A Kormány a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (1) bekezdés b) és c) pontjában, valamint 28. § (2) bekezdésében kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. § E rendelet alkalmazásában
1. eseménykezelő központ: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 19. § (2) bekezdése szerinti szerv,
2. hadiipari IKT-folyamat: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-folyamat,
3. hadiipari IKT-szolgáltatás: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-szolgáltatás,
4. hadiipari IKT-termék: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-termék,
5. sebezhetőség: a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat olyan része vagy tulajdonsága, amelyen keresztül valamely kiberfenyegetés megvalósulhat.
2. § A Kormány a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertan.tv.) 4. § (1) bekezdés b) pontja alapján a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok ellátására tanúsító hatóságként a Katonai Nemzetbiztonsági Szolgálatot (a továbbiakban: tanúsító hatóság) jelöli ki.
3. § A tanúsító hatóság tanúsításfelügyeleti tevékenységet európai vagy nemzeti kiberbiztonsági tanúsítási rendszer hatálya alá tartozó hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában végez. A tanúsító hatóság hatásköre a Magyarországon letelepedett gyártó, illetve megfelelőségértékelő szervezet tevékenységére terjed ki.
4. § (1) Ha egy tanúsítási rendszer lehetővé teszi, illetve uniós vagy hazai jogszabály kötelezővé teszi „alap” megbízhatósági szint esetében a megfelelőségi önértékelést, a gyártó – ha a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel a tanúsítási rendszerben foglalt követelményeknek – megfelelőségi nyilatkozatot állíthat ki.
(2) A gyártó a megfelelőségi nyilatkozatot magyar és angol nyelven állítja ki.
(3) A gyártó a megfelelőségi nyilatkozatot a kiállítását követően honlapján haladéktalanul közzéteszi.
5. § (1) Ha valamely hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tekintetében uniós vagy hazai jogszabály kötelezővé teszi a megfelelőségi nyilatkozat kiállítását – a kötelezővé tétel napját követően vagy az uniós, illetve hazai jogszabályban meghatározott határidőt követően –, a megfelelőségi nyilatkozat kiállítása hiányában az adott hadiipari IKT-termék nem hozható forgalomba, a hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat nem nyújtható.
(2) A már forgalomban lévő hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán a gyártó köteles a honlapján tájékoztatást közzétenni arról, hogy
a) az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában mely időponttól vált jogszabály alapján kötelezővé a megfelelőségi önértékelés,
b) a megfelelőségi nyilatkozat mely időpontban került kiállításra, és
c) mely időponttól gyártott termékek, nyújtott szolgáltatások, folyamatok felelnek meg a tanúsítási rendszerben foglalt követelményeknek.
6. § (1) A gyártó a tanúsítási rendszerben foglaltak szerint, ennek hiányában negyedévente, továbbá szükség esetén – ha a gyártó tudomására jut erre okot adó körülmény – soron kívül vizsgálja, hogy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel-e a tanúsítási rendszer szerinti követelményeknek, és nem megfelelés esetén megteszi a tanúsító rendszernek való megfelelést biztosító intézkedéseket.
(2) Ha a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat a gyártó által megtett kiigazító intézkedések eredményeképpen sem felel meg a tanúsítási rendszer szerinti egyes követelményeknek, a gyártó az általa kiadott megfelelőségi nyilatkozatot visszavonja, a visszavonásról szóló tájékoztatást tesz közzé a honlapján, és erről a visszavonást követő 8 napon belül tájékoztatja
a) nemzeti megfelelőségi nyilatkozat esetében a tanúsító hatóságot és a forgalmazót vagy a szolgáltatást közvetlenül igénybe vevőt, és
b) uniós megfelelőségi nyilatkozat esetében az Európai Uniós Kiberbiztonsági Ügynökséget (a továbbiakban: ENISA), a tanúsító hatóságot és a forgalmazót vagy a szolgáltatást közvetlenül igénybe vevőt.
(3) A megfelelőségi nyilatkozat visszavonása esetén a gyártó haladéktalanul köteles intézkedni az érintett hadiipari IKT-termékről, hadiipari IKT-szolgáltatásról vagy hadiipari IKT-folyamatból a megfelelőségi jelölés eltávolítása iránt.
7. § (1) A kiberbiztonsági tanúsítás önkéntes, kivéve, ha uniós vagy hazai jogszabály eltérően rendelkezik.
(2) Ha valamely hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tekintetében uniós vagy hazai jogszabály kötelezővé teszi a kiberbiztonsági tanúsítást, – a kötelezővé tétel napját követően vagy az uniós, illetve hazai jogszabályban meghatározott határidőt követően –, a tanúsítás hiányában az adott hadiipari IKT-termék nem hozható forgalomba, a hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat nem nyújtható.
(3) A már forgalomban lévő hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán a gyártó köteles a honlapján tájékoztatást közzétenni, hogy
a) az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában mikortól kötelező a tanúsítás, és
b) az azt megelőzően gyártott hadiipari IKT-termék, illetve nyújtott hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat még nem tanúsított.
8. § (1) A hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kiberbiztonsági tanúsítására a Kibertan.tv. 12. §-a szerinti megfelelőségértékelő szervezet vagy a tanúsító hatóság jogosult.
(2) A Kormány által meghatározott egyes tanúsítási rendszerek esetében a megfelelőségértékelést a tanúsító hatóság végzi. Ehhez a hatóság akkreditált vizsgáló laboratóriumot igénybe vehet.
9. § (1) A hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsítási tevékenység végzése érdekében a megfelelőségértékelő szervezet nyilvántartásba vételi eljárása kérelemre indul, amelyet a megfelelőségértékelő szervezet nyújt be a tanúsító hatósághoz.
(2) A kérelemben a megfelelőségértékelő szervezet megjelöli
a) kérelmezett megfelelőségértékelési területként azt a tanúsítási rendszert, amelynek keretében a megfelelőségértékelési tevékenységet végezni kívánja,
b) hogy a megfelelőségértékelési tevékenységet milyen megbízhatósági szintet meghatározó tanúsítási rendszerekre kívánja végezni,
c) hogy a tevékenységet közreműködő igénybevételével kívánja-e végezni és
d) a megfelelőségértékelő szervezet 18. § (1) bekezdés a) pontja szerinti adatait.
(3) A nyilvántartásba vételi kérelemhez a kérelmező benyújtja
a) az arra a tanúsítási rendszerre vonatkozó akkreditációról szóló határozatot, amely keretében a kérelmező szervezet a tanúsítási tevékenységet végezni kívánja,
b) a miniszteri rendeletben meghatározott követelmények teljesítésének igazolását és
c) a miniszteri rendeletben meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
10. § (1) Ha a kérelmező az akkreditációról szóló határozatot nem nyújtja be, úgy azt a tanúsító hatóság – a kérelmező adatközlése alapján – közvetlenül beszerzi a nemzeti akkreditáló szervtől.
(2) A nemzeti akkreditáló szerv 8 napon belül megküldi a tanúsító hatóság számára a kért adatokat.
11. § (1) A megfelelőségértékelő szervezet a nyilvántartásba vételről szóló határozat véglegessé válását követően jogosult az érintett tanúsítási rendszer keretében tanúsítvány kiadására és a megfelelőségértékelő szervezetként történő tevékenységek ellátására.
(2) A tanúsító hatóság a nyilvántartásba vett megfelelőségértékelő szervezetet – a Kibertan.tv. 5. § (3) bekezdésére figyelemmel – bejelenti az Európai Bizottság (a továbbiakban: Bizottság) részére.
12. § (1) A Kibertan.tv. 13. § (4) bekezdése szerinti esetben a megfelelőségértékelő szervezet engedélyezés iránti kérelmet nyújt be a tanúsító hatóságnál.
(2) A megfelelőségértékelő szervezet által benyújtott engedélyezés iránti kérelem tartalmazza
a) az engedély benyújtása iránti kérelem célját,
b) kérelmezett megfelelőségértékelési területként azt a tanúsítási rendszert, amelynek keretében a megfelelőségértékelési tevékenységet végezni kívánja, valamint
c) hogy a tevékenységet közreműködő igénybevételével kívánja-e végezni.
(3) Az engedélyezés iránti kérelemhez a megfelelőségértékelő szervezet benyújtja
a) az arra a tanúsítási rendszerre vonatkozó akkreditációról szóló határozatot, amely keretében a kérelmező szervezet a tanúsítási tevékenységet végezni kívánja,
b) a miniszteri rendeletben meghatározott igazgatási szolgáltatási díj megfizetésének igazolását,
c) arra vonatkozó nyilatkozatát, hogy a vonatkozó tanúsítási rendszer konkrét vagy kiegészítő követelményeket határozott-e meg, illetve
d) a „magas” megbízhatósági szintű tanúsítványok kiadási jogkörének a kérelmező megfelelőségértékelő szervezet részére történő átruházására irányuló kezdeményezés esetén a nyilatkozatát, hogy a kérelmező, valamint igénybe venni kívánt közreműködője szerepel az Ibtv. szerinti, a sérülékenység vizsgálat lefolytatására jogosult gazdálkodó szervezetek nyilvántartásában.
13. § Ha a tanúsítási rendszer konkrét vagy kiegészítő követelményt határoz meg, a nemzeti akkreditáló szerv az akkreditációról szóló határozatban szerepelteti, hogy az akkreditációs eljárás ezen követelmények teljesítésének ellenőrzésére is kiterjedt.
14. § (1) A tanúsító hatóság az engedélyezési eljárás során
a) ha a kérelmező az akkreditációról szóló határozatot nem nyújtja be, úgy azt – a kérelmező adatközlése alapján – közvetlenül beszerzi a nemzeti akkreditáló szervtől,
b) ha az akkreditációról szóló határozat külön nem tartalmazza, hogy a kérelmező megfelel-e a tanúsítási rendszerben foglalt konkrét vagy kiegészítő követelményeknek, úgy erre irányuló nyilatkozat végett megkeresi a nemzeti akkreditáló szervet, illetve
c) a kérelmezőnek, illetve a kérelemben feltüntetett közreműködőjének a 12. § (3) bekezdés d) pontja szerinti nyilvántartásban való szereplése ellenőrzése érdekében megkeresi az Alkotmányvédelmi Hivatalt (a továbbiakban: AH).
(2) A nemzeti akkreditáló szerv, illetve az AH a tanúsító hatóság írásbeli megkeresése alapján 8 napon belül megküldi a tanúsító hatóság számára a kért adatokat.
15. § (1) Ha a tanúsító hatóság az engedélyezésre irányuló kérelmet jóváhagyja, a kérelmezőt és közreműködőjét nyilvántartásba veszi. Ha a kérelem vagy a kérelmező nem felel meg a kérelemmel vagy a kérelmezővel, közreműködővel szemben támasztott követelményeknek, a kérelmet elutasítja.
(2) A „magas” megbízhatósági szintű tanúsítványok kiadása jogkörének átruházására irányuló kérelmet a tanúsító hatóság elutasítja, ha annak jóváhagyása honvédelmi vagy nemzetbiztonsági érdeket sért.
16. § (1) A tanúsító hatóság az engedélyt visszavonja, ha a megfelelőségértékelő szervezet
a) akkreditációját a nemzeti akkreditáló szerv visszavonja, vagy
b) már nem felel meg a tanúsítási rendszerben meghatározott konkrét vagy kiegészítő követelményeknek.
(2) Ha a tanúsító hatóság a „magas” megbízhatósági szintű tanúsítványok kiadásának jogkörét átruházta valamely megfelelőségértékelő szervezetre, az átruházást – részben vagy egészben – visszavonja, ha
a) a megfelelőségértékelő szervezet a jegyzékről törlésre kerül,
b) a megfelelőségértékelő szervezet közreműködője a jegyzékről törlésre kerül, és a megfelelőségértékelő szervezet más, a jegyzéken szereplő közreműködőt nem jelent be, és a jövőben önmaga sem látja el a törölt közreműködő által ellátott feladatokat,
c) bizonyítható, hogy az érintett átruházott feladatot ellátó megfelelőségértékelő szervezet – a hatóság figyelmeztetése ellenére – nem végzi megfelelően azon feladatokat, amelyeket rá átruháztak,
d) az átruházott feladatot ellátó megfelelőségértékelő szervezet a tanúsító hatóság által megállapított időben a hatóság ismételt figyelmeztetése ellenére sem teszi meg a szükséges intézkedéseket a megállapított hiányosságok orvosolására, vagy
e) igazolást nyert, hogy az átruházott feladatot ellátó megfelelőségértékelő szervezet függetlensége vagy pártatlansága sérült, és a probléma nem orvosolható, vagy azt a megfelelőségértékelő szervezet a tanúsító hatóság figyelmeztetése ellenére sem orvosolja.
17. § Újabb nyilvántartásba vételi, illetve engedélyezési eljárást kell kezdeményezni, ha a megfelelőségértékelő szervezet a nyilvántartásba vételét követően tevékenységét további megfelelőségértékelési területre, más tanúsítási rendszer keretében végzett megfelelőségértékelési területre is ki kívánja terjeszteni.
18. § (1) A tanúsító hatóság nyilvántartja – a Kibertan.tv. 14. § (1) bekezdésében foglaltakon túl – a következő adatokat:
a) a megfelelőségértékelő szervezet
aa) megnevezését,
ab) adószámát,
ac) cégjegyzékszámát,
ad) székhelyének címét,
ae) a tanúsító hatóság (2) bekezdés szerinti honlapján közzétételre kerülő elektronikus levelezési címét és telefonszámát és
af) tanúsító hatósággal történő kapcsolattartásra megjelölt elektronikus levelezési címét és telefonszámát,
b) a gyártó
ba) megnevezését,
bb) adószámát,
bc) cégjegyzékszámát,
bd) székhelyének címét és
be) tanúsító hatósággal történő kapcsolattartásra megjelölt elektronikus levelezési címét és telefonszámát.
(2) A tanúsító hatóság a honlapján közzéteszi a nyilvántartásba vett megfelelőségértékelő szervezetek jegyzékét. A tanúsító hatóság által közzétett jegyzék tartalmazza a megfelelőségértékelő szervezet megnevezését, székhelyének címét, elektronikus levelezési címét és telefonszámát, a nyilvántartásba vételi okirat számát, a nyilvántartásba vétel időpontját, lejáratát, a bejegyzett megbízhatósági szintet és azt a tanúsítási rendszert, amelynek keretében a kérelmező a tanúsítási tevékenység végzésére jogosult.
19. § A tanúsító hatóság részére a nyilvántartásba vételhez szükséges adatszolgáltatást a tanúsító hatóság honlapján közzétett formátumban kell teljesíteni.
20. § (1) A tanúsító hatóság részére korábban bejelentett adatokban történt változás esetén, a változást követő 8 napon belül a bejelentő gondoskodik a megváltozott adatok tanúsító hatóság részére történő megküldéséről.
(2) A megfelelőségértékelő szervezet a változás beálltát követő 8 napon belül köteles bejelenteni a tanúsító hatóságnak, ha
a) csődeljárás, felszámolási eljárás, végelszámolási eljárás vagy kényszertörlési eljárás indult ellene,
b) akkreditált státuszát érintően változás következett be,
c) bejelentett közreműködőjét érintően változás következett be, vagy
d) a 12. § (3) bekezdés d) pontja szerinti nyilvántartásból törlésre került.
21. § (1) Ha a nemzeti akkreditáló szerv az akkreditált státuszt részlegesen vagy teljeskörűen felfüggeszti, részlegesen vagy teljeskörűen visszavonja, vagy az akkreditált szervezet kérelmére az akkreditált területet szűkíti, erről a tanúsító hatóságot értesíti. A nemzeti akkreditáló szerv a felügyeleti vizsgálat, illetve a rendkívüli felügyeleti vizsgálat eredményeit megküldi a tanúsító hatóságnak.
(2) Ha a tanúsító hatóság eljárása során felmerül annak a gyanúja, hogy a megfelelőségértékelő szervezet már nem rendelkezik akkreditációval, a tanúsító hatóság megkeresi a nemzeti akkreditáló szervet az akkreditált státuszra vonatkozó tájékoztatás nyújtása érdekében.
(3) Ha a megfelelőségértékelő szervezet az akkreditált státusz lejárta előtt megküldi az akkreditált státusz fenntartásáról szóló határozatot, a tanúsító hatóság a nyilvántartásban ezt rögzíti.
(4) Az akkreditált státusz lejártát követően megküldött tájékoztatás esetén új nyilvántartásba vételi kérelmet kell benyújtani, engedélyezési eljárás esetén új engedélyezési eljárást kell lefolytatni.
(5) Ha akkreditált státusz lejártát megelőzően a megfelelőségértékelő szervezet igazolja, hogy az akkreditált státusz fenntartására irányuló eljárás folyamatban van, a tanúsító hatóság a nyilvántartásban szereplő megfelelőségértékelő szervezet státuszát felfüggeszti az akkreditációs eljárás befejezéséig.
(6) Ha a nemzeti akkreditáló szerv az akkreditációt részlegesen vagy teljeskörűen felfüggeszti,
a) a tanúsító hatóság a nyilvántartásában rögzíti, hogy az akkreditáció státusza felfüggesztésre került,
b) a tanúsító hatóság az általa kiadott engedélyt felfüggeszti, és
c) a megfelelőségértékelő szervezet a felfüggesztés időtartama alatt tanúsítványt nem bocsáthat ki.
22. § (1) A megfelelőségi önértékelést végző gyártó, illetve a megfelelőségértékelő szervezet a jogutódlás nélkül történő megszűnését – a megszűnés időpontját megelőző 8 napon belül – köteles bejelenteni a tanúsító hatóság részére.
(2) Ha a tanúsító hatóság jogszabályban meghatározott eljárása során szerez tudomást a jogutódlás nélkül történő megszűnésről, hivatalból intézkedik a nyilvántartásban szereplő adatok megváltoztatásáról.
(3) A megfelelőségi önértékelést végző gyártót érintő jogutódlás esetén, ha a jogutód folytatni kívánja a megfelelőségi önértékelés keretében tanúsított hadiipari IKT-termék gyártását, illetve hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat nyújtását, visszavonja jogelődje megfelelőségi nyilatkozatát, és új megfelelőségi nyilatkozatot állít ki. A jogutód a változás bekövetkezésétől számított 8 napon belül a jogerős cégbírósági bejegyző határozat és a megfelelőségi nyilatkozat másolatának megküldésével értesíti a tanúsító hatóságot, és a nyilvántartásba vételi eljárásra vonatkozó szabályok szerint kezdeményezi a nyilvántartásba vételt. A megfelelőségi önértékelést végző gyártó a névváltozásról 8 napon belül értesíti a tanúsító hatóságot.
(4) A megfelelőségértékelő szervezetet érintő jogutódlás esetén, amennyiben a jogutód a megfelelőségértékelési tevékenységet folytatni kívánja, a jogutód az akkreditációs okirat kézhezvételét követő 8 napon belül az akkreditációs okirat másolatának megküldésével értesíti a tanúsító hatóságot, és a nyilvántartásba vételi, vagy az engedélyezési eljárásra vonatkozó szabályok szerint kezdeményezi a nyilvántartásba vételt, vagy az engedélyezés iránti eljárás megindítását. A megfelelőségértékelő szervezet a névváltozásról 8 napon belül értesíti a tanúsító hatóságot.
(5) A megfelelőségértékelő szervezetet érintő változásról a tanúsító hatóság a nyilvántartásba való bejegyzésről szóló határozat véglegessé válásától számított 15 napon belül – a Kibertan.tv. 5. § (3) bekezdésére figyelemmel – értesíti a Bizottságot.
23. § (1) A tanúsító hatóság törli a nyilvántartásból
a) a megfelelőségi önértékelést végző gyártót, amennyiben az visszavonja a megfelelőségi nyilatkozatát,
b) a megfelelőségértékelő szervezetet, amennyiben a tanúsító hatóság által az engedélye visszavonásra kerül,
c) a megfelelőségértékelő szervezetet, ha az akkreditációja megszűnik,
d) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha jogutód nélkül megszűnik,
e) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
(2) Európai kiberbiztonsági tanúsítási rendszer esetében a tanúsító hatóság a megfelelőségértékelő szervezet hatósági nyilvántartásból való törlésekor a törlésről szóló határozat véglegessé válásától számított 15 napon belül – a Kibertan.tv. 5. § (3) bekezdésére figyelemmel – értesíti a Bizottságot.
24. § (1) A piacfelügyeleti eljárás keretében a tanúsító hatóság a hadiipari IKT-termékekre, hadiipari IKT-szolgáltatásokra vagy hadiipari IKT-folyamatokra vonatkozó tanúsítási rendszerben, az uniós és magyar jogszabályokban foglalt követelményeknek való megfelelőséget, valamint a megfelelőség tanúsításának ellenőrzését végzi.
(2) A tanúsító hatóság a piacfelügyeleti ellenőrzést a tanúsítási rendszerben foglaltak szerint végzi.
25. § (1) A tanúsító hatóság ellenőrzési jogkörében ellenőrzi
a) a megfelelőségértékelési tevékenységre vonatkozó nyilvántartásokat, dokumentációkat és a nyomonkövethetőséget,
b) a jogszabályban, a tanúsítási rendszerben, valamint az engedélyben foglaltak betartását és
c) a panaszok kivizsgálásának megfelelőségét.
(2) A tanúsító hatóság a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat védelmére vonatkozó intézkedést, amellyel az érintett hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot veszélyeztető fenyegetések kezelhetők.
(3) A tanúsító hatóság ellenőrzési jogkörében a megfelelőségértékelő szervezetnél ellenőrzi, hogy
a) a megfelelőségértékelő szervezet a megfelelőségértékelési területen folytatott tevékenysége során betartja-e a működési és eljárási szabályzatában foglaltakat,
b) az előző ellenőrzés óta a szakmai – személyi és műszaki –, valamint adminisztratív felkészültség terén történt esetleges változás befolyásolja-e a megfelelőségértékelési tevékenység hatékonyságát, és
c) az előző ellenőrzés óta a működési és eljárási szabályzatban történt esetleges változtatások befolyásolják-e a kijelölt szervezet megfelelőségértékelési tevékenység folytatására való alkalmasságát.
26. § (1) A tanúsító hatóság az ellenőrzés elrendeléséről az érintett szervezet vezetőjét az ellenőrzés megkezdése előtt legalább 10 nappal értesíti kivéve, ha az ellenőrzés előzetes bejelentése kedvezőtlenül befolyásolhatja az ellenőrzés eredményét.
(2) A tanúsító hatóság az ellenőrzés elrendelése esetén az ellenőrzést ellátó munkatársa részére megbízólevelet állít ki.
(3) A tanúsító hatóság a hatósági ellenőrzésről készített feljegyzés vagy jegyzőkönyv egy példányát az ügyfélnek a helyszínen átadja, vagy azt az ügyfél részére az ellenőrzés befejezésétől számított 20 napon belül megküldi, amelyre az érintett szervezet 8 napon belül írásban tehet – a tanúsító hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a tanúsító hatóság egyeztetést kezdeményezhet az érintett szervezettel.
(4) Ha a tanúsító hatóság úgy ítéli meg, hogy az előírások megsértése más tagállamot is érint, – a Kibertan.tv. 5. § (3) bekezdésére figyelemmel – tájékoztatja a tanúsítási rendszerben foglaltak szerint a Bizottságot, az ENISA-t és a többi tagállamot az ellenőrzés eredményeiről és azokról az intézkedésekről, amelyek meghozatalára az érintett szervezetet felszólították, illetve amelyeket a tanúsító hatóság megtett.
27. § (1) A tanúsító hatóság közigazgatási hatósági jogkörében eljárva kizárólag a jogszabályoknak van alávetve, hatósági eljárása során és hatósági döntéseinek tartalmával összefüggésben – a feladat elvégzésére vagy a mulasztás pótlására irányuló utasítás kivételével – nem utasítható.
(2) Az eljárás során a kérelem kormányablaknál való előterjesztése kizárt.
(3) A tanúsító hatóság eljárásában hiánypótlási felhívásnak két alkalommal is helye van.
(4) A tanúsító hatóság eljárásában az ügyfél nem nyújthatja be másolatban az iratokat, valamint a hiányzó irat az ügyfél nyilatkozatával nem pótolható.
(5) A tanúsító hatóság a panaszok kezelésére vonatkozó eljárásrendjét a honlapján közzéteszi.
28. § (1) A tanúsító hatóság eljárása során a szükséges vizsgálatok elvégzéséhez szakértő vagy az adott területen akkreditált szervezet vagy szakértelemmel rendelkező szervezet (a továbbiakban: szakértő) közreműködését veheti igénybe, vagy elrendelheti azok igénybevételét a megfelelőség igazolásához.
(2) Nem működhet közre a tanúsító hatóság eljárásában olyan szakértő, amely a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelelőségét korábban vizsgálta, vagy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat fejlesztésében, kialakításában közreműködött.
(3) A tanúsító hatóság szakértő bevonásával vagy a saját laboratóriumában, vagy, amennyiben a vizsgálat alá vont hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tulajdonságai ezt nem teszik lehetővé, a gyártó vagy az üzemeltető telephelyén a hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot az előírt követelmények teljesítése tekintetében vizsgálat alá vonhatja.
29. § A nyilvántartásba vett megfelelőségértékelő szervezetnek folyamatosan meg kell felelnie a nyilvántartásba vétel feltételeinek, amit a tanúsító hatóság jogosult bármikor ellenőrizni.
30. § A megfelelőségértékelő szervezet tanúsítási tevékenysége során 8 napon belül tájékoztatja a tanúsító hatóságot
a) a tanúsítvány kiadása iránt hozzá benyújtott kezdeményezésről,
b) a tanúsítvány kiadása iránt általa indított eljárásról,
c) az általa kiadott tanúsítványokról,
d) a tanúsítványok bármilyen elutasításáról, korlátozásáról, felfüggesztéséről vagy visszavonásáról,
e) az általa kiadott tanúsítvány alapján gyártott, hadiipari IKT-termékkel, illetve nyújtott hadiipari IKT-szolgáltatással vagy hadiipari IKT-folyamattal összefüggésben benyújtott panaszról,
f) az általa kiadott tanúsítvány alapján gyártott hadiipari IKT-termék, illetve nyújtott hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán felmerült sebezhetőségről és
g) azokról a körülményekről, amelyek érintik a 9. § szerinti nyilvántartásba vétel hatályát vagy feltételeit.
31. § (1) A megfelelőségértékelő szervezet az előző évben végzett megfelelőségértékelési tevékenységéről jelentést készít (a továbbiakban: éves jelentés), amelyet a tárgyévet követő év március 1. napjáig megküld a tanúsító hatóság részére.
(2) Az éves jelentés tartalmazza
a) megfelelőségértékelési eljárás-típusonként az eljárást kérelmező nevét, székhelyét, a szerződések, a vizsgálati, ellenőrzési jegyzőkönyvek, a kiadott tanúsítványok iktatószámát, a megfelelőségértékelés eredményét, valamint, ha van közreműködő szervezet, annak nevét, az ezekben az adatokban bekövetkezett változásokat,
b) a kiadott tanúsítványok másolatát,
c) a megfelelőségértékelő szervezet tevékenységével összefüggő, a szervezethez beérkezett panaszok felsorolását és a panaszok kivizsgálásának eredményét,
d) a nyilvántartásba vett megfelelőségértékelési területtel kapcsolatos képzések, együttműködések felsorolását, azok témájának rövid ismertetését, a kijelölt szervezet részéről részt vevők felsorolását,
e) a megfelelőségértékelési területen a szabványosítási tevékenységben, továbbá a kijelölt szervezetek koordináló és ágazati csoportjának tevékenységében való részvételről szóló tájékoztatást, ideértve az adott évben megvalósuló ülések felsorolását, amelyeken a kijelölt szervezet képviselője vagy meghatalmazottja útján részt vett, valamint meghatalmazott útján való képviselet esetén a meghatalmazás másolatát,
f) vizsgálólaboratóriumok közötti összehasonlításban vagy jártasságvizsgáló programokban való részvétel esetén a részvételt igazoló dokumentumokat,
g) a nyilvántartásba vett megfelelőségértékelési területen – a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat forgalmazására, nyújtására vonatkozó rendelkezések megsértésével összefüggésben – a tanúsító hatóságnak és a nyilvántartásba vett megfelelőségértékelési területen működő más megfelelőségértékelő szervezeteknek küldött tájékoztatások felsorolását, azok iktatószámát, és
h) a felfüggesztett, visszavont tanúsítványok iktatószámát, a kérelmező megnevezését, a tanúsítvány tárgyát, a felfüggesztés, visszavonás indokát.
32. § (1) Ha a megfelelőségértékelő szervezet egyes megfelelőségértékelési feladatok ellátásához közreműködőt vesz igénybe, biztosítja, hogy a közreműködő megfelel a jogszabályban meghatározott követelményeknek, és erről tájékoztatja a tanúsító hatóságot.
(2) A megfelelőségértékelő szervezet teljes felelősséget vállal a közreműködő által elvégzett feladatokért, függetlenül attól, hogy az hol van letelepedve.
(3) A megfelelőségértékelő szervezet a tanúsító hatóság megkeresése esetén rendelkezésre bocsátja a közreműködő szakmai képesítésére és az általa elvégzett munkára vonatkozó dokumentumokat.
33. § A megfelelőségértékelő szervezetnek a panaszok és vitás kérdések kezelésére olyan eljárásrenddel kell rendelkeznie, amely alkalmas a panaszok tényszerű feltárására és orvoslására.
34. § (1) A tanúsított hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban a tanúsítottság tényének jelzése érdekében a tanúsítási rendszer által előírt formátumban megfelelőségi jelölést kell elhelyezni. A megfelelőségi jelölést jól láthatóan, egyértelműen és maradandóan kell elhelyezni.
(2) Ahol a megfelelőségi jelölés elhelyezése nem értelmezhető, a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat jellege által biztosított lehetőség szerinti formában kell feltüntetni a megfelelőségi jelölést vagy az erre történő utalást.
(3) A megfelelőségi jelölést a forgalomba hozatal előtt akkor kell elhelyezni, amikor a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat elkészült. A megfelelőségi jelölést csak a gyártó vagy meghatalmazott képviselője helyezheti el. A megfelelőségi jelölés elhelyezésével vagy elhelyeztetésével a gyártó jelzi, hogy vállalja a felelősséget a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat e rendeletben, valamint valamennyi olyan alkalmazandó közösségi jogszabályban megállapított követelménynek való megfelelésért, amely a jelölés alkalmazását előírja.
(4) Ha a tanúsító hatóság azt állapítja meg, hogy a megfelelőségi jelölést jogosulatlanul tüntették fel a hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban, kötelezi a gyártót vagy meghatalmazott képviselőjét, hogy a terméket, illetve a tájékoztatást módosítsa a megfelelőségi jelölésre vonatkozó előírások szerint, és akadályozza meg a további szabálytalanságot a tanúsító hatóság által előírt feltételeknek megfelelően.
(5) Ha a nem-megfelelőség továbbra is fennáll, a tanúsító hatóság felszólítja a gyártót a meg nem feleléssel érintett termékről, illetve tájékoztatásról a megfelelőségi jelölés eltávolítása iránt. Amennyiben erre nincs lehetőség, vagy, amennyiben a gyártó e kötelezettségének nem tesz eleget, a tanúsító hatóság intézkedhet az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat forgalomba hozatalának, nyújtásának korlátozása, megtiltása vagy forgalomból történő kivonása iránt.
35. § (1) A gyártó – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a megfelelőségértékelő szervezet részére az általa gyártott termék, nyújtott szolgáltatás vagy folyamat vonatkozásában feltárt sebezhetőséget.
(2) A megfelelőségértékelő szervezet – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a tanúsító hatóság részére az általa tanúsított hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában feltárt sebezhetőséget.
36. § A tanúsító hatóság a bejelentésről értesíti az eseménykezelő központot, és az adott hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően jár el.
37. § Ez a rendelet a kihirdetését követő napon lép hatályba.
38. § Ez a rendelet az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet 51. cikkének, 54. és 55. cikkének, 56. cikk (2) és (4)–(6) bekezdésének, 57. cikkének, 58. cikk (1), (2), (7) és (8) bekezdésének és 60. cikkének a végrehajtásához szükséges rendelkezéseket állapít meg.
39. § *
