73/2013. (XII. 4.) NFM rendelet
az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés c) pontjában kapott felhatalmazás alapján, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
1. ÁNYK-űrlap benyújtás támogatási szolgáltatás: a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló kormányrendelet (a továbbiakban: SZEÜSZR.) szerinti szolgáltatás,
2. elektronikus űrlap: a SZEÜSZR. szerinti elektronikus adatbeviteli felület,
3. hatóság: a Nemzeti Elektronikus Információbiztonsági Hatóság,
4. hatósági nyilvántartás: a hatóság által vezetett, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 15. § (1) bekezdése szerinti adatokat tartalmazó nyilvántartás.
2. Hatósági nyilvántartásba vétel
2. § (1) Az Ibtv. 15. § (3) bekezdése szerinti adatközlési kötelezettséggel érintett szervezet (a továbbiakban: szervezet) az Ibtv. hatálya alá tartozó tevékenysége megkezdését megelőző 8 napon belül az adatközlési kötelezettségének a hatóság által az elektronikus tájékoztatás szabályai szerint közzétett elektronikus űrlap útján tesz eleget.
(2) Az (1) bekezdés szerinti űrlapot a szervezet a hatóság részére elektronikus úton az ÁNYK-űrlap benyújtás támogatási szolgáltatás igénybevételével küldi meg.
(3) A szervezet az adatközlési kötelezettségét a kitöltött elektronikus űrlapnak a hatóság elektronikus levelezési címére történő megküldésével is teljesítheti. Ez esetben az űrlapot elektronikus aláírással kell ellátni. Az elektronikus aláírásnál használt aláíró tanúsítvány csak olyan minősített vagy fokozott biztonságú elektronikus aláíró tanúsítvány lehet, amely megfelel az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről szóló kormányrendeletben meghatározott követelményeknek.
(4) Ha a szervezet nem rendelkezik a (3) bekezdés szerinti elektronikus aláírással, vagy az ÁNYK-űrlap benyújtás támogatási szolgáltatáshoz szükséges ügyfélkapu vagy hivatali regisztrációval, az elektronikus űrlapot kinyomtatva, kitöltve és a szervezet vezetője által aláírva postai úton küldi meg a hatóság részére.
(5) Az űrlap postai úton történő megküldése esetén a kitöltött, kinyomtatott és a szervezet vezetője által aláírt űrlapot a szervezet a postai szolgáltatásokról szóló jogszabály szerinti könyvelt küldeményként megküldi a hatóság postai címére, ezzel párhuzamosan a kitöltött űrlapot a postai úton beküldött űrlappal azonos tartalommal elektronikus formátumban is köteles megküldeni a hatóság elektronikus levélcímére.
3. § (1) A hatóság a beérkezett űrlapot és mellékleteit megvizsgálja, hogy azok tartalmilag és formailag megfelelnek-e az Ibtv. és a kapcsolódó jogszabályok követelményeinek.
(2) A hatóság az (1) bekezdésben lefolytatott vizsgálatot követően a bejelentett adatokat nyilvántartásba veszi, vagy hiánypótlást bocsát ki.
(3) A szervezet a hatóság részére korábban megküldött adataiban történt változás esetében a változást követő 8 napon belül a 2. §-ban meghatározottak szerint gondoskodik a megváltozott adatoknak a hatóság részére történő megküldéséről.
(4) A hatóság az (1) és (3) bekezdés szerint tett bejelentések nyilvántartásba vételéről - a szervezet által megjelölt kapcsolattartási módhoz igazodóan - elektronikus vagy postai úton értesíti a szervezetet.
4. § (1) A szervezet a 2. § (1) bekezdése szerinti adatközlése mellett az Ibtv. hatálya alá tartozó tevékenysége megkezdését megelőző 8 napon belül a hatósági nyilvántartásba vétel céljából a hatóság részére megküldi az informatikai biztonsági szabályzatát is (a továbbiakban: szabályzat), valamint - ha rendelkezésre áll - megküldi az Ibtv. 4. §-a szerinti biztonsági tanúsítvány másolatát is.
(2) A szabályzat és a biztonsági tanúsítvány másolatának megküldésére a 2. § és a 3. § rendelkezései irányadóak azzal, hogy azokat az erre rendszeresített űrlap mellékleteként kell megküldeni a hatóság részére.
5. § (1) A szervezet az Ibtv. hatálya alá tartozó tevékenységének befejezését - ide értve a szervezet jogutódlással vagy jogutódlás nélkül történő megszűnését is - a tevékenység befejezésének időpontját megelőző 8 napon belül köteles a 2. §-ban meghatározottak szerint bejelenteni a hatóság részére.
(2) A szervezet jogutódlással történő megszűnése esetében, vagy ha az (1) bekezdés szerinti tevékenységét másik szervezet veszi át, a jogutód vagy az átvevő szervezet a 2. § és a 4. § szerint jár el.
(3) Ha a hatóság jogszabályban meghatározott eljárása során szerez tudomást az (1) és (2) bekezdés szerinti eseményről, vagy a szervezet adataiban bekövetkezett adatváltozásról, hivatalból intézkedik a nyilvántartásban szereplő adatok helyesbítéséről.
(4) A (3) bekezdés esetén a hatóság külön nem értesíti a szervezetet az adatok nyilvántartásba vételéről.
6. § Az elektronikus űrlap mellékletei elektronikus úton - ide nem értve a telefaxot - történő beküldése érdekében a hatóság az általa elfogadott dokumentum formátumokat az elektronikus tájékoztatás szabályai szerint teszi közzé.
7. § Ha üzemzavar miatt a szervezetnek nincs lehetősége a 2-4. §-ban foglalt adatközlését elektronikus úton - ide nem értve a telefaxot - benyújtani a hatósághoz, az üzemzavar elhárításáig az űrlapot és annak mellékleteit a szervezet a 2. § (5) bekezdése szerint papír alapon, vagy elektronikus aláírással ellátva elektronikus adathordozón a postai szolgáltatásokról szóló jogszabály szerinti könyvelt küldeményként postai úton nyújtja be a hatósághoz.
3. Biztonsági események bejelentése és közzététele
8. § (1) A biztonsági események bejelentésére kötelezett szervezet (a továbbiakban: bejelentő szervezet) az érdekkörében felmerült vagy a tudomására jutott biztonsági eseményekről a bejelentést a hatóság részére a közigazgatási hatósági eljárásról és szolgáltatásról szóló törvény szerint írásbelinek minősülő elektronikus úton teszi meg.
(2) A bejelentő szervezet a minősített adatot tartalmazó bejelentést papír alapon teszi meg.
9. § (1) A hatóság jogosult - személlyel, szervezettel nem azonosítható módon - az elektronikus tájékoztatásra vonatkozó szabályok szerint közzétenni azokat az általa ismert biztonsági eseményeket, amelyek általános fenyegetést jelentenek a kiberbiztonságra. Ezzel egyidejűleg - személlyel, szervezettel nem azonosítható módon - közzéteheti mindazon rendelkezésre álló információkat is, amelyek a fenyegetés elhárítására szolgálnak.
(2) A hatóság a kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási és incidens-kezelési munkacsoportot - személlyel, szervezettel nem azonosítható módon - tájékoztathatja mindazon biztonsági eseményekről, és azok értékeléséről, amelyek a munkacsoport tagjainak védelmi felkészültségét növelik.
(3) Ha a hatósághoz bejelentett vagy a tudomására jutott biztonsági eseményről egyértelműen megállapítható, hogy az személyes adatokat, vagy azok bizalmasságát sértette, a hatóság jogszabályban meghatározott tájékoztatási kötelezettsége mellett a Nemzeti Adatvédelmi és Információszabadság Hatóságot is értesíti a bejelentésről.
4. Záró rendelkezések
10. § Ez a rendelet a kihirdetését követő napon lép hatályba.
11. § Az a szervezet, amely az Ibtv. hatálya alá tarozó tevékenységet az e rendelet hatálybalépése előtt kezdte meg, a 2. § és a 4. § szerinti adatközlésnek az e rendelet hatálybalépésétől számított 60 napon belül köteles eleget tenni.
Németh Lászlóné s. k.,
nemzeti fejlesztési miniszter