186/2015. (VII. 13.) Korm. rendelet

a központosított informatikai és elektronikus hírközlési szolgáltató információbiztonsággal kapcsolatos feladatköréről

A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés g) pontjában kapott felhatalmazás alapján,

az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában

a) központi szolgáltató: a jogszabály által kijelölt központosított informatikai és elektronikus hírközlési szolgáltató;

b)[1] szolgáltatások: jogszabályban meghatározott, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) hatálya alá tartozó elektronikus információs rendszerek felhasználói számára a központi szolgáltató által kötelezően vagy egyedi igény alapján biztosítandó központosított informatikai és elektronikus hírközlési szolgáltatások.

2. A központi szolgáltató feladatai

2. § A Kiberbiztonsági tv. 6. § (6) bekezdése és 19. §-a szerinti szolgáltatási tevékenysége keretében a központi szolgáltató[2]

a) kialakítja a szolgáltatások esetében az informatikai biztonsági irányítási rendszerét, aminek keretében

aa) kidolgozza a vonatkozó szabályzatokat az informatikai biztonsági irányítási rendszer működési követelményeinek megfelelően,

ab)[3] megismerteti az aa) alpont szerinti szabályzatokat a központi szolgáltató szolgáltatását igénybevevő szervezettel, amely a Kiberbiztonsági tv. 19. §-a szerinti szervezeti szintű informatikai biztonsági szabályokat az aa) alpont szerinti szabályzatokra figyelemmel dolgozza ki,

ac) rendszeresen felülvizsgálja az aa) alpont szerinti szabályzatokat,

ad) kidolgozza az aa) alpont szerinti szabályzatok módosításait, valamint

ae) ellenőrzi az aa) alpont szerinti szabályzatok megfelelő alkalmazását;

b) azonosítja és nyilvántartja

ba) a szolgáltatásokat,

bb) a szolgáltatások végfelhasználóit, az üzemeltető felhasználókat, valamint a szolgáltatás biztosításához igénybevett támogatókat és fejlesztőket (a továbbiakban együtt: felhasználók), továbbá a hozzáférési jogosultságaikat,

bc) a szolgáltatások biztosításához szükséges vagyonelemeket (hardver és szoftver elemek),

bd) a szolgáltatásokhoz kapcsolódó távoli hozzáféréseket,

be) az általa a szolgáltatások biztosításához igénybevett külső szolgáltatásokat, valamint

bf) a szolgáltatások c) pont ca) alpontjában meghatározott kritikusságát;

c) folyamatos kockázatkezelés keretében

ca) meghatározza és elemzi a szolgáltatások és az azokat biztosító vagyonelemek, valamint az igénybe vett külső szolgáltatások kritikusságát és fenyegetettségének mértékét,

cb) elvégzi a szolgáltatások kockázatértékelését,

cc) az egyes kockázati értékek alapján meghatározza a szolgáltatások biztosításához szükséges és a kockázatokkal arányos védelmi intézkedéseket,

cd) kidolgozza az alkalmazott védelmi intézkedések hatékonyságának mérési módszereit, valamint

ce) folyamatos felülvizsgálat keretében meggyőződik az alkalmazott védelmi intézkedések megfelelőségéről és szükség esetén új védelmi intézkedéseket vezet be;

d) az azonosítási és hozzáférés-kezelési tevékenysége körében

da) biztosítja a szolgáltatások igénybevételét az általa azonosított és nyilvántartott felhasználók, informatikai eszközök és kapcsolódó szolgáltatások számára,

db) a da) alpont szerinti felhasználói kör részére biztosítja a szolgáltatásokhoz való hozzáférési jogosultságot, valamint

dc) biztosítja a db) alpontban meghatározott jogosultságok szükség szerinti kiosztását, módosítását és visszavonását;

e) folyamatosan ellenőrzi a szolgáltatások biztonsági állapotát, amelynek keretében

ea) biztosítja a szolgáltatások nyújtásában használt vagyonelemek által létrehozott üzemi és biztonsági információk folyamatos gyűjtését,

eb) biztosítja az ea) alpontban meghatározott információk biztonsági szempontú elemzését, valamint

ec) azonosítja a biztonsági eseményeket és összegyűjti az azokkal kapcsolatos információkat;

f) folyamatosan biztosítja a szolgáltatások nyújtásában használt vagyonelemek biztonsági állapotának megfelelőségét, aminek keretében

fa) intézkedik a biztonsági események megelőzéséről, a bekövetkezett biztonsági események által okozott kár csökkentéséről, valamint

fb) az e) pont eb) alpontja szerinti elemzések alapján biztonságnövelő megelőző intézkedéseket vezet be;

g)[4] az elektronikus információs rendszereket érintő biztonsági események kezelése során

ga)[5] tájékoztatja a Kiberbiztonsági tv. 63. §-a szerinti, feladat- és hatáskörrel rendelkező kiberbiztonsági incidenskezelő központot az azonosított biztonsági eseményekről és fenyegetettségekről,

gb)[6] biztosítja a kiberbiztonsági incidens azonosításához, elemzéséhez és kezeléséhez szükséges, bizonyító erejű információkat a Kiberbiztonsági tv. 63. §-a szerinti, feladat- és hatáskörrel rendelkező kiberbiztonsági incidenskezelő központ részére, valamint

gc)[7] közreműködik a Kiberbiztonsági tv. 62. §-a szerinti kiberbiztonsági incidenskezelő központok által végzett kiberbiztonsági incidenskezelésben adatszolgáltatással, vizsgálat elvégzésével, illetve a Kiberbiztonsági tv. 62. §-a szerinti kiberbiztonsági incidenskezelő központok által elrendelt biztonságnövelő intézkedések végrehajtásával.

(2)[8] A központi szolgáltató (1) bekezdés szerinti tevékenysége keretében igénybe vehető norma szerinti alapszintű, norma feletti alapszintű és emelt szintű szolgáltatások körének meghatározása a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 341/2024. (XI. 14.) Korm. rendeletben foglaltak szerint történik.

(3)[9] A központi szolgáltató által e rendelet alapján nyújtott norma szerinti alapszintű, norma feletti alapszintű és emelt szintű szolgáltatások finanszírozására a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 341/2024. (XI. 14.) Korm. rendeletben meghatározottak irányadók.

2/A. §[10] A központi szolgáltató köteles az általa nyújtott szolgáltatások körében az azt igénylő ügyfelei számára biztosítani a korai figyelmeztető rendszerhez való kapcsolódást az ahhoz szükséges, a következő műszaki feltételek megteremtésével és fenntartásával:

a) a hálózati forgalom másolatának átadásával,

b) az internet felé menő, illetve onnan érkező hálózati forgalom SSL/TLS csatornáinak feloldása az SSL/TLS csatornák terminálásával vagy SSL/TLS átjáró megvalósításával,

c) a korai figyelmeztető rendszer működtetőjével az ügyfelek kapcsolódásának kialakítása érdekében.

3. A központi szolgáltató együttműködési kötelezettsége

3. §[11] A központi szolgáltató a szolgáltatások tekintetében, különösen a 2. § g) pontja szerinti tevékenysége keretében együttműködik

a)[12] a Kiberbiztonsági tv. 23. § (1) bekezdése szerinti hatósággal,

b)[13] a Kiberbiztonsági tv. 63. §-a szerinti eseménykezelő központokkal,

c)[14] a Kiberbiztonsági tv. felhatalmazása alapján az elektronikus információbiztonsággal kapcsolatban hatósági feladatok ellátására kijelölt szervezetekkel, valamint

d) a korai figyelmeztető rendszer működtetőjével.

4. § (1)[15] A központi szolgáltató - a Nemzeti Elektronikus Információbiztonsági Hatósággal, valamint a Kiberbiztonsági tv. 62. § (1) bekezdése szerinti kiberbiztonsági incidenskezelő központtal együttműködve - kidolgozza és szolgáltatási szerződésbe vagy általános szerződési feltételekbe foglalja a közszolgáltatási szerződésekben meghatározott információbiztonsági incidenskezelési feladatain kívül vállalt többlet-információbiztonsági és incidenskezelési szolgáltatásokat, továbbá meghatározza azok díjazását.

(2) A központi szolgáltató az (1) bekezdés szerinti szolgáltatási szerződésben vagy általános szerződési feltételekben szabályozza különösen

a) a szolgáltatásoknak az elektronikus információs rendszer biztonsági osztálya szerint előírt információbiztonsági védelme biztosításának feltételeit,

b) a szolgáltatások igénybevételének feltételeit,

c) a szolgáltatásokhoz kapcsolódó felelősségi rendet,

d) az információbiztonsági esemény bejelentésének rendjét, a bejelentés módját, az eseménykezeléshez kapcsolódó felelősséget, valamint

e) az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőre jogszabályban meghatározott egyéb feltételeket, szerződési kötelemként.

4. Záró rendelkezések

5. § (1) Ez a rendelet - a (2) bekezdésben meghatározott kivétellel - a kihirdetését követő harmadik napon lép hatályba.

(2) A 2. § a)-d) pontja és a 4. § 2016. március 1-jén lép hatályba.

6. §[16] E rendeletnek az egyes kormányrendeleteknek a központosított informatikai, elektronikus hírközlési és adatközponti szolgáltatások rendszerének felülvizsgálatához kapcsolódó módosításáról szóló 342/2024. (XI. 14.) Korm. rendelettel (a továbbiakban: Módr.) megállapított rendelkezéseit a Módr. hatálybalépésekor folyamatban lévő szolgáltatások teljesítése tekintetében is alkalmazni kell.

Orbán Viktor s. k.,

miniszterelnök