301/2013. (VII. 29.) Korm. rendelet
a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat-és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés a)-d) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
1. adminisztrátori jogosultsággal rendelkező vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy rendszergazdai jogosultsággal rendelkezik, és az eljárás célja, hogy megfelelőségi listák alapján a teljes informatikai rendszer állapota ellenőrzésre kerüljön;
2. automatizált vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai rendszerének a sérülékenységei célszoftverek segítségével kerülnek feltérképezésre;
3. átlagostól jelentősen eltérő elektronikus információs rendszer: a biztonsági vizsgálattal érintett szervezet (a továbbiakban: érintett szervezet) elektronikus információs rendszere az átlagostól jelentősen eltér, ha:
a) a rendszer
aa) a külső internetes tartományban több mint 20 IP címen elérhető eszközzel,
ab) több mint 10 webes szolgáltatással,
ac) a belső hálózat tekintetében több mint 50 szerverrel,
ad) több mint 500 munkaállomással,
ae) több mint 5 vezeték nélküli hálózattal, vagy
af) több mint 500 fős felhasználói létszámmal
rendelkezik, vagy
b) az érintett szervezet több mint három telephelyen rendelkezik a vizsgálattal érintett elektronikus információs rendszerrel;
4. belső vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai rendszerének sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik;
5. célszoftverek: a biztonsági vizsgálati eljárás során a sérülékenységvizsgálat egyes fázisainak végrehajtására kifejlesztett szoftverek;
6. emberi tényezőkön alapuló vizsgálat: a dolgozók általános informatikai felkészültségének, és a szervezetnél használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata;
7. felhő alapú számítástechnikai szolgáltatás: olyan szolgáltatás, amelyet a szolgáltató a felhasználó számára nem egy erre a célra rendelt hardvereszközön, hanem a saját eszközein elosztva, az üzemeltetés részleteit elrejtve üzemelteti, és amelyet a felhasználók interneten keresztül érhetnek el;
8. hálózati végpont: adott informatikai rendszer hálózatához való csatlakozási pont;
9. kézi vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai rendszerének sérülékenységei a vizsgálatot végző személy által egyedileg, manuálisan összeállított lekérdezések alkalmazásával kerülnek feltérképezésre;
10. kritikus ügyviteli folyamat: olyan speciális tevékenységsor, amely az adott szervezet működését alapvetően befolyásoló folyamatokat tartalmaz, vagy kiesése az állampolgári jogok gyakorlását és kötelezettségek teljesítését ellehetetlenítheti;
11. külső vizsgálat: az informatikai rendszer internet felőli, külső sérülékenységvizsgálata, amelynek során az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre, valamint az elérhető számítógépek szolgáltatásainak, sebezhetőségének feltérképezésére kerül sor;
12. regisztrált felhasználói jogosultság nélküli vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy semmilyen előzetes információval nem rendelkezik a szervezet informatikai rendszeréről, és nincs felhasználói jogosultsága a rendszerhez;
13. regisztrált felhasználói jogosultsággal rendelkező vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a vizsgálatot végző személy a számára külön létrehozott felhasználói jogosultsággal végzi a vizsgálatot;
14. súlyos biztonsági esemény: olyan esemény, amely az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) hatálya alá tartozó szervek elektronikus információs rendszerei, vagy a kibertér tekintetében jogszabályban meghatározott mértékű, nagy kárt okoz;
15. titkosítási eljárás: olyan eljárás, amely az adat megismerhetőségét azáltal korlátozza, hogy az adat egy algoritmus segítségével átalakításra kerül olyan jelsorozattá, ami olvashatatlan azon személy számára, aki nem rendelkezik a visszaalakításhoz szükséges egyedi jelsorozatból álló kulccsal;
16. titkosítási kulcs: titkosítási eljárás során alkalmazott olyan jelsorozat, amelynek ismeretében a titkosított állomány megismerhető;
17. webes vizsgálat: olyan biztonsági vizsgálati eljárás, amely során automatizált és kézi vizsgálatok útján kerülnek feltárásra a webes alkalmazások sérülékenységei;
18. vezeték nélküli hálózat vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik;
19. 3G/GPRS vizsgálat: 3G/GPRS szolgáltatások sérülékenységvizsgálata, amelynek során a hálózatok és az elérhető szolgáltatások automatizált és kézi vizsgálati módszerrel történő feltárására kerül sor.
2. A hatóság eljárására vonatkozó általános rendelkezések
2. §[1] Az Ibtv. 14. § (1) bekezdése szerinti Nemzeti Elektronikus Információbiztonsági Hatóságként (a továbbiakban: hatóság) a Kormány az e-közigazgatásért felelős minisztert (a továbbiakban: miniszter) jelöli ki. A hatóság eljárásainak ügyintézési határideje hatvan nap, amelyet a hatóság vezetője indokolt esetben egy alkalommal, legfeljebb harminc nappal meghosszabbíthat.
3. § A hatóság az eljárását lezáró döntése meghozatala előtt az érintett szervezettel - ha ezt azonnali fenyegetés vagy biztonsági esemény, vagy az érintett szervezet ismételt jogsértő magatartása nem zárja ki - egyeztetést folytat le.
4. § (1) A hatóság eljárása során az Ibtv.-ben meghatározott feladatai ellátása érdekében - az intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett - helyszíni ellenőrzés keretében jogosult önállóan, a szakhatósággal, vagy más hatósággal együtt is:
a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni,
c) információtechnológiai műszaki vizsgálatokat végezni - ide nem értve a 15. § szerinti biztonsági események műszaki vizsgálatát - szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.
(2) A hatóság vezetője a helyszíni ellenőrzés elrendelése esetén a hatóság ellenőrzést ellátó munkatársa részére megbízólevelet állít ki. A megbízólevélnek tartalmaznia kell az ellenőrzés célját, tárgyát, az elrendelésre okot adó körülményeket, a jogszabályi hivatkozást, az ellenőrzés várható időtartamát, az ellenőrzés módját és az ellenőrzést végző személyek megnevezését.
(3) A helyszíni ellenőrzés elrendeléséről az érintett szervezet vezetőjét előzetesen írásban, az érintett szervezet elektronikus információs rendszereinek biztonságáért felelős személyt elektronikus úton a helyszíni vizsgálat megkezdése előtt értesíteni kell. Az értesítéshez mellékelni kell az ellenőrzést ellátó személy megbízólevelét.
(4) A (3) bekezdés szerinti értesítés mellőzhető, ha
a) súlyos fenyegetettség áll fenn,
b) súlyos biztonsági esemény történt,
c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy
d) az érintett szervezet a rendelkezésre álló adatok alapján a helyszíni ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.
(5) A helyszíni ellenőrzéssel érintett szervezet vezetője, minden - ideértve az Ibtv. 2. § (2) bekezdése szerinti szervezeteket és személyeket - munkatársa, és az elektronikus információs rendszer biztonságáért felelős személy az Ibtv. 12. § c) pontja alapján köteles a hatósággal együttműködni.
(6) A helyszíni ellenőrzésről a hatóság jegyzőkönyvet készít, amelyet az ellenőrzés lezárását követő nyolc napon belül az érintett szervezetnek írásban észrevételezésre megküld. Az érintett szervezet azzal kapcsolatban nyolc napon belül írásban tehet - a hatóságot nem kötelező - észrevételeket. Az észrevételek tisztázása érdekében a hatóság egyeztetést kezdeményezhet az érintett szervezettel.
5. § (1) A hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási cselekményt haladéktalanul - az ügy jellegének megfelelően a szakhatósággal, a kormányzati és ágazati eseménykezelő központtal, vagy az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt szervvel közösen - lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos információs rendszereket súlyosan veszélyeztető fenyegetés elhárítását szolgálja.
(2) A hatóság az Ibtv. 14. § (2) bekezdés d)-e) és n) pontjában, valamint az Ibtv. 15. § (1) bekezdés e) pontjában meghatározottak teljesítése érdekében az Ibtv. 2. § (2) bekezdése szerint érintett szervezetek által bejelentett, valamint a kormányzati eseménykezelő központ értesítése alapján tudomására jutott biztonsági eseményeket haladéktalanul megvizsgálja, és annak alapján megteszi a biztonsági esemény elhárítására irányuló intézkedéseket.
3. A hatóság feladatai
6. § (1) A hatóság
a) engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetését,
b) ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést,
c) ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését.
(2) A hatóság az Ibtv. 3. § (3) bekezdése szerint az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetés tekintetében engedélyezési eljárást folytat le, a 7. § (3) bekezdésében foglaltak kivételével.
Az eljárás során a hatóság megvizsgálja
a) az Európai Unió tagállamaiban történő adatkezelés indokát,
b) az Európai Unió tagállamaiban kezelt adatok és adatbázisok leírását,
c) azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e,
d) az adatkezelő rendszer technikai és technológiai - ideértve a hardver és szoftverkomponenseket is - leírását,
e) az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat,
f) a kötelezően lefolytatandó biztonsági rendszer felülvizsgálat eredményét,
g) a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot és
h) azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni.
(3) Nem kell a (2) bekezdés e)-g) pontja szerinti leírásokat megvizsgálni, ha az Ibtv. 4. §-a szerinti, érvényes biztonsági tanúsítvány a kérelem benyújtásakor rendelkezésre áll, és azt a hatóságnak bemutatják.
7. § (1) Az engedélyezésre irányuló kérelem tartalmazza a 6. § (2) és (3) bekezdése szerinti adatokat. A kérelmet a külföldön történő adatkezelés megkezdését megelőzően kilencven nappal kell benyújtani a hatóság részére. A 6. § (2) bekezdés b) és e)-f) pontja, és a 6. § (3) bekezdése szerinti dokumentációkat, okiratokat az eredetivel megegyező másolatban, és hiteles magyar fordításban a kérelem mellékleteként csatolni kell.
(2) Engedély hiányában a tevékenység nem kezdhető meg. Az engedély lejártát a benyújtott tanúsítványok érvényességi időtartamához igazodóan kell megállapítani.
(3)[2] Ha a külföldön végzett adatkezelésre vagy rendszerüzemeltetésre olyan nemzetközi szerződés alapján kerül sor, amelyben az állam az egyik szerződő fél, a hatóságot tájékoztatni kell az érintett adatokról, az adatfeldolgozó, vagy üzemeltető személyéről, és a szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás lefolytatása nélkül tudomásul veszi.
(4) Ha a hatóság tudomására jut, hogy az érintett szervezet - ide nem értve a (3) bekezdés szerinti tevékenységet -az adatkezelést, vagy üzemeltetést az Európai Unión, vagy az Ibtv. 3. § (1) bekezdése tekintetében Magyarországon kívül - ideértve a nem azonosítható adatkezelési, vagy jogszabály által kizárt helyszínen megvalósuló, felhő alapú számítástechnikai szolgáltatásokat is - folytatja, a hatóság a 17. § szerinti jogkövetkezményt alkalmazza.
8. § (1) A központi, valamint az európai uniós forrásból megvalósuló fejlesztési projektek információbiztonsági követelményeinek teljesítése során a projekt vezetője a projekt tervezési szakában a hatóság részére véleményezésre megküldi a vonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon dokumentációkat, amelyek alapján a biztonsági, és termékminősítési követelmények megvalósulása ellenőrizhető a projekt teljes életciklusára nézve, ideértve az átvétel, vagy teljesülés után az elektronikus információs rendszer használata során érvényesítendő elvárásokat is.
(2) A projekt mérföldköveinek figyelembevételével, az adott projekt szakasz zárását megelőző legkevesebb harminc nappal kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus információbiztonsági dokumentációt, hogy annak észrevételei, vagy kifogásai a projekt terveken, vagy a projekt tárgyán átvezethető és alkalmazható legyen.
(3) A hatvan napnál rövidebb időtartamú projektek esetén az (1) bekezdés szerinti dokumentációt legkésőbb a projekt befejezésekor kell a hatóság rendelkezésére bocsátani.
(4) A hatóság az (1)-(3) bekezdés szerinti dokumentumok tekintetében a szakhatóság véleményét kikéri.
9. § (1) Az elektronikus információs rendszerek biztonsági osztályba sorolásának ellenőrzése a hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.
(2) Ha a bejelentett biztonsági osztályba sorolást - ideértve az Ibtv. 8. § (5) bekezdése szerinti cselekvési tervet is -a hatóság elfogadja, az erre irányuló döntés a biztonsági osztályba sorolás későbbi önálló, vagy az érintett szervezet ellenőrzése során történő felülvizsgálatát nem zárja ki.
(3) Ha a hatóság az eljárása során az érintett szervezet által megállapított és bejelentett biztonsági osztályba sorolást felülbírálja, és magasabb biztonsági osztályt állapít meg, az Ibtv. 8. § (3) bekezdése szerinti határidő alkalmazása tekintetében a hatóság döntésének megfelelő szintet kell alapul venni.
(4) Ha a hatóság a bejelentett biztonsági osztályba sorolásnál alacsonyabb osztály alkalmazásának lehetőségét látja, arról az érintett szervezetnek javaslatot tesz.
(5) Ha az érintett szervezet a reá irányadó biztonsági osztály helyett alacsonyabb osztályt állapít meg, azt részletesen indokolnia kell.
10. § (1) Az érintett szervezet biztonsági szintbe sorolásának ellenőrzése a hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.
(2) Ha a bejelentett biztonsági szintbe sorolást - ideértve az Ibtv. 10. § (2) bekezdése szerinti cselekvési tervet is -a hatóság elfogadja, az erre irányuló döntés a biztonsági szintbe sorolás későbbi önálló, vagy az érintett szervezet ellenőrzése során történő felülvizsgálatát nem zárja ki.
(3) Ha a hatóság az eljárása során az érintett szervezet által megállapított és bejelentett biztonsági szintbe sorolást felülbírálja, és magasabb biztonsági szintet állapít meg, az Ibtv. 10. § (3) bekezdése szerinti határidő alkalmazása tekintetében a hatóság döntésének megfelelő szintet kell alapul venni.
(4) Ha a hatóság a bejelentett biztonsági szintbe sorolásnál alacsonyabb szint alkalmazásának lehetőségét látja, arról az érintett szervezetnek javaslatot tesz.
(5) Ha az érintett szervezet a reá irányadó biztonsági szint meghatározás helyett alacsonyabb szintet állapít meg, azt részletesen indokolnia kell.
4. Az érintett szervezet egyes kötelezettségei
11. § (1) Az érintett szervezet - ha az elektronikus információs rendszer biztonságért felelős személy, szervezet kijelölése vagy az elektronikus informatikai biztonsági szabályzat elkészítése, az Ibtv.-ben meghatározott időn belül neki fel nem róható okból nem teljesül - az Ibtv. 26. § (3) bekezdésében meghatározott hatvan, vagy kilencven napon belül a hatóságot tájékoztatja a teljesítést akadályozó ok és a teljesítés határidejének megjelölésével.
(2) Az elektronikus információs rendszer biztonságáért felelős személy - ideértve az információbiztonsági szolgáltatást nyújtó vállalkozás tagjait és alkalmazottait is - az érintett szervezet igényeihez igazodva és annak rendelkezése szerint feladatát elláthatja
a) részmunkaidőben,
b) a vonatkozó szerződésben meghatározott időtartamban, vagy
c) több érintett szervezetnél.
(3) Az Ibtv. 12. § a) pontja szerinti tájékoztatás magában foglalja a vonatkozó munka-, megbízási vagy más szerződés másolatának hatóság részére való megküldését, amelyhez csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát.
(4) Az Ibtv. 11. § (3) bekezdésének alkalmazásában a szervezet vezetője nem mentesül a jogszabályban meghatározott azon kötelezettségek alól, amelyek a szervezet felett az információbiztonság tekintetében gyakorolt irányítási és ellenőrzési jogkörébe tartoznak.
(5) Az Ibtv. 11. § (4) bekezdése alapján az ágazati szabályzók rendelkezésre állása esetén ezeket szervezeti szinten alkalmazni kell. Ha a szakmai irányítást ellátó miniszter az ágazat, vagy az általa felügyelt központosított rendszer, vagy szolgáltatás tekintetében általános elektronikus információs rendszer biztonsági szabályozást ad ki, szervezeti szinten csak annyiban kell egyedi szabályokat létrehozni, amennyiben ezt az érintett szervezetre érvényes egyedi jellemzők megkövetelik.
(6) Az Ibtv. 2. § (2) bekezdése szerint érintett szervezet az Ibtv. 13. § (3) bekezdése szerinti biztonsági eseményt jogszabályban meghatározott módon, a biztonsági eseményre vonatkozó összes információ megadásával, dokumentum csatolásával azonnal bejelenti a hatóságnak.
(7) Nem kell bejelenteni a hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet saját hatáskörében, biztonsági rendszerének üzemszerű működésével el tudott hárítani, és amelyek jogszabályban meghatározottak szerinti csekély értékű kárt, vagy működésbeli kiesést nem okoztak.
(8) Az érintett szervezet a (6) és (7) bekezdés szerinti eseményekről technológiai naplót köteles vezetni, amely tartalmazza az esemény kapcsán tett intézkedéseket, és azok eredményét is.
5. A szakhatósági eljárás általános szabályai
12. § (1) A Nemzeti Biztonsági Felügyelet (a továbbiakban: szakhatóság) az Ibtv. 14. § (1) bekezdésében meghatározott hatóság szakhatóságaként, az Ibtv. hatálya alá tartozó szervezetek elektronikus információs rendszereinek, rendszerelemeinek sérülékenységvizsgálatát, valamint a biztonsági események adatainak műszaki vizsgálatát az Ibtv. 18. § a) pontjában foglaltak alapján a hatóság megkeresése vagy egyedi esetben felkérése esetén vizsgálja.
(2) A sérülékenységvizsgálati szakhatósági eljárás célja az esetleges biztonsági események bekövetkeztét megelőzően a szervezet elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása az elektronikus információs rendszerek, rendszerelemek védelmének és biztonságának megerősítése érdekében.
(3) A sérülékenységvizsgálati szakhatósági eljárás tárgya az adatok, információk kezelésére használt elektronikus információs rendszereknek, rendszerelemeinek, eszközöknek, eljárásoknak, és kapcsolódó folyamatoknak, valamint az ezeket kezelő személyek általános informatikai felkészültségének, és a szervezetnél használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata.
(4) A biztonsági események műszaki vizsgálatára vonatkozó szakhatósági eljárás célja, hogy a bekövetkezett biztonsági események kivizsgálása révén
a) feltárja a biztonsági esemény bekövetkeztének okait, körülményeit,
b) behatárolja a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
c) javaslatot tegyen a biztonsági esemény által okozott kár elhárítására, és
d) a bekövetkezett biztonsági eseményből levonható tanulságokról tájékoztassa a biztonsági eseménnyel érintett szervezeteket, a hatóságot és a kormányzati eseménykezelő központot annak érdekében, hogy a jövőben a biztonsági esemény bekövetkezése megelőzhető legyen.
6. A sérülékenységvizsgálati szakhatósági eljárás
13. § (1) A szakhatóság sérülékenységvizsgálati szakhatósági eljárását - az Ibtv. 14. § (2) bekezdés a) és b) pontjában meghatározott, az elektronikus információs rendszerek, rendszerelemek osztályba sorolásának és a szervezetek biztonsági szintjei megállapításának, valamint az ezekre vonatkozó, a jogszabályban meghatározott követelmények teljesülésének ellenőrzése érdekében - a hatóság kezdeményezi a szakhatóságnál.
(2) A szakhatóság a hatóságnál hatósági eljárás lefolytatását kezdeményezheti, ha a sérülékenységvizsgálati szakhatósági eljárás során azt állapította meg, hogy a megkeresésben megjelölt szerven kívül más szerv elektronikus információs rendszereinek, rendszerelemeinek sérülékenysége is felmerült.
(3) A sérülékenységvizsgálati szakhatósági eljárás során a szakhatóság sérülékenységvizsgálati szakhatósági eljárását megalapozó dokumentációban (a továbbiakban: szakhatósági dokumentáció) meghatározottak szerint az alábbi vizsgálatokat (a továbbiakban együtt: vizsgálat) végzi el:
a) külső vizsgálat,
b) webes vizsgálat,
c) belső vizsgálat,
d) vezeték nélküli hálózat vizsgálat,
e) 3G/GPRS vizsgálat és
f) emberi tényezőkön alapuló vizsgálat.
(4) A vizsgálat a (3) bekezdés a)-e) pontjában meghatározott irányultságok tekintetében három típusú jogosultsági fázist tartalmazhat:
a) regisztrált felhasználói jogosultság nélküli vizsgálat,
b) regisztrált felhasználói jogosultsággal rendelkező vizsgálat és
c) adminisztrátori jogosultsággal rendelkező vizsgálat.
(5) A sérülékenységvizsgálati szakhatósági eljárás ügyintézési határideje a (3) bekezdésben meghatározott vizsgálatok szerint:
a) külső vizsgálat esetén tizenöt nap,
b) webes vizsgálat esetén ötven nap,
c) belső vizsgálat esetén hetvenöt nap,
d) vezeték nélküli hálózat vizsgálat esetén tizenöt nap,
e) 3G/GPRS vizsgálat esetén harminc nap,
f) az emberi tényezőkön alapuló vizsgálat esetén harminc nap.
(6) A szakhatóság vezetője a szakhatósági eljárásra irányadó határidőt annak letelte előtt egy alkalommal legfeljebb harminc nappal meghosszabbíthatja, és erről az érintett szervezetet és a hatóságot értesíti.
(7) Amennyiben az érintett szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen eltér, és emiatt egyedi szakhatósági eljárás szükséges, az ügyintézési határidő további harminc nappal meghosszabbítható.
14. § (1) Az érintett szervezet köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a szakhatóság rendelkezésére bocsátani a hiánypótlási felhívásban foglaltak szerint, az értesítés kézhezvételétől számított tizenöt napon belül.
(2) Ha az eljárás során a tényállás tisztázása azt szükségessé teszi, a szakhatóság az érintett szervezetet nyilatkozattételre hívja fel. Ha az érintett szervezet a szakhatóság felhívására nem nyilatkozik, a szakhatóság a rendelkezésre álló adatok alapján dönt.
(3) A sérülékenységvizsgálati szakhatósági eljárás keretében a szakhatóság a (4) bekezdésben meghatározottak szerint folytatja le a vizsgálatot.
(4) A vizsgálatok előkészítése során a szakhatóság a szakhatósági dokumentációban rögzíti a feladatokat, célokat, a technikai és személyi feltételeket, a módszertant, az egyeztetések rendszerét, a vizsgálat várható befejezésének dátumát.
(5) A szakhatósági dokumentációt a szakhatóság megküldi az érintett szervezet részére. Az érintett szervezet a szakhatósági dokumentáció tartalmára a kézhezvételtől számított három munkanapon belül észrevételt tehet, amelynek elfogadásáról a szakhatóság dönt.
(6) A sérülékenységvizsgálati szakhatósági eljárás lezárásakor a szakhatóság sérülékenységvizsgálati szakhatósági állásfoglalást készít, és azt öt munkanapon belül megküldi az érintett szervezet és a hatóság részére.
(7) A sérülékenységvizsgálati szakhatósági eljárás lezárásaként kiadott elektronikus információs rendszereket érintő biztonsági vizsgálati szakhatósági állásfoglalás rendelkező része - a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (a továbbiakban: Ket.) 44. § (6) bekezdésében foglaltak mellett - tartalmazza:
a) a rövid-, közép- és hosszú távú intézkedésekre vonatkozó intézkedési tervet,
b) az a) pont szerinti intézkedések becsült idő- és költségigényét és
c) a szakhatósági eljárás költségeit.
(8) A szakhatósági állásfoglalás indokolása - a Ket. 44. § (6) bekezdésében foglaltak mellett - tartalmazza:
a) a sérülékenységvizsgálati szakhatósági eljárás módszertanának leírását,
b) a sérülékenységvizsgálati szakhatósági eljárás eredményeként a szakhatóság által feltárt sérülékenységek részletes technikai információit és
c) a szakhatóság által javasolt megoldásokat.
7. A biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárás
15. § (1) A szakhatóság a biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárását az Ibtv. 14. § (2) bekezdés e) pontjában, valamint az Ibtv. 18. § a) pontjában meghatározottak szerint a hatóság megkeresése alapján vagy egyedi esetben felkérésre végzi.
(2) A szakhatóság a hatóságnál hatósági eljárás lefolytatását kezdeményezheti, ha a biztonsági események adatainak műszaki vizsgálata során azt állapítja meg, hogy a felkérésben megjelölt szerven kívül más szerv biztonsági eseményei adatainak műszaki vizsgálata is indokolt.
(3) A biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárás ügyintézési határideje hatvan nap, amelyet a szakhatóság vezetője a határidő letelte előtt egy alkalommal legfeljebb harminc nappal meghosszabbíthat. A meghosszabbítás tényéről a szakhatóság az érintett szervezetet és a hatóságot értesíti.
(4) Az érintett szervezet köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat a szakhatóság rendelkezésére bocsátani a hiánypótlási felhívásban foglaltak szerint, az értesítés kézhezvételétől számított tizenöt napon belül.
(5) Ha az eljárás során a tényállás tisztázása azt szükségessé teszi, a szakhatóság az érintett szervezetet nyilatkozattételre hívja fel. Ha az érintett szervezet a szakhatóság felhívására nem nyilatkozik, a szakhatóság a rendelkezésre álló adatok alapján dönt.
8. Az ellenőrzési terv
16. § (1) Az éves ellenőrzési tervet a hatóság minden év november 30-áig állítja össze, a szakhatóság és a kormányzati, az ágazati eseménykezelő központok, és az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt szerv véleményének kikérésével.
(2)[3] A hatóság az ellenőrzési terv végrehajtását az aktuális évet követő év március 1-jéig értékeli.
(3) A hatóság vezetője az ellenőrzési tervben foglaltaktól - a szakhatósággal, a kormányzati eseménykezelő központtal, és ha az ügy jellege azt megkívánja, az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt szervvel egyeztetve - eltérhet, ha olyan azonnali ellenőrzéseket, vagy eljárásokat kell lefolytatnia, amelyek a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos elektronikus információs rendszereket fenyegető súlyos biztonsági események elhárítását szolgálják.
(4) A hatóság vezetője az ellenőrzési tervtől való eltérés okát az ellenőrzési terv értékeléséről szóló jelentésben bemutatja.
9. Jogkövetkezmények
17. § (1) A hatóság az információbiztonsági követelmények teljesülése érdekében - határidő kitűzése mellett - írásban szólítja fel az érintett szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény sértés megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, az elvárt intézkedés megtételére.
(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget.
(3) A bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának jogerőre emelkedését követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára.
(4) A hatóság a jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe:
a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát,
b) történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,
c) a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre,
d) az érintett szervezet magatartását, hatósággal való együttműködését és
e) az esemény egyedi, vagy ismételt jellegét.
10. Az információbiztonsági felügyelő
18. § (1)[4]
(2)[5] Információbiztonsági felügyelőként (a továbbiakban: felügyelő) az rendelhető ki, aki a kirendelést vállalja. A felügyelőnek a vezetői gyakorlatára előírt időtartamába beleszámítható a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 8. § (5) bekezdése szerinti munkavégzésre irányuló jogviszonyban szerzett közigazgatáson kívüli vezetői gyakorlat is. A felügyelő felett a munkáltatói jogokat a miniszter gyakorolja.
(3) A felügyelő egyidejűleg több érintett szervezethez is - ha a kirendelés indokai ezt lehetővé teszik - kirendelhető.
(4) A miniszter a megbízólevél kiállításával a felügyelőt határozott időtartamra rendeli ki az adott szerv elektronikus információbiztonsági tevékenységének felügyeletére. A kirendelés meghosszabbítását a hatóság vezetője kezdeményezheti a kirendelés idejének lejárta előtt, legfeljebb egy alkalommal, a folyamatban lévő intézkedések lezárásáig. A kirendelés időtartamának meghatározásakor figyelemmel kell lenni az érintett szervezet kötelezettségszegésének súlyára és a fenyegetés elhárításához szükséges védelmi intézkedésekre. A kirendelésről szóló megbízólevél megfelelően tartalmazza a 4. § (2) bekezdése szerinti adatokat, valamint a kirendelésről szóló javaslatban megfogalmazott indokokat.
(5) Felügyelőnek nem rendelhető ki az a személy, aki
a) az érintett szervezettel munkavégzésre irányuló jogviszonyban áll,
b) a kirendelést megelőző három évben az adott szervezettel munkavégzésre irányuló jogviszonyban állt,
c) a kirendeléskor, vagy a kirendelést megelőző három évben az adott szervezetnél rendszeres és tartós megbízási vagy vállalkozási jogviszonyban áll, vagy állt,
d) az adott szerv vezetőjének, gazdasági vezetőjének vagy alkalmazottjának hozzátartozója, e minőségének fennállása alatt,
e) az adott szervezet képviselője, e minőségének fennállása alatt, és annak megszűnésétől számított három évig, továbbá
f) az, akitől az adott helyzet tárgyilagos megítélése üzleti érdekeltségből vagy egyéb okból nem elvárható (elfogultság).
(6) A felügyelő kirendelésének megszűnésére a megbízólevélben meghatározott időtartam letelte előtt akkor kerülhet sor, ha
a) a kirendelés oka elhárult és a felügyelő összefoglaló beszámolóját a hatóság elfogadta, vagy
b) a felügyelőt a miniszter visszahívja.
(7) A felügyelőt a miniszter akkor hívja vissza, ha
a) a hatóság megállapítja, hogy az adott szervnél a felügyelőnek felróhatóan nem érvényesülnek a biztonsági követelmények, vagy
b) az (5) bekezdés szerinti, kizárásra okot adó körülmény merül fel, vagy a fennálló, a kizárásra okot adó körülmény a miniszter tudomására jut.
(8) A miniszter jogosult a (6) bekezdés b) pontja esetén új felügyelőt kirendelni.
(9) Az új felügyelő kirendelésére a hatóság vezetője tesz javaslatot.
(10) A felügyelő kirendelésének megszűnéséről a hatóság vezetője írásban haladéktalanul tájékoztatja az érintett szervezet vezetőjét.
19. § (1) A felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben
a) az adott szerv vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni,
b) az érintett szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába betekinteni, arról másolatot, kivonatot készíttetni,
c) az érintett szervezet valamennyi információtechnológiával kapcsolatos helyiségébe belépni,
d) azonnali intézkedést javasolni a szerv vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása),
e) intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében különösen az érintett szabályzatok felülvizsgálatát kezdeményezni,
f) előzetesen véleményezni a működéssel kapcsolatos elektronikus információbiztonságot is érintő intézkedéseket és
g) kifogással élni az érintett szervezet által az Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései tekintetében.
(2) A felügyelő köteles
a) az érintett szervezetnél megbízólevelét bemutatni,
b) figyelemmel kísérni megbízatásának időpontjától kezdve az adott szervnél a jogszabályokban foglalt biztonsági követelmények és eljárások megvalósulását, a jogszabályokban előírt feladatok ellátását,
c) feltárni azokat az okokat, amelyek a kötelezettség nem teljesítéséhez vagy esetleg a fenyegetés kialakulásához vezettek,
d) a c) pontban foglaltak és az érintett szervezet működésének ismert feltételei alapján a szükséges intézkedések végrehajtására irányuló intézkedési tervet készíteni a szerv részére,
e) azonnali intézkedéseket kezdeményezni úgy, hogy azok bevezetése nem lehetetleníti el az alaptevékenység ellátását, valamint azokról haladéktalanul értesíti a hatóságot,
f) betartani a titoktartási kötelezettségre vonatkozó szabályokat,
g) a megtett intézkedésekről a hatóságnak folyamatosan beszámolni - a beszámolóban számot kell adni a megtett intézkedésekről, a biztonsági követelmények teljesüléséről, az elektronikus információbiztonság fejlődéséhez szükséges további intézkedésekről,
h) a megbízatásának megszűnésekor összefoglaló beszámolót készíteni a működéséről, ideértve a megtett intézkedéseket és azok eredményét, és a javasolt további intézkedéseket, amely elfogadásáról a hatóság dönt.
11. Jogorvoslat
20. § (1) A hatóság határozatai ellen újrafelvételi eljárásnak nincs helye.
(2) A hatóság határozatainak felügyeleti jogkörben való visszavonására, módosítására nincs lehetőség.
12. A hatóságra vonatkozó vegyes rendelkezések
21. § (1) Az elektronikus információbiztonsági szabályok érvényesülésének biztosítására:
a) az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt szerv és a hatóság, valamint a szakhatóság, a kormányzati eseménykezelő központ kölcsönösen tájékoztatják egymást az Ibtv. személyi hatálya alá tartozó szervek, a létfontosságú rendszerelemek kapcsán feltárt, az elektronikus információbiztonságot érintő megállapításaikról,
b) a kormányzati eseménykezelő központ tájékoztatja a hatóságot az ágazatok közötti, a biztonsági események esetén követendő szabályokról és felelősségi körökről szóló tervezetéről, amellyel kapcsolatban a hatóság öt napon belül állást foglal.
(2) Az (1) bekezdés szerinti tájékoztatást haladéktalanul meg kell tenni, ha annak tárgya az elektronikus információbiztonságot fenyegető veszélyforrást tár fel, vagy biztonsági eseményre utal. Az értesítés alapján az érintett szervezetek a hatáskörükbe tartozó intézkedést - egymással koordinálva - azonnal megkezdik.
(3) A hatóság a Nemzeti Kiberbiztonsági Koordinációs Tanács részére éves jelentést készít, amely tartalmazza
a) az elvégzett ellenőrzések eredményét,
b) az Ibtv. alanyi és tárgyi hatálya tekintetében Magyarország kibertér biztonsági helyzetének értékelését és
c) a jelentéssel érintett időszak kiemelt eseményeit.
(4) A hatóság vezetője a Nemzeti Kiberbiztonsági Koordinációs Tanácsot eseti jelentésben tájékoztatja, ha olyan jelenséget, vagy folyamatokat észlel, amelyek Magyarország kiberbiztonsági helyzetére jelentős kihatással vannak.
(5) A hatóság az elektronikus információbiztonság növelése, a legjobb gyakorlatok elterjesztése, az információbiztonsági tudatosság növelése és az azonnali reagálás érdekében kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási, incidens-kezelési munkacsoportot működtet, amelynek tagjait a hatóság által felkért szervezetek, a szakhatóság és a kormányzati eseménykezelő központ delegálják. Az operatív munkacsoport célja a tagjait delegáló szervek és szervezetek biztonsági szintjének emelése, az azonnali információmegosztás, az egyes sérülékenységek, fenyegetések és incidensek korai felismerése és egységes, gyors, kormányzati szintű kezelése, a veszély, fenyegetés mielőbbi elhárítása, és az erre való felkészülés. A munkacsoport működését a tagok többsége által elfogadott Alapító Okirat, valamint szervezeti és működési szabályzat szabályozza.
13. Záró rendelkezések
22. § Ez a rendelet a kihirdetését követő napon lép hatályba.
23. § (1) Az Európai Unió más tagállamában végzett, jelen rendelet hatálybalépésekor folyamatban levő adatkezelési tevékenységet az érintett szervezetnek a hatóság felé a 6. § (2) bekezdése szerinti adattartalommal e rendelet hatálybalépésétől számított 60 napon belül be kell jelenteni.
(2) Ha az érintett szervezet e rendelet hatálybalépésekor az adatkezelést, vagy üzemeltetést az Európai Unión, vagy az Ibtv. 3. § (1) bekezdése tekintetében Magyarországon kívül - ideértve a nem azonosítható adatkezelési, vagy jogszabály által kizárt helyszínen megvalósuló, felhő alapú számítástechnikai szolgáltatásokat is - folytatja, azt a hatóság felé
a) a tevékenység helyszínének megnevezésével, az ott történő adatkezelés, rendszerüzemeltetés indokának bemutatásával,
b) a kezelt adatok és adatbázisok
leírásával e rendelet hatálybalépésétől számított 60 napon belül be kell jelentenie.
(3) A hatóság az érintett szervezetet - ha az a tevékenységét a (2) bekezdés szerinti bejelentéssel egyidejűleg nem szünteti meg - kötelezi annak megszüntetésére, valamint arra, hogy azonnal jelentse be mindazon intézkedéseket, amelyek biztosítják, hogy az adatok a későbbiekben sem juthatnak illetéktelenek tudomására.
(4) Az érintett szervezetnek a 8. § (1) és (2) bekezdése szerinti kötelezettségeit e rendelet hatálybalépésekor a még le nem zárt tervezési fázisban levő projekt szakaszok tekintetében kell teljesítenie.
(5) Ha a szervezet adatkezelési, vagy adatfeldolgozási tevékenységéhez, vagy az elektronikus információs rendszere üzemeltetéséhez az Ibtv. hatálybalépése előtt megkötött szerződés alapján közreműködőt vesz igénybe, a biztonsági követelmények teljesítéséről azt nyilatkoztatni, a nyilatkozatot a hatóság részére másolatban e rendelet hatályba lépését követő 90 napon belül megküldeni köteles.
Orbán Viktor s. k.,
miniszterelnök
Lábjegyzetek:
[1] Megállapította a 345/2014. (XII. 23.) Korm. rendelet 32. §-a. Hatályos 2015.01.01.
[2] Módosította a 221/2014. (IX. 4.) Korm. rendelet 748. §-a. Hatályos 2014.09.05.
[3] Megállapította a 345/2014. (XII. 23.) Korm. rendelet 33. §-a. Hatályos 2015.01.01.
[4] Hatályon kívül helyezte a 345/2014. (XII. 23.) Korm. rendelet 35. §-a. Hatálytalan 2015.01.01.
[5] Megállapította a 345/2014. (XII. 23.) Korm. rendelet 34. §-a. Hatályos 2015.01.01.