A jogszabály mai napon ( 2024.11.21. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

187/2015. (VII. 13.) Korm. rendelet

az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés a)–c), h) és i) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában

1. * 

2. * 

3. * 

4. *  elektronikus űrlap: a hatóság által biztosított és közzétett, az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet 2. § 2. pontja szerint meghatározott elektronikus űrlap;

5. *  hatósági nyilvántartás: a hatóság által vezetett, az Ibtv. 15. § (1) bekezdése szerinti adatokat tartalmazó nyilvántartás;

6. *  szervezet: az Ibtv. 2. § (1) és (2) bekezdésében – az Ibtv. 2. § (3) és (5) bekezdése szerinti információs rendszert üzemeltető szervezet kivételével – meghatározott szervezet.

2. *  Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság

2. § *  (1) Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságként (a továbbiakban: hatóság) a Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) alapján a Nemzetbiztonsági Szakszolgálatot jelöli ki.

(2) A hatóság közigazgatási hatósági jogkörében eljárva kizárólag a jogszabályoknak van alávetve, hatósági eljárása során és hatósági döntéseinek tartalmával összefüggésben – a feladat elvégzésére vagy a mulasztás pótlására irányuló utasítás kivételével – nem utasítható.

3. A hatósági eljárásra vonatkozó általános rendelkezések

3. § *  (1) Az eljárás során a kérelem kormányablaknál való előterjesztése kizárt.

(2) Az eljárásban kétszeri hiánypótlásra való felszólításnak van helye.

4. § A hatóság az eljárását lezáró döntésének meghozatala előtt az érintett szervezettel – ha ezt azonnali fenyegetés vagy biztonsági esemény, vagy az érintett szervezet ismételt jogsértő magatartása nem zárja ki – egyeztetést folytat le.

5. § *  (1) A hatóság az ellenőrzés elrendeléséről az érintett szervezet vezetőjét előzetesen írásban, az érintett szervezet elektronikus információs rendszereinek biztonságáért felelős személyt elektronikus úton az ellenőrzés megkezdése előtt legalább tíz nappal értesíti. Az értesítésnek tartalmaznia kell az ellenőrzés célját, tárgyát, az elrendelésre okot adó körülményeket, a jogszabályi hivatkozást, az ellenőrzés várható időtartamát és az ellenőrzés módját.

(2) A hatóság az ellenőrzés elrendelése esetén az ellenőrzést ellátó munkatársa részére megbízólevelet állít ki.

(3) Az ellenőrzéssel érintett szervezet vezetője, munkatársa, alkalmazottja, illetve szerződéses jogviszony alapján az elektronikus információbiztonság tekintetében érintett egyéb közreműködő és az elektronikus információs rendszer biztonságáért felelős személy köteles a hatósággal együttműködni.

(4) A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – az ellenőrzés keretében jogosult önállóan vagy más hatósággal együtt

a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,

b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani,

c) az ellenőrzés során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint

d) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.

(5) Az Információs Hivatal köteles biztosítani, hogy a hatósági ellenőrzés során az elektronikus információs rendszeren tárolt adat a vizsgálatot végző hatóság számára ne legyen hozzáférhető.

(6) Az ellenőrzés nem eredményezheti a titkos információgyűjtő munkára, a leplezett eszköz alkalmazására és az abban együttműködő személyekre, továbbá a titkos információgyűjtés és leplezett eszköz alkalmazásának eszközeire és módszereire vonatkozó adat megismerését.

(7) Az (1) bekezdés szerinti értesítés mellőzhető, ha

a) súlyos fenyegetettség áll fenn,

b) súlyos biztonsági esemény történt,

c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy

d) az érintett szervezet a rendelkezésre álló adatok alapján az ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.

(8) Az ellenőrzésről a hatóság feljegyzést készít, amelyet az ellenőrzés lezárását követő nyolc napon belül az érintett szervezetnek írásban észrevételezésre megküld. Az érintett szervezet azzal kapcsolatban nyolc napon belül írásban tehet – a hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a hatóság egyeztetést kezdeményezhet az érintett szervezettel.

5/A. § *  (1) A hatóság az elektronikus információs rendszerek, és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, az elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek.

(1a) *  Az Információs Hivatal köteles biztosítani, hogy az (1) bekezdés szerinti ellenőrzés során az elektronikus információs rendszeren tárolt adat az ellenőrzést végző hatóság számára ne legyen hozzáférhető.

(2) A hatóság az eljárása során jogosult figyelembe venni a független, képesített ellenőr által készített ellenőrzés eredményét.

4. A hatóság feladatai

6. § (1) A hatóság

a) engedélyezi az érintett szervezetek által az Európai Gazdasági Térség (a továbbiakban: EGT) tagállamaiban történő elektronikus információsrendszer-üzemeltetést,

b) ellenőrzi az érintett szervezetek által az EGT tagállamain kívül történő elektronikus információsrendszer-üzemeltetést,

c) ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését,

d) nyilvántartja a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályát, valamint az elektronikus információs rendszer osztályba soroláshoz szükséges, jogszabályban meghatározott fizikai, logikai és adminisztratív védelmi intézkedések adatait,

e) *  szükség szerint konzultációt folytat és együttműködik a rendvédelmi szervekkel, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósággal,

f) *  jogszabályban meghatározott szempontok szerint, hatósági ellenőrzés keretében lefolytatja a fizikai, logikai és adminisztratív védelmi ellenőrzéseket,

g) *  az elektronikus információs rendszerek biztonságáért felelős nemzetközi szervezetekben képviseli Magyarországot,

h) *  nyilvántartja és honlapján közzéteszi a biztonsági eseményekkel kapcsolatos, az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központtól kapott értesítéseket.

i)–n) * 

(1a) *  A hatóság az alapvető szolgáltatást nyújtó szereplők elektronikus információs rendszereit érintő, az Ibtv.-ben meghatározott biztonsági esemény bekövetkezése esetén honlapján tájékoztathatja a nyilvánosságot, illetve a szolgáltatókat határozatban kötelezheti tájékoztatásra, ha az a saját mérlegelése szerint egy adott biztonsági esemény megelőzéséhez vagy egy már folyamatban lévő biztonsági esemény kezeléséhez szükséges.

(2) A hatóság az EGT tagállamaiban történő elektronikus információs rendszer üzemeltetése tekintetében engedélyezési eljárást folytat le a 7. § (3) bekezdésében foglaltak kivételével. Az eljárás során a hatóság megvizsgálja

a) az EGT tagállamaiban történő adatkezelés indokát,

b) az EGT tagállamaiban kezelt adatok és adatbázisok leírását,

c) azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e,

d) az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és szoftverkomponenseket is,

e) az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat,

f) a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét,

g) a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot, valamint

h) azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni.

(3) Nem kell a (2) bekezdés e)–g) pontja szerinti leírásokat megvizsgálni, ha nemzetközi egyezmények vagy nemzetközi szabványok alapján, illetve az ezeken alapuló hazai követelmények vagy ajánlások alapján kiadott érvényes biztonsági tanúsítvány a kérelem benyújtásakor rendelkezésre áll, és azt a hatóságnak bemutatják.

7. § (1) Az engedélyezésre irányuló kérelem tartalmazza a 6. § (2) és (3) bekezdése szerinti adatokat. A kérelmet a külföldön történő adatkezelés megkezdését megelőzően kilencven nappal kell benyújtani a hatóság részére. A 6. § (2) bekezdés b), e) és f) pontja, és a 6. § (3) bekezdése szerinti dokumentációkat, okiratokat az eredetivel megegyező másolatban, és hiteles magyar fordításban a kérelem mellékleteként csatolni kell.

(2) A hatóság engedélye hiányában az elektronikus információs rendszer EGT tagállamban történő üzemeltetése, továbbá ilyen rendszeren adatfeldolgozói, adatkezelői tevékenység nem kezdhető meg. Az engedély lejártát a benyújtott tanúsítványok érvényességi időtartamához igazodóan kell megállapítani.

(3) Ha a külföldön végzett adatkezelésre vagy rendszerüzemeltetésre olyan nemzetközi szerződés alapján kerül sor, amelyben az állam az egyik szerződő fél, a hatóságot tájékoztatni kell az érintett adatokról, az adatfeldolgozó vagy üzemeltető személyéről, és a szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás lefolytatása nélkül tudomásul veszi.

(4) Ha a hatóság tudomására jut, hogy az érintett szervezet az adatkezelést vagy üzemeltetést – ideértve a nem azonosítható adatkezelési, vagy jogszabály által kizárt helyszínen megvalósuló, felhő alapú számítástechnikai szolgáltatásokat is – jogosulatlanul Magyarországon kívül folytatja, a hatóság a 13. § szerinti jogkövetkezményt alkalmazza.

8. § (1) Az európai uniós támogatásból, központi költségvetési támogatásból megvalósuló fejlesztési projektek információbiztonsági követelményeinek teljesítése során a projekt vezetője, a projekt tervezési szakaszában a hatóság részére véleményezésre megküldi a fejlesztendő elektronikus információs rendszerre vonatkozó biztonsági osztályba sorolást, továbbá mindazon dokumentációkat, amelyek alapján a biztonsági követelmények megvalósulása ellenőrizhető a projekt teljes életciklusára nézve, ideértve az átvétel vagy teljesülés után az elektronikus információs rendszer használata során érvényesítendő elvárásokat is.

(2) A projekt szintű mérföldkövek figyelembevételével, az adott projektszakasz zárását megelőző legkevesebb harminc nappal kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus információbiztonsági dokumentációt annak érdekében, hogy a hatóság észrevételei vagy kifogásai a projekt terveken, vagy a projekt tárgyán átvezethető és alkalmazható legyen.

(3) A hatvan napnál rövidebb időtartamú projektek esetén az (1) bekezdés szerinti dokumentációt legkésőbb a projekt befejezésekor kell a hatóság rendelkezésére bocsátani. A projekt megvalósítása során – elektronikus információs rendszer érintettsége esetén – a hatósággal a projekt tartalmáról egyeztetni kell.

(4) A hatóság az (1) bekezdés szerinti dokumentumok tekintetében más hatóság véleményét kikérheti.

9. § (1) Az elektronikus információs rendszerek biztonsági osztályba sorolásának ellenőrzése a hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.

(2) Ha az elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolást – ideértve az adott elektronikus információs rendszerre vonatkozó biztonsági osztály meghatározásánál feltárt hiányosság megszüntetésére irányuló cselekvési tervet – a hatóság elfogadja, az erre irányuló döntés a biztonsági osztályba sorolás későbbi önálló, illetve az érintett szervezet vagy szervezeti egység ellenőrzése során történő felülvizsgálatát nem zárja ki.

(3) Ha a hatóság az eljárása során az elektronikus információs rendszerre vonatkozó, az érintett szervezet vezetője által megállapított és bejelentett biztonsági osztályba sorolást felülbírálja és magasabb biztonsági osztályt állapít meg, a következő biztonsági osztály elérésére irányadó határidő alkalmazása tekintetében a hatóság döntésének megfelelő osztályt kell alapul venni.

(4) Ha a hatóság az elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolásnál alacsonyabb osztály alkalmazásának lehetőségét látja, arra az érintett szervezetnek javaslatot tesz.

(5) * 

10. § (1) Az érintett szervezet vagy szervezeti egység biztonsági szintbe sorolásának ellenőrzése a hatóságnak megküldött információk alapján – ideértve a szervezetre, vagy szervezeti egységre vonatkozó biztonsági szint meghatározásánál feltárt hiányosság megszüntetésére irányuló cselekvési tervet is – jogszabályban meghatározott szempontok szerint történik.

(2) Ha a hatóság az érintett szervezetre vagy szervezeti egységre vonatkozó, bejelentett biztonsági szintbe sorolásnál alacsonyabb szint alkalmazásának lehetőségét látja, arra az érintett szervezetnek vagy szervezeti egységnek javaslatot tesz.

4/A. *  A hatóság regisztrációs eljárása és a hatósági nyilvántartásba vétel

10/A. § *  (1) A szervezet a hatóság részére biztonságos elektronikus kézbesítés útján, ennek hiányában postai úton bejelenti a szervezet és az elektronikus információs rendszer biztonságáért felelős személy jogszabályban előírt adatait.

(2) A regisztrációt követően a 10/B. § és a 10/D. § szerinti adatbejelentés csak regisztrált szervezet nevében tehető meg.

10/B. § *  (1) Az Ibtv. 15. § (3) bekezdése szerinti adatközlési kötelezettséggel érintett szervezet az adatközlési kötelezettségének a hatóság által az elektronikus tájékoztatás szabályai szerint közzétett elektronikus űrlap útján tesz eleget.

(2) Az (1) bekezdés szerinti űrlapot a szervezet a hatóság részére elektronikus úton, a hatóság elektronikus adatbejelentési felületén keresztül küldi meg.

10/C. § *  (1) A hatóság ellenőrzi, hogy a 10/A. § és a 10/B. § szerinti beérkezett űrlapok és mellékleteik tartalmilag megfelelnek-e a jogszabályi követelményeknek.

(2) A hatóság az ellenőrzést követően a bejelentett adatokat nyilvántartásba veszi, vagy a szervezetet hiánypótlásra szólítja fel.

(3) A szervezet a hatóság részére korábban bejelentett adataiban történt változás esetén, a változást követő nyolc napon belül a 10/B. §-ban meghatározottak szerint gondoskodik a megváltozott adatok hatóság részére történő megküldéséről.

(4) A hatóság a bejelentések nyilvántartásba vételéről elektronikus úton értesíti a szervezetet.

10/D. § *  (1) *  A szervezet az Ibtv. 15. § (1) bekezdés b) pontja szerinti hatósági nyilvántartásba vétel céljából a hatóság elektronikus adatbejelentő rendszerén keresztül elektronikusan bejelenti az elektronikus információs rendszer alábbi technikai adatait:

a) az elektronikus információs rendszer által nyújtott nyilvános szolgáltatásokat,

b) az elektronikus információs rendszer által használt nyilvános IP-címet, valamint az ahhoz kapcsolódó szolgáltatás megnevezését,

c) az elektronikus információs rendszer által használt domain nevet,

d) az elektronikus információs rendszer üzemeltetésében részt vevő, közreműködő jogi személyt vagy jogi személyiséggel nem rendelkező gazdálkodó szervezetet és

e) az elektronikus információs rendszer működtetéséhez igénybe vett elektronikus hírközlési szolgáltatást vagy közvetítő szolgáltatást és e szolgáltatásokat nyújtó szolgáltatót.

(2) Az (1) bekezdés szerinti adatszolgáltatást a hatóság által meghatározott és közzétett formátumban kell teljesíteni.

(3) *  A hatóság a szervezet által megküldött informatikai biztonsági szabályzatot nyilvántartásba vétel céljából továbbítja az európai és nemzeti létfontosságú rendszerelemek nyilvántartó hatóságának.

10/E. § *  (1) A szervezet a jogutódlás nélkül történő megszűnését – a megszűnés időpontját megelőző nyolc napon belül – köteles a 10/B. §-ban meghatározottak szerint bejelenteni a hatóság részére.

(2) A szervezet jogutódlással történő megszűnése esetén a jogutód a 10/B. § és a 10/D. § szerint jár el.

(3) Ha a hatóság jogszabályban meghatározott eljárása során szerez tudomást az érintett szervezet jogutódlás nélkül történő megszűnéséről, hivatalból intézkedik a nyilvántartásban szereplő adatok helyesbítéséről.

5. Az érintett szervezet egyes kötelezettségei

11. § (1) Az érintett szervezet, ha az elektronikus információs rendszer biztonságért felelős személy, szervezet kijelölése vagy az elektronikus informatikai biztonsági szabályzat elkészítése a jogszabályban meghatározott időn belül neki fel nem róható okból nem teljesül, a jogszabályban meghatározott határidőn belül a hatóságot tájékoztatja a teljesítést akadályozó ok és a teljesítés határidejének megjelölésével.

(2) Az elektronikus információs rendszer biztonságáért felelős személy – ideértve az információbiztonsági szolgáltatást nyújtó vállalkozás tagjait és alkalmazottait is – az érintett szervezet igényeihez igazodva és annak rendelkezése szerint feladatát elláthatja

a) részmunkaidőben,

b) a vonatkozó szerződésben meghatározott időtartamban, vagy

c) több érintett szervezetnél.

(3) Az elektronikus információs rendszer biztonságáért felelős személyről szóló, az Ibtv. 12. § a) pontja szerinti tájékoztatás magában foglalja a vonatkozó munka-, megbízási vagy más szerződés másolatának hatóság kérésére való megküldését olyan módon, hogy abból csak a hatóság számára releváns, a feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A szerződéshez csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát.

(4) A jogszabály által kijelölt központosított informatikai és elektronikus hírközlési szolgáltató, illetve központi adatkezelő és adatfeldolgozó szolgáltató igénybevétele során – figyelemmel az Ibtv. 11. § (3) bekezdésére – az érintett szervezet vezetője nem mentesül a jogszabályban meghatározott azon kötelezettségek alól, amelyek az érintett szervezet felett az információbiztonság tekintetében gyakorolt irányítási és ellenőrzési jogkörébe tartoznak.

6. Az ellenőrzési terv

12. § (1) Az éves ellenőrzési tervet a hatóság a tárgyévet megelőző év november 30-áig állítja össze.

(2) A hatóság az ellenőrzési terv végrehajtását a tárgyévet követő év március 1-jéig értékeli.

(3) A hatóság az ellenőrzési tervben foglaltaktól eltérhet, ha olyan azonnali ellenőrzéseket vagy eljárásokat kell lefolytatnia, amelyek a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos elektronikus információs rendszereket fenyegető súlyos biztonsági események elhárítását szolgálják.

7. Jogkövetkezmények

13. § *  (1) A hatóság az információbiztonsági követelmények teljesülése érdekében – határidő kitűzése mellett – felhívja az érintett szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértése megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, valamint az elvárt intézkedés megtételére.

(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé.

(3) A hatóság az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központ értesítése esetén megfelelő határidő tűzése mellett felszólítja az érintett szervezetet a jogszabály sértő tevékenység, vagy a jogsértő állapot megszüntetésére, ennek keretében különösen bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.

(4) *  A 24. § (1) bekezdése szerinti hatóság, az Ibtv. 19. § (2) bekezdése szerinti eseménykezelő központ értesítése esetén, megfelelő határidő tűzése mellett felszólítja az érintett szervezetet a jogszabálysértő tevékenység, vagy a jogsértő állapot megszüntetésére, ennek keretében különösen bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.

(5) A hatóság az Ibtv. 16. § (2) bekezdés b) pontja, valamint az Ibtv. 16. § (3) bekezdés d) pontja alapján az 1. mellékletben megjelölt jogszabálysértés esetén az 1. mellékletben rögzített mértékben bírságot szabhat ki. A kiszabható bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára.

(6) Az (1)–(4) bekezdésben foglaltakon túlmenően az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

(7) A hatóság a jogkövetkezmények alkalmazása során jogszabályban meghatározottakon túl az alábbi szempontokat veszi figyelembe:

a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát,

b) történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,

c) a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre,

d) az érintett szervezet magatartását, hatósággal való együttműködését és

e) az esemény egyedi, vagy ismételt jellegét.

8. A zárt célú elektronikus információs rendszerek, valamint a biztonsági felügyeletüket ellátó hatóságok és feladataik

14. § * 

15. § (1) *  A honvédelmi szervezetek, a honvédelemért felelős miniszter fenntartói irányítása alá tartozó, honvédelmi szervezetnek nem minősülő többcélú szakképző intézmény, a honvédelemért felelős miniszter tulajdonosi joggyakorlói jogkörébe tartozó gazdasági társaságok, az állami vagyonról szóló 2007. évi CVI. törvény 3. § (2) bekezdés c) pontja szerinti gazdasági társaságok, valamint a jogszabály szerint a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok zárt célú elektronikus információs rendszerei a következők:

a) honvédelmi célú közigazgatási döntés-előkészítő és vezetés-irányítási rendszerek,

b) honvédelmi stacioner és tábori, nemzetközi műveleteket, valamint gyakorlatokat támogató műveleti vezetési rendszerek,

c) katonai nemzetbiztonsági területen titkos információgyűjtést, illetve titkos adatszerzést támogató rendszerek,

d) a Honvédelmi Tanács és a Kormány speciális működési területén szakmai feladatok támogatását szolgáló kormányzati célú informatikai rendszerek, valamint

e) *  a honvédelmi szervezeteknél, a honvédelemért felelős miniszter fenntartói irányítása alá tartozó, honvédelmi szervezetnek nem minősülő többcélú szakképző intézménynél, a honvédelemért felelős miniszter tulajdonosi joggyakorlói jogkörébe tartozó gazdasági társaságoknál, az állami vagyonról szóló 2007. évi CVI. törvény 3. § (2) bekezdés c) pontja szerinti gazdasági társaságoknál, valamint a jogszabály szerint a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságoknál működő – a)–d) pontba nem tartozó – elektronikus információs rendszerek.

(2) *  Az (1) bekezdés szerinti zárt célú elektronikus információs rendszerekkel kapcsolatos hatósági, biztonsági felügyeleti feladatok ellátására a Kormány a Katonai Nemzetbiztonsági Szolgálat főigazgatóját jelöli ki.

16. § * 

17. § * 

18. § (1) *  A zárt célú elektronikus információs rendszerek biztonsági felügyeletét ellátó, e rendeletben kijelölt hatóságra (a továbbiakban: kijelölt hatóság) az Ibtv. 14–17. §-a helyett a 19–22. §-t kell alkalmazni.

(2) *  A honvédelmi szervezetek, a honvédelemért felelős miniszter fenntartói irányítása alá tartozó, honvédelmi szervezetnek nem minősülő többcélú szakképző intézmény, a honvédelemért felelős miniszter tulajdonosi joggyakorlói jogkörébe tartozó gazdasági társaságok, az állami vagyonról szóló 2007. évi CVI. törvény 3. § (2) bekezdés c) pontja szerinti gazdasági társaságok, valamint a jogszabály szerint a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságok zárt célú elektronikus információs rendszerei biztonsági felügyeletét ellátó hatóságra az (1) bekezdésben meghatározottak mellett a 2. § (2) bekezdését, a 3–10. §-t, valamint a 12. és 13. §-t is alkalmazni kell.

19. § A kijelölt hatóság feladata

a) a zárt célú elektronikus információs rendszerekre vonatkozóan az osztályba sorolás és a biztonsági szint megállapításának ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala,

b) a zárt célú elektronikus információs rendszerek osztályba sorolására és – ehhez kapcsolódóan – a zárt célú elektronikus információs rendszert működtető szervek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülésének ellenőrzése,

c) az ellenőrzés során a feltárt vagy tudomására jutott biztonsági hiányosságok elhárításának elrendelése, és eredményességének ellenőrzése,

d) a rendelkezésre álló információk alapján kockázatelemzés elvégzése,

e) a hozzá érkező biztonsági eseményekkel kapcsolatos bejelentések kivizsgálására irányuló hatósági eljárás megindítása,

f) az információs társadalom biztonságtudatosságának elősegítése és támogatása,

g) hazai és nemzetközi információbiztonsági, kibervédelmi, létfontosságú információs infrastruktúra védelmével kapcsolatos gyakorlatokon történő részvétel, valamint

h) kapcsolattartás és együttműködés a hatósággal, valamint az eseménykezelő központokkal.

20. § A kijelölt hatóság a zárt célú elektronikus információs rendszerek és az azokban kezelt adatok biztonsága érdekében jogosult megtenni, elrendelni, ellenőrizni minden olyan, a zárt célú elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett zárt célú elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek. Ennek érdekében jogosult

a) a jogszabályokban foglalt biztonsági követelmények és az ezekhez kapcsolódó eljárási szabályok teljesülését ellenőrizni,

b) a követelményeknek való megfelelőség alátámasztásához szükséges dokumentumokat bekérni,

c) a központi költségvetési és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában az információbiztonsági követelmények megtartását ellenőrizni, azokra ajánlásokat tenni,

d) a fejlesztési projektek tervezési szakaszában szakmai részvételt biztosítani és a biztonsági követelmények beépülésének ellenőrzésére irányuló tevékenységet folytatni, valamint

e) a sérülékenység megszüntetésére vonatkozó intézkedési tervet készíteni.

21. § (1) A kijelölt hatóság a zárt célú elektronikus információs rendszer vonatkozásában az Ibtv. hatósági nyilvántartásra vonatkozó szabályai szerinti nyilvántartást vezet.

(2) A zárt célú elektronikus információs rendszert működtető szervezet az Ibtv. szerinti adatokat, valamint ezek változásait nyolc napon belül megküldi a kijelölt hatóságnak.

22. § (1) A kijelölt hatóság az ellenőrzést a zárt célú elektronikus információs rendszert működtető szervezet irányítását, vezetését vagy felügyeletét ellátó miniszter által jóváhagyott éves ellenőrzési terv vagy egyedi utasítás alapján végzi.

(2) Ha a kijelölt hatóság azt állapítja meg, hogy a zárt célú elektronikus információs rendszert működtető szervezet a biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, vagy nem tartja be, akkor az érintettet felszólítja a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére.

9. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság és feladatai * 

23. § * 

24. § (1) *  A Kormány a honvédelmi célú elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságként a Katonai Nemzetbiztonsági Szolgálat főigazgatóját jelöli ki.

(2) *  Az (1) bekezdés szerinti hatóságra a 2. § (2) bekezdését, a 3–10. §-t, a 12. és 13. §-t, valamint az Ibtv. 14–17. §-a helyett a 19–22. §-t kell megfelelően alkalmazni.

25. § * 

10. Az információbiztonsági felügyelő

26. § (1) Információbiztonsági felügyelőként (a továbbiakban: felügyelő) az rendelhető ki, aki a kirendelést vállalja és az Ibtv.-ben, valamint e rendeletben meghatározott feltételeknek megfelel. A felügyelőnek a vezetői gyakorlatára előírt időtartamába beszámítható a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 8. § (5) bekezdése szerinti munkavégzésre irányuló jogviszonyban szerzett, közigazgatáson kívüli vezetői gyakorlat is. A felügyelő felett a munkáltatói jogokat az e-közigazgatásért felelős miniszter (a továbbiakban: miniszter) gyakorolja.

(2) A felügyelő egyidejűleg több érintett szervezethez is – ha a kirendelés indokai ezt lehetővé teszik – kirendelhető.

(3) A miniszter a megbízólevél kiállításával a felügyelőt határozott időtartamra rendeli ki az adott szerv elektronikus információbiztonsági tevékenységének felügyeletére. A kirendelés meghosszabbítására a kirendelés idejének lejárta előtt, legfeljebb egy alkalommal kerülhet sor, a folyamatban lévő intézkedések lezárásáig. A kirendelés időtartamának meghatározásakor figyelemmel kell lenni az érintett szervezet kötelezettségszegésének súlyára és a fenyegetés elhárításához szükséges védelmi intézkedésekre. A kirendelésről szóló megbízólevél megfelelően tartalmazza a kirendelés célját, tárgyát, a kirendelésre okot adó körülményeket, a jogszabályi hivatkozást, a kirendelés időtartamát, az információbiztonsági felügyelő személyazonosításához szükséges adatokat.

(4) Felügyelőnek nem rendelhető ki az a személy, aki

a) az érintett szervezettel munkavégzésre irányuló jogviszonyban áll,

b) a kirendelést megelőző három évben az érintett szervezettel munkavégzésre irányuló jogviszonyban állt,

c) a kirendeléskor, vagy a kirendelést megelőző három évben az érintett szervezetnél rendszeres és tartós megbízási vagy vállalkozási jogviszonyban áll vagy állt,

d) az érintett szervezet vezetőjének, gazdasági vezetőjének vagy alkalmazottjának hozzátartozója e minőségének fennállása alatt,

e) az érintett szervezet képviselője, e minőségének fennállása alatt és annak megszűnésétől számított három évig, valamint

f) az, akitől az adott helyzet tárgyilagos megítélése üzleti érdekeltségből vagy egyéb okból nem elvárható (elfogultság).

(5) A felügyelő kirendelésének megszűnésére a megbízólevélben meghatározott időtartam letelte előtt akkor kerülhet sor, ha

a) a kirendelés oka elhárult és a felügyelő összefoglaló beszámolóját a hatóság elfogadta, vagy

b) a felügyelőt a miniszter visszahívja.

(6) A felügyelőt a miniszter visszahívja, ha

a) a hatóság megállapítja, hogy az érintett szervezetnél a felügyelőnek felróhatóan nem érvényesülnek a biztonsági követelmények, vagy

b) a (4) bekezdés szerinti, kizárásra okot adó körülmény merült fel, vagy a kirendeléskor fennálló, kizárásra okot adó körülmény a miniszter tudomására jut.

(7) A miniszter jogosult az (5) bekezdés b) pontja esetén új felügyelőt kirendelni.

(8) A felügyelő kirendelésének megszűnéséről a miniszter írásban haladéktalanul tájékoztatja az érintett szervezet vezetőjét.

27. § (1) A felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben

a) az érintett szervezet vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni,

b) az érintett szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába betekinteni, arról másolatot, kivonatot készíttetni,

c) az érintett szervezet valamennyi információtechnológiával kapcsolatos helyiségébe belépni,

d) azonnali intézkedést javasolni az érintett szervezet vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása),

e) intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében különösen az érintett szabályzatok felülvizsgálatát kezdeményezni,

f) előzetesen véleményezni a működéssel kapcsolatos elektronikus információbiztonságot is érintő intézkedéseket, valamint

g) kifogással élni az érintett szervezet által az Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései tekintetében.

(2) A felügyelő köteles

a) az érintett szervezetnél megbízólevelét bemutatni,

b) figyelemmel kísérni megbízatásának időpontjától kezdve az érintett szervezetnél a jogszabályokban foglalt biztonsági követelmények és eljárások megvalósulását, a jogszabályokban előírt feladatok ellátását,

c) feltárni azokat az okokat, amelyek a kötelezettség nem teljesítéséhez vagy esetleg a fenyegetés kialakulásához vezettek,

d) a c) pontban foglaltak és az érintett szervezet működésének ismert feltételei alapján a szükséges intézkedések végrehajtására irányuló intézkedési tervet készíteni,

e) azonnali intézkedéseket kezdeményezni úgy, hogy azok bevezetése nem lehetetleníti el az alaptevékenység ellátását, valamint azokról haladéktalanul értesíteni a hatóságot,

f) betartani a titoktartási kötelezettségre vonatkozó szabályokat,

g) a megtett intézkedésekről a hatóságnak folyamatosan beszámolni, a beszámolóban számot kell adni a megtett intézkedésekről, a biztonsági követelmények teljesüléséről, az elektronikus információbiztonság fejlődéséhez szükséges további intézkedésekről, valamint

h) a megbízatásának megszűnésekor összefoglaló beszámolót készíteni a működéséről, ideértve a megtett intézkedéseket és azok eredményét, és a javasolt további intézkedéseket, amely elfogadásáról a hatóság dönt.

11. * 

28. § * 

12. A hatóságra vonatkozó vegyes rendelkezések

29. § (1) *  Az elektronikus információbiztonsági szabályok érvényesülésének biztosítására az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt szerv és a hatóság, valamint az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központ kölcsönösen tájékoztatják egymást az európai vagy hazai létfontosságú rendszerek és rendszerelemek kapcsán feltárt, az elektronikus információbiztonságot érintő megállapításaikról.

(2) Az (1) bekezdés szerinti tájékoztatást haladéktalanul meg kell tenni, ha annak tárgya az elektronikus információbiztonságot fenyegető veszélyforrást tár fel, vagy biztonsági eseményre utal. Az értesítés alapján az érintett szervezetek a hatáskörükbe tartozó intézkedést – egymással koordinálva – azonnal megkezdik.

12/A. *  Az elektronikus információs rendszerek biztonságáért felelős egyedüli kapcsolattartó pont

29/A. § *  (1) A hatóság ellátja az Irányelv szerinti egyedüli kapcsolattartó pont feladatait, amelynek keretében

a) biztosítja a hatóságok és az érintett EGT tagállamok hatóságai között folytatott együttműködést,

b) *  együttműködik az Irányelvnek való megfelelés vizsgálata érdekében az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központtal, valamint az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 6/B. § (3) bekezdése szerinti hatósággal,

c) az Irányelvnek megfelelően azonosított alapvető szolgáltatásokat nyújtó szolgáltatók elektronikus információs rendszerei esetében a megfelelés vizsgálatával összefüggő adatokat, valamint a vizsgálat eredményét megküldi az Európai Bizottság részére,

d) tájékoztatja az érintett tagállamokat az azonosított alapvető szolgáltatásokat nyújtó és a bejelentés-köteles szolgáltatást nyújtó szolgáltatók elektronikus információs rendszereiben bekövetkezett biztonsági eseményről, ha a biztonsági esemény jelentős zavart okozott a szolgáltatás nyújtásában, illetve az Európai Unió e feladatra létrehozott Együttműködési csoportjával (a továbbiakban: Együttműködési csoport) részére összefoglaló jelentést küld e biztonsági eseményekről,

e) együttműködik a magyar és a nemzetközi hálózatbiztonsági szervekkel, különösen Együttműködési csoporttal és az Irányelv által létrehozott CSIRT-ek hálózatával,

f) szükség szerint konzultációt folytat és együttműködik a rendvédelmi szervekkel, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósággal.

(2) A nemzeti egyedüli kapcsolattartó pont az (1) bekezdés c) pontjában meghatározott tájékoztatás keretében az alábbi adatokat küldi meg az Európai Bizottság részére:

a) az alapvető szolgáltatásokat nyújtó szereplők azonosítását lehetővé tevő nemzeti intézkedések,

b) a kritikus társadalmi, gazdasági tevékenységek fenntartásához nyújtott alapvető szolgáltatások jegyzéke,

c) az alapvető szolgáltatásokat nyújtó szereplők száma, valamint az érintett ágazat szempontja szerinti jelentőségük,

d) az adott szolgáltatásra támaszkodó felhasználók száma, vagy az alapvető szolgáltatásokat nyújtó gazdasági szereplő ellátási szintje, valamint

e) az eseménykezelő központok hatásköréről, és a biztonsági események kezelésére szolgáló eljárásról szóló tájékoztatás.

13. Záró rendelkezések

30. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – a kihirdetését követő harmadik napon lép hatályba.

(2) A 32. § a) pontja 2016. január 1-jén lép hatályba.

31. § *  Ez a rendelet

a) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-i (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek, valamint

b) a belső piaci szolgáltatásokról szóló, 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

32. § *  (1) Az egyedüli kapcsolattartó pont a 29/A. § (2) bekezdés a)–d) pontja szerinti információkat első alkalommal 2018. november 9-éig, ezt követően legalább kétévente megküldi az Európai Bizottság részére.

(2) Az egyedüli kapcsolattartó pont 2018. augusztus 9-ig, azt követően pedig évente egyszer köteles összefoglaló jelentést benyújtani az Irányelv szerinti együttműködési csoportnak az alapvető szolgáltatásokat nyújtó szolgáltatóktól, valamint a bejelentés-köteles szolgáltatóktól kapott bejelentésekről, és a jelentésnek tartalmaznia kell a bejelentések számát, a bejelentett biztonsági események jellegét, valamint a hozott intézkedéseket.

(3) *  A BM OKF első alkalommal 2018. október 31-éig, ezt követően legalább kétévente tájékoztatást nyújt az egyedüli kapcsolattartó pont részére a 29/A. § (2) bekezdése szerinti jelentéshez.

33. § *  (1) E rendeletnek az egyes kiberbiztonsági tárgyú és egyéb kormányrendeletek módosításáról szóló 375/2020. (VII. 30.) Korm. rendelettel módosított rendelkezéseit az egyes kiberbiztonsági tárgyú és egyéb kormányrendeletek módosításáról szóló 375/2020. (VII. 30.) Korm. rendelet hatálybalépésekor folyamatban lévő ügyekre is alkalmazni kell.

(2) A BM Országos Katasztrófavédelmi Főigazgatóság az egyes kiberbiztonsági tárgyú és egyéb kormányrendeletek módosításáról szóló 375/2020. (VII. 30.) Korm. rendelet hatálybalépését követő napon köteles a Nemzetbiztonsági Szakszolgálatnak átadni az európai vagy nemzeti létfontosságú rendszerelemmé a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény alapján kijelölt rendszerelemek elektronikus információs rendszereivel kapcsolatos adatokat és a folyamatban lévő eljárásokat.

1. melléklet a 187/2015. (VII. 13.) Korm. rendelethez * 

Az egyes jogszabálysértések esetében kiszabható bírság mértéke

A B C

1.

A jogszabálysértés megnevezése
A bírság legkisebb mértéke (Ft) A bírság legnagyobb mértéke (Ft)
2. regisztráció elmulasztása 50 000 100 000
3. adatváltozás bejelentésének elmulasztása 50 000 500 000
4. kockázatelemzés készítésének elmulasztása 200 000 500 000

5.
kockázatokkal arányos biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása
300 000

5 000 000

6.
kockázatelemzés és a szükséges biztonsági intézkedések biztonsági eseményt követő haladéktalan, egyéb esetben évente dokumentált felülvizsgálatának elmulasztása, a felülvizsgálat során feltárt hiányosságok alapján a szükséges módosítások végrehajtásának elmulasztása
200 000

2 000 000
7. biztonsági esemény bejelentésének elmulasztása 300 000 5 000 000

8.
hatóság végleges, végrehajtandó határozatában foglalt kötelezésének nem teljesítése
400 000

5 000 000