324/2023. (VII. 17.) Korm. rendelet
a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról
A Kormány a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény 290. § (1) bekezdés c) pontjában, az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény 88. § a) pontjában, a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény 437. § c) pontjában, a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény 180. § (1) bekezdés a) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. § A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet (a továbbiakban: Korm. rendelet) 5/A. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A Hpt. 67/A. §-ában, a Bszt. 12. §-ában, az Fsztv. 12/A. §-ában és a Bit. 94. §-ában meghatározott tanúsító szervezet (a továbbiakban: tanúsító szervezet) a Magyar Nemzeti Bank (a továbbiakban: MNB) által vezetett nyilvántartásba vételét követően kezdheti meg az e rendelet hatálya alá tartozó tevékenységét. Az MNB azt a szervezetet veszi kérelmére tanúsító szervezetként nyilvántartásba, amely a nyilvántartásba vételi eljárás során igazolja, hogy a következő feltételeket teljesítette:
a) a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló SZTFH rendelet szerinti "magas" megbízhatósági szintű kiberbiztonsági tanúsítvány kiállítására vonatkozó feltételeknek megfelelő megfelelőségértékelő szervezetként nyilvántartásba vette,
b) rendelkezik
ba) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves, e rendelet szerinti tanúsítási tapasztalattal és referenciával,
bb) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves, e rendelet szerinti tanúsítási tapasztalattal és referenciával, és
c) rendelkezik a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: 910/2014/EU rendelet) szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó,
ca) 10 milliárd forintot el nem érő mérlegfőösszegű vizsgált intézmény esetén legalább igazolt megkezdett akkreditációs eljárással,
cb) 10 és 1000 milliárd forint mérlegfőösszeg közötti vizsgált intézmény esetén legalább 1 éves akkreditált státuszt igazoló okirattal,
cc) 1000 milliárd forintot meghaladó mérlegfőösszegű vizsgált intézmény esetén legalább 2 éves akkreditált státuszt igazoló okirattal."
2. § A Korm. rendelet 5/A. § (12) bekezdése helyébe a következő rendelkezés lép:
"(12) A tanúsító szervezetnek és az SZTFH által a tanúsító szervezet tevékenységében közreműködőként nyilvántartásba vett vizsgáló laboratóriumnak (a továbbiakban: vizsgáló laboratórium) szerepelnie kell az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban."
3. § A Korm. rendelet a következő 8. §-sal egészül ki:
"8. § (1) A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Korm. rendelet módosításáról szóló 324/2023. (VII. 17.) Korm. rendelet (a továbbiakban: Módr2.) hatálybalépése napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet az 5/A. § (2) bekezdése szerinti tevékenység elvégzésére irányuló, fennálló szerződéseiről a Módr2. hatálybalépését követő 30 napon belül nyilatkozik az MNB felé.
(2) Az (1) bekezdés szerinti nyilatkozat tartalmazza
a) a megbízó azonosításához szükséges adatokat,
b) a szerződés aláírásának és hatálybalépésének időpontját és
c) a megbízás teljesítésének határidejét.
(3) A Módr2. hatálybalépésének napján a tanúsító szervezetek jegyzékében szereplő tanúsító szervezet a Módr2. hatálybalépésétől számított 120 napon belül a Módr2.-vel megállapított 5/A. § (1) bekezdés a) pontjában foglaltak teljesülését az SZTFH által kiállított nyilvántartásba vételi határozattal igazolja az MNB felé.
(4) A tanúsító szervezet a (3) bekezdésben foglalt igazolási kötelezettsége teljesítéséig új tanúsítási eljárás lefolytatására vagy tanúsítási eljárások folyamatos végzésére irányuló megbízást nem fogadhat el.
(5) Azt a tanúsító szervezetet, amely a (3) bekezdésben foglalt igazolási kötelezettségének a (3) bekezdésben foglalt határidőn belül nem tesz eleget, az MNB törli a tanúsító szervezetek jegyzékéből."
4. § Hatályát veszti a Korm. rendelet 5/A. § (1a) és (14)-(18) bekezdése.
5. § Ez a rendelet a kihirdetését követő 3. napon lép hatályba.
Orbán Viktor s. k.,
miniszterelnök