399/2020. (VIII. 12.) Korm. rendelet

a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról

A Kormány a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 290. § (1) bekezdés c) pontjában, az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény 88. § a) pontjában, a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény 437. § c) pontjában, valamint a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény 180. § (1) bekezdés a) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. § A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet (a továbbiakban: R.) 3. § (3) bekezdése a következő h) ponttal egészül ki:

(Az intézmény tevékenysége ellátásához, nyilvántartásai naprakész és biztonságos vezetéséhez a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket megvalósítja, és rendelkezik)

"h) olyan elektronikusdokumentum-hitelesítési, valamint digitális archiválási megoldással és eljárásokkal, amelyek biztosítják az elektronikus ügyfélcsatornák alkalmazása során létrejövő elektronikus dokumentumok és adatok valódiságát, valamint a valódiság hosszú távú fenntarthatóságát."

2. § (1) Az R. 5/A. §-a a következő (1a) bekezdéssel egészül ki:

"(1a) A tanúsítási eljárást a tanúsító szervezet és a vizsgáló laboratórium akkor végezheti, ha

a) a tanúsító szervezet rendelkezik

aa) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves e rendelet szerinti tanúsítási tapasztalattal és referenciával,

ab) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves e rendelet szerinti tanúsítási tapasztalattal és referenciával,

b) a tanúsító szervezet rendelkezik a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: 910/2014/EU rendelet) szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó,

ba) 10 milliárd forintot el nem érő mérlegfőösszegű vizsgált intézmény esetén legalább igazolt megkezdett akkreditációs eljárással,

bb) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves akkreditált státuszt igazoló okirattal,

bc) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves akkreditált státuszt igazoló okirattal, és

c) a tanúsító szervezet rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek, a 910/2014/EU rendelet szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek mindegyikének hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó referenciával."

(2) Az R. 5/A. § (13) bekezdése helyébe a következő rendelkezés lép, és a § a következő (14)-(18) bekezdéssel egészül ki:

"(13) A tanúsítási eljárás során az eljárás lefolytatását végző személyeknek rendelkezniük kell személyi biztonsági tanúsítvánnyal. A tanúsítási eljárás során az eljárás lefolytatását végző személy tudomására jutott adatok - így különösen a személyes adatok vagy üzleti titkot tartalmazó adatok - megismerése és felhasználása a tanúsítási eljárás lefolytatása és dokumentálása szabályainak betartásával tehető meg.

(14) A tanúsító szervezet és a vizsgáló laboratórium csak az MNB felé benyújtott vizsgálati és tanúsítási módszertan, illetve módszertanok alapján végezheti a tanúsítási eljárásokat.

(15) A tanúsító szervezetnek és a vizsgáló laboratóriumnak a tanúsítás lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal kell rendelkeznie, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereikből, a levelezésekből, archív mentésekből. A tanúsító szervezet és a vizsgáló laboratórium csak az MNB felé benyújtott törlési eljárásrend és megoldások esetében végezheti a tanúsítási eljárásokat.

(16) A tanúsító szervezet és a vizsgáló laboratórium az éles rendszerek sérülékenységvizsgálata során csak olyan rendszert használhat, amely garantálja, hogy az adatforgalom a vizsgálat lezárása után is teljeskörűen megismerhető, és bizonyítható legyen, hogy a vizsgálat során milyen éles rendszerekben milyen adatokhoz, szolgáltatásokhoz fért hozzá a vizsgálatot végző szervezet.

(17) A tanúsító szervezet és a vizsgáló laboratórium csak olyan biztonságos kommunikációs eszközöket, szoftvereket és csatornákat használhat az érintett szervezetekkel az eljárás lefolytatása során, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét.

(18) A tanúsító szervezet és a vizsgáló laboratórium csak olyan verifikált és validált, az akkreditációja során elfogadott szoftvermegoldásokat és -rendszereket használhat az eljárás során, amelyek biztosítják az értékelési döntések szakszerűségét."

3. § Az R. 5/B. §-a a következő t) ponttal egészül ki:

[Az informatikai rendszer megfelel a Hpt. 67/A. § (1) bekezdésében, a Bszt. 12. § (12)-(14) bekezdésében, az Fsztv. 12/A. §-ában és a Bit. 94. § (4)-(6) bekezdésében foglalt, a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha]

"t) a szervezet által a távoli munkavégzés és digitális ügyfélkiszolgálás során alkalmazott rendszerek és megoldások garantálják az ügyféladatok, üzleti adatok és személyes adatok hitelességét, a hitelesség hosszú távú fenntarthatóságát, valamint az adatok biztonságos és zárt kezelését."

4. § Az R. a következő 7. §-sal egészül ki:

"7. § A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról szóló 399/2020. (VIII. 12.) Korm. rendelet (a továbbiakban: Módr.) hatálybalépésének napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet, valamint a nyilvántartásba vett és működő vizsgáló laboratórium a Módr. hatálybalépésétől számított 30 napon belül a Módr.-rel megállapított 5/A. § (13)-(18) bekezdésében foglaltak teljesülését igazolni köteles az MNB felé."

5. § Ez a rendelet a kihirdetését követő 30. napon lép hatályba.

Orbán Viktor s. k.,

miniszterelnök