10/2024. (VIII. 8.) SZTFH rendelet

az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (3) bekezdés c) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § (1) E rendelet alkalmazásában IoT-eszköz az olyan, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) szerinti IKT-termék, amely jelátalakítás révén a környezettel kölcsönhatásba lép. A kölcsönhatás formája lehet[1]

a) érzékelés, amelynek során az IoT-eszköz a környezetről adatot gyűjt, illetve

b) beavatkozás, amely által a környezetben változás következik be.

(2) Az (1) bekezdés szerinti környezettel való kölcsönhatás megvalósulhat

a) alkalmazásprogramozási felület (a továbbiakban: API) által, amely biztosítja, hogy más számítástechnikai eszközök kommunikáljanak egy IoT-eszközzel az IoT-eszköz által biztosított alkalmazáson keresztül,

b) felhasználói felület által, amely biztosítja az IoT-eszköz és a felhasználó közötti közvetlen kommunikáció lehetőségét, vagy

c) hálózati kapcsolat által, amely biztosítja az IoT-eszköz elektronikus hírközlő hálózattal való kommunikációját adatok IoT-eszközre vagy IoT-eszközről történő közlése céljából vagy a hálózati felhasználói felület elérését.

(3) A (2) bekezdés c) pontja alkalmazása szempontjából a hálózati kapcsolatot lehetővé tévő interfészképesség magában foglalja mind a hardvert, mind az azt működtető és kiszolgáló szoftverkörnyezetet.

2. § (1) E rendeletet - a (2) és (3) bekezdésben foglalt kivétellel - az IoT-eszközök megfelelőségi önértékelésére és megfelelőségértékelésére (a továbbiakban együtt: értékelés) kell alkalmazni.

(2) Nem terjed ki e rendelet hatálya azoknak az IoT-eszközöknek az értékelésére, amelyekre vonatkozóan a Szabályozott Tevékenységek Felügyeleti Hatóságának elnöke külön rendeletben nemzeti kiberbiztonsági tanúsítási rendszert határozott meg.

(3) Az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszerének (a továbbiakban: tanúsítási rendszer) célja, hogy biztosítsa az állampolgárok, a gazdálkodó szervezetek és az állami szervek IoT-eszköz beszerzése során hozott döntéseinek támogatását és az eszközök összehasonlíthatóságát a tanúsítási rendszerben meghatározott megbízhatósági szintek alapján.

3. § (1)[2] A tanúsítási rendszer a Kiberbiztonsági tv. 40. § (1) bekezdése szerinti "alap", "jelentős" és "magas" megbízhatósági szintre vonatkozóan tartalmaz követelményeket.

(2) Ha európai uniós vagy magyar jogszabály eltérően nem rendelkezik, az IoT-eszköz forgalmazásának vagy használatának nem feltétele az, hogy az IoT-eszköz rendelkezzen jelen tanúsítási rendszer alapján kiadott nemzeti megfelelőségi nyilatkozattal vagy nemzeti kiberbiztonsági tanúsítvánnyal (a továbbiakban együtt: nemzeti tanúsítvány).

(3) A tanúsítási rendszer alapján "alap" megbízhatósági szinten megfelelőségi önértékelés végezhető.

(4)[3] A megfelelőségértékelő szervezet megfelelőségértékelést legfeljebb a Szabályozott Tevékenységek Felügyeleti Hatósága mint a Kiberbiztonsági tv. 45 § (1) bekezdés a) pontja szerinti nemzeti kiberbiztonsági tanúsító hatóság (a továbbiakban: tanúsító hatóság) által nyilvántartásba vett megbízhatósági szinten végezhet, a Kiberbiztonsági tv. szerinti gyártó (a továbbiakban: gyártó) megbízására.

4. § (1) A gyártó a nemzeti megfelelőségi önértékelési eljárást vagy a megfelelőségértékelő szervezet a megfelelőségértékelési tevékenységet akkor kezdheti meg, ha a gyártó által előállított, 1. melléklet szerinti dokumentumok rendelkezésre állnak. Az 1. melléklet szerinti dokumentumok mintáját a tanúsító hatóság honlapján közzéteszi.

(2) A nemzeti tanúsítvány akkor állítható ki egy adott megbízhatósági szintre, ha az értékelés tárgyát képző IoT-eszköz megfelel a 2. mellékletben az adott megbízhatósági szintre vonatkozóan meghatározott követelményeknek.

(3) A (2) bekezdés szerinti megfelelés - a 3. mellékletben meghatározott követelmények esetében sérülékenységvizsgálat elvégzésével - a 4. melléklet szerinti értékelési módszertan alapján lefolytatott vizsgálat alapján kiállított értékelési jelentés (a továbbiakban: értékelési jelentés) alapján igazolható.

(4) A (2) bekezdés szerinti megfelelés igazolására - a (3) bekezdés szerinti igazolási mód helyett - nemzetközi, európai vagy nemzeti szabvány alapján kiállított tanúsítvány nem fogadható el.

(5) A gyártó az 5. melléklet szerinti megfelelőségi nyilatkozatot, a megfelelőségértékelő szervezet a 6. melléklet szerinti nemzeti kiberbiztonsági tanúsítványt akkor állíthatja ki, ha az értékelési jelentés összesítetten megfelelt minősítésű.

(6) A gyártó a nemzeti megfelelőségi nyilatkozatot, valamint az 1. melléklet szerinti dokumentumokat és az értékelési jelentést a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon nyújtja be a tanúsító hatósághoz nyilvántartásba vételre.

(7) A megfelelőségértékelő szervezet a nemzeti kiberbiztonsági tanúsítványt, valamint az 1. melléklet szerinti dokumentumokat és az értékelési jelentést a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon nyújtja be a tanúsító hatósághoz nyilvántartásba vételre.

(8) A (6) és (7) bekezdés szerint nyilvántartásba vétel ügyintézési határideje 45 nap.

5. § (1) A nemzeti tanúsítvány érvényességi ideje (a továbbiakban: érvényességi idő) a kiállítás dátumától számított legfeljebb 365 nap.

(2) A gyártó a tanúsító hatóság határozatában megjelölt tartalommal köteles a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti címke mint megfelelőségi jelölés elhelyezésére az érvényességi idő végéig gyártott nemzeti tanúsítvánnyal rendelkező IoT-eszközön.

(3) A gyártó az érvényességi idő alatt folyamatosan és folytatólagosan minden IoT-eszközt érintő változás vonatkozásában biztonsági hatáselemzést végez, amelyben rögzíti

a) a változás dátumát,

b) a változást kiváltó okot,

c) azt, hogy a változás érinti-e a változást megelőzően gyártott IoT-eszközöket,

d) a változás elemeinek részletes leírását,

e) azt, hogy a változás mely kockázatokra van kihatással, és

f) azt, hogy a változás sérülékenységet kezel-e, vagy új biztonsági kontrollt vezet-e be.

(4) A (3) bekezdés alkalmazásában változásnak minősül minden olyan változás, amely befolyásolja az IoT-eszköz biztonsági állapotát, ideértve az új fenyegetések és sebezhetőségek megjelenését is.

(5) A gyártó az 1. melléklet szerinti megvalósítási dokumentumot az érvényességi idő alatt folyamatosan és folytatólagosan frissíti.

6. § (1) A gyártó - az (5) bekezdésben foglalt kivétellel - a tanúsító hatóság nyilvántartásában szereplő nemzeti megfelelőségi nyilatkozat érvényességének fenntartására irányuló kérelmet (a továbbiakban: fenntartási kérelem) nyújthat be a tanúsító hatóság felé - a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon - az érvényességi idő lejártát megelőző legkorábban 60 napon, de legkésőbb 30 napon belül.

(2) A fenntartási kérelemhez csatolni kell az 5. § (3) bekezdése szerinti biztonsági hatáselemzést, az 1. melléklet szerinti megvalósítási dokumentum 5. § (5) bekezdésének megfelelően frissített verzióját, és a kérelemben meg kell jelölni a kérelmezett új érvényességi időt, amely legfeljebb 365 nap.

(3) A fenntartási eljárás során a tanúsító hatóság ügyintézési határideje 30 nap.

(4) A tanúsító hatóság a fenntartási kérelemben feltüntetett érvényességi időtől eltérő, de legalább az eredeti érvényességi idő végétől számított 120 napos érvényességi időt állapíthat meg, ha nem állapítható meg az, hogy - a vizsgált IoT-eszközben bekövetkezett változások mellett - a vizsgált IoT-eszköz a nemzeti megfelelőségi nyilatkozat kiállításától kezdődően folytatólagosan teljesíti a tanúsítási rendszerben foglalt követelményeket, és biztosítja a biztonsági célok megvalósulását. Ha a fenntartási kérelemben megjelölt új érvényességi idő kevesebb, mint 120 nap, a tanúsító hatóság az új érvényességi időt a kérelemnek megfelelően állapítja meg.

(5) A (4) bekezdés szerinti esetben a gyártó az érintett IoT-eszköz vonatkozásában kiállított megfelelőségi nyilatkozatra újabb fenntartási kérelmet nem nyújthat be.

(6) A (4) bekezdés szerinti esetben, vagy ha az IoT-eszköz vonatkozásában kiállított megfelelőségi nyilatkozat érvényességi ideje lejárt, a gyártó az IoT-eszköz vonatkozásában a nemzeti megfelelőségi nyilatkozat megújítására irányuló kérelmet nyújthat be a tanúsító hatósághoz a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon.

(7) A (6) bekezdés szerinti kérelemhez csatolni kell a 4. § (1)-(4) bekezdése szerinti vizsgálat alapján, a 4. § (5) bekezdése szerint kiállított új megfelelőségi nyilatkozatot, az 1. melléklet szerinti dokumentumokat és az értékelési jelentést.

(8) A (6) bekezdés szerinti megújítási eljárás ügyintézési határideje 45 nap.

(9) A (6) bekezdés szerinti kérelem alapján a tanúsító hatóság által nyilvántartásba vett új megfelelőségi nyilatkozat érvényességének fenntartására az (1)-(4) bekezdés alkalmazandó.

7. § (1) A megfelelőségértékelő szervezet által kiállított nemzeti kiberbiztonsági tanúsítvány alapján nyilvántartásba vett IoT-eszköz tanúsítványa érvényességi idejének meghosszabbítása érdekében a gyártó a megfelelőségértékelő szervezet rendelkezésére bocsátja az érvényességi idő lejártát megelőző 60 napon belül az 5. § (3) bekezdése szerinti biztonsági hatáselemzést és az 1. melléklet szerinti megvalósítási dokumentum 5. § (5) bekezdésének megfelelően frissített változatát.

(2) A megfelelőségértékelő szervezet az (1) bekezdés szerinti dokumentumok vizsgálata alapján - ha a vizsgált IoT-eszközben bekövetkezett változások mellett az IoT-eszköz a nemzeti kiberbiztonsági tanúsítvány kiállításától kezdődően folytatólagosan teljesíti a tanúsítási rendszerben foglalt követelményeket, és biztosítja a biztonsági célok megvalósulását - az érvényességi idő lejártát megelőző legkésőbb 8 napon belül a lejáró tanúsítványt meghosszabbítja, azzal, hogy az új érvényességi idő nem haladhatja meg az eredeti érvényességi idő végétől számított 365 napot.

(3) Ha az (1) bekezdés szerinti dokumentumok alapján nem állapítható meg az, hogy a vizsgált IoT-eszköz a nemzeti kiberbiztonsági tanúsítvány kiállításától kezdődően folytatólagosan teljesíti a tanúsítási rendszerben foglalt követelményeket, és biztosítja a biztonsági célok megvalósulását, a megfelelőségértékelő szervezet a lejáró tanúsítványt azzal a feltétellel hosszabbíthatja meg, hogy az új érvényességi idő nem haladhatja meg az eredeti érvényességi idő végétől számított 90 naptári napot.

(4) A (3) bekezdés szerinti esetben az érintett IoT-eszköz vonatkozásában kiállított nemzeti kiberbiztonsági tanúsítvány érvényességi ideje a (3) bekezdés szerinti új érvényességi idő lejártát követően nem hosszabbítható meg, hanem annak megújítása kezdeményezhető.

(5) A gyártó az IoT-eszköz nemzeti kiberbiztonsági tanúsítványának megújítását a megfelelőségértékelő szervezetnél a (3) bekezdés szerinti esetben vagy akkor kezdeményezheti, ha a nemzeti kiberbiztonsági tanúsítvány érvényességi ideje lejárt.

(6) A megfelelőségértékelő szervezet a megújítás keretében az IoT-eszközre vonatkozóan - a 4. § (1)-(4) bekezdése szerinti vizsgálat alapján, a 4. § (5) bekezdése szerint - kiállított új nemzeti kiberbiztonsági tanúsítványt, továbbá az 1. melléklet szerinti dokumentumokat és az értékelési jelentést a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon nyilvántartásba vételre benyújtja.

8. § A nemzeti tanúsítvány érvényességi idejét nem érinti, ha az érvényességi idő alatt az IoT-eszköz tekintetében a 2. § (2) bekezdése szerint új nemzeti kiberbiztonsági tanúsítási rendszer kerül meghatározásra, de ezt követően az IoT-eszköz nemzeti tanúsítványának érvényességi ideje nem hosszabbítható meg, arra fenntartási kérelem nem nyújtható be, és a nemzeti tanúsítvány nem újítható meg.

9. § Ez a rendelet a kihirdetését követő 3. napon lép hatályba.

10. § E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént.

Dr. Nagy László s. k.,

elnök

1. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Dokumentációs követelmények

1. IoT-eszköz azonosító dokumentum

1.1. A megfelelőségi önértékelés vagy megfelelőségértékelési vizsgálat alá vont IoT-eszköz (a továbbiakban: VE) azonosítására szolgáló információkat tartalmazó dokumentum, amely a lehető legrészletesebb információkat tartalmazza a vizsgálat tárgyáról, kiemelten a verziószámok és a konfigurációs lehetőségek tekintetében.

1.2. Az azonosító dokumentum minimális tartalmi elemei:

a) Vizsgált termék megnevezése

b) Márka megjelölése

c) Kereskedelmi forgalomban használt név

d) Modellazonosító

e) Hardverkonfiguráció (beleértve a kiadási számot és a sorozatszámot)

f) Futtatókörnyezet vagy operációs rendszer

g) Firmware verzió gyári állapotban

h) Gyártó adatai:

ha) megnevezése

hb) rövid neve

hc) székhelye

hd) telefonszáma

he) e-mail-címe

hf) kapcsolattartó személy adatai: neve, állampolgársága, telefonszáma, e-mail-címe

i) A VE tervezett éves gyártási darabszáma

j) Annak megjelölése, hogy a vizsgált eszköz mely kereskedelmi piacokon kerül értékesítésre várhatóan a következő 1 évben:

ja) csak Magyarország

jb) EU-tagállamok (ha nem a teljes EU területén, akkor a tagállamok felsorolása) vagy

jc) egyéb

k) Annak megjelölése, hogy a vizsgálat milyen megbízhatósági szintnek megfelelően történik: alap/jelentős/magas

2. Megvalósítási dokumentum

2.1. A megvalósítási dokumentum (a továbbiakban: MD) az 1. pont szerint azonosított IoT-eszköz megvalósítása során alkalmazott, a 2. melléklet szerinti követelmények értékelése szempontjából lényeges, részletes információkat tartalmazza.

2.2. Az MD minimális tartalmi elemei

2.2.1. MD 1-UserInfo: Felhasználói információk

Az MD felsorolja a dokumentációkat, kiadványokat és a felhasználóknak nyújtott információkat. Ide sorolandó mind a gyártó weboldala és a megfelelő URL, a felhasználói kézikönyv vagy a beépített súgó. A lista a következő egymástól független funkciók, mechanizmusok működése kapcsán elérhető információkat tartalmazza:

2.2.2. MD 2-SecDev: Biztonságos fejlesztési folyamatok

Az MD felsorolja az összes biztonságos fejlesztési folyamatot, amelyet a gyártó a VE-re vonatkozóan végrehajtott vagy végrehajtatott. Az MD a következő bejegyzéseket tartalmazza:

2.2.3. MD 3-VulnTypes: Releváns sebezhetőségek

Az MD felsorolja az összes olyan típusú sebezhetőséget, amely a VE szempontjából lényeges. Az MD a következő bejegyzéseket tartalmazza:

2.2.4. MD 4-Conf: Nyilatkozatok

Az MD felsorolja a folyamatok létrehozására vonatkozó nyilatkozatokat. Az MD a következő, egymástól független bejegyzéseket tartalmazza, amelyek kapcsán egyértelmű IGEN vagy NEM válaszokat kell jelölni.

2.2.5. MD 5-VulnMon: Sebezhetőség monitorozás

Az MD felsorolja a sebezhetőségek ellenőrzésére, azonosítására és kijavítására szolgáló összes eljárást, a következő bejegyzéseket tartalmazza.

2.2.6. MD 6-UpdProc: Frissítési eljárások

Az MD felsorolja a gyártó eljárásait a biztonsági frissítések kiadására vonatkozóan a következő adatokkal:

2.2.7. MD 7-Intf: Interfészek

Az MD a VE összes hálózati, fizikai és logikai interfészét felsorolja a következő paraméterekkel:

2.2.8. MD 8-DevID: Eszközazonosítók

Az MD-ben szerepeltetni kell a VE összes, az eszköz azonosítására szolgáló azonosítóját.

2.2.9. MD 9-Role: Szerepkörök

Az MD-ben szerepeltetni kell a VE által gyári állapotban kezelt szerepköröket, ideértve a nem azonosításkötelezett szereplőket és gép-gép közötti kapcsolatokat is.

2.2.10. MD 10-AuthMech: Hitelesítési mechanizmusok

Az MD-ben szerepeltetni kell a VE összes hitelesítési mechanizmusát. Az MD a következő bejegyzéseket tartalmazza:

2.2.11. MD 11-Account: Fiókkezelés

Az MD-ben szerepeltetni kell a felhasználói fiókok kezeléséhez kapcsolódó megoldásokat.

2.2.12. MD 12-SoftComp: Szoftverkomponensek

Az MD a VE összes szoftverkomponensét felsorolja. Az alkalmazott részletezettségi szint a vizsgált szoftver szoftverkomponensekre való felosztására vonatkozóan azt a célt szolgálja, hogy esetleges sérülékenységvizsgálat esetén azonosítani lehessen, hogy mely komponensek frissíthetőek, és melyek nem. Az MD a következő bejegyzéseket tartalmazza:

2.2.13. MD 13-UpdMech: Frissítési mechanizmusok

Az MD felsorolja a VE összes frissítési mechanizmusát, amelyek kapcsán a következő bejegyzéseket tartalmazza:

2.2.14. MD 14-SecParam: Biztonsági paraméterek

Az MD felsorolja az összes olyan érzékeny (nyilvános és kritikus) biztonsági paramétert, amelyet a rendeltetésszerű használat során tartósan tárolnak a VE-n, az alábbi paraméterekkel:

2.2.15. MD 15-SecMgmt: Biztonságos irányítási folyamatok

Az MD felsorolja a kritikus biztonsági paraméterekre vonatkozó összes biztonságos kezelési folyamatot, amelyet a gyártó megvalósított a VE életciklusa során.

2.2.16. MD 16-ComMech: Kommunikációs mechanizmusok

Az MD felsorolja a VE összes kommunikációs mechanizmusát a következő részletes információkkal:

2.2.17. MD 17-NetSecImpl: Hálózati és biztonsági megvalósítások

Az MD felsorolja a VE hálózati és biztonsági funkcióinak összes megvalósítását.

2.2.18. MD 18-SoftServ: Szoftverszolgáltatások

Az MD felsorolja a VE összes szoftverszolgáltatását a következők szerint:

2.2.19. MD 19-CodeMin: Kódminimalizálás

Az MD felsorolja a kódok minimalizálására alkalmazott módszereket.

2.2.20. MD 20-PrivlCtrl: Jogosultságszabályozás

Az MD felsorolja az összes jogosultságszabályozási mechanizmust a következők szerint:

2.2.21. MD 21-AccCtrl: Hozzáférés-védelem

Az MD felsorolja a memóriához való hozzáférés-védelmi mechanizmusokat hardveres szinten a következők szerint:

2.2.22. MD 22-SecBoot: Biztonságos rendszerindítási mechanizmusok

Az MD felsorolja a VE összes biztonságos indítási mechanizmusát a következők szerint:

2.2.23. MD 23-Store: Tárolás és visszaállítás

Az MD felsorolja, hogy a VE által kezelt adatok milyen módon kerülnek tárolásra, illetve az adatok visszaállíthatóságának módját a következők szerint:

2.2.24. MD 24-DataSec: Adatvédelem

Az MD felsorolja a VE által feldolgozott összes adatot - a telemetriaadatok kivételével - a következők szerint:

2.2.25. MD 25-ExtSens: Külső érzékelők

Az MD felsorolja a VE összes külső érzékelési képességét a következők szerint:

2.2.26. MD 26-ResMech: Ellenálló képességi mechanizmusok

Az MD felsorolja az összes ellenálló képességi mechanizmust a VE hálózati kapcsolatának megszakadására vagy áramkimaradás esetére a következők szerint:

2.2.27. MD 27-TelData: Telemetriai adatok

Az MD a VE által gyűjtött összes telemetriai adatot felsorolja a következők szerint:

2.2.28. MD 28-DelFunc: Törlési funkciók

Az MD felsorolja a felhasználó adatainak összes törlési funkcióját a következők szerint:

2.2.29. MD 29-UserDec: Felhasználói döntések

Az MD felsorolja a telepítés és karbantartás során meghozandó összes döntést a következők szerint:

2.2.30. MD 30-UserIntf: Felhasználói interfészek

Az MD felsorolja a VE összes olyan felhasználói felületét, amely lehetővé teszi a felhasználó általi bevitelt a következők szerint:

2.2.31. MD 31-ExtAPI: Külső API-k

Az MD felsorolja a VE összes API-ját, amely lehetővé teszi a külső forrásokból történő adatbevitelt a következők szerint:

2.2.32. MD 32-InpVal: Adatbeviteli érvényesítés

Az MD felsorolja a VE összes adatbeviteli érvényesítési módszerét a következők szerint:

2.2.33. MD 33-Notif: Értesítések

Az MD-ben szerepeltetni kell a felhasználói értesítések összes módját a következők szerint:

2.2.34. MD 34-AuditLog: Naplóadatok

Az MD felsorolja a VE összes naplózási módszerét a következők szerint:

3. Értékelést megalapozó dokumentum

3.1. A gyártó a tesztelendő VE vizsgált megbízhatósági szintje szempontjából a 2. melléklet szerint meghatározott követelményeknek való megfelelést megalapozó, értékelést megalapozó dokumentumot (a továbbiakban: ÉMD) állít ki.

3.2. A dokumentum tartalmazza a cél megbízhatósági szintre vonatkozó, 2. melléklet szerinti követelmények listáját, továbbá a következő adatokat:

a) gyártói besorolás: a gyártó nyilatkozata az adott követelmény teljesítése vonatkozásában. Értékei lehetnek:

aa) "Nem alkalmazható": akkor jelölhető, ha a VE vonatkozásában a követelmény nem értelmezhető, a VE fizikai kialakítása, tervezett funkciói és felhasználási területe a követelmény teljesítését nem teszi lehetővé.

ab) "Alkalmazható és teljesített": akkor jelölhető, ha a VE vonatkozásában a követelmény értelmezhető, és a VE a követelményt teljesíti;

b) teljesítés módja: "Alkalmazható és teljesített" jelölés esetén annak leírása, hogy a követelmény kapcsán az MD-ben szereplő mely komponensek érintettek, és azok a követelményt egyesével vagy együtt hogyan teljesítik;

c) indokolás: "Nem alkalmazható" jelölés esetén annak indokolása az összes körülményre tekintettel.

2. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Követelményrendszer

1. A biztonsági követelményrendszer tekintetében az 1. melléklet 1. pontja szerinti IoT-eszköz azonosító dokumentumban meghatározott eszköz által - megbízhatósági szintenként - teljesítendő követelményeket a C-E oszlop rögzíti.

2. A követelményrendszer a következő európai, illetve nemzeti szabványokra figyelemmel került kialakításra:

a) ETSI EN 303 645 V2.1.1,

b) NIST Special Publication 800-213A és

c) NIST Special Publication 800-53 Revision 5.

3. Bármely oszlopban

a) "-"-lel jelölt sorok a kontrollcsaládok elnevezését jelzik;

b) "X" jelzi, hogy az adott sorban szereplő biztonsági követelmény teljesítése a C-E oszlop szerinti megbízhatósági szinten kötelező;

c) "0" jelzi, hogy az adott sorban szereplő biztonsági követelmény teljesítése a C-E oszlop szerinti megbízhatósági szinten nem kötelező.

3. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Sérülékenységvizsgálattal érintett követelmények

A 2. melléklet szerinti követelmények közül a következő követelmények esetében végzendő sérülékenységvizsgálat az értékelés során:

4. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Értékelési módszertan

1. A tesztelendő IoT-eszköz

1.1. A tesztelendő VE egy konkrét IoT-eszköz, amelyet a jelen tanúsítási rendszer rendelkezései alapján kell értékelni. Az értékelést végző gyártó vagy megfelelőségértékelő szervezet képes a VE-t a rendelkezésre álló interfészeken keresztül vezérelni, és az MD-ben megadott információk alapján részben ismeri annak kialakítását (gray box tesztelés). A VE-nek az értékelés során üzemképes állapotban kell lennie, továbbá a kapcsolódó egyéb szolgáltatásoknak működnie kell akkor is, ha azokat a gyártó vagy a megfelelőségértékelő szervezet nem ellenőrzi.

2. Értékelést megalapozó dokumentum

2.1. Az 1. melléklet szerinti ÉMD-t a jelen tanúsítási rendszer rendelkezései alapján a gyártó készíti el a VE-ben megvalósított és támogatott képességekről. Az ÉMD-ben a gyártónak a vizsgálat tárgyát képező megbízhatósági szinthez tartozó összes, 2. melléklet szerinti követelmény teljesüléséről nyilatkoznia szükséges.

3. Megvalósítási dokumentum

3.1. A gyártó az 1. mellékletben foglaltak szerint MD-t készít, amely az értékelés elvégzéséhez szükséges további, részletesebb információkat tartalmazza. Az MD az értékeléshez használt módszertan alapja, illetve tartalmaz néhány tervezési részletet is a megfelelőségértékelő szervezet számára.

3.2. A gyártó teljes körű, részletes és helyes információkat szolgáltat az MD kitöltése során.

3.3. Az MD kitöltése során a gyártó hivatkozhat meglévő dokumentációra is, ebben az esetben a hivatkozott dokumentációt a megfelelőségértékelő szervezet rendelkezésére bocsátja.

4. A gyártó feladata

4.1. A gyártó mint az értékelést kezdeményező szervezet egy adott VE jelen tanúsítási rendszer alapján történő vizsgálatát kéri. A gyártó a megfelelőségértékelő szervezet egyetlen kapcsolattartó pontja, és feladata, hogy koordináljon a VE ellátási láncában és ökoszisztémájában részt vevő felekkel, így különösen az alkatrészgyártókkal, a szolgáltatókkal és az alkalmazásfejlesztőkkel.

4.2. A meglévő biztonsági tanúsítványok vagy a VE egyes részeinek harmadik fél által végzett értékelései részben felhasználhatóak a megfelelőség bizonyítékaként az értékeléshez szükséges erőforrások, illetve időszükséglet csökkentése érdekében. Ebben az esetben a gyártó az ÉMD-ben jelezi, hogy a megfelelőség már értékelésre került, a megfelelő bizonyítékra való hivatkozással együtt. A gyártónak továbbá a bizonyíték ellenőrzéséhez szükséges összes információt - így különösen a tanúsítás részleteit és a vizsgálati jelentéseket - a megfelelőségértékelő szervezet rendelkezésére kell bocsátania. A megfelelőségértékelő szervezet az értékelés során ellenőrzi, hogy a bizonyíték alkalmas-e az érintett 2. melléklet szerinti követelmény teljesítésének igazolására.

5. A megfelelőségértékelő szervezet feladata

5.1. A megfelelőségértékelő szervezet által vizsgálatba bevont vizsgáló laboratórium végzi el a VE megfelelőségértékelését. Az értékelés során figyelembe kell venni a kapcsolódó szolgáltatásokkal és a VE fejlesztési, kezelési folyamataival való kapcsolatot is. Megfelelőségi önértékelés esetében a 6. pont alkalmazásában megfelelőségértékelő szervezet alatt a gyártó értendő.

6. Az értékelési eljárás

6.1. Az értékelési eljárás fázisai a következők:

6.2. A megfelelőségértékelő szervezet az ÉMD-ben "Alkalmazható és teljesített"-ként megjelölt minden egyes követelmény esetében, a 7. pont szerinti módon rögzíti a teszteseteket, kidolgozza a VE-re vonatkozó tesztelési tervet, és elvégzi a tesztelést.

6.3. Az ÉMD-ben megjelölt minden egyes követelmény esetében több teszteset vizsgálata szükséges a 6.3.1-6.3.5. pont szerint.

6.3.1. Teszteset: <követelményazonosító>-T0 - Alkalmazhatóság

A vizsgálat célja:

Ezen teszteset célja egy adott, 2. melléklet szerinti követelmény alkalmazhatóságának értékelése.

Tesztegységek:

a) A megfelelőségértékelő szervezet ellenőrzi, hogy a gyártó a követelményt "Alkalmazható és teljesített"-ként jelölte-e meg.

b) Ha a követelmény "Alkalmazható és teljesített" besorolást kapott, a megfelelőségértékelő szervezet megvizsgálja, hogy a gyártó a Teljesítés módját feltüntette-e.

c) Ha a követelmény "Nem alkalmazható" besorolást kapott, a megfelelőségértékelő szervezet megvizsgálja annak indokolását, és értékeli azt.

A döntés hozzárendelése:

"Megfelelt" döntést akkor hozható meg, ha

- "Alkalmazható és teljesített" besorolás esetén a Teljesítés módja kitöltésre került,

- "Nem alkalmazható" besorolás esetén az indokolás megalapozott.

Ellenkező esetben a döntés "Nem megfelelt".

6.3.2. Teszteset: <követelményazonosító>-T1 - Dokumentáció

Előfeltétel:

A 2. melléklet szerinti követelmény ÉMD szerint "Alkalmazható és teljesített" és a korábbi teszteset (<követelményazonosító>-T0) értékelése "Megfelelt".

A vizsgálat célja:

Ezen teszteset célja egy adott, 2. melléklet szerinti követelmény dokumentáltságának megállapítása. A teszteset minden megbízhatósági szinten alkalmazandó.

Tesztegységek:

A megfelelőségértékelő szervezet ellenőrzi, hogy a gyártó a követelmény teljesítését megfelelően dokumentálta-e, azonosítja a követelménynek való megfelelés alátámasztására használható, MD szerinti elemeket.

A döntés hozzárendelése:

A "Megfelelt" döntés akkor hozható meg, ha az MD a követelményre vonatkozó összes releváns információt tartalmazza.

Ellenkező esetben a döntés "Nem megfelelt".

6.3.3. Teszteset: <követelményazonosító>-T2 - Koncepcionális vizsgálat

Előfeltétel:

A 2. melléklet szerinti követelmény ÉMD szerint "Alkalmazható és teljesített" és a korábbi teszteset (<követelményazonosító>-T1) értékelése "Megfelelt".

A vizsgálat célja:

Ezen teszteset célja a 2. melléklet szerinti követelmény dokumentáció szerinti teljesítése koncepcionális megfelelőségének megállapítása. A teszteset minden megbízhatósági szinten alkalmazandó.

Tesztegységek:

A megfelelőségértékelő szervezet ellenőrzi, hogy a <követelményazonosító>-T1 tesztesetben azonosított információk alapján a VE megfelel-e koncepcionálisan a 2. melléklet szerinti követelménynek.

A döntés hozzárendelése:

"Megfelelt" döntés akkor hozható meg, ha a <követelményazonosító>-T1 tesztesetben azonosított információk alapján a VE koncepcionálisan megfelel a 2. melléklet szerinti követelménynek, az alkalmazott védelmi kontroll és megvalósítás a megbízhatósági szinten kockázatarányosan megfelelő.

Ellenkező esetben a döntés "Nem megfelelt".

6.3.4. Teszteset: <követelményazonosító>-T3 - Megvalósítási vizsgálat

Előfeltétel:

A 2. melléklet szerinti követelmény ÉMD szerint "Alkalmazható és teljesített" és a korábbi teszteset (<követelményazonosító>-T2) értékelése "Megfelelt".

A vizsgálat célja:

Ezen teszteset célja a 2. melléklet szerinti követelmény dokumentáció szerinti teljesítésének megállapítása. A teszteset minden megbízhatósági szinten alkalmazandó.

Tesztegységek:

A megfelelőségértékelő szervezet ellenőrzi, hogy a <követelményazonosító>-T1 tesztesetben azonosított információk szerint történt-e a megvalósítás.

A döntés hozzárendelése:

"Megfelelt" döntés akkor hozható meg, ha a megvalósítás a <követelményazonosító>-T1 tesztesetben azonosított információk alapján került elvégzésre.

Ellenkező esetben a döntés "Nem megfelelt".

6.3.5. Teszteset: <követelményazonosító>-T4 - Sérülékenységi vizsgálat

Előfeltétel:

A 2. melléklet szerinti követelmény ÉMD szerint "Alkalmazható és teljesített" és a korábbi teszteset (<követelményazonosító>-T2) értékelése "Megfelelt".

A vizsgálat célja:

Ezen teszteset célja a 3. melléklet szerinti követelmény sérülékenységvizsgálati módszerrel történő értékelése. A tesztesetet legalább "jelentős" megbízhatósági szinten kell alkalmazni.

Tesztegységek:

A megfelelőségértékelő szervezet ellenőrzi, hogy az alkalmazott megoldások tekintetében ismert sérülékenység fennáll-e, továbbá manuális sérülékenységvizsgálattal a biztonsági cél teljesülését.

A döntés hozzárendelése:

"Megfelelt" döntés akkor hozható meg, ha nincs feltárt, kihasználható sérülékenység a vizsgálat alapján. Ellenkező esetben a döntés "Nem megfelelt".

7. Az értékelés eredménye

Az értékelés eredményeként tesztesetenként rögzítésre kerül a teszteset eredménye. A tesztesetek végrehajtásáról a megfelelőségértékelő szervezet Értékelési jelentést készít, amely tartalmazza

- az ÉMD-ben rögzített információkat,

- az egyes követelményekhez tartozó tesztesetek azonosítóit,

- a tesztesetek értékelésének módját,

- a tesztesethez tartozó döntést megalapozó tényeket,

- sérülékenységvizsgálati teszteset esetén a vizsgálati jelentést,

- a tesztesethez tartozó döntést,

- a követelmények összesített értékelését.

A követelmény értékelése:

- "Teljesített" az értékelés, ha a követelményhez tartozó valamennyi teszteset "Megfelelt",

- "Nem teljesített" az értékelés, ha a követelményhez tartozó valamely teszteset "Nem megfelelt".

Megfelelőségi nyilatkozat vagy nemzeti kiberbiztonsági tanúsítvány abban az esetben állítható ki, ha a VE az ÉMD-ben rögzített valamennyi követelmény vonatkozásában "Teljesített" az értékelés.

5. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Megfelelőségi nyilatkozat

6. melléklet a 10/2024. (VIII. 8.) SZTFH rendelethez

Nemzeti kiberbiztonsági tanúsítvány