A jogszabály mai napon ( 2019.08.25. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

470/2017. (XII. 28.) Korm. rendelet

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről

A Kormány az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105. § (1) bekezdés p) pontjában kapott felhatalmazás alapján,

az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Hatály

1. § A rendelet hatálya kiterjed

a) a Nemzeti Média- és Hírközlési Hatóságra (a továbbiakban: bizalmi felügyelet), és

b) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: eIDAS Rendelet) 3. cikk 16. pontja szerinti szolgáltatást nyújtó Magyarországon letelepedett bizalmi szolgáltatókra (a továbbiakban: szolgáltató).

2. Szolgáltató és szolgáltatás bejelentése

2. § (1) A szolgáltató az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: E-ügyintézési tv.) 80. § (1) és (2) bekezdése szerinti bejelentést a bizalmi felügyelet által a honlapján közzétett űrlapon teszi meg. A bejelentésnek a következőket kell tartalmaznia:

a) a szolgáltató nevét, lakcímét, szervezet esetén székhelyét,

b) a folytatni kívánt bizalmi szolgáltatás (a továbbiakban: szolgáltatás) megjelölését,

c) a szolgáltatás nyújtásának helyét és a szolgáltatás megkezdésének időpontját, valamint

d) ha a szolgáltató létrejötte cég- vagy egyéb közhiteles nyilvántartásban való bejegyzéshez kötött, a vonatkozó nyilvántartás megnevezését és a szolgáltató nyilvántartási számát vagy egyéb, az adott nyilvántartás szerinti azonosítóját.

(2) A bejelentéshez csatolni kell a következő iratokat és dokumentumokat:

a) a szolgáltatási szabályzatot,

b) a szolgáltatási rendet,

c) a szolgáltatási szerződés kapcsán a minden ügyfélnél alkalmazni kívánt általános szerződési feltételeket (üzletszabályzatot),

d) a fogyasztók részére elérhetővé tett szolgáltatási kivonatot,

e) minősített bizalmi szolgáltató esetén a szolgáltató vagy alkalmazottja szakképzettségét igazoló okirat hiteles másolatát, vagy ha az adott szakképzettség valamely állami szerv jogszabály alapján rendszeresített nyilvántartásában is szerepel, a szakképzettség megnevezését és az azt igazoló okirat számát, valamint a szolgáltató vagy alkalmazottja szakmai tapasztalatát igazoló részletes szakmai önéletrajzát,

f) *  a felelősségbiztosítást, valamint a minősített bizalmi szolgáltató esetén a szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről szóló jogszabályban meghatározott egyéb pénzügyi követelmények teljesítését igazoló iratokat, amennyiben a bizalmi szolgáltatónak felelősségbiztosítással és egyéb pénzügyi biztosítékkal a jogszabály alapján rendelkeznie kell,

g) minősített bizalmi szolgáltató esetén az 1. melléklet, nem minősített bizalmi szolgáltató esetén a 2. melléklet szerinti nyilatkozatot,

h) minősített bizalmi szolgáltató esetén a minősített bizalmi szolgáltatóval szemben az eIDAS Rendeletben vagy a végrehajtására kiadott uniós jogi aktusban és jogszabályban meghatározott követelményeknek való megfelelőséget igazoló, az eIDAS Rendelet 20. cikk (1) bekezdése szerinti, független megfelelőségértékelő szerv (a továbbiakban: megfelelőségértékelő szerv) által kiadott megfelelőségértékelési jelentést,

i) a bizalmi listán való közzétételhez, illetve a bizalmi lista összeállításához szükséges adatlapot, valamint

j) a bizalmi munkakörök elhatárolását alátámasztó dokumentumokat.

3. A szolgáltató változásbejelentési kötelezettsége és a szolgáltatás megszüntetésére irányuló bejelentés

3. § (1) A szolgáltató - a (3) bekezdésben foglalt kivétellel - köteles a bizalmi felügyelet által közzétett űrlapon, változásbejelentési eljárás keretében bejelenteni a 2. § (1) bekezdése szerinti bejelentő űrlapon szereplő adatokat érintő változást.

(2) A változásbejelentéshez csatolni kell

a) minősített bizalmi szolgáltatók esetén az E-ügyintézési tv. 95. § (2) bekezdése szerinti éves helyszíni ellenőrzést megelőzően benyújtandó megfelelőségértékelési jelentést és az adott éves változásokról szóló összefoglalót,

b) az adatváltozást alátámasztó azon iratokat, amelyeket a 2. § (1) bekezdése szerinti bejelentéskor is köteles csatolni, valamint

c) a 2. § (1) bekezdés a) vagy c) pontjában foglalt adatok változását, ha a szolgáltató személye egyébként nem változott és abban jogutódlás sem történt.

(3) A szolgáltató változásbejelentési eljárás nélkül jelenti be

a) a 2. § (2) bekezdés a)-d) pontja szerinti valamely irat módosítását akkor is, ha az egyébként változásbejelentési kötelezettség alá eső adatot nem érint,

b) a 2. § (2) bekezdés f) pontja szerinti pénzügyi követelményeket igazoló adatban vagy a követelmények teljesítését alátámasztó iratokban bekövetkező változást.

(4) Ha az (1) bekezdés szerinti változásbejelentés vagy a (3) bekezdés szerinti bejelentés a 2. § (2) bekezdés a)-d) pontja szerinti valamely irat módosítását is tartalmazza, a szolgáltató a módosított irathoz köteles annak a változásokkal egységes szerkezetbe foglalt változatát is csatolni.

4. § (1) A szolgáltató szolgáltatás nyújtásának megszüntetésére irányuló bejelentése tartalmazza

a) a szolgáltatás megszüntetése időpontját,

b) az E-ügyintézési tv. 88. és 89. §-a szerinti átvevő bizalmi szolgáltató megnevezését, valamint az ott meghatározott követelmények teljesítéséről szóló megállapodást, és

c) a szolgáltatás nyújtását megszüntető szolgáltató megőrzési kötelezettségének eleget tevő minősített archiválási szolgáltató megnevezését, ha a bizalmi szolgáltató megőrzési kötelezettségének minősített archiválási szolgáltató igénybevételével tesz eleget.

(2) A szolgáltatás nyújtását megszüntető szolgáltató köteles a nyilvántartások átvétele és működtetése kapcsán felmerülő költségeket a nyilvántartást átvevő kijelölt szolgáltatónak megtéríteni.

4. A minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök megfelelőségét tanúsító kijelölt szervezet által tanúsított eszközök bejelentése

5. § (1) Az E-ügyintézési tv. 94. § (1) bekezdés b) pontja szerinti, minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök megfelelőségét tanúsító, az E-ügyintézési tv. 94. § (1) bekezdés c) pontja szerint bejelentett kijelölt szervezet (a továbbiakban: kijelölt tanúsító szerv) bejelenti a bizalmi felügyeletnek az általa kiállított tanúsítványba foglalt minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközt mint biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközt (a továbbiakban: eszköz).

(2) Az (1) bekezdés szerinti bejelentés tartalmazza

a) a tanúsítványban foglalt eszköz gyártójának megnevezését,

b) az eszköz sorozatának vagy típusának megnevezését, azonosítóját,

c) a tanúsítvány kiadásának keltét,

d) kijelölt tanúsító szerv megnevezését,

e) a tanúsítványt és az azt alátámasztó jelentést,

f) ha a tanúsítvány vagy a jelentés nem magyar nyelvű, azok hiteles magyar nyelvű fordítását, valamint

g) a tanúsítvány érvényességének kezdetét és lejártának napját.

(3) A kijelölt tanúsító szerv az (1) bekezdés szerint bejelentett tanúsítást érintő valamennyi lényeges döntésről - így különösen a tanúsítás felfüggesztéséről, visszavonásáról a tanúsítási jelentésben foglalt megállapítások változásáról - három munkanapon belül köteles a bizalmi felügyeletet értesíteni.

(4) Ha a bizalmi felügyelet ellenőrzése során észleli, hogy a minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszköz nem felel meg a biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközzel szemben támasztott követelményeknek, erről értesíti a kijelölt tanúsító szervet, szükség esetén annak kijelölő hatóságát.

(5) Ha a kijelölt tanúsító szerv bejelentésében a bizalmi felügyeletet arról értesíti, hogy a tanúsítványt visszavonta, felfüggesztette, vagy a tanúsítási jelentésben foglalt megállapításokat megváltoztatta, vagy a bizalmi felügyelet ennek megtörténtéről más módon tudomást szerez, a bizalmi felügyelet a biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök nyilvántartásából ezt jelzi vagy törli, és a törlés tényét és időpontját feltünteti.

5. A bejelentés tartalma és a bejelentő ellenőrzése, a hatósági nyilvántartás vezetése

6. § A bizalmi felügyelet a 2. § (1) és (2) bekezdése szerinti bejelentés és a benyújtott iratok alapján haladéktalanul ellenőrzi, hogy a szolgáltató megfelel-e a szolgáltatás nyújtásával kapcsolatos követelményeknek. Ha a bizalmi felügyelet megállapítja, hogy a szolgáltató a követelményeknek nem vagy nem teljes körűen felel meg, a szolgáltatás nyújtására való jogosultság megfelelő igazolásáig megtiltja a szolgáltató számára a szolgáltatás nyújtását.

7. § Ha a bizalmi felügyelet ellenőrzése során a szolgáltató működésében változást tapasztal vagy az más módon a tudomására jut, a szolgáltatót felhívja a változással összefüggő iratok benyújtására.

8. § A bizalmi felügyelet a szolgáltatónak megtiltja a szolgáltatás nyújtását és a szolgáltatót a nyilvántartásból törli, ha az E-ügyintézési tv. 95. §-ában meghatározott intézkedései nem vezettek eredményre, és

a) a szolgáltatás nyújtásának feltétele már nem áll fenn, vagy

b) az eIDAS Rendeletben, annak uniós végrehajtási aktusaiban, az E-ügyintézési tv.-ben, valamint az E-ügyintézési tv. végrehajtására kiadott jogszabályokban foglalt követelmények teljesítése más módon nem biztosítható.

9. § A bizalmi felügyelet olyan nyilvántartási rendszert alakít ki, amely biztosítja a nyilvántartások 10. § szerinti közzétételét és folyamatos elérhetőségét a bizalmi felügyelet honlapján.

10. § A bizalmi felügyelet által vezetett nyilvántartásokban szereplő adatok közül nyilvános a 2. § (1) bekezdése szerinti adat, valamint a 2. § (2) bekezdés a)-d) pontjában meghatározott iratok, továbbá az adattartalom érvényességi ideje.

11. § A bizalmi felügyelet az eIDAS Rendelet 21. cikk (2) bekezdés második albekezdése szerinti esetben a bizalmi listán haladéktalanul feltünteti a minősített bizalmi szolgáltatót és az általa nyújtott minősített bizalmi szolgáltatást.

12. § A bizalmi felügyelet a 4. § (1) bekezdése szerint tett bejelentés alapján vezeti a szolgáltatóknak a szolgáltatás megszűnésével kapcsolatos nyilvántartását, amely a szolgáltatását megszüntető, illetve a nyilvántartásait átvevő szolgáltatónak az E-ügyintézési tv.-ben meghatározott adatait tartalmazza.

13. § (1) A bizalmi felügyelet az E-ügyintézési tv. 94. § (1) bekezdés c) pontja alapján az eIDAS Rendelet 30. cikk (1) bekezdése szerinti célból nyilvántartásba veszi a minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszköz megfelelőségének tanúsítására a megfelelőséget tanúsító szervek tevékenységéről szóló törvény és végrehajtási rendeletei szerint arra jogosult szerveket.

(2) A tanúsító szerv az (1) bekezdés szerinti tevékenységet jogszabályban meghatározott kijelölés alapján, a kijelölési okirat tartalmának megfelelően jogosult végezni.

(3) A bizalmi felügyelet ellenőrzi, hogy a kijelölt tanúsító szerv a kijelölési feltételeknek megfelel-e. E célból a kijelölt tanúsító szerv köteles lehetővé tenni, hogy a bizalmi felügyelet képviselői a kijelölt tanúsító szerv helyiségeibe, területére beléphessenek, a kijelöléssel kapcsolatos tevékenységet érintő iratokat, jegyzőkönyveket, tanúsítványokat megtekinthessék, és a szükséges ellenőrzéseket elvégezhessék.

(4) Ha a bizalmi felügyelet az ellenőrzése során észleli, hogy a kijelölt tanúsító szerv nem felel meg a vele szemben támasztott követelményeknek, erről értesíti a kijelölt tanúsító szerv kijelölő hatóságát.

6. Záró rendelkezések

14. § Ez a rendelet 2018. január 1-jén lép hatályba.

15. § Ez a rendelet a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

1. melléklet a 470/2017. (XII. 28.) Korm. rendelethez

AZONOSÍTÓ SZÁM

Megfelelőségi nyilatkozat minősített szolgáltatás nyújtásának nyilvántartásba vételéhez

Alulírott a(z) ....................................... (a továbbiakban: szolgáltató) képviseletében

1. Nyilatkozom arról, hogy a .....................-n kelt Bejelentésben megjelölt minősített szolgáltatások nyújtásához:

1.1. A szolgáltató rendelkezik a hatályos jogszabályokat kielégítő fizikai-környezeti védelemmel, számítógépes programokkal/rendszerekkel, nyilvántartásokkal, valamint az ezek ellenőrzésére szolgáló, a kockázatokkal adekvát és az elvárható gondos és körültekintő vezetéshez és megbízható működéshez szükséges kontroll rendszerrel. A kialakított kontroll rendszer - beleértve a szükséges szabályzatokat, az ügyviteli és mentési, valamint helyreállítási eljárásokat, az üzletmenet folytonossági és rendkívüli üzemeltetési helyzetek kezelésére vonatkozó tervet és erőforrásokat - biztosítja a tevékenység folyamatos és biztonságos végzéséhez szükséges feltételeket.

1.2. Kialakításra került a szolgáltató által nyújtott szolgáltatásokra vonatkozó, a körültekintő és biztonságos működéshez szükséges szabályozási környezet, és a kapcsolódó monitoring. Ezek implementálásáról, naprakészen tartásáról és a változásokhoz igazításáról gondoskodom.

1.3. A szolgáltató eszközeire vonatkozó tervezési és fejlesztési szabályzatok, szerződések, valamint a kialakított mentési és helyreállítási eljárások, a számítógépes programok és a tárolt adatok vonatkozásában bármilyen körülmények között biztosítják a jogszabályban, a szolgáltatási szabályzatban és a belső eljárási rendben meghatározott határidőn belül a szolgáltatások helyreállíthatóságát és folyamatos működését.

1.4. A szolgáltató (hardver, szoftver, telekommunikációs) eszközeire és üzleti folyamataira lebonyolított tesztekkel igazolom, hogy számítógépes rendszere alkalmas azok rendszerelemeinek a jogszabályban és a belső szabályokban előírt módon történő rendszerszintű összekapcsolására, illetve folyamatos, biztonságos és megbízható szolgáltatások nyújtására, amely magába foglalja a tevékenységből eredő adatszolgáltatási és módosítási kötelezettséget is.

1.5. A kontroll rendszer működtetéséhez a megfelelő képzettséggel, ismeretekkel és gyakorlattal rendelkező, megfelelő számú személyzet rendelkezésre áll. A személyzet kiválasztásáról, ellenőrzéséről, függetlenségéről, folyamatos képzéséről a biztonsági szabályzat részeként kidolgozott, folyamatosan karbantartott személyzeti politika, szerepkör-meghatározások és ezek alapján elkészített egyéni feladatleírások alapján gondoskodom. A bizalmi munkakörök egymástól és más munkaköröktől való elválasztásáról gondoskodom.

1.6. A szolgáltató rendelkezik a szükséges független ellenőri háttérrel.

2. Nyilatkozatomat a következők és a jelen nyilatkozat mellékletében felsorolt dokumentumok támasztják alá:

2.1. Az egyes számítógépes rendszerek szállítói-bevizsgálói nyilatkoztak arról, hogy a rendszer, valamint annak telepítése és konfigurálása megfelel a jogszabályokban megfogalmazott biztonsági, üzleti, nyilvántartási, adatvédelmi és ellenőrzési követelményeknek. A rendszerben dokumentálatlan funkció nincs.

2.2. A szolgáltató a szolgáltatás nyújtásához kapcsolódó kontroll rendszer működőképességéről megfelelő teszteléssel meggyőződött. Ezen belül az informatikáért és az egyes üzletágakért/szolgáltatásokért felelős vezetők írásban nyilatkoztak arról, hogy a számítógépes rendszer teljesíti a jogszabályokban megfogalmazott követelményeket, továbbá megfelel az üzletszabályzatban, a belső szabályzatokban és az ügyviteli eljárásokban előírtaknak. Az egyes szakterületek vezetői az ügyviteli eljárások végrehajthatóságáról, a követelmények teljesítéséről, a rendszer ellenőrizhetőségéről, a szállítók nyilatkozatának megalapozottságáról meggyőződtek.

2.3. A szolgáltató adat- vagy informatikai biztonsági felelőse írásban nyilatkozott arról, hogy:

2.3.1. a számítógépes rendszerek használatához a szállítók által előírt környezeti feltételeket az intézmény kialakította,

2.3.2. a hozzáférési jogosultsági rendszer a jogszabályi előírásoknak és az intézmény szabályzatainak megfelelően lett kialakítva,

2.3.3. a hozzáférési jogokat ennek megfelelően osztották ki és paraméterezték a rendszerbe,

2.3.4. a rendszer adatvédelmi és információ archiválási funkcióinak működőképességéről teszteléssel meggyőződött, a tesztelési eredményeket dokumentálta.

2.4. A szolgáltató belső ellenőre írásban nyilatkozott arról, hogy:

2.4.1. a szolgáltatónál kialakított kontroll rendszer jogszabályi és belső szabályoknak történő megfelelőségét megállapította,

2.4.2. a tesztek terjedelmét, lebonyolítását és dokumentálását megvizsgálta és azt megfelelőnek tartja.

3. Nyilatkozom arról, hogy a minősített szolgáltatás nyújtása során folyamatosan gondoskodom a kialakított kontroll rendszer működtetéséről és megfelelő változáskövető rendszer alkalmazásával naprakészen tartásáról.

4. Kijelentem, hogy a szolgáltató a vonatkozó jogszabályok ismeretében, a tőle elvárható gondossággal végzi a minősített szolgáltatásokat. A szolgáltató vezetésének nincs tudomása olyan tényről vagy körülményről, amely ennek ellentmondana. Kijelentem továbbá azt is, hogy ha a fenti körülményekben változás következne be, akkor a jogszabályoknak megfelelően a bizalmi felügyeletet haladéktalanul értesítem és gondoskodom a feltételeknek megfelelő működés helyreállításáról.

Kelt: .............................

................................................
cégszerű aláírása

2. melléklet a 470/2017. (XII. 28.) Korm. rendelethez

AZONOSÍTÓ SZÁM

Megfelelőségi nyilatkozat nem minősített szolgáltatás nyújtásának nyilvántartásba vételéhez

Alulírott a(z) ....................................... (a továbbiakban: szolgáltató) képviseletében

1. Nyilatkozom arról, hogy a .....................-n kelt bejelentésben megjelölt nem minősített szolgáltatások nyújtásához:

1.1. A szolgáltató rendelkezik a hatályos jogszabályokat kielégítő fizikai-környezeti védelemmel, számítógépes programokkal/rendszerekkel, nyilvántartásokkal, valamint az ezek ellenőrzésére szolgáló, a kockázatokkal adekvát és az elvárható gondos és körültekintő vezetéshez és megbízható működéshez szükséges kontroll rendszerrel. A kialakított kontroll rendszer biztosítja a tevékenység folyamatos és biztonságos végzéséhez szükséges feltételeket.

1.2. A szolgáltató eszközeire vonatkozó tervezési és fejlesztési szabályzatok, szerződések, valamint a kialakított mentési és helyreállítási eljárások, a számítógépes programok és a tárolt adatok vonatkozásában biztosítják a jogszabályban, a szolgáltatási szabályzatban és a belső eljárási rendben meghatározott határidőn belül a szolgáltatások helyreállíthatóságát.

1.3. A szolgáltató számítógépes rendszere alkalmas azok rendszerelemeinek a jogszabályban és a belső szabályokban előírt módon történő rendszerszintű összekapcsolására, illetve biztonságos és megbízható szolgáltatások nyújtására, amely magába foglalja a tevékenységből eredő adatszolgáltatási és módosítási kötelezettséget is.

1.4. A kontroll rendszer működtetéséhez a megfelelő képzettséggel, ismeretekkel és gyakorlattal rendelkező, megfelelő számú személyzet rendelkezésre áll.

2. Nyilatkozatomat a következők és a jelen nyilatkozat mellékletében felsorolt dokumentumok támasztják alá:

2.1. A szolgáltató a nem minősített szolgáltatás nyújtásához kapcsolódó kontroll rendszer működőképességéről megfelelő teszteléssel meggyőződött.

2.2. A szolgáltató adat- vagy informatikai biztonsági felelőse írásban nyilatkozott arról, hogy:

2.2.1. a számítógépes rendszerek használatához a szállítók és vagy előállítók által előírt környezeti feltételeket az intézmény kialakította;

2.2.2. a hozzáférési jogosultsági rendszer a jogszabályi előírásoknak és az intézmény szabályzatainak megfelelően lett kialakítva;

2.2.3. a hozzáférési jogokat ennek megfelelően osztották ki és paraméterezték a rendszerbe;

2.2.4. a rendszer adatvédelmi és információ archiválási funkcióinak működőképességéről meggyőződött.

3. Nyilatkozom arról, hogy a nem minősített szolgáltatás nyújtása során folyamatosan gondoskodom a kialakított kontroll rendszer működtetéséről és naprakészen tartásáról.

4. Kijelentem, hogy a szolgáltató a vonatkozó jogszabályok ismeretében, a tőle elvárható gondossággal végzi a nem minősített szolgáltatásokat. A szolgáltató vezetésének nincs tudomása olyan tényről vagy körülményről, amely ennek ellentmondana. Kijelentem továbbá azt is, hogy amennyiben a fenti körülményekben változás következne be, akkor a jogszabályoknak megfelelően a bizalmi felügyeletet haladéktalanul értesítem és gondoskodom a feltételeknek megfelelő működés helyreállításáról.

Kelt: .............................

................................................
cégszerű aláírása


  Vissza az oldal tetejére