42/2015. (III. 12.) Korm. rendelet
a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről
A Kormány
a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 290. § (1) bekezdés c) pontjában,
az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény 88. § a) pontjában,
a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény 437. § c) pontjában, valamint
a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény 180. § (1) bekezdés a) pontjában
kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. §[1] E rendelet hatálya
a) a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (a továbbiakban: Hpt.) szerinti hitelintézetre és pénzügyi vállalkozásra,
b) az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény (a továbbiakban: Fsztv.) szerinti pénzforgalmi intézményre, elektronikuspénz-kibocsátó intézményre és a Posta Elszámoló Központot működtető intézmény pénzforgalmi szolgáltatási és elektronikus pénzkibocsátási tevékenységére,
c) a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban: Bit.) szerinti biztosítóra és viszontbiztosítóra, valamint
d) a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (a továbbiakban: Bszt.) szerinti befektetési vállalkozásra és árutőzsdei szolgáltatóra
(a továbbiakban együtt: intézmény) terjed ki.
2. § (1) Az intézmény kialakítja a pénzügyi szolgáltatási, a kiegészítő pénzügyi szolgáltatási, biztosítási és viszontbiztosítási és az azzal közvetlenül összefüggő tevékenységének, a befektetési szolgáltatási tevékenységének és kiegészítő szolgáltatásának ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét, valamint gondoskodik az informatikai rendszer kockázatokkal arányos védelméről. A szabályozási rendszerben meg kell határozni az információ-technológiával szemben támasztott követelményeket, a használatából adódó biztonsági kockázatok felmérésére és kezelésére vonatkozó szabályokat az informatikai vállalatirányítás, a tervezés, a fejlesztés és a beszerzés, valamint az üzemeltetés, a monitorozás és független ellenőrzés területén.
(2) Az intézmény az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálja és aktualizálja.
(3) Az informatika alkalmazásából fakadó biztonsági kockázatok figyelembevételével az intézmény meghatározza a szervezeti és működési rendeket, a felelősségi, a nyilvántartási és a tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat.
3. § (1)[2] Az intézmény kiépíti az informatikai rendszere biztonságos működtetését felügyelő informatikai ellenőrző rendszert, és azt folyamatosan működteti, valamint gondoskodik a független informatikai biztonsági funkció kialakításáról.
(2) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról:
a)[3] a rendszer legfontosabb elemeinek - különösen eszközök, folyamatok, személyek, szolgáltatások, adatkapcsolatok - egyértelmű és visszakereshető azonosításáról,
b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljeskörűségét biztosító ellenőrzésekről, eljárásokról,
c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események),
d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza, alkalmas a naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, valamint lehetőséget nyújt a nem rendszeres események kezelésére is,
e)[4] az adatátvitel bizalmasságáról, sértetlenségéről és hitelességéről, a távadatátvitel során a felhasználók erős hitelesítéséről,
f) az adathordozók szabályozott és biztonságos kezeléséről, valamint
g) a rendszer biztonsági kockázattal arányos vírus- és más rosszindulatú program elleni védelméről.
(3) Az intézmény tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket megvalósítja, és rendelkezik
a) informatikai rendszerének működtetésére vonatkozó utasításokkal és előírásokkal, valamint a fejlesztésre vonatkozó tervekkel,
b) minden olyan dokumentációval, amely az üzleti tevékenységet közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését - még a szállító, valamint a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja,
c) a szolgáltatások ellátásához szükséges informatikai rendszerrel, valamint a szolgáltatások folytonosságát biztosító tartalék berendezésekkel, illetve e berendezések hiányában az ezeket helyettesítő egyéb - a tevékenységek, illetve szolgáltatások folytonosságát biztosító - megoldásokkal,
d) olyan informatikai rendszerrel, amely lehetővé teszi az alkalmazási környezet biztonságos elkülönítését a fejlesztési és a tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását,
e) az informatikai rendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan helyreállítási tervekkel, biztonsági mentésekkel és mentési renddel (mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), amelyek az adott rendszer helyreállíthatóságát a rendszer által nyújtott szolgáltatás kritikus helyreállítási idején belül lehetővé teszik,
f) jogszabályban meghatározott nyilvántartás ismételt előhívására alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat a jogszabályokban meghatározott ideig, de legalább öt évig, bármikor visszakereshetően, helyreállíthatóan megőrizzék, valamint
g) a szolgáltatásai folyamatosságát akadályozó rendkívüli események kezelésére szolgáló tervvel.
h)[5] olyan elektronikusdokumentum-hitelesítési, valamint digitális archiválási megoldással és eljárásokkal, amelyek biztosítják az elektronikus ügyfélcsatornák alkalmazása során létrejövő elektronikus dokumentumok és adatok valódiságát, valamint a valódiság hosszú távú fenntarthatóságát.
(4) A (3) bekezdés e) pontja szerinti mentéseket kockázati szempontból elkülönítetten és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférési védelméről.
4. § (1) Az intézménynél mindenkor rendelkezésre kell állnia
a) az általa fejlesztett, megrendelésére készített informatikai rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek,
b) az általa fejlesztett, megrendelésére készített informatikai rendszernél az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének,
c) az informatikai rendszer elemeinek az intézmény által meghatározott biztonsági osztályokba sorolási rendszerének,
d) az adatokhoz történő hozzáférési rend meghatározásának,
e) az adatgazda és a rendszergazda kijelölését tartalmazó dokumentumnak,
f) az alkalmazott szoftvereszközök jogtisztaságát bizonyító szerződéseknek, valamint
g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának.
(2) A szoftvereknek együttesen alkalmasaknak kell lenniük
a)[6] a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, az előírt intézkedések nyomon követésére és adatszolgáltatások végrehajtására,
b) a pénzeszközök és a pénzügyi eszközök biztonságos nyilvántartására,
c) az intézmény tevékenységével összefüggő országos informatikai rendszerekhez történő közvetlen vagy közvetett csatlakozásra, ideértve a pénzforgalmi számlák cégbíróság felé történő bejelentését is,
d) a tárolt adatok ellenőrzéséhez való felhasználására, valamint
e)[7] a biztonsági kockázattal arányos fizikai és logikai védelemre, valamint a sérthetetlenség védelmére.
(3)[8] Az intézmény folyamatosan biztosítja, hogy az elektronikus dokumentum megőrzése (archiválása) olyan módon történjen, amely védi az elektronikus dokumentumot a törlés, a megsemmisítés, a véletlen megsemmisülés, az utólagos módosítás és sérülés, valamint a jogosulatlan hozzáférés ellen. Ennek keretében az intézmény felelősséget vállal harmadik személy felé, hogy a zárt körű archiválást lehetővé tevő szoftver vagy informatikai megoldás a mindenkor hatályos jogszabályi rendelkezéseknek megfelel.
(4)[9] Az intézmény
a) az elévült követeléshez kapcsolódó, vagy
b)[10] az olyan kapcsolt, legfeljebb ötszázezer forint összegű hitelszerződésből eredő követeléshez kapcsolódó
papíralapú iratokat hiteles elektronikus irattá alakíthatja át.
(5)[11] A (4) bekezdés szerinti papíralapú iratok átalakítása során a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló kormányrendelet rendelkezései az irányadóak.
5. § Az intézmény a belső szabályzatában meghatározza az egyes munkakörök betöltéséhez szükséges informatikai ismeretet.
5/A. §[12] (1)[13] A Hpt. 67/A. §-ában, a Bszt. 12. §-ában, az Fsztv. 12/A. §-ában és a Bit. 94. §-ában meghatározott tanúsító szervezet (a továbbiakban: tanúsító szervezet) a Magyar Nemzeti Bank (a továbbiakban: MNB) által vezetett nyilvántartásba vételét követően kezdheti meg az e rendelet hatálya alá tartozó tevékenységét. Az MNB azt a szervezetet veszi kérelmére tanúsító szervezetként nyilvántartásba, amely a nyilvántartásba vételi eljárás során igazolja, hogy a következő feltételeket teljesítette:
a) a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló SZTFH rendelet szerinti "magas" megbízhatósági szintű kiberbiztonsági tanúsítvány kiállítására vonatkozó feltételeknek megfelelő megfelelőségértékelő szervezetként nyilvántartásba vette,
b) rendelkezik
ba) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves, e rendelet szerinti tanúsítási tapasztalattal és referenciával,
bb) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves, e rendelet szerinti tanúsítási tapasztalattal és referenciával, és
c) rendelkezik a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: 910/2014/EU rendelet) szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó,
ca) 10 milliárd forintot el nem érő mérlegfőösszegű vizsgált intézmény esetén legalább igazolt megkezdett akkreditációs eljárással,
cb) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves akkreditált státuszt igazoló okirattal,
cc) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves akkreditált státuszt igazoló okirattal.
(1a)[14]
(2) Az intézmény a tanúsítási eljárás lefolytatására az MNB nyilvántartásában (a továbbiakban: tanúsító szervezetek jegyzéke) szereplő tanúsító szervezet részére megbízást ad. A megbízás vonatkozhat több tanúsítási eljárás lefolytatására vagy tanúsítási eljárások folyamatos végzésére is. Az első tanúsítvány beszerzése érdekében az intézmény a tanúsító szervezetek jegyzékének közzétételét követő 60 napon belül - a szövetkezeti hitelintézetnek minősülő intézmény 2018. január 31. napjáig - köteles a tanúsító szervezettel megbízási jogviszonyt létrehozni, és a tanúsítási eljárást 2017. március 31. napjáig lezárni. A kiállított tanúsítványok érvényességi ideje egy év. Ezt követően az intézmény legkésőbb a tanúsítvány érvényességi idejének lejártát megelőző hat hónappal korábban köteles megbízást adni a tanúsító szervezet részére a tanúsítvány megújítása iránti eljárás lefolytatására. A tanúsító szervezet a tanúsítási eljárást olyan időpontban köteles megkezdeni, hogy a tanúsítási eljárás az intézmény tanúsítványának érvényességi ideje alatt lefolytatható legyen, beleértve az új tanúsítvány kiadását is.
(3) A tanúsító szervezetnek a tanúsítási eljárás során az 5/B. §-ban foglalt követelményeknek való megfelelést kell megvizsgálnia és szakértői jelentésében minősítenie az e bekezdés szerinti zártsági definíciók figyelembevételével. Az informatikai rendszer zárt, teljes körű, folytonos és kockázatokkal arányos védelmet biztosít a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából, az alábbi értelmezések mellett:
a) teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
b) folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem;
c) kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével azzal, hogy a védelem fenti általános elvárásai mellett az informatikai rendszer működtetésének teljes életciklusában folyamatosan teljesülnek az alábbiak:
ca) a jogosult általános (emberek és program entitások) és privilegizált (speciális jogokkal felruházott) felhasználók - így különösen rendszergazdák - kizárólag a szigorúan szabályozott szerepkörüknek megfelelően férhetnek a védendő információkhoz és az azokat kezelő rendszer elemeihez, kezdeményezhetnek aktivitásokat, valamint kizárólag meghatározott privilegizált felhasználók adhatnak szabályozott szerepkörüknek megfelelően és ellenőrzött módon hozzáférési jogosultságokat;
cb) a rendszer megfelelő műszaki és eljárásrendi megoldásokkal nyomon követi a védendő információk minden változtatását, melyek biztosítják, hogy még a jogosult általános és privilegizált felhasználók sem tudják törölni vagy módosítani a naplót vagy egyéb nyomon követést biztosító információkat;
cc) az informatikai rendszer összes külső interfésze szabályozott és kontrollált;
cd) a szabályozások és eljárások garantálják a rendszer biztonsági szintjének folyamatos fenntartását, a szoftverek frissítését, üzemeltetését.
(4) A tanúsító szervezet a (3) bekezdésben meghatározott vizsgálatának megkezdésekor kockázatelemzést készít, és ennek során meghatározza a kritikus üzleti funkciókat megvalósító rendszereket. A tanúsító szervezet a (3) bekezdésben meghatározott vizsgálatot kizárólag a kockázatelemzés során meghatározott informatikai rendszerek tekintetében végzi el.
(5) Amennyiben a tanúsító szervezet a vizsgált intézmény informatikai rendszerének kockázatokkal arányos védelmét biztosító eszközrendszerében hibát vagy hiányosságot észlel, a hiba vagy hiányosság pontos meghatározását tartalmazó jegyzőkönyvet ad át a vizsgált intézmény részére, melynek kijavítására megfelelő határidőt biztosít. A vizsgált intézmény a jegyzőkönyvben foglaltak szerint készített tevékenységi terve alapján a hiba kijavítását vagy a hiányosság pótlását a tanúsító szervezet által megjelölt határidőn belül elvégzi. A tanúsító szervezet a hiba kijavítását vagy a hiányosság pótlását a megadott határidő leteltét követően ellenőrzi és ennek eredményétől függően dönt annak elfogadásáról vagy a tevékenységi terv elvégzéséhez szükséges határidő meghosszabbításáról.
(5a)[15] A tanúsító szervezet a tanúsítási eljárás befejezését követően tájékoztatja az MNB-t a tanúsítási eljárás eredményéről. Amennyiben az átadott dokumentáció alapján az MNB a vizsgált intézmény informatikai rendszerének kockázatokkal arányos védelmét biztosító eszközrendszerében hibát vagy hiányosságot észlel, az intézménnyel szemben intézkedést alkalmazhat.
(5b)[16] Amennyiben a tanúsító szervezet az általánosan elfogadott szakmai standardok alapján és az eljárás során feltárt hibák - (5) bekezdésben meghatározottak szerinti - kijavítása ellenére nem látja lehetségesnek a tanúsítvány kiadását, akkor erről a teljes dokumentáció megküldésével egyidejűleg értesíti az MNB-t, aki ezt követően dönt a szükséges intézkedések megtételéről.
(6)[17] A tanúsító szervezet a tanúsítvány kiadásával egyidejűleg átadja a vizsgált intézmény részére a tanúsítás alátámasztásához szükséges dokumentációt. A tanúsító szervezet a tanúsítási eljárás lefolytatásáért és a tanúsítvány kiadásáért együttesen legfeljebb az alábbi összegű díjazást kérhet az intézménytől:
a) 10 milliárd forintot el nem érő mérlegfőösszeg esetén legfeljebb nettó 5 millió forint;
b) 10 és 1000 milliárd forint mérlegfőösszeg között legfeljebb nettó 25 millió forint;
c) 1000 milliárd forintot meghaladó mérlegfőösszeg esetén legfeljebb nettó 60 millió forint.
(7) Amennyiben a tanúsító szervezet által vizsgált informatikai rendszerre kiadott korábbi tanúsítvány érvényességi ideje az új tanúsítvány kiadása előtt járna le, a meglévő tanúsítvány érvényességi ideje az új tanúsítvány kiadásáig a tanúsító szervezet döntése alapján meghosszabbítható.
(8) Amennyiben a tanúsítvány érvényességi ideje azért jár le, mert az érintett intézmény az új tanúsítvány kiadása iránti tanúsítási eljárás lefolytatására a tanúsító szervezetnek nem vagy késedelmesen adott megbízást, az MNB az érintett intézménnyel szemben a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 75. §-ában foglalt intézkedéseket alkalmazhatja.
(9) A Hpt. 67/A. § (2) bekezdése, a Bszt. 12. § (13) bekezdése, az Fsztv. 12/A. § (2) bekezdése és a Bit. 94. § (5) bekezdése alkalmazásában az ügyfelek számát a pénzügyi intézmény, a biztosító és a viszontbiztosító, a befektetési vállalkozás és az árutőzsdei szolgáltató, továbbá a fizetési számlavezetésre engedéllyel rendelkező pénzforgalmi intézmény és elektronikuspénz-kibocsátó intézmény aktív ügyfeleinek előző naptári évre számított éves átlaga adja. Amennyiben a pénzügyi intézmény, a biztosító és a viszontbiztosító, továbbá a befektetési vállalkozás és az árutőzsdei szolgáltató az előző naptári évben nem működött, az ügyfelek számát az intézmény aktív ügyfeleinek tárgyévre számított éves átlaga adja.
(10) A tanúsító szervezet a tanúsítás során legfeljebb 25% mértékig jogosult alvállalkozót igénybe venni.
(11) A tanúsító szervezet a tanúsítási tevékenységének ellátása körében okozott kár megtérítéséért a Polgári Törvénykönyvről szóló törvény kártérítési felelősségre vonatkozó általános szabályai szerinti felelősséggel tartozik.
(12)[18] A tanúsító szervezetnek és az SZTFH által a tanúsító szervezet tevékenységében közreműködőként nyilvántartásba vett vizsgáló laboratóriumnak (a továbbiakban: vizsgáló laboratórium) szerepelnie kell az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban.
(13)[19] A tanúsítási eljárás során az eljárás lefolytatását végző személyeknek rendelkezniük kell személyi biztonsági tanúsítvánnyal. A tanúsítási eljárás során az eljárás lefolytatását végző személy tudomására jutott adatok - így különösen a személyes adatok vagy üzleti titkot tartalmazó adatok - megismerése és felhasználása a tanúsítási eljárás lefolytatása és dokumentálása szabályainak betartásával tehető meg.
(14)[20]
(15)[21]
(16)[22]
(17)[23]
(18)[24]
5/B. §[25] Az informatikai rendszer megfelel a Hpt. 67/A. § (1) bekezdésében, a Bszt. 12. § (12)-(14) bekezdésében, az Fsztv. 12/A. §-ában és a Bit. 94. § (4)-(6) bekezdésében foglalt, a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha
a) az élesüzemi rendszer elemei azonosíthatóak és dokumentáltak;
b) az élesüzemi rendszer üzemeltetési folyamatai szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek;
c) az élesüzemi rendszer változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhatnak meg;
d) az élesüzemi rendszer adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás a vonatkozó szabályzat szerinti gyakorisággal és dokumentáltan tesztelt;
e) az élesüzemi rendszerhez való végfelhasználói hozzáférés mind alkalmazási, mind pedig infrastruktúra szinten szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
f) az élesüzemi rendszerben felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, melyek biztosítják az üzleti folyamatok megvalósulását, továbbá a végfelhasználók tevékenysége naplózásra kerül és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
g) az élesüzemi rendszerhez hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek, továbbá a kiemelt jogosultságokkal elvégzett tevékenység naplózása megvalósul, a napló fájlok sérthetetlensége biztosított és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
h) az élesüzemi rendszerhez történő távoli hozzáférés szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
i) az élesüzemi rendszer vírus és más rosszindulatú programok elleni védelme biztosított;
j) az élesüzemi rendszer adatkommunikációs és rendszerkapcsolatai dokumentáltak és ellenőrzöttek annak érdekében, hogy az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosítható legyen;
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt;
l) a rendszerek és szolgáltatások beszerzése szabályozott, nyomon követett, és megfelel a biztonsági előírásoknak;
m) az élesüzemi rendszer karbantartása szabályozott, és megfelel a rendelkezésre állásra vonatkozó elvárásoknak;
n) az élesüzemi rendszer adathordozóinak védelme szabályozott, megfelelően korlátozott, és a korlátozásokat rendszeres felülvizsgálatokkal és ellenőrzésekkel is fenntartják;
o) az élesüzemi rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről;
p) az élesüzemi rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszer és a kommunikáció kellő szintű védelméről;
q) megfelelő szintű fizikailag védett környezetet biztosítanak az élesüzemi rendszer számára;
r) a szervezet detektálja és kezeli az egyes biztonsági eseményeket;
s) az élesüzemi rendszer üzemeltetésében és használatában részt vevő személyek rendszeres biztonságtudatossági oktatáson vesznek részt, valamint a szervezet dolgozóinak munkaügyi szabályozása megfelel a biztonsági előírásoknak.
t)[26] a szervezet által a távoli munkavégzés és digitális ügyfélkiszolgálás során alkalmazott rendszerek és megoldások garantálják az ügyféladatok, üzleti adatok és személyes adatok hitelességét, a hitelesség hosszú távú fenntarthatóságát, valamint az adatok biztonságos és zárt kezelését.
5/C. §[27] (1) Az MNB vezeti a tanúsító szervezetek jegyzékét. A jegyzékbe történő felvétel a tanúsító szervezet kérelmére történik, amennyiben a tanúsító szervezet megfelel az 5/A. § (1) bekezdésében meghatározott feltételeknek és a (4) bekezdés c) pontjában meghatározottak miatti törlésére a jegyzékbe vételre irányuló kérelmének benyújtását megelőző két éven belül nem került sor.
(2) A jegyzékbe vételre irányuló eljárásban az ügyintézési határidő 30 nap, amely határidő indokolt esetben egy alkalommal, legfeljebb 30 nappal meghosszabbítható. Ha az ügyfél az eljárás lefolytatása iránti kérelmet hiányosan nyújtotta be, az MNB a kérelmezőt harminc napon belül hiánypótlásra hívja fel. A jegyzékbe vételre irányuló eljárásra egyebekben a közigazgatási hatósági eljárás általános szabályairól szóló törvény rendelkezéseit a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvényben meghatározott eltérésekkel kell alkalmazni.
(3) A tanúsító szervezet a jegyzékbe vételét követő évtől kezdődően évente, az adott naptári év július 1-ig köteles nyilatkozattal igazolni, hogy a jegyzékbe vételi eljárásban igazolt feltételeknek változatlanul megfelel.
(4) Az MNB törli a jegyzékből a tanúsító szervezetet, ha
a) a tanúsító szervezet kéri a törlését,
b) a tanúsító szervezet jogutód nélkül megszűnik,
c) a tanúsító szervezet elmulasztja a (3) bekezdés szerinti nyilatkozattételi kötelezettségét vagy valótlan nyilatkozatot tesz.
(5) A tanúsító szervezetek jegyzéke tartalmazza:
a) a tanúsító szervezet megnevezését, székhelyét, levelezési címét,
b) a tanúsító szervezet törzsszámát,
c) a jegyzékbe való vétel időpontját,
d) a jegyzékből való törlés időpontját és okát.
(6) A tanúsító szervezet az (5) bekezdés a) pontjában bekövetkezett változást a változástól számított nyolc napon belül bejelenti az MNB-nek.
(7) A tanúsító szervezet jegyzékben szereplő adatait az MNB a tanúsító szervezet jegyzékből való törlését követően öt évig megőrzi.
6. § Ez a rendelet 2016. január 1-jén lép hatályba.
7. §[28] A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról szóló 399/2020. (VIII. 12.) Korm. rendelet (a továbbiakban: Módr.) hatálybalépésének napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet, valamint a nyilvántartásba vett és működő vizsgáló laboratórium a Módr. hatálybalépésétől számított 30 napon belül a Módr.-rel megállapított 5/A. § (13)-(18) bekezdésében foglaltak teljesülését igazolni köteles az MNB felé.
8. §[29] (1) A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról szóló 324/2023. (VII. 17.) Korm. rendelet (a továbbiakban: Módr2.) hatálybalépése napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet az 5/A. § (2) bekezdése szerinti tevékenység elvégzésére irányuló, fennálló szerződéseiről a Módr2. hatálybalépését követő 30 napon belül nyilatkozik az MNB felé.
(2) Az (1) bekezdés szerinti nyilatkozat tartalmazza
a) a megbízó azonosításához szükséges adatokat,
b) a szerződés aláírásának és hatálybalépésének időpontját és
c) a megbízás teljesítésének határidejét.
(3) A Módr2. hatálybalépésének napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet a Módr2. hatálybalépésétől számított 120 napon belül a Módr2.-vel megállapított 5/A. § (1) bekezdés a) pontjában foglaltak teljesülését az SZTFH által kiállított nyilvántartásba vételi határozattal igazolja az MNB felé.
(4) A tanúsító szervezet a (3) bekezdésben foglalt igazolási kötelezettsége teljesítéséig új tanúsítási eljárás lefolytatására vagy tanúsítási eljárások folyamatos végzésére irányuló megbízást nem fogadhat el.
(5) Azt a tanúsító szervezetet, amely a (3) bekezdésben foglalt igazolási kötelezettségének a (3) bekezdésben foglalt határidőn belül nem tesz eleget, az MNB törli a tanúsító szervezetek jegyzékéből.
Orbán Viktor s. k.,
miniszterelnök
Lábjegyzetek:
[1] Megállapította a 157/2016. (VI. 13.) Korm. rendelet 1. §-a. Hatályos 2016.07.01.
[2] Megállapította az 586/2020. (XII. 15.) Korm. rendelet 2. § (1) bekezdése. Hatályos 2021.06.30.
[3] Megállapította az 586/2020. (XII. 15.) Korm. rendelet 2. § (2) bekezdése. Hatályos 2021.06.30.
[4] Megállapította az 586/2020. (XII. 15.) Korm. rendelet 2. § (3) bekezdése. Hatályos 2021.06.30.
[5] Beiktatta a 399/2020. (VIII. 12.) Korm. rendelet 1. §-a. Hatályos 2020.09.11.
[6] Megállapította az 586/2020. (XII. 15.) Korm. rendelet 3. § (1) bekezdése. Hatályos 2021.06.30.
[7] Megállapította az 586/2020. (XII. 15.) Korm. rendelet 3. § (2) bekezdése. Hatályos 2021.06.30.
[8] Beiktatta az 586/2020. (XII. 15.) Korm. rendelet 4. §-a. Hatályos 2021.06.30.
[9] Beiktatta az 586/2020. (XII. 15.) Korm. rendelet 4. §-a. Hatályos 2021.06.30.
[10] Megállapította az 551/2022. (XII. 22.) Korm. rendelet 1. §-a. Hatályos 2023.01.01.
[11] Beiktatta az 586/2020. (XII. 15.) Korm. rendelet 4. §-a. Hatályos 2021.06.30.
[12] Beiktatta a 157/2016. (VI. 13.) Korm. rendelet 2. §-a. Hatályos 2016.07.01.
[13] Megállapította a 324/2023. (VII. 17.) Korm. rendelet 1. §-a. Hatályos 2023.07.20.
[14] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[15] Beiktatta a 358/2016. (XI. 23.) Korm. rendelet 1. §-a. Hatályos 2016.11.26.
[16] Beiktatta a 358/2016. (XI. 23.) Korm. rendelet 1. §-a. Hatályos 2016.11.26.
[17] Megállapította a 460/2016. (XII. 23.) Korm. rendelet 1. §-a. Hatályos 2016.12.31.
[18] Megállapította a 324/2023. (VII. 17.) Korm. rendelet 2. §-a. Hatályos 2023.07.20.
[19] Megállapította a 399/2020. (VIII. 12.) Korm. rendelet 2. § (2) bekezdése. Hatályos 2020.09.11.
[20] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[21] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[22] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[23] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[24] Hatályon kívül helyezte a 324/2023. (VII. 17.) Korm. rendelet 4. §-a. Hatálytalan 2023.07.20.
[25] Beiktatta a 157/2016. (VI. 13.) Korm. rendelet 2. §-a. Hatályos 2016.07.01.
[26] Beiktatta a 399/2020. (VIII. 12.) Korm. rendelet 3. §-a. Hatályos 2020.09.11.
[27] Beiktatta a 157/2016. (VI. 13.) Korm. rendelet 2. §-a. Hatályos 2016.07.01.
[28] Beiktatta a 399/2020. (VIII. 12.) Korm. rendelet 4. §-a. Hatályos 2020.09.11.
[29] Beiktatta a 324/2023. (VII. 17.) Korm. rendelet 3. §-a. Hatályos 2023.07.20.