírságokat szabhat ki az ügyfél-ügyvéd titok megsértéséért, és az ügyfeleknek is lehet kártérítési igénye. Az aktív littigáció során az adatok megsértése bírósági szankciókat is kiválthat, valamint negatív ítéleti következménye lehet az adott ügyre nézve.