65/2013. (III. 8.) Korm. rendelet

a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról

A Kormány

a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény 14. § a)-i) pontjában,

a 4. § (2) bekezdése tekintetében a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény 174/A. § (1) bekezdésében,

a 11. § (6) bekezdése tekintetében a katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról szóló a 2011. évi CXXVIII. törvény 80. § b) pontjában

kapott felhatalmazás alapján,

az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. §[1] E rendelet alkalmazásában

1. azonosítás: az a folyamat, amely során a lehetséges létfontosságú rendszerelemeket kockázatelemzés, valamint az ágazati és horizontális kritériumok alapján meghatározzák,

2. azonosítási vizsgálat: az a folyamat, amelynek eredményeképpen az üzemeltető magára vonatkoztatva, az ágazati és horizontális kritériumok teljesülésének lehetőségét elemezve és értékelve azonosítási jelentésében nemzeti vagy európai létfontosságú rendszerelemmé történő kijelölésre, a kijelölés visszavonására vagy a kijelölés fenntartására vonatkozó javaslatot tesz,

3. kockázatelemzés: fenyegetettségi és kockázati tényezők vizsgálata a rendszerelemek sebezhetőségének, valamint a megzavarásuk vagy megsemmisítésük által okozott következmények értékelése céljából.

2. A lehetséges létfontosságú rendszerelemek azonosítása[2]

2. § (1)[3] A lehetséges létfontosságú rendszerelem üzemeltetője az azonosítási vizsgálat eredményéről azonosítási jelentést készít, melyet a hivatásos katasztrófavédelmi szerv központi szerve által meghatározott és a honlapján közzétett formában és módon készít el és küld meg az ágazati kijelölő hatóság részére.

(2) Az azonosítási jelentés tartalmazza

a)[4] a vizsgált lehetséges létfontosságú rendszerelem megnevezését, elhelyezkedésének beazonosíthatóságát biztosító helyadatokat (cím, hrsz., koordináták, szelvény), a kockázatelemzést, valamint annak eredményét és a nemzeti vagy európai létfontosságú rendszerelemmé történő kijelölésre irányuló javaslatot vagy a kijelölés visszavonására vagy a kijelölés fenntartására vonatkozó javaslatot,

b) az üzemeltetőnek az azonosítási jelentés teljességére vonatkozó nyilatkozatát, valamint

c)[5] az azonosítási vizsgálat kezdő- és zárónapját.

d)[6] a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény (a továbbiakban: Lrtv.) 2/A. § (2) bekezdésében meghatározott szempontrendszerre vonatkozó elemzést, ha a lehetséges rendszerelem tekintetében megállapítható, hogy az Lrtv. 1. mellékletében meghatározott azon alágazatba tartozik, amely a 3. melléklet alapján megfeleltethető a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelv szerinti valamely ágazatnak vagy alágazatnak.

e)[7] az üzemeltető neve, székhelye, levelezési címe, cégjegyzékszáma, statisztikai számjele és adóazonosító száma, képviselőjének neve, telefonszáma, e-mail-címe,

f)[8] a nemzeti létfontosságú rendszerelemek, szolgáltatások megnevezése és címe, valamint azon európai létfontosságú rendszerelemek, szolgáltatások megnevezése és címe, amelyek esetében Magyarország érintett fél.

(2a)[9] A hivatásos katasztrófavédelmi szerv nyilvántartásában lévő üzemeltető a biztonsági összekötő személy adatközlő lapját, az alkalmasság feltételeinek való megfelelést igazoló dokumentumokat az Integrált Hatósági Rendszeren (a továbbiakban: IHR) keresztül nyújtja be a hivatásos katasztrófavédelmi szerv központi, illetve a rendkívüli esemény bejelentő lapot a területi szerve részére.

(2b)[10] Az ágazaton belüli honvédelmi létfontosságú rendszerelemre készített azonosítási jelentés a (2) bekezdés a) pontja szerinti, elhelyezkedés beazonosíthatóságát biztosító helyadatokat, illetve a (2) bekezdés f) pontja szerinti címet nem tartalmazza.

(2c)[11] Amennyiben a (2a) bekezdésben meghatározott adat a minősített adat védelméről szóló 2009. évi CLV. törvény hatálya alá tartozó adat, az IHR-be az érintett dokumentum helyett egy jegyzőkönyv kerül feltöltésre, amely tartalmazza a dokumentum nevét, a kiadmányozás időpontját, a kiadmányozó nevét, a minősítő nevét és beosztását, a minősítési szintet és az érvényességi időt.

(3) Ha az üzemeltető az azonosítási jelentés elkészítésére és benyújtására vonatkozó kötelezettségének nem tesz eleget, a Kormány által rendeletben kijelölt, ágazati felelősséggel rendelkező kijelölő hatóság (a továbbiakban: kijelölő hatóság) határidő tűzésével felszólítja az üzemeltetőt az azonosítási jelentés elkészítésére és benyújtására.

(4) Ha az üzemeltető a kijelölő hatóságnak a (3) bekezdés szerinti felszólítására egyetlen rendszerelemet sem azonosított lehetséges létfontosságú rendszerelemként, ebben az esetben is be kell nyújtani az azonosítási jelentést, melynek tartalmára a (2) bekezdésben foglaltakat megfelelően alkalmazni kell.

(5) A Kormány által rendeletben kijelölt ágazati javaslattevő hatóság (a továbbiakban: javaslattevő hatóság) részére a kijelölő hatóság köteles megküldeni véleményezés céljából az azonosítási jelentést. A javaslattevő hatóság az azonosítási jelentés beérkezésétől számított 30 napon belül megvizsgálja az azonosítási jelentést, és a kockázatelemzéssel kapcsolatos javaslatait megküldi a kijelölő hatóságnak.

(6)[12] A javaslattevő hatóság kezdeményezheti, hogy a kijelölő hatóság döntsön az üzemeltető (3) bekezdés szerinti kötelezéséről.

(7) Az üzemeltető 8 napon belül írásban értesíti a kijelölő hatóságot a tevékenységében bekövetkezett minden olyan változásról, amely érinti a létfontosságú rendszerelem azonosítását.

(8)[13] A kijelölt létfontosságú rendszerelem üzemeltetője a nemzeti létfontosságú rendszerelemmé történő kijelölést követően köteles új azonosítási jelentés készíteni, amelyet az előző azonosítási jelentés kijelölő hatósághoz történő benyújtásától számított 5 év elteltével, az azt követő 15 napon belül kell benyújtania a kijelölő hatóságnak.

3. §[14] A Kormány a hivatásos katasztrófavédelmi szerv központi szervét a közrend, közbiztonság, lakosságvédelem, alkotmányvédelem, nemzetbiztonság, terrorelhárítás szempontjaira tekintettel, a nemzeti létfontosságú rendszerelemmé történő kijelölés vonatkozásában általános javaslattevő hatóságként kijelöli. Az ágazati kijelölő hatóság - az általános javaslattevő hatóság Lrtv. 10. § (2) bekezdése szerinti ügyindító javaslatának megküldését követően - hivatalból lefolytatja a kijelölési eljárást és a kijelölés visszavonására irányuló eljárást az ügyindító javaslatban szereplő létfontosságú rendszerelem, szolgáltatások, üzemeltetők vonatkozásában.

3. A nemzeti létfontosságú rendszerelemmé történő kijelölés, valamint a kijelölés visszavonásának szabályai

4. §[15] (1)[16] A kijelölő hatóság a nemzeti létfontosságú rendszerelemmé történő kijelölésről, valamint a kijelölés visszavonásáról - az ágazaton kívüli honvédelmi létfontosságú rendszerelem kijelölésére irányuló eljárás speciális szabályai szerinti kivételekkel - szakhatóság bevonásával dönt. Ha kijelölő hatóságként a hivatásos katasztrófavédelmi szerv központi, területi vagy helyi szerve jár el, a horizontális kritériumok teljesülése fennállásának a kérdését a hatósági eljárás során a kijelölő hatóság vizsgálja.

(2) A nemzeti létfontosságú rendszerelemmé történő kijelölésre, valamint a kijelölés visszavonására vonatkozó eljárásban előzetes szakhatósági állásfoglalásnak nincs helye.

(3) A kijelölő hatóság a határozatában:

a) jóváhagyja az üzemeltető azonosítási jelentését és a rendszerelemet - feltéve, hogy az ágazati kritériumok közül és a szakhatóság állásfoglalása, a (1) bekezdés szerinti esetben a hatóság döntése alapján az 1. mellékletben felsorolt horizontális kritériumok közül legalább egy-egy bekövetkezésének lehetősége fennáll - nemzeti létfontosságú rendszerelemként jelöli ki és elrendeli nyilvántartásba vételét,

b) jóváhagyja az üzemeltető azonosítási jelentését és a kijelölést visszavonja, valamint elrendeli a nyilvántartásból való törlést,

c) a kijelölésre, kijelölés visszavonására irányuló javaslatot elutasítja, vagy legfeljebb 90 napos határidő tűzésével és a feltárt hibák, hiányosságok tételes megjelölésével új azonosítási jelentés benyújtását írja elő,

d) jóváhagyja, hogy az üzemeltető egyetlen rendszerelemet sem azonosított lehetséges létfontosságú rendszerelemként,

e)[17] az a) pontban meghatározottakkal egyidejűleg rendelkezik az üzemeltető felvételéről az alapvető szolgáltatásokat nyújtó szereplők jegyzékébe, ha a nemzeti létfontosságú rendszerelem tekintetében megvalósulnak az Lrtv. 2/A. § (2) bekezdésében foglaltak, és a 3. melléklet szerinti jegyzékben szereplő alapvető szolgáltatást nyújt, vagy

f) a b) pontban foglaltak teljesülése esetén elrendeli az üzemeltető törlését az alapvető szolgáltatásokat nyújtó szereplők jegyzékéből.

g)[18] az öt év elteltével benyújtott új azonosítási jelentés alapján dönt a kijelölés fenntartásáról vagy visszavonásáról.

(3a)[19] A kijelölés fenntartása iránti eljárásban a javaslattevő hatóság megkeresése mellőzhető, ha az azonosítási jelentés nem tár fel új tényt, körülményt, nem javasol új rendszerelemet kijelölni.

(4)[20]

(5) A kijelölő hatóság a nemzeti létfontosságú rendszerelemmé történő kijelölés tényéről és időpontjáról, valamint a kijelölés visszavonásának tényéről és időpontjáról tájékoztatja az egységes digitális rádiótávközlő rendszer (a továbbiakban: EDR) kormányzati célú hírközlési szolgáltatóját. A szolgáltató a tudomására jutott adatokat harmadik személy számára nem teheti hozzáférhetővé.

(5a)[21] Az ágazati kijelölő hatóság az általános javaslattevő hatóság ügyindító javaslata alapján hivatalból indított eljárásban vizsgálja, hogy az ágazati kritériumok az ügyindító javaslatban megjelölt létfontosságú rendszerelemek, szolgáltatások, üzemeltetők vonatkozásában teljesülnek-e.

(6)[22]

4. Az európai létfontosságú rendszerelemmé történő kijelölés, valamint a kijelölés visszavonásának szabályai

5. §[23] (1)[24] A katasztrófák elleni védekezésért felelős miniszter az európai létfontosságú rendszerelemmé történő kijelölésre irányuló kezdeményezést

a) kiegészítésre visszaküldi, ha az e rendelet 2. § (2) bekezdésében foglaltaknak nem felel meg, vagy

b) nem támogatja, amennyiben az azonosítási jelentésben megfelelően nem igazolt legalább kettő, az Európai Gazdasági Térségről szóló megállapodásban részes más államra (a továbbiakban: EGT-állam) kiterjedően a nemzeti létfontosságú rendszerelem kiesésének jelentősége.

(2) Ha az Európai Gazdasági Térségről szóló megállapodásban részes más állam (a továbbiakban: EGT-állam) európai létfontosságú rendszerelemmé történő kijelölésre irányuló kezdeményezésével a katasztrófák elleni védekezésért felelős miniszter nem ért egyet, erről tájékoztatja a kezdeményező államot.

(3)[25] Ha az EGT-állam európai létfontosságú rendszerelemmé történő kijelölés visszavonására irányuló kezdeményezésével, illetve az üzemeltető európai létfontosságú rendszerelemmé történő kijelölés visszavonására irányuló kérelmével a katasztrófák elleni védekezésért felelős miniszter egyetért, az Lrtv. 3. § (1a) bekezdése szerinti szabályok megfelelő alkalmazásával kell eljárni. A kijelölő hatóság az Lrtv. 3. § (1a) bekezdése megfelelő alkalmazásával az európai létfontosságú rendszerelemmé való kijelölést visszavonja, valamint a jogszabályban meghatározott feltételek fennállása esetén dönt a nemzeti létfontosságú rendszerelemmé történt kijelölés fenntartásáról vagy visszavonásáról.

(4)[26] Ha az üzemeltető európai létfontosságú rendszerelemmé történő kijelölés visszavonására irányuló kérelmével a katasztrófák elleni védekezésért felelős miniszter nem ért egyet, a kijelölő hatóság tájékoztatja az üzemeltetőt a kijelölés fenntartásáról. Ha a visszavonást EGT-állam kezdeményezi, az Lrtv. 3. § (1a) bekezdése szerinti szabályok megfelelő alkalmazásával kell eljárni.

(5)[27] A katasztrófák elleni védekezésért felelős miniszter az európai létfontosságú rendszerelemmé történő kijelölés folyamatában a rendszerelem kiesése vonatkozásában - az ágazatokon átnyúló kölcsönös függőségből következő hatásokat is ideértve - legalább két EGT-államra kiterjedő hatás jelentőségét vizsgálja.

(6) Ha az európai létfontosságú rendszerelemmé történő kijelölés, vagy a kijelölés visszavonása kérdésében az ágazatért felelős miniszter és a katasztrófák elleni védekezésért felelős miniszter ellentétes álláspontot képvisel, a végleges álláspontról a Kormány dönt.

(7)[28]

(8) A kijelölő hatóság az európai létfontosságú rendszerelemmé történő kijelölés tényéről és időpontjáról, valamint a kijelölés visszavonásának tényéről és időpontjáról tájékoztatja az EDR kormányzati célú hírközlési szolgáltatóját. A szolgáltató a tudomására jutott adatokat harmadik személy számára nem teheti hozzáférhetővé.

(9)[29]

4/A. Az Integrált Hatósági Rendszer alkalmazásának részletes szabályai[30]

5/A. §[31] (1) Az IHR-t a biztonsági összekötő személy és az üzemeltető, valamint az üzemeltető képviselője (a továbbiakban együtt jelen alcím tekintetében: ügyfél) köteles igénybe venni.

(2) Az ügyfél elektronikus azonosítást követően

a) az IHR-t használja, és

b) a fizetési felületen teljesíti a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti bírság fizetése iránti kötelezettségét.

(3) Az üzemeltető az IHR igénybevételével tölti fel azonosítási jelentését, illetve egyéb adatszolgáltatását és nyilatkozatát - így különösen az üzemeltetői biztonsági tervét, valamint rendkívüli események bejelentésére szolgáló lapot - amely azt fogadja, és az irat beérkezésével az IHR-en elektronikus ügyirat (a továbbiakban: e-akta) keletkezik. Az e-akta létrejöttéről és a hatósági eljárás hivatalbóli megindításáról az üzemeltető visszaigazolást kap.

(4) A hivatásos katasztrófavédelmi szerv mint ágazati kijelölő hatóság az IHR alkalmazásával előállított megkeresést küld a véleménynyilvánító szervnek.

(5) A honvédelmi létfontosságú rendszerelemek kivételével az általános javaslattevő hatóság, a nyilvántartó hatóság, az ellenőrzést koordináló szerv és a komplex gyakorlatot irányító szerv, valamint a szakhatóság valamennyi eljárásában az IHR felületét használja.

(6) Minősített adatot tartalmazó dokumentum továbbítása esetén az IHR-be az érintett dokumentum helyett egy jegyzőkönyv kerül feltöltésre, amely tartalmazza a dokumentum nevét, a kiadmányozás időpontját, a kiadmányozó nevét, a minősítő nevét és beosztását, a minősítési szintet és az érvényességi időt.

5. A biztonsági összekötő személy képesítési követelményei és foglalkoztatásának feltételei

6. § (1)[32]

(2)[33] A biztonsági összekötő személy

a) az adott ágazatnak megfelelő szakirányú végzettség mellett iparbiztonsági, katasztrófavédelmi, rendészeti igazgatási, tűzvédelmi mérnöki vagy védelmi igazgatási szakon szerzett felsőfokú végzettséggel vagy

b) a Nemzeti Közszolgálati Egyetem kritikusinfrastruktúra-védelmi biztonsági összekötő személy szakirányú továbbképzési szakán szerzett képesítéssel

rendelkezik.

(3)[34]

(3a)[35] A honvédelmi ágazaton belüli létfontosságú rendszerelemek esetében a (2) bekezdésben előírt követelmények alól a honvédelmi szerv alaptevékenységébe tartozó feladatok ellátása körében legalább két évig foglalkoztatott, felsőfokú végzettségű személy mentesül. A mentesülés feltételeinek való megfelelést az érintett igazolja.

(4)[36]

(5)[37] Az alkalmasság feltételeinek való megfelelést az érintett igazolja, a nyilvántartó hatóság pedig - az ágazatnak megfelelő szakirányú végzettségre vonatkozóan az ágazati kijelölő hatóság bevonásával - ellenőrizheti a megfelelést, és ha azt állapítja meg, hogy a biztonsági összekötő személy

a) a (2) bekezdés szerinti feltételeknek nem felel meg, vagy

b) miniszteri rendeletben meghatározott rendszeres továbbképzésen a részvételi kötelezettségét elmulasztja,

- az Lrtv. 9. § (1) bekezdése szerinti közigazgatási szankció alkalmazása mellett - a biztonsági összekötő személyt a nyilvántartásból törli. Ilyen esetben az üzemeltető a képesítési követelményeknek megfelelő, új biztonsági összekötő személy adatait soron kívül köteles a nyilvántartó hatóságnak megküldeni.

(6)[38] A biztonsági összekötő személy az üzemeltető alkalmazottja lehet, vagy megbízási szerződés keretében láthatja el a feladatait. A biztonsági összekötő személyre vonatkozó szabályokat az üzemeltető az ügyrendjében, szabályzatában, illetve egyéb belső, a szervezetére alkalmazandó dokumentumban, valamint megbízási szerződésben rögzíti, azzal, hogy a biztonsági összekötő személy közvetlenül az üzemeltető legfelső vezetésének tartozik felelősséggel.

(7)[39] Az üzemeltető a biztonsági összekötő személy bejelentésére szolgáló elektronikus űrlapon a biztonsági összekötő személy közvetlen elérhetőségét biztosító e-mail-címét és telefonszámát köteles megadni, továbbá az űrlaphoz csatolni köteles az alkalmasság feltételeinek való megfelelést igazoló dokumentumokat.

(8)[40] Az üzemeltető a biztonsági összekötő személy bejelentésére szolgáló elektronikus űrlapot a kijelölő határozat véglegessé válásától számított 60 napon belül köteles megküldeni a nyilvántartó hatóság részére. A nyilvántartó hatóság a határidő elmulasztása esetén az Lrtv. 9. § (1) bekezdése szerinti közigazgatási szankciót alkalmazhatja.

(9)[41] A biztonsági összekötő személy miniszteri rendeletben meghatározott rendszeres szakmai képzésen, továbbképzésen vesz részt.

6. Az üzemeltetői biztonsági terv

7. § (1) A kijelölő hatóság az üzemeltetői biztonsági terv tartalmára vonatkozó Lrtv. szerinti döntését a 2. mellékletben foglaltak figyelembevételével állapítja meg.

(2)[42] Az üzemeltetői biztonsági tervet az üzemeltető soron kívül módosítja

a) abban az esetben, ha olyan változás áll be, amely érinti a létfontosságú rendszerelem szolgáltatását, tevékenységét, működését vagy védelmét,

b) az újonnan felmerülő kockázat kezelése érdekében, ha a bekövetkezett rendkívüli eseménnyel összefüggő kockázatot az üzemeltetői biztonsági tervben nem vizsgálták,

c)[43] az ellenőrzések vagy a komplex gyakorlat alkalmával feltárt hiányosságok alapján a hatóság vagy az ellenőrzést koordináló szerv által előírtak szerint, vagy

d)[44] ha az üzemeltetői biztonsági terv vagy az annak alapjául szolgáló kockázatelemzés tartalmi követelményei megváltoznak.

(2a)[45] Az üzemeltetői biztonsági tervet az üzemeltető az elkészítését és kijelölő hatóság általi jóváhagyását követően kétévente felülvizsgálja. Az üzemeltető a felülvizsgálatról jegyzőkönyvet készít, amelyet elektronikus úton megküld a kijelölő és a nyilvántartó hatóságnak.

(3)[46] Soron kívüli felülvizsgálatot kezdeményezhet

a) a kijelölő hatóság,

b) - a c) pontban foglaltak kivételével - a kijelölő hatóságnál a hivatásos katasztrófavédelmi szerv központi szerve vagy

c) az ágazaton belüli honvédelmi létfontosságú rendszerelemek, valamint azon ágazaton kívüli honvédelmi létfontosságú rendszerelemek tekintetében, amelyeket más ágazat nem jelölt ki létfontosságú rendszerelemmé, a kijelölő hatóságnál a honvédelmi ágazat ellenőrzést koordináló szerve.

(4)[47] Az üzemeltető a soron kívüli felülvizsgálatot a kezdeményező által meghatározott határidőn belül köteles elvégezni és a felülvizsgálat eredményeként készült dokumentumot elektronikus úton a kijelölő hatóságnak, és - ha a hivatásos katasztrófavédelmi szerv központi szerve kezdeményezte - a hivatásos katasztrófavédelmi szerv központi szerve részére ellenőrzés céljából megküldeni.

(5)[48] Ha az üzemeltetői biztonsági tervet a (2)-(3) bekezdés vagy az Lrtv. 6. § (8) bekezdése alapján módosítani szükséges, akkor annak módosítással érintett részét vagy jelentős tartalmi módosítás esetén a módosításokkal egységes szerkezetbe foglalt üzemeltetői biztonsági terv tervezetét az üzemeltető soron kívül megküldi tartalmi és formai ellenőrzésre a kijelölő hatóságnak. Ha a módosításra a komplex ellenőrzést lefolytató szerv kötelezése alapján kerül sor, úgy az üzemeltető a módosított üzemeltetői biztonsági terv tervezetét soron kívül kizárólag formai ellenőrzésre küldi meg a kijelölő hatóságnak. Az ellenőrzés határideje a módosított üzemeltetői biztonsági terv kijelölő hatósághoz érkezésének napjától számított 30 nap. Az ágazati kijelölő hatóság a (2)-(3) bekezdés alapján módosított üzemeltetői biztonsági tervet a tartalmi és formai ellenőrzést követően - megfelelőség esetén - jóváhagyja és megküldi a nyilvántartó hatóság részére. Ha a módosításra a komplex ellenőrzést lefolytató szerv kötelezése alapján kerül sor, úgy az üzemeltető a módosított üzemeltetői biztonsági terv tervezetét kizárólag formai ellenőrzésre küldi meg a kijelölő hatóságnak.

(6) Ha a felülvizsgálat eredményeként nem szükséges az üzemeltetői biztonsági tervet módosítani, a felülvizsgálatról szóló jegyzőkönyvet az üzemeltető a felülvizsgálatot követően haladéktalanul másolatban megküldi a nyilvántartó hatóságnak és a kijelölő hatóságnak.

(7)[49] Az üzemeltető az üzemeltetői biztonsági tervvel összhangban megszervezi és folyamatosan biztosítja az üzemeltetésében lévő létfontosságú rendszerelem működésének védelmét és üzemfolytonos működésének feltételeit.

(8)[50] Az üzemeltető az üzemeltetői biztonsági tervét és az annak alapjául szolgáló kockázatelemzést a hivatásos katasztrófavédelmi szerv központi szerve által meghatározott és a honlapján közzétett formában és módon készíti el és küldi meg az ágazati kijelölő hatóság részére.

(9)[51] Az üzemeltető a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti védelmi és biztonsági eseményekre való felkészülés érdekében a 2. melléklet szerinti üzemeltetői biztonsági terv 7. pontjában foglalt adatokat folyamatosan felülvizsgálja, az üzemeltetői biztonsági tervet szükség esetén soron kívül módosítja, és a módosítással érintett részt megküldi a kijelölő hatóság részére. Ez az adatmódosítás nem minősül jelentős tartalmi módosításnak.

7. Ellenőrzés és az ellenőrzésre vonatkozó különös szabályok[52]

8. § (1)[53] A létfontosságú rendszerelem védelmét - kivéve a honvédelmi ágazaton belüli rendszerelemek, valamint azon ágazaton kívüli honvédelmi létfontosságú rendszerelemek, amelyek más ágazatban nem kerültek létfontosságú rendszerelemmé kijelölésre - a helyszíni ellenőrzés lefolytatására jogosult szerv az ellenőrzést koordináló szerv koordinálásával, ütemezett módon, éves ellenőrzési terv alapján összehangoltan is ellenőrzi oly módon, hogy a létfontosságú rendszerelem legalább 5 évente kerüljön ellenőrzésre. Az éves ellenőrzési tervet az ellenőrzést koordináló szerv a tárgyévet megelőző év december 31-ig állítja össze. Ha az ellenőrzést koordináló szerv a komplex ellenőrzés keretében a létfontosságú rendszerelemek védelmével kapcsolatos információ- és hálózatbiztonsági ellenőrzés lefolytatására az Lrtv. 8. § (6) bekezdése szerint fel kívánja kérni az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságot, úgy az éves ellenőrzési terv összeállításánál figyelembe veszi az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (4) bekezdése szerint éves ellenőrzési tervben foglaltakat.

(2)[54] A komplex ellenőrzésekről, az ellenőrzési terv végrehajtásáról a hivatásos katasztrófavédelmi szerv központi szerve összefoglaló jelentést készít a tárgyévet követő év március 1-jéig.

(3)[55] Az ellenőrzést koordináló szerv a komplex ellenőrzésben részt vevő, a saját hatáskörben lefolytatott ellenőrzést végző szervektől, valamint az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságtól az eljárásaik kimeneteléről, a megállapított hiányosságok pótlásáról tájékoztatást kérhet, amelyet e szervek haladéktalanul kötelesek részére megadni.

(4)[56] A hivatásos katasztrófavédelmi szerv a komplex ellenőrzés keretében ellenőrzi[57]

a) a nyilvántartó hatóság által az Lrtv. 5. § (1) bekezdése szerint nyilvántartott és kezelt adatok valódiságát,

b) az üzemeltetői biztonsági tervben foglalt, a létfontosságú rendszerelem teljes körű személyi, fizikai, adminisztratív védelmének, a folyamatos működést veszélyeztető kockázatoknak és kezelésüknek a teljeskörűségét.

(5)[58] Az ellenőrzést koordináló szerv soron kívüli komplex ellenőrzést tarthat

a) rendkívüli esemény bekövetkezését vagy

b) az üzemeltetői biztonsági terv soron kívüli módosítását

követően.

(6)[59] A hatósági ellenőrzés iratbekéréssel is lefolytatható, ha a hatósági ellenőrzés a dokumentáció rendelkezésre állásának, illetve annak tartalmi vizsgálatára irányul.

(7)[60] A helyszíni ellenőrzésnek ki kell terjednie az üzemeltetői biztonsági terv valóságtartalmának, alkalmazhatóságának és az üzemeltetői gyakorlaton feltárt hibák vizsgálatára.

(8)[61] Ha a komplex ellenőrzésen a helyszíni ellenőrzés lefolytatására jogosult szerv nem vesz részt, és az ellenőrzést koordináló szerv a helyszíni ellenőrzés lefolytatására jogosult szerv hatáskörébe tartozó jogsértést valószínűsít, ennek tényéről az ellenőrzést követő 8 napon belül értesíti a helyszíni ellenőrzés lefolytatására jogosult szervet. A helyszíni ellenőrzés lefolytatására jogosult szerv az értesítésben rögzített megállapításokkal kapcsolatban tett intézkedéseiről 30 napon belül tájékoztatja az ellenőrzést koordináló szervet.

8. Az üzemeltetővel szemben kiszabható közigazgatási bírság összege, a bírság kiszabásának szabályai

9. § (1) Az üzemeltetővel szemben kiszabható Lrtv. szerinti bírság kiszabását a létfontosságú rendszerelemmel kapcsolatos hatósági eljárásokban részt vevő hatóságok is kezdeményezhetik a kijelölő hatóságnál.

(2)[62] Az (1) bekezdésben meghatározott bírság összege százezer forinttól tízmillió forintig terjedhet, a 4. mellékletben megjelölt szabálytalanság esetén az ott rögzített mértékben.

(3)[63] A bírság összegét a bírság kiszabásáról rendelkező döntés véglegessé válásától számított 15 napon belül kell megfizetni a kijelölő hatóság által megadott bírság letéti számla javára.

(4)[64] A befizetés során az átutalás közlemény rovatában fel kell tüntetni az "Lrtv. bírság" szöveget, a határozat számát és a bírságfizetésre kötelezett nevét.

(5)[65] Több szabálytalanság együttes fennállása esetén a bírság mértéke az egyes szabálytalanságokért kiszabható bírságok összege, amely nem haladhatja meg a tízmillió forintos felső határt.

(6)[66] A bírság ugyanazon tényállás mellett - az azonnal megszüntethető szabálytalanságok kivételével - a bírságot kiszabó végleges határozat közlését követő két hónap elteltével szabható ki ismételten.

9. Nyilvántartási és adatbiztonsági előírások

10. § (1)[67] A Kormány a kijelölt európai és nemzeti létfontosságú rendszerelemek, illetve az alapvető szolgáltatást nyújtó szereplők nyilvántartásának vezetésére és a nyilvántartás adatainak kezelésére - az ágazaton belüli, illetve a rendszerelem vagy létesítmény szerint illetékes ágazat kijelölő hatóság által ki nem jelölt ágazaton kívüli honvédelmi létfontosságú rendszerelemek kivételével - a hivatásos katasztrófavédelmi szerv központi szervét jelöli ki. Azon ágazaton kívüli honvédelmi létfontosságú rendszerelemek esetében, amelyek más ágazatban is kijelölésre kerültek létfontosságú rendszerelemmé, a nyilvántartás vezetése és a nyilvántartás adatainak kezelése a hivatásos katasztrófavédelmi szerv központi szerve és a honvédelmi ágazat nyilvántartó hatósága által egyidejűleg történik. A honvédelmi ágazat nyilvántartó hatósága a kijelölő határozatot - az ágazaton belüli honvédelmi létfontosságú rendszerelemek kivételével - tájékoztatásul megküldi a hivatásos katasztrófavédelmi szerv központi szerve részére.

(2)[68] Az üzemeltető a nyilvántartott adatokban bekövetkezett változásokról 72 órán belül elektronikus úton tájékoztatja az (1) bekezdés szerinti nyilvántartó hatóságot és egyidejűleg a kijelölő hatóságot.

(3) A Lrtv. 5. § (4) bekezdése szerinti szervek adatokat írásban, az adatigénylési cél meghatározásával és az átvenni kívánt adatok körének pontos megjelölésével kérhetnek a nyilvántartó hatóságtól. Az adatszolgáltatást 15 napon belül teljesíteni kell.

(4)[69] A hivatásos katasztrófavédelmi szerv központi szerve az (1) bekezdés szerinti nyilvántartásból - az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság, az (EU) 2016/1148 európai parlamenti és tanácsi irányelv alapján kormányrendeletben kijelölt egyedüli kapcsolattartó pont (a továbbiakban: egyedüli kapcsolattartó pont), valamint az Ibtv. 19. § (1) és (2) bekezdése szerinti eseménykezelő központ számára - az Lrtv. 5. § (4) bekezdése g) pontjában foglalt feladatának végrehajtása céljából, valamint a honvédelmi ágazat javaslattevő hatósága részére az Lrtv. 5. § (4) bekezdés h) és i) pontjában foglalt feladatának végrehajtása céljából a nyilvántartáshoz hozzáférést biztosít.

10. Együttműködés

11. § (1)[70] A 4. § (1) bekezdés szerinti hatósági, illetve szakhatósági eljárásban a hivatásos katasztrófavédelmi szerv központi vagy területi szerve

a) a gazdasági hatás kritériuma teljesülésének kérdésében a Nemzeti Adó- és Vámhivatal központi szerve,

b)[71] a társadalmi hatás kritériuma teljesülésének kérdésében az általános rendőrségi feladatok ellátására létrehozott szerv területi, illetve központi szerve, az Alkotmányvédelmi Hivatal központi szerve, a Terrorelhárítási Központ, a Nemzeti Információs Központ, valamint az Országos Idegenrendészeti Főigazgatóság,

c)[72] a politikai hatás kritériuma teljesülésének lehetősége tekintetében az illetékes főispán,

d) a környezeti hatás kritériuma teljesülésének lehetősége kérdésében a területi környezetvédelmi hatóság, a területi vízügyi és vízvédelmi hatóság, az országos természetvédelmi és környezetvédelmi hatóság, valamint az országos vízügyi és vízvédelmi hatóság,

e) a védelem kritériuma teljesülésének kérdésében a hivatásos katasztrófavédelmi szerv területi szerve

véleményét kérheti.

(2)[73] Az (1) bekezdésben megkeresett szervek véleménye a szakhatóságot döntése során nem köti.

(3)[74] Az (1) bekezdésben meghatározott szervek az azonosítási jelentés alapján lefolytatott véleményalkotásuk, valamint a komplex ellenőrzésen történt részvételük esetén a kijelölés alapjául szolgáló körülmények fennállásán kívül vizsgálják a létfontosságú rendszerelemek, az azokhoz tartozó közterületek, valamint az azokat felügyelő, működtető személyek azon fizikai, humán és informatikai biztonsági feltételeinek meglétét, amelyek garantálják az azonosított kockázatokkal szembeni védelmet, a rendeltetésszerű működést, a szándékos és nem szándékos károkozás elkerülését.

(4)[75] A 8. § (1) bekezdésében meghatározott ellenőrzési terv elkészítése érdekében az érintett szervek az együttműködés keretében, minden évben legkésőbb a tárgyévet megelőző év október 15. napjáig megküldik a hivatásos katasztrófavédelmi szerv központi szerve részére az ellenőrzési terv elkészítéséhez szükséges javaslataikat, melyeket egyúttal a saját ellenőrzési rendszerükben is megjelenítenek.

(5)[76] Az üzemeltető az együttműködés keretében katasztrófaveszély vagy katasztrófa esetén haladéktalanul köteles a kijelölő hatóságot és a hivatásos katasztrófavédelmi szerv központi szervét, honvédelmi létfontosságú rendszerelem esetén a fentieken felül a Magyar Honvédség Központi Ügyeletét értesíteni.

(6)[77] Az együttműködés keretében, az üzemeltetői biztonsági tervben meghatározott rendkívüli esemény bekövetkezésekor

a) a hivatásos katasztrófavédelmi szerv központi szerve jogosult a hatáskörükben érintett hatóságoktól és szervektől a beavatkozáshoz és elhárításához szükséges adatokat beszerezni, azok közreműködését kérni;

b) az a) pont szerinti adatszolgáltatást az érintett hatóság és szerv soron kívül köteles teljesíteni, az adatszolgáltatást a megkeresett nem tagadhatja meg;

c) a rendkívüli eseményre való reagálás, a mentés megszervezése, irányítása, továbbá a lakosság tájékoztatása, a károk felmérése, az eredeti állapot lehetőség szerinti helyreállítása a hivatásos katasztrófavédelmi szerv központi szervének koordinálásával történik;

d) a szükséges erők, eszközök bevonására az érintett kijelölő hatóság javaslatot tehet;

e) a kiváltó okok azonosításában, a tett intézkedések értékelésében az érintett kijelölő hatóság, a beavatkozást végző szervek és a biztonsági összekötő személy együtt vesz részt.

(7)[78] Az ágazati kijelölő hatóság tájékoztatja az egyedüli kapcsolattartó pontot az alapvető szolgáltatást nyújtó szereplőnek az érintett ágazat, illetve alágazat szerinti jelentőségéről.

11. A komplex gyakorlat[79]

12. §[80] (1) Az Lrtv. szerinti komplex gyakorlatot a 8. § (1) bekezdése szerinti éves ellenőrzési tervben kell szerepeltetni. A komplex gyakorlattal érintett üzemeltetőket a hivatásos katasztrófavédelmi szerv központi szerve a tárgyév január 15-ig értesíti. A komplex gyakorlatot úgy kell megtervezni és végrehajtani, hogy

a) az ne érintse károsan az üzemeltető alaptevékenységének ellátását,

b) az üzemeltetői biztonsági tervben megjelölt szervezeti és eszközrendszert és az információ- és hálózatbiztonsági ellenállóképességét valós bekövetkezési lehetőségek mentén, a létfontosságú rendszerelem ágazati, alágazati, és területi sajátosságait figyelembe véve kell modellezni,

c) mutasson rá az egyes rendszerek kölcsönös függőségi kitettségére és

d) segítse elő a káresemények hatékony kezelését, valamint a reagálóképesség növelését.

(2) A komplex gyakorlaton az üzemeltető mellett részt kell vennie az ágazati kijelölő hatóságnak, a hivatásos katasztrófavédelmi szerv központi-, illetve az üzemeltető működési helye szerint illetékes területi-, vagy helyi szervének és a biztonsági összekötő személynek. A komplex gyakorlaton részt vehet az üzemeltető felügyeleti szerve, valamint a rendkívüli esemény felszámolásában részt vevő, az üzemeltető irányítása vagy vezetése alatt álló egyéb szervezet.

(3) Ha a komplex gyakorlat eredménye nem megfelelő minősítésű, a hivatásos katasztrófavédelmi szerv központi vagy területi szerve határidő tűzésével annak megismétlésére kötelezi az üzemeltetőt, azzal, hogy az ismételt komplex gyakorlat megtartásának elmulasztása, vagy ismételten nem megfelelő minősítése esetén a 4. melléklet szerinti bírság kiszabásának van helye.

(4) Nem megfelelő minősítésű a komplex gyakorlat, ha az üzemeltetői biztonsági tervben foglaltak olyan mértékben eltérnek a valóságtól, hogy ez a kijelölt rendszerelem üzemfolytonos működését befolyásolhatja.

(5) Ha a komplex gyakorlat során a hivatásos katasztrófavédelmi szerv központi vagy területi szerve azt állapítja meg, hogy az üzemeltetői biztonsági terv nem megfelelő, az üzemeltetőt határidő tűzésével az üzemeltetői biztonsági terv módosítására kötelezi, ennek elmulasztása esetén a 4. melléklet szerinti bírság kiszabásának van helye.

(6) Ha a komplex gyakorlat során a hivatásos katasztrófavédelmi szerv központi vagy területi szerve azt észleli, hogy az informatikai biztonsági szabályzat felülvizsgálata szükséges, az informatikai biztonsági szabályzat felülvizsgálatát kezdeményezi az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságnál.

(7)[81] Ha a védelmi és biztonsági feladatok ellátásában részt vevő állami szervek széles körét érintő, összkormányzati jellegű, Kormány által elrendelt kötelező gyakorlat komplex gyakorlat is, úgy azon részt vesz a védelmi és biztonsági igazgatás központi szervének képviselője. Ha a komplex gyakorlat egyúttal a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti gyakorlatnak is minősül, arról az ágazati gyakorlatot elrendelő szervezet a védelmi és biztonsági igazgatás központi szervét előzetesen tájékoztatja.

(8)[82] A (7) bekezdés szerinti gyakorlatokon a védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti védekezéssel összefüggő feladatokban közreműködő referens részt vehet.

11/A. Az alapvető szolgáltatást nyújtó szereplők azonosításának egyéb szabályai[83]

12/A. §[84] Azon alapvető szolgáltatást nyújtó szereplők azonosítására, amelyek nem üzemeltetnek kijelölt létfontosságú rendszerelemet, a Kormány az Lrtv. alapján a Nemzetbiztonsági Szakszolgálatot (a továbbiakban: azonosító hatóság) jelöli ki.

12/B. §[85] (1) Az azonosító hatóság megvizsgálja az alapvető szolgáltatást nyújtó szereplőként történő azonosítás lehetőségét

a) a 4. § (3) bekezdés c) pontjában foglaltak szerinti elutasítás, illetve a 4. § (3) bekezdés g) pontjában foglalt visszavonás esetében,

b) a nemzetbiztonsági védelem alá eső szervek és létesítmények esetében,

c) az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló kormányrendelet szerinti egyedüli kapcsolattartó ponthoz érkezett európai uniós megkeresésben szereplő szervezet vonatkozásában,

d) az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság, az Ibtv. szerinti sérülékenységvizsgálat és biztonsági esemény vizsgálatából eredő, valamint az Ibtv. 19. § (1) bekezdésben nevesített eseménykezelő központ adatai alapján.

(2) Ha a kijelölő hatóság a 4. § (3) bekezdés c) pontjában foglaltak szerint elutasítja a kijelölésre vonatkozó javaslatot, vagy a 4. § (3) bekezdés g) pontjában foglaltak szerint visszavonja a kijelölést, e döntéséről tájékoztatja az azonosító hatóságot.

(3) Az azonosító hatóság az (1) és (2) bekezdésben foglaltak esetében, ha az Lrtv. 1. § d) pontja szerinti kritériumok teljesülése fennáll, hatósági eljárást indít, amelyben közli az érintett szervezettel azokat az adatokat, amelyek szerint megfelel az alapvető szolgáltatást nyújtó szereplőként történő azonosítás kritériumainak.

(4) Ha az érintett szervezet a (3) bekezdés szerinti közléssel egyetért, erről 30 napon belül tájékoztatja az azonosító hatóságot.

(5) Ha az érintett szervezet a (3) bekezdés szerinti közléssel nem ért egyet, 60 napon belül köteles a részletes indokolással ellátott véleményét az azonosító hatóság részére megküldeni. A részletes indokolással ellátott vélemény tartalmazza az érintett szervezet

a) által nyújtott szolgáltatás részletes leírását,

b) a szolgáltatás nyújtásában közreműködő elektronikus információs rendszerei felsorolását, azok szerepét, súlyát a szolgáltatás nyújtásában,

c) más szolgáltatások nyújtásában történő közreműködését.

(6) Az azonosító hatóság az (5) bekezdésben szereplő információkat mérlegelve dönt az alapvető szolgáltatást nyújtó szereplőként történő azonosításról vagy annak mellőzéséről.

(7) Az azonosító hatóság az alapvető szolgáltatást nyújtó szereplő azonosításáról szóló határozatot, valamint az Lrtv. 5. § (1) bekezdés a) pontja szerinti adatokat megküldi a 10. § (1) bekezdése szerinti hatóság részére, nyilvántartásba vétel céljából.

12/C. §[86] (1) Az azonosító hatóság

a) legalább 3 évente,

b) az alapvető szolgáltatást nyújtó szereplő kérelmére a megszűnésekor vagy

c) az alapvető szolgáltatást nyújtó szereplő által bejelentett változásra tekintettel

felülvizsgálja a 12/B. § szerint azonosított alapvető szolgáltatást nyújtó szereplők azonosításra okot adó körülményeket.

(2) A felülvizsgálat eredményétől függően fenntartja vagy visszavonja az azonosításra vonatkozó döntését.

12/D. §[87] Az azonosított alapvető szolgáltatást nyújtó szereplő soron kívül bejelenti az azonosító hatóság részére, ha a működésében olyan változás áll be, amely befolyásolja az alapvető szolgáltatás nyújtását.

12/E. §[88] Az azonosító hatóság 2 évente, az érintett központi államigazgatási szervek bevonásával kezdeményezi a 3. mellékletben foglalt táblázat szerinti alapvető szolgáltatások jegyzékének felülvizsgálatát.

12/F. §[89] (1) Annak érdekében, hogy az alapvető szolgáltatást nyújtó szereplők köre minél inkább megegyezzen a kijelölt létfontosságú rendszerelemek üzemeltetőivel, a 10. § (1) bekezdése szerinti hatóság tájékoztatja az ágazati kijelölő hatóságot az ágazatához tartozó alapvető szolgáltatást nyújtó szereplő 12/B. § (3) bekezdés szerinti azonosításáról.

(2) Az ágazati kijelölő hatóság megvizsgálja a kijelölés alapjául szolgáló alágazatokat és ágazati kritériumokat, majd szükség szerint kezdeményezi új alágazat felvételét az Lrtv. 1. mellékletébe, illetve az ágazati kritériumok módosítását.

11/B. Összehangolt védelmi tevékenységre vonatkozó eltérő szabályok[90]

12/G. §[91] (1) A védelmi és biztonsági tevékenységek összehangolásáról szóló törvény szerinti összehangolt védelmi tevékenység során a létfontosságú rendszerelemek védelme, valamint a társadalom alapvető ellátását biztosító létfontosságú rendszerelemek üzemfolytonos működésének fenntartása érdekében - az előzetesen jóváhagyott tervek szerint - a jelen alcímben meghatározott eltérő szabályok alkalmazásának van helye.

(2) Összehangolt védelmi tevékenység elrendelése esetén a létfontosságú rendszerelem üzemeltetője

a) soron kívül felülvizsgálja a 2. melléklet szerinti üzemeltetői biztonsági terv 7. pontjában foglalt adatokat, és változás esetén azt az ágazati kijelölő hatóság részére megküldi,

b) a biztonsági összekötő személy közreműködésével

ba) megszervezi a védelmi és biztonsági esemény felszámolásához szükséges védekezést, ennek keretében felméri a rendelkezésre álló és bevethető erőket és eszközöket,

bb) intézkedik a kijelölt létfontosságú rendszerelem üzemfolytonos működését biztosító szükséges intézkedések meghozatalára,

bc) amennyiben szükséges, megszervezi a létfontosságú rendszerelem 24 órás élőerős őrzését, melyhez az általános rendőrségi feladatok ellátására létrehozott szerv, valamint a Magyar Honvédség közreműködését kérheti,

bd) megszervezi és fenntartja a létfontosságú rendszerelem 24 órás ügyeleti rendszerét,

c) a védelmi és biztonsági tevékenységek összehangolásáról szóló törvényben, valamint az annak végrehajtására kiadott rendeletekben foglalt meghatározott termékkör szerinti termékek esetében a nemzetgazdaság védelmi és biztonsági célú tartalékolásának szabályai szerint tartalékot képez, melyhez állami támogatást, valamint a rögzített védelmi ipari kapacitások korszerűsítésére, bővítésére szolgáló fejlesztésekre nyújtott támogatást kizárólag a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvényben, valamint az annak végrehajtására kiadott rendeleteiben foglalt kötelezettségeinek maradéktalan teljesítése esetén vehet igénybe,

d)[92] polgári védelmi kötelezettség megállapítása esetén a kritikus munkakörben foglalkoztatott munkavállaló ilyen minőségét soron kívül igazolja a kötelezett lakóhelye, ennek hiányában tartózkodási helye szerint illetékes vármegyei, fővárosi katasztrófavédelmi igazgatóság útján - az üzemeltető beazonosíthatósága nélkül - a helyi önkormányzat polgármestere felé.

(3) Az ágazati kijelölő hatóság a hozzá a 7. § (9) bekezdése szerint beérkezett módosított üzemeltetői biztonsági terveket öt napon belül megvizsgálja, és azokat a nyilvántartó hatóság részére megküldi.

(4) A nyilvántartó hatóság - az (5) bekezdésben meghatározott kivétellel - a nyilvántartásból személyes adatnak nem minősülő adatot a védelmi és biztonsági esemény kezelésében részt vevő szervnek vagy szerveknek a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvényben foglalt korlátozások figyelembevételével továbbíthat.

(5) Az ágazaton belüli honvédelmi létfontosságú rendszerelemek esetében a (4) bekezdésben foglaltakat azzal az eltéréssel kell alkalmazni, hogy a nyilvántartó hatóság a nyilvántartásból adatot a honvédelmi érdekű információbiztonságra vonatkozó korlátozások figyelembevételével továbbíthat.

12. Hatályba léptető rendelkezések

13. § (1) Ez a rendelet - a (2) és (3) bekezdésben meghatározott kivétellel - a kihirdetését követő 3. napon lép hatályba.

(2) A 6. § (2) és (3) bekezdése 2014. szeptember 1-jén lép hatályba.

(3)[93] A 17. § 2023. július 1-jén lép hatályba.

13. Átmeneti rendelkezések

14. §[94]

15. §[95]

15/A. §[96]

15/B. §[97]

15/C. §[98]

15/D. §[99] (1) Az ágazati kijelölő hatóság a 3. mellékletben foglalt táblázat, valamint az ágazati küszöbértékek alapján az egyes kiberbiztonsági tárgyú és egyéb kormányrendeletek módosításáról szóló 375/2020. (VII. 30.) Korm. rendelet hatálybalépésétől számított 90 napon belül a korábban azonosított alapvető szolgáltatást nyújtó szereplők azonosítását felülvizsgálja.

(2) Ha az (1) bekezdés szerinti esetben az ágazati kijelölő hatóság fenntartja az alapvető szolgáltatást nyújtó szereplőként történő azonosítást, a határozatában rögzíti, hogy az azonosítás a 3. mellékletben foglalt táblázat mely sora tekintetében valósult meg. Döntését haladéktalanul közli az alapvető szolgáltatást nyújtó szereplők jegyzékét vezető hatósággal és az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatósággal.

(3) Ha az (1) bekezdés szerinti esetben az ágazati kijelölő hatóság a felülvizsgálat eredményeként megállapítja, hogy a korábban azonosított alapvető szolgáltatást nyújtó szereplő nem felel meg az Lrtv. 1. § d) pontja szerinti kritériumoknak, az azonosítás visszavonásáról határozatot hoz, amelyet közöl az üzemeltetővel, valamint döntéséről haladéktalanul tájékoztatja az alapvető szolgáltatást nyújtó szereplők jegyzékét vezető hatóságot és az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságot.

14. Az Európai Unió jogának való megfelelés

16. § Ez a rendelet az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, 2008. december 8-i 2008/114/EK irányelvnek való megfelelést szolgálja.

16/A. §[100] Ez a rendelet a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

15. Módosító rendelkezések

17. §[101]

Orbán Viktor s. k.,

miniszterelnök

1. melléklet a 65/2013. (III. 8.) Korm. rendelethez

HORIZONTÁLIS KRITÉRIUMOK

Egyetlen vagy egymással közvetlenül összefüggő eseményekkel kapcsolatban Magyarország területén:

1. a veszteségek kritériuma:

- 24 óra leforgása alatt az áldozatok száma a 20 főt meghaladja, vagy a súlyos sérültek száma legalább 75 fő, vagy

- 72 óra leforgása alatt az áldozatok száma a 40 főt meghaladja, vagy a súlyos sérültek száma legalább 150 fő.

2. a gazdasági hatás kritériuma: a gazdasági veszteség mértéke, vagy termékek és szolgáltatások romlásának mértéke, a rendszer és létesítmény fizikai sérüléséből, elvesztéséből fakadó közvetlen vagy közvetett károk, amelyek ötvenezer fő vonatkozásában meghaladják az egy főre eső bruttó nemzeti jövedelem (GNI) bármely 30 napos időszakra vetített mértékének 25%-át.

3. a társadalmi hatás kritériuma: 300 fő/km2-nél sűrűbben lakott területen a köznyugalom súlyos megzavarása, beleértve a lakosságot érő káros pszichológiai és közegészségügyi hatásokat is.

4. a politikai hatás kritériuma: az állam és intézményei iránti közbizalom megszűnése, valamely állami szerv működésképtelenné válása miatt a lakosság biztonságérzete kritikus szint alá csökken.

5. a környezeti hatás kritériuma: az esemény, vagy folyamat, amely miatt a természeti vagy épített környezetben, különösen:

- az infrastruktúrában bekövetkező sérülés vagy zavar, az épített vagy természetes környezet oly mértékű rongálódását idézi elő, amelynek következtében

= 10 000 fő kimenekítése vagy kitelepítése válik szükségessé, vagy

= legalább 100 km2 nagyságú terület tartósan szennyeződik, vagy

= a felszín alatti vizek, vagy azok természetes víztartó képződményei, a folyóvizek és természetes tavak, valamint ezek medre vagy élővilága szenved tartós károsodást;

- az ország tájegységeiben, kiemelkedő földrajzi területeiben visszafordíthatatlan negatív változás következik be.

6. a védelem kritériuma: az infrastruktúrában bekövetkező sérülés, zavar, állapot, esemény vagy folyamat:[102]

- amely következtében a rendszerelem ellátási láncban betöltött szerepét nem tudja ellátni,

- sérülése vagy megsemmisülése esetén a beavatkozás, mentés vagy kárfelszámolás ideje aránytalanul megnövekszik, vagy

- katasztrófák elleni védekezés, a károk felszámolása időlegesen ellehetetlenül.

2. melléklet a 65/2013. (III. 8.) Korm. rendelethez[103]

AZ ÜZEMELTETŐI BIZTONSÁGI TERV FELÉPÍTÉSE

Tartalmi követelmények

1. Általános bemutatás

1.1. rendszerelem megnevezése

1.1.1. üzemeltetető neve

1.1.2. üzemeltetető székhelye

1.1.3. üzemeltetető lakcíme

1.1.4. üzemeltetető levelezési címe

1.1.5. üzemeltetető cégjegyzékszáma vagy az egyéni vállalkozói nyilvántartási száma

1.1.6. üzemeltetető adóazonosító száma

1.1.7. üzemeltetető képviselőjének neve

1.1.8. üzemeltetető telefon- és telefaxszáma

1.1.9. üzemeltetető e-mail-címe

1.1.10. pontos cím hiányában a kijelölt rendszerelem elhelyezkedésére vonatkozó más azonosító adat és földrajzi koordináta

1.2. biztonsági összekötő

1.2.1. biztonsági összekötő személy neve

1.2.2. biztonsági összekötő személy természetes személyazonosító adatait (családi és utóneve, születési családi és utóneve, születési helye, születési ideje, anyja születési családi és utóneve)

1.2.3. biztonsági összekötő személy telefon- és telefaxszáma

1.2.4. biztonsági összekötő személy e-mail-címe

1.3. szervezet általános bemutatása

1.3.1. szervezet tevékenysége

1.3.2. szervezet irányítási rendszere

1.3.3. kijelölt rendszerelem védelmével kapcsolatos fő célkitűzései

1.3.4. a horizontális és ágazati kritériumok teljesülésének, indokoltságának vizsgálata a rendszerelem tekintetében

1.4. szervezeti struktúra és üzemvezetés

1.4.1. szervezet felépítése, szervezeti ábra

1.4.2. szervezet vezetése, vezető tisztségviselők, felelősségi köreik

1.5. szervezet személyzete[104]

1.5.1. szervezet létszáma, dolgozók státusza szerinti bontásban

1.5.2. a szervezet kritikus munkaköreinek azonosítása, felsorolása, a szervezetben kritikus munkakörben foglalkoztatottak létszáma

1.5.3. külső (harmadik féltől igénybe vett, kölcsönzött, bedolgozó, szerződéses vagy vállalkozó) dolgozók létszáma, státuszuk szerinti bontásban, a működés szempontjából kritikus folyamatok tekintetében

1.5.4. pandémiás tervezés, mely magában foglalja a létfontosságú rendszerelem dolgozóinak, különös tekintettel a döntéshozóknak, valamint a kritikus munkakörben foglalkoztatott személyeknek a védelmét

1.5.5. pandémiás vezetői csoport és annak vezetője, a pandémiás intézkedések bevezetésének és kihirdetésének kritériumai, fázisainak meghatározása

1.5.6. pandémiás vezetői csoport feladatai

1.5.7. pandémiás vezetői csoporton kívül, a védekezésben részt vevő szervek, munkavállalók és feladataik

1.5.8. a döntési jogkörök és a kapcsolattartás rendje (belső, külső)

1.5.9. fertőzéseknek legjobban kitett munkakörök, szereplők, munkatársak azonosítása

1.5.10. a pandémia elleni védekezéshez szükséges egyéni védőeszközök, vakcinák, fertőtlenítőszerek mennyisége és azok tárolási helye

1.5.11. alternatív működési helyszín kijelölése, leírása

1.5.12. elkülönítő helyiség kijelölése, leírása

1.5.13. alternatív munkavégzési módok kijelölése, leírása

1.5.14. a létfontosságú rendszerelem területére történő bejutás rendje, a belépésre jogosult személyek meghatározása

1.5.15. a létfontosságú rendszerelem működési szempontjából nélkülözhetetlen területek azonosítása, az azokba történő belépés rendje, a belépésre jogosult személyek meghatározása

1.5.16. az egyes területekre történő bejutás megtiltásának rendje

1.5.17. az egyes területek takarításának, fertőtlenítésének rendje

1.6. kijelölt rendszerelem tevékenységének, illetve működésének általános bemutatása, az elvárt, normális működés paraméterei

1.6.1. rendszerelem tevékenységének áttekintő bemutatása

1.6.2. rendszerelem normál működésének paraméterei (így különösen a termelésszám, a kapacitás, a lekötött tatalék, illetve az ellátott körzet)

1.6.3. beszállítói kör, illetve beszállítói lánc megjelölése, általános bemutatása, a működés szempontjából kritikus folyamatok tekintetében

1.6.4. ha a beszállítói lánc bármely eleme a kijelölt létfontosságú rendszerelem üzemszerű működését veszélyezteti

1.6.4.1. beszállító cégadatai

1.6.4.2. beszállító képviselőjének elérhetősége

1.6.4.3. beszállítóval kötött megállapodás rendszerelem üzemfolytonos működését biztosító garanciái

1.6.4.4. beszállítói audit szabályozottsága, annak megléte, eredménye, időszakossága, szankciói

1.6.5. azon ágazatok és alágazatok függőségeinek bemutatása, amelyben érintett rendszerelemek, szolgáltatások hatással lehetnek a működésre

1.6.6. rendszerelem meglévő és teljesített szabvány-megfelelőségei, ágazati követelményei

1.6.7. a rendszerelem működése szempontjából kritikus műveletek, technológiák, feltételek, szolgáltatások, folyamatok meghatározása

1.7. kijelölt rendszerelem elemeinek azonosítása és értékelése a teljesült ágazati és horizontális kritériumok alapján

1.7.1. ágazati kritériumok megjelölése

1.7.2. horizontális kritériumok megjelölése

1.8. belső audit és vezetőségi átvizsgálás

1.8.1. belső auditrendszer bemutatása (így különösen az auditorok személye, képzettsége, belső képzése)

1.8.2. belső auditok időszakossága, eredményei, dokumentáltsága

1.8.3. vezetői átvizsgálás rendszerének bemutatása

1.8.4. vezetői átvizsgálás időszakossága, eredményei, dokumentáltsága

1.9. a változtatások kezelése és annak követése.

1.9.1. a belső auditok és vezetői átvizsgálások eredménye következtében megvalósult változtatások és azok követése ("change management")

2. A kijelölt rendszerelem környezetének bemutatása

2.1. a kijelölt rendszerelemet környező területek jellemzése

2.1.1. a kijelölt rendszerelem természetbeni helye

2.1.1.1. település

2.1.1.2. utca

2.1.1.3. házszám

2.1.1.4. emelet, ajtó

2.1.2. a kijelölt rendszerelem helyrajzi száma

2.1.3. a kijelölt rendszerelem földrajzi fekvése (koordinátái)

2.1.4. a kijelölt rendszerelem és környezetének felülnézeti (műholdas) képe

2.1.5. a kijelölt rendszerelem környezetének légtere és sajátosságai

2.1.6. a kijelölt rendszerelem környezetében található, a működésére befolyással bíró veszélyes üzemek, gyárak, erőművek megnevezése, címe, tevékenységi köre

2.1.6.1. tevékenységére gyakorolt esetleges hatása

2.1.7. a természeti környezetre vonatkozó legfontosabb információk

2.1.7.1. a területre jellemző, a kijelölt rendszerelem sérülését eredményező és a következmények alakulására hatást gyakorló meteorológiai jellemzők

2.1.7.2. a helyszínt jellemző, a kijelölt rendszerelem biztonságos tevékenységére, üzemeltetésére, működésére hatást gyakorló legfontosabb geológiai és hidrológiai jellemzők

2.1.7.3. egyéb, a működésre befolyással bíró külső tényezők bemutatása

3. A kijelölt rendszerelem bemutatása

3.1. a kijelölt rendszerelem valamennyi elemének részletes bemutatása (így különösen a normál működési rend során a kijelölt rendszerelem működését garantáló eszközök, berendezések, technológiai és karbantartási folyamatok, műveletek menete, naplózása)

3.1.1. a rendeltetésszerű működés folyamatának bemutatása a működést biztosító berendezésekkel együtt

3.1.1.1. a rendeltetésszerű működés biztosításához szükséges erőforrások és kapacitásaik bemutatása

3.1.1.2. a rendeltetésszerű működés tartalék eszközeinek és szolgáltatásainak bemutatása

3.1.1.3. a tartalék eszközök és szolgáltatások normál működésbe történő beillesztésének időszükséglete

3.1.1.4. a tartalék berendezésről és szolgáltatásról, normál működésre való visszatérés folyamata, szabályai, időszükséglete

3.1.1.5. a tartalék berendezések és szolgáltatások időszakos tesztelése

3.1.1.6. a minimális működés folyamatának bemutatása a működést biztosító berendezésekkel együtt

3.1.1.7. a minimális működés biztosításához szükséges erőforrások és kapacitásaik bemutatása

3.1.2. valamennyi elemének méretarányos helyszínrajza, valamint hozzátartozó magyarázat, útmutató

3.1.3. a kijelölt rendszerelem működését releváns módon befolyásoló informatikai rendszerek, eszközök, hálózatok ismertetése

3.1.4. az informatikai rendszerek, eszközök, hálózatok kijelölt rendszerelem működésben betöltött szerepük leírása

3.2. a telephelyet kiszolgáló infrastruktúra

3.2.1. elektromos áramellátás biztosítása

3.2.1.1. elektromos áramellátás szolgáltatója

3.2.1.2. elektromos áramellátás területi ellátottsága

3.2.1.3. szolgáltató által végzett műszaki karbantartások és javítások bemutatása (így különösen a kapcsolattartás módja, rendje, időszakossága)

3.2.1.4. elektromos áramellátás becsatlakozási pontjainak bemutatása

3.2.1.5. belső elektromos áramellátás bemutatása

3.2.1.6. tartalék és alternatív elektromos rendszerbiztosítása

3.2.1.6.1. tartalék elektromos rendszer bemutatása

3.2.1.6.2. tartalék elektromos rendszer kapacitása

3.2.1.6.3. tartalék elektromos rendszer ellátási területe

3.2.1.6.4. tartalék elektromos rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.1.6.5. alternatív elektromos rendszere bemutatása

3.2.1.6.6. alternatív elektromos rendszer kapacitása

3.2.1.6.7. alternatív elektromos rendszer ellátási területe

3.2.1.6.8. alternatív elektromos rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.2. vezetékes gázellátás biztosítása

3.2.2.1. vezetékes gázellátás szolgáltatója

3.2.2.2. vezetékes gázellátás területi ellátottsága

3.2.2.3. szolgáltató által végzett műszaki karbantartások és javítások bemutatása

3.2.2.4. vezetékes gázellátás becsatlakozási pontjainak bemutatása

3.2.2.5. belső vezetékes gázellátás bemutatása

3.2.2.6. tartalék és alternatív gáz rendszer biztosítása

3.2.2.6.1. tartalék gáz rendszer bemutatása

3.2.2.6.2. tartalék gáz rendszer kapacitása

3.2.2.6.3. tartalék gáz rendszer ellátási területe

3.2.2.6.4. tartalék gáz rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.2.6.5. alternatív gáz rendszere bemutatása

3.2.2.6.6. alternatív gáz rendszer kapacitása

3.2.2.6.7. alternatív gáz rendszer ellátási területe

3.2.2.6.8. alternatív gáz rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.3. közüzemi ivóvízellátás biztosítása

3.2.3.1. közüzemi ivóvízellátás szolgáltatója

3.2.3.2. közüzemi ivóvízellátás területi ellátottsága

3.2.3.3. szolgáltató által végzett műszaki karbantartások és javítások bemutatása

3.2.3.4. közüzemi ivóvízellátás becsatlakozási pontjainak bemutatása

3.2.3.5. belső közüzemi ivóvízellátás bemutatása

3.2.3.6. tartalék és alternatív ivóvíz rendszer biztosítása

3.2.3.6.1. tartalék ivóvíz rendszer bemutatása

3.2.3.6.2. tartalék ivóvíz rendszer kapacitása

3.2.3.6.3. tartalék ivóvíz rendszer ellátási területe

3.2.3.6.4. tartalék ivóvíz rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.3.6.5. alternatív ivóvíz rendszere bemutatása

3.2.3.6.6. alternatív ivóvíz rendszer kapacitása

3.2.3.6.7. alternatív ivóvíz rendszer ellátási területe

3.2.3.6.8. alternatív ivóvíz rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.4. ivóvíz tisztítási eljárás (saját vízforrás esetén)

3.2.4.1. eljárás bemutatása

3.2.4.2. kapacitási adatai és karbantartása

3.2.5. közüzemi szennyvízelvezetés biztosítása

3.2.5.1. közüzemi szennyvízelvezetés szolgáltatója

3.2.5.2. közüzemi szennyvízelvezetés területi ellátottsága

3.2.5.3. szolgáltató által végzett műszaki karbantartások és javítások bemutatása

3.2.5.4. közüzemi szennyvízelvezetés becsatlakozási pontjainak bemutatása

3.2.5.5. belső közüzemi szennyvízellátás bemutatása

3.2.6. infokommunikációs hálózati ellátás

3.2.6.1. infokommunikációs szolgáltatás felsorolása

3.2.6.2. infokommunikációs szolgáltatás szolgáltató

3.2.6.3. szolgáltató által végzett műszaki karbantartások és javítások bemutatása

3.2.6.4. belső infokommunikációs rendszer bemutatása

3.2.6.5. belső infokommunikációs hálózat bemutatása

3.2.6.6. a létfontosságú rendszerelem működtetéséhez szükséges infokommunikációs rendszerek/alkalmazások bemutatása

3.2.6.7. a létfontosságú rendszerelem működtetéséhez szükséges, harmadik féltől igénybe vett infokommunikációs rendszerek, alkalmazások bemutatása

3.2.6.8. a létfontosságú rendszerelem infokommunikációs rendszerektől, alkalmazásoktól való függőségének, hatásainak bemutatása

3.2.6.9. a létfontosságú rendszerelem infokommunikációs rendszereinek, alkalmazásainak, hálózatainak függősége a kiszolgáló elektromos áramellátási rendszerektől

3.2.6.10. az infokommunikációs rendszerek üzemeltető által meghatározott szolgáltatási szintjeinek bemutatása (így különösen normál, csökkentett, minimális működés)

3.2.6.11. tartalék és alternatív infokommunikációs rendszer biztosítása

3.2.6.11.1. tartalék infokommunikációs rendszer bemutatása

3.2.6.11.2. tartalék infokommunikációs rendszer kapacitása

3.2.6.11.3. tartalék infokommunikációs rendszer ellátási területe

3.2.6.11.4. tartalék infokommunikációs rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.6.11.5. alternatív infokommunikációs rendszere bemutatása

3.2.6.11.6. alternatív infokommunikációs rendszer kapacitása

3.2.6.11.7. alternatív infokommunikációs rendszer ellátási területe

3.2.6.11.8. alternatív infokommunikációs rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.7. távhő ellátás

3.2.7.1. távhő szolgáltatás felsorolása

3.2.7.2. távhő szolgáltatás szolgáltató

3.2.7.3. szolgáltatás lefedettségi területe

3.2.7.4. szolgáltató által végzett műszaki karbantartások és javítások bemutatása

3.2.7.5. a távhő telephelyen történő feldolgozásának bemutatása

3.2.7.6. a távhő kiesése esetén igénybe vett alternatív, vagy tartalék rendszerek bemutatása

3.2.7.7. azon távhőrendszer-szolgáltatók felsorolása, amely a kijelölt létfontosságú rendszerelem üzemfolytonos működését biztosítja

3.2.8. egyéb

3.2.8.1. minden egyéb a rendszerelem működéséhez nélkülözhetetlen, üzletmenet folytonosságát befolyásoló szolgáltatás bemutatása az alábbi pontok részletezésével

3.2.8.2. igénybe vett szolgáltatási rendszer bemutatása

3.2.8.3. igénybe vett szolgáltatók bemutatása

3.2.8.4. alternatív szolgáltató, az azonos szolgáltatás biztosítása céljából

3.2.8.5. szolgáltatás kapacitás adatainak bemutatása

3.2.8.6. a rendeltetésszerű működéshez szükséges minimum szolgáltatási szint bemutatása

3.2.8.7. a szolgáltatás kiesésének működésre gyakorolt hatásának bemutatása

3.2.8.8. tartalék és alternatív igénybe vett szolgáltatási rendszer biztosítása

3.2.8.8.1. tartalék igénybe vett szolgáltatási rendszer bemutatása

3.2.8.8.2. tartalék igénybe vett szolgáltatási rendszer kapacitása

3.2.8.8.3. tartalék igénybe vett szolgáltatási rendszer ellátási területe

3.2.8.8.4. tartalék igénybe vett szolgáltatási rendszer műszaki karbantartásainak és javításainak bemutatása

3.2.8.8.5. alternatív igénybe vett szolgáltatási rendszere bemutatása

3.2.8.8.6. alternatív igénybe vett szolgáltatási rendszer kapacitása

3.2.8.8.7. alternatív igénybe vett szolgáltatási rendszer ellátási területe

3.2.8.8.8. alternatív igénybe vett szolgáltatási rendszer műszaki karbantartásainak és javításainak bemutatása

3.3. a kijelölt rendszerelem felépítésének, elemeinek, részletes tevékenységének, termelési, működési folyamatainak bemutatása, a tevékenységekre vonatkozó legfontosabb technológiai és karbantartási folyamatok, műveletek

3.3.1. a létfontosságú rendszerelem tevékenységének bemutatása, kapacitás adatokkal együtt

3.3.2. a tevékenységekre vonatkozó legfontosabb technológiai, műveleti, munka folyamatok bemutatása

3.3.2.1. a tevékenység célja

3.3.2.2. a rendeltetésszerű működéshez szükséges erőforrás

3.3.2.2.1. humán

3.3.2.2.2. technikai, technológiai

3.3.2.2.3. anyagi

3.3.2.2.4. harmadik féltől igénybe vett szolgáltatás

3.3.2.2.5. a kiszolgáló infrastruktúra és a technológiai, műveleti, munkafolyamatok kapcsolódási pontjainak részletes bemutatása

3.3.2.3. a rendeltetésszerű működéshez szükséges minimum erőforrás

3.3.2.3.1. humán

3.3.2.3.2. technikai, technológiai

3.3.2.3.3. anyagi

3.3.2.3.4. harmadik féltől igénybe vett szolgáltatás

3.3.2.3.5. a kiszolgáló infrastruktúra és a technológiai, műveleti, munkafolyamatok kapcsolódási pontjainak részletes bemutatása

3.3.3. a tevékenységekre vonatkozó legfontosabb karbantartási folyamatok bemutatása

3.4. a lehetséges veszélyt jelentő anyagok, berendezések megjelölése, mennyisége, tárolási adatai

3.4.1. a rendeltetésszerű működésre veszélyt jelentő anyagok bemutatása

3.4.2. a rendeltetésszerű működésre veszélyt jelentő anyagok kezelése, szállítása, tárolása

3.4.3. a rendeltetésszerű működésre veszélyt jelentő anyagok megsemmisítése, elszállítása

3.4.4. a rendeltetésszerű működésre veszélyt jelentő berendezések bemutatása

3.4.5. a rendeltetésszerű működésre veszélyt jelentő berendezések kezelése, szállítása, tárolása, karbantartása

3.4.6. a rendeltetésszerű működésre veszélyt jelentő berendezések megsemmisítése, elszállítása

3.5. belső és külső tájékoztatási rendszerek

3.5.1. a szervezet kommunikációs stratégiájának bemutatása

3.5.2. a szervezet kommunikációs eljárásrendjei

3.5.3. a szervezet válságkommunikációs stratégiájának bemutatása

3.5.4. a szervezet válságkommunikációs eljárásrendjei

3.5.5. belső tájékoztatási rendszerek, eszközök, szolgáltatások bemutatása

3.5.6. külső (harmadik féltől igénybe vett) tájékoztatási rendszerek, eszközök, szolgáltatások bemutatása

3.6. felügyeleti és biztonsági szervezetek, eszközrendszerük, működésük

3.6.1. biztonsági szolgálat bemutatása [ha kiszervezett, a harmadik féltől igénybe vett biztonsági szolgálat (ok) bemutatása]

3.6.2. elsősegélynyújtó és mentőszervezetek bemutatása (ha kiszervezett, a harmadik féltől igénybe vett biztonsági szolgálat bemutatása)

3.6.3. munkavédelmi szervezet bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.4. tűzvédelmi szervezet bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.5. környezetvédelmi szervezet bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.6. műszaki biztonsági szolgálat bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.7. katasztrófa elhárítási szervezet bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.8. távfelügyeleti és monitoring hálózat bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása), minimum elvárás a rendszerben lévő jelző és érzékelő eszközök tervrajzon való feltüntetése és a dokumentumhoz történő csatolása

3.6.9. laboratóriumi kapacitás bemutatása (ha kiszervezett, a harmadik féltől igénybe vett szolgáltatás bemutatása)

3.6.10. beléptető és behatolás jelző rendszer bemutatása, minimum elvárás a rendszer által védett helyszínek tervrajzon való feltüntetése és a dokumentumhoz történő csatolása

3.6.11. zárt láncú kamerás megfigyelő rendszer bemutatása, minimum elvárt a kamerák és diszpécserközpontok elhelyezési rajza, a kamerák által lefedett területek jelölésével

3.6.12. tűzjelző rendszer bemutatása, minimum elvárás a rendszer által védett helyszínek, eszközök és diszpécser központok tervrajzon való feltüntetése és a dokumentumhoz történő csatolása

3.6.13. tűzoltó rendszer bemutatása, minimum elvárás a rendszer által védett helyszínek, eszközök tervrajzon való feltüntetése és a dokumentumhoz történő csatolása

3.6.14. egyéb a rendszerelem biztonságát szavatoló eszköz, rendszer, szolgáltatás bemutatása (ha releváns, tervrajzon való feltüntetése és a dokumentumhoz történő csatolása)

4. Kockázatok azonosítása, értékelése, kezelése (az üzemeltető azonosítja, értékeli és kezeli a kijelölt rendszerelemmel összefüggő kockázatokat)

4.1. az üzemeltető által fenntartott kockázat menedzsment rendszer bemutatás

4.1.1. felelősségi körök bemutatása

4.1.2. kockázat kezelési módszertan bemutatása

4.2. kockázatok tételes azonosítása, értékelése különösen az alábbi elemek használatával:

4.2.1. meteorológia kockázatok

4.2.1.1. viharos szél

4.2.1.2. villámcsapás

4.2.1.3. rendkívüli hőmérsékleti körülmények (extrém magas/alacsony)

4.2.1.4. rendkívüli csapadék

4.2.2. geológiai kockázatok

4.2.2.1. földrengés

4.2.2.2. árvíz

4.2.2.3. belvíz

4.2.3. humán kockázatok

4.2.3.1. külső támadás

4.2.3.2. belső munkavállaló által elkövetett szándékos károkozás

4.2.3.3. belső munkavállaló által elkövetett gondatlan károkozás

4.2.3.4. szakképzettség hiánya

4.2.3.5. kritikus létszámhiány

4.2.3.6. külső munkavállaló által elkövetett szándékos károkozás

4.2.3.7. külső munkavállaló által elkövetett gondatlan károkozás

4.2.3.8. humán eredetű járványhelyzet

4.2.3.9. állati eredetű járványhelyzet

4.2.4. technikai kockázatok

4.2.4.1. villamosenergia-szolgáltatás kiesése

4.2.4.2. épületgépészeti meghibásodás

4.2.4.3. diszpécserközpont meghibásodása

4.2.4.4. vízszolgáltatás kiesése

4.2.4.5. távhőszolgáltatás kiesése

4.2.4.6. gázszolgáltatás kiesése

4.2.4.7. csőtörés létesítményen, épületen belül

4.2.4.8. csőtörés technológiai téren belül

4.2.4.9. redundáns áramellátás kiesése

4.2.4.10. klimatizálás kiesése

4.2.5. kommunikációs kockázatok

4.2.5.1. híradó technika meghibásodása

4.2.5.2. redundanciát nyújtó technika meghibásodása

4.2.5.3. kommunikációs csatornák meghibásodása

4.2.5.4. EDR meghibásodása

4.2.5.5. IP telefon meghibásodása

4.2.5.6. analóg telefon meghibásodása

4.2.5.7. internetszolgáltatás kiesése

4.2.6. tűzeset

4.2.6.1. létesítményben tűz

4.2.6.2. technológiai térben tűz

4.2.6.3. szerverhelyiségben tűz

4.2.7. informatikai kockázatok

4.2.7.1. szerver meghibásodása

4.2.7.2. használt szoftver meghibásodása

4.2.7.3. adatkapcsolat meghibásodása

4.2.7.4. munkaállomások meghibásodása

4.2.7.5. szünetmentes tápegység meghibásodása

4.2.7.6. hálózati meghibásodás

4.2.7.7. használt informatikai rendszer, alkalmazás meghibásodása (rendszerenként)

4.2.7.8. kibertámadás, kibertérből érkező támadás

4.2.8. veszélyes anyagokkal és technológiákkal kapcsolatos kockázatok

4.2.8.1. radiológiai veszély

4.2.8.2. veszélyes anyagokkal kapcsolatos veszély (tűz, túlnyomás, mérgezés)

4.2.8.3. biológiai veszély

4.2.9. egyéb, az adott ágazat szempontjából specifikus kockázatok

4.3. a kijelölt rendszerelem kölcsönösen függő (interdependens) kapcsolódásai és az azokból adódó kockázatok felmérése (azaz a kijelölt rendszerelem kiesése milyen más ágazatokra, szervezetekre, személyekre van hatással), és azokkal a kockázati lista kiegészítése

4.4. a kockázatok valószínűsíthető okainak feltárása, a bekövetkezéskor prognosztizálható negatív hatások meghatározása, keletkezett kárérték meghatározása

4.5. a felmerült kockázatok értékelése táblázat készítése a bekövetkezési valószínűség, a veszélyeztető hatások szintje és harmadik fél felé fennálló kitettség alapján

4.5.1. a bekövetkezési valószínűség lehet: nagyon ritka, ritka, alkalmankénti, gyakori, nagyon gyakori (1-5 skálán)

4.5.2. a veszélyeztető hatások szintje lehet: elhanyagolható, alacsony, közepes, magas, katasztrofális (1-5 skálán)

4.5.3. a harmadik fél felől fennálló kitettség lehet: harmadik féltől igénybe vett, vagy üzemeltető által saját hatáskörben nyújtott vagy nem értelmezhető (1-2 skálán) - ahol a "2" érték súlyozottan veendő figyelembe[105]

4.6. Kockázatkezelés

4.6.1. a kockázatok értékelésére készített táblázat kiegészítése a kockázat kezelésére, elfogadására, áthárítására tett intézkedésekkel

4.6.2. a rendkívüli események meghatározása (minimum tartalmi követelmény: az esemény megnevezése, mértéke, bejelentési rend, alkalmazandó eljárásrend)

5. A kijelölt rendszerelem védelmének eszközrendszere rendkívüli esemény bekövetkezése esetén

5.1. a rendszerelem védelmét biztosító általános intézkedés bemutatása

5.2. a rendszerelem védelmét biztosító speciális intézkedés bemutatása a 4.2-4.5. szerint azonosított kockázatonként

5.3. a rendszerelem védelmét biztosító, a rendkívüli esemény során alkalmazandó eljárásrend bemutatása

5.4. rendkívüli esemény kezelésében résztvevő szervezeti egységek felsorolása

5.5. kijelölt rendszerelem védelmére rendszeresített felszerelések és a vezetéshez, a döntés-előkészítéshez szükséges folyamatok és infrastruktúrák bemutatása

5.5.1. a vezetői állomány rendkívüli esemény esetén történő értesítésének eszközrendszere

5.5.2. a vezetői állomány rendkívüli esemény esetén történő értesítésének eljárásrendje

5.5.3. a dolgozók rendkívüli eseménykori riasztásának eszközrendszere

5.5.4. a dolgozók rendkívüli eseménykori riasztásának eljárásrendje

5.5.5. a rendkívüli esemény következményeinek csökkentését végző saját eszközeinek és erőforrásainak alkalmazása

5.5.6. vezetői irányítás folyamata

5.5.7. döntési kompetenciák, felelősségek

5.5.8. üzemfolytonos működés minimum szintjéhez szükséges feltételek és intézkedések

5.5.9. üzemfolytonos működés normál szintjéhez szükséges feltételek és intézkedések

5.5.10. üzemfolytonos működés helyszíni, illetve távoli munkavégzéshez szükséges feltételek és intézkedések

6. Honvédelmi létfontosságú rendszerelem esetén a honvédelmi szervekkel történő kapcsolattartás és együttműködés rendje

6.1. Honvédelmi létfontosságú rendszerelem esetén a honvédelmi szervekkel történő kapcsolattartás rendje

6.2. Honvédelmi létfontosságú rendszerelem esetén a honvédelmi szervekkel történő együttműködés rendje

7. Védelmi és biztonsági eseménnyel összefüggő adatok[106]

7.1. a létfontosságú rendszerelem üzemfolytonos működését biztosító nélkülözhetetlen szolgáltatások megnevezése és az azokat nyújtó szolgáltatók felsorolása

7.2. a létfontosságú rendszerelem üzemfolytonos működését biztosító nélkülözhetetlen szolgáltatások leírása, valamint azok mennyiségi adatai

7.3. a létfontosságú rendszerelem üzemfolytonos működését biztosító kritikus munkakörök és az adott munkakörben dolgozó személyek létszámadatai

7.4. a védelmi és biztonsági tevékenységek összehangolásáról szóló törvényben meghatározott termékkör szerinti termékek, szolgáltatások leírása, előállítási, gyártási kapacitás, valamint raktáron tartott készlet mennyiségi adatainak megadása

7.5. a kritikus munkakörben foglalkoztatott személy családi és utóneve, születési családi és utóneve, születési helye és ideje, anyja születési családi és utóneve[107]

Formai követelmények

Az üzemeltetői biztonsági tervet a "Tartalmi követelmények" részben feltüntetettek szerinti tagolásban, írásban kell elkészíteni. A jóváhagyott üzemeltetői biztonsági tervet a kijelölő hatóság részére az üzemeltető és a biztonsági összekötő személy által aláírva, elektronikus úton kell benyújtani.

A térképeket elektronikus adathordozón is be lehet nyújtani. A térképvázlat vagy helyszínrajz tartalmazza a kijelölt rendszerelem egészét és olyan felbontású és formátumú legyen, amely a megfelelő eligazodást biztosítja.

3. melléklet a 65/2013. (III. 8.) Korm. rendelethez[108]

ALAPVETŐ SZOLGÁLTATÁSOK JEGYZÉKE

4. melléklet a 65/2013. (III. 8.) Korm. rendelethez[109]

BÍRSÁG