📄 Jogszabály szövege
301/2013. (VII. 29.) Korm. rendelete a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladatés hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról.
A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés
a)–d) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva
a következőket rendeli el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
1. adminisztrátori jogosultsággal rendelkező vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során
a vizsgálatot végző személy rendszergazdai jogosultsággal rendelkezik, és az eljárás célja, hogy
megfelelőségi listák alapján a teljes informatikai rendszer állapota ellenőrzésre kerüljön;
2. automatizált vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai
rendszerének a sérülékenységei célszoftverek segítségével kerülnek feltérképezésre;
3. átlagostól jelentősen eltérő elektronikus információs rendszer: a biztonsági vizsgálattal érintett szervezet
(a továbbiakban: érintett szervezet) elektronikus információs rendszere az átlagostól jelentősen eltér, ha:
a) a rendszer
aa) a külső internetes tartományban több mint 20 IP címen elérhető eszközzel,
ab) több mint 10 webes szolgáltatással,
ac) a belső hálózat tekintetében több mint 50 szerverrel,
ad) több mint 500 munkaállomással,
ae) több mint 5 vezeték nélküli hálózattal, vagy
af ) több mint 500 fős felhasználói létszámmal
rendelkezik, vagy
b) az érintett szervezet több mint három telephelyen rendelkezik a vizsgálattal érintett elektronikus
információs rendszerrel;
4. belső vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai rendszerének
sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik;
5. célszoftverek: a biztonsági vizsgálati eljárás során a sérülékenységvizsgálat egyes fázisainak végrehajtására
kifejlesztett szoftverek;
6. emberi tényezőkön alapuló vizsgálat: a dolgozók általános informatikai felkészültségének, és a szervezetnél
használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata;
7. felhő alapú számítástechnikai szolgáltatás: olyan szolgáltatás, amelyet a szolgáltató a felhasználó számára
nem egy erre a célra rendelt hardvereszközön, hanem a saját eszközein elosztva, az üzemeltetés részleteit
elrejtve üzemelteti, és amelyet a felhasználók interneten keresztül érhetnek el;
8. hálózati végpont: adott informatikai rendszer hálózatához való csatlakozási pont;
9. kézi vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a szervezet informatikai rendszerének
sérülékenységei a vizsgálatot végző személy által egyedileg, manuálisan összeállított lekérdezések
alkalmazásával kerülnek feltérképezésre;
10. kritikus ügyviteli folyamat: olyan speciális tevékenységsor, amely az adott szervezet működését alapvetően
befolyásoló folyamatokat tartalmaz, vagy kiesése az állampolgári jogok gyakorlását és kötelezettségek
teljesítését ellehetetlenítheti;
11. külső vizsgálat: az informatikai rendszer internet felőli, külső sérülékenységvizsgálata, amelynek során
az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre,
valamint az elérhető számítógépek szolgáltatásainak, sebezhetőségének feltérképezésére kerül sor;
12. regisztrált felhasználói jogosultság nélküli vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során
a vizsgálatot végző személy semmilyen előzetes információval nem rendelkezik a szervezet informatikai
rendszeréről, és nincs felhasználói jogosultsága a rendszerhez;
13. regisztrált felhasználói jogosultsággal rendelkező vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során
a vizsgálatot végző személy a számára külön létrehozott felhasználói jogosultsággal végzi a vizsgálatot;
14. súlyos biztonsági esemény: olyan esemény, amely az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) hatálya alá tartozó szervek
elektronikus információs rendszerei, vagy a kibertér tekintetében jogszabályban meghatározott mértékű,
nagy kárt okoz;
15. titkosítási eljárás: olyan eljárás, amely az adat megismerhetőségét azáltal korlátozza, hogy az adat egy
algoritmus segítségével átalakításra kerül olyan jelsorozattá, ami olvashatatlan azon személy számára, aki
nem rendelkezik a visszaalakításhoz szükséges egyedi jelsorozatból álló kulccsal;
16. titkosítási kulcs: titkosítási eljárás során alkalmazott olyan jelsorozat, amelynek ismeretében a titkosított
állomány megismerhető;
17. webes vizsgálat: olyan biztonsági vizsgálati eljárás, amely során automatizált és kézi vizsgálatok útján
kerülnek feltárásra a webes alkalmazások sérülékenységei;
18. vezeték nélküli hálózat vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során a hozzáférési
és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok
visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik;
19. 3g/gprs vizsgálat: 3G/GPRS szolgáltatások sérülékenységvizsgálata, amelynek során a hálózatok és
az elérhető szolgáltatások automatizált és kézi vizsgálati módszerrel történő feltárására kerül sor.
2. A hatóság eljárására vonatkozó általános rendelkezések 2. § Az Ibtv. 14. § (1) bekezdése szerinti Nemzeti Elektronikus Információbiztonsági Hatóság (a továbbiakban: hatóság)
eljárásainak ügyintézési határideje hatvan nap, amelyet a hatóság vezetője indokolt esetben egy alkalommal,
legfeljebb harminc nappal meghosszabbíthat.
3. § A hatóság az eljárását lezáró döntése meghozatala előtt az érintett szervezettel – ha ezt azonnali fenyegetés vagy
biztonsági esemény, vagy az érintett szervezet ismételt jogsértő magatartása nem zárja ki – egyeztetést folytat le.
4. § (1) A hatóság eljárása során az Ibtv.-ben meghatározott feladatai ellátása érdekében – az intézkedéssel érintett
szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében
jogosult önállóan, a szakhatósággal, vagy más hatósággal együtt is:
a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai
szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus
információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív, vagy passzív
eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus
információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni,
c) információtechnológiai műszaki vizsgálatokat végezni – ide nem értve a 15. § szerinti biztonsági események
műszaki vizsgálatát – szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési
jogosultsággal.
(2) A hatóság vezetője a helyszíni ellenőrzés elrendelése esetén a hatóság ellenőrzést ellátó munkatársa részére
megbízólevelet állít ki. A megbízólevélnek tartalmaznia kell az ellenőrzés célját, tárgyát, az elrendelésre okot adó
körülményeket, a jogszabályi hivatkozást, az ellenőrzés várható időtartamát, az ellenőrzés módját és az ellenőrzést
végző személyek megnevezését.
(3) A helyszíni ellenőrzés elrendeléséről az érintett szervezet vezetőjét előzetesen írásban, az érintett szervezet
elektronikus információs rendszereinek biztonságáért felelős személyt elektronikus úton a helyszíni vizsgálat
megkezdése előtt értesíteni kell. Az értesítéshez mellékelni kell az ellenőrzést ellátó személy megbízólevelét.
(4) A (3) bekezdés szerinti értesítés mellőzhető, ha
a) súlyos fenyegetettség áll fenn,
b) súlyos biztonsági esemény történt,
c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy
d) az érintett szervezet a rendelkezésre álló adatok alapján a helyszíni ellenőrzés eredményes lefolytatását
feltehetően meghiúsítaná.
(5) A helyszíni ellenőrzéssel érintett szervezet vezetője, minden – ideértve az Ibtv. 2. § (2) bekezdése szerinti
szervezeteket és személyeket – munkatársa, és az elektronikus információs rendszer biztonságáért felelős személy
az Ibtv. 12. § c) pontja alapján köteles a hatósággal együttműködni.
(6) A helyszíni ellenőrzésről a hatóság jegyzőkönyvet készít, amelyet az ellenőrzés lezárását követő nyolc napon belül
az érintett szervezetnek írásban észrevételezésre megküld. Az érintett szervezet azzal kapcsolatban nyolc napon
belül írásban tehet – a hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a hatóság
egyeztetést kezdeményezhet az érintett szervezettel.
5. § (1) A hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási cselekményt haladéktalanul
– az ügy jellegének megfelelően a szakhatósággal, a kormányzati és ágazati eseménykezelő központtal, vagy
az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére kijelölt
szervvel közösen – lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai
számára kiemelten fontos információs rendszereket súlyosan veszélyeztető fenyegetés elhárítását szolgálja.
(2) A hatóság az Ibtv. 14. § (2) bekezdés d)–e) és n) pontjában, valamint az Ibtv. 15. § (1) bekezdés e) pontjában
meghatározottak teljesítése érdekében az Ibtv. 2. § (2) bekezdése szerint érintett szervezetek által bejelentett,
valamint a kormányzati eseménykezelő központ értesítése alapján tudomására jutott biztonsági eseményeket
haladéktalanul megvizsgálja, és annak alapján megteszi a biztonsági esemény elhárítására irányuló intézkedéseket.
3. A hatóság feladatai 6. § (1) A hatóság
a) engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs
rendszer üzemeltetését,
b) ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs
rendszer üzemeltetést,
c) ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények
teljesülését.
(2) A hatóság az Ibtv. 3. § (3) bekezdése szerint az Európai Unió tagállamaiban történő elektronikus információs
rendszer üzemeltetés tekintetében engedélyezési eljárást folytat le, a 7. § (3) bekezdésében foglaltak kivételével.
Az eljárás során a hatóság megvizsgálja
a) az Európai Unió tagállamaiban történő adatkezelés indokát,
b) az Európai Unió tagállamaiban kezelt adatok és adatbázisok leírását,
c) azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés jogszabályi
megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e,
d) az adatkezelő rendszer technikai és technológiai – ideértve a hardver és szoftverkomponenseket is – leírását,
e) az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá
az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat,
f ) a kötelezően lefolytatandó biztonsági rendszer felülvizsgálat eredményét,
g) a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot és
h) azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni.
(3) Nem kell a (2) bekezdés e)–g) pontja szerinti leírásokat megvizsgálni, ha az Ibtv. 4. §-a szerinti, érvényes biztonsági
tanúsítvány a kérelem benyújtásakor rendelkezésre áll, és azt a hatóságnak bemutatják.
7. § (1) Az engedélyezésre irányuló kérelem tartalmazza a 6. § (2) és (3) bekezdése szerinti adatokat. A kérelmet a külföldön
történő adatkezelés megkezdését megelőzően kilencven nappal kell benyújtani a hatóság részére. A 6. §
(2) bekezdés b) és e)–f ) pontja, és a 6. § (3) bekezdése szerinti dokumentációkat, okiratokat az eredetivel megegyező
másolatban, és hiteles magyar fordításban a kérelem mellékleteként csatolni kell.
(2) Engedély hiányában a tevékenység nem kezdhető meg. Az engedély lejártát a benyújtott tanúsítványok
érvényességi időtartamához igazodóan kell megállapítani.
(3) Ha a külföldön végzett adatkezelésre vagy rendszerüzemeltetésre olyan nemzetközi szerződés alapján kerül sor,
amelyben a magyar állam az egyik szerződő fél, a hatóságot tájékoztatni kell az érintett adatokról, az adatfeldolgozó,
vagy üzemeltető személyéről, és a szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás
lefolytatása nélkül tudomásul veszi.
(4) Ha a hatóság tudomására jut, hogy az érintett szervezet – ide nem értve a (3) bekezdés szerinti tevékenységet –
az adatkezelést, vagy üzemeltetést az Európai Unión, vagy az Ibtv. 3. § (1) bekezdése tekintetében Magyarországon
kívül – ideértve a nem azonosítható adatkezelési, vagy jogszabály által kizárt helyszínen megvalósuló, felhő alapú
számítástechnikai szolgáltatásokat is – folytatja, a hatóság a 17. § szerinti jogkövetkezményt alkalmazza.
8. § (1) A központi, valamint az európai uniós forrásból megvalósuló fejlesztési projektek információbiztonsági
követelményeinek teljesítése során a projekt vezetője a projekt tervezési szakában a hatóság részére
véleményezésre megküldi a vonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá
mindazon dokumentációkat, amelyek alapján a biztonsági, és termékminősítési követelmények megvalósulása
ellenőrizhető a projekt teljes életciklusára nézve, ideértve az átvétel, vagy teljesülés után az elektronikus információs
rendszer használata során érvényesítendő elvárásokat is.
(2) A projekt mérföldköveinek figyelembevételével, az adott projekt szakasz zárását megelőző legkevesebb harminc
nappal kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus információbiztonsági dokumentációt,
hogy annak észrevételei, vagy kifogásai a projekt terveken, vagy a projekt tárgyán átvezethető és alkalmazható
legyen.
(3) A hatvan napnál rövidebb időtartamú projektek esetén az (1) bekezdés szerinti dokumentációt legkésőbb a projekt
befejezésekor kell a hatóság rendelkezésére bocsátani.
(4) A hatóság az (1)–(3) bekezdés szerinti dokumentumok tekintetében a szakhatóság véleményét kikéri.
9. § (1) Az elektronikus információs rendszerek biztonsági osztályba sorolásának ellenőrzése a hatóságnak megküldött
információk alapján, jogszabályban meghatározott szempontok szerint történik.
(2) Ha a bejelentett biztonsági osztályba sorolást – ideértve az Ibtv. 8. § (5) bekezdése szerinti cselekvési tervet is –
a hatóság elfogadja, az erre irányuló döntés a biztonsági osztályba sorolás későbbi önálló, vagy az érintett szervezet
ellenőrzése során történő felülvizsgálatát nem zárja ki.
(3) Ha a hatóság az eljárása során az érintett szervezet által megállapított és bejelentett biztonsági osztályba sorolást
felülbírálja, és magasabb biztonsági osztályt állapít meg, az Ibtv. 8. § (3) bekezdése szerinti határidő alkalmazása
tekintetében a hatóság döntésének megfelelő szintet kell alapul venni.
(4) Ha a hatóság a bejelentett biztonsági osztályba sorolásnál alacsonyabb osztály alkalmazásának lehetőségét látja,
arról az érintett szervezetnek javaslatot tesz.
(5) Ha az érintett szervezet a reá irányadó biztonsági osztály helyett alacsonyabb osztályt állapít meg, azt részletesen
indokolnia kell.
10. § (1) Az érintett szervezet biztonsági szintbe sorolásának ellenőrzése a hatóságnak megküldött információk alapján,
jogszabályban meghatározott szempontok szerint történik.
(2) Ha a bejelentett biztonsági szintbe sorolást – ideértve az Ibtv. 10. § (2) bekezdése szerinti cselekvési tervet is –
a hatóság elfogadja, az erre irányuló döntés a biztonsági szintbe sorolás későbbi önálló, vagy az érintett szervezet
ellenőrzése során történő felülvizsgálatát nem zárja ki.
(3) Ha a hatóság az eljárása során az érintett szervezet által megállapított és bejelentett biztonsági szintbe sorolást
felülbírálja, és magasabb biztonsági szintet állapít meg, az Ibtv. 10. § (3) bekezdése szerinti határidő alkalmazása
tekintetében a hatóság döntésének megfelelő szintet kell alapul venni.
(4) Ha a hatóság a bejelentett biztonsági szintbe sorolásnál alacsonyabb szint alkalmazásának lehetőségét látja, arról
az érintett szervezetnek javaslatot tesz.
(5) Ha az érintett szervezet a reá irányadó biztonsági szint meghatározás helyett alacsonyabb szintet állapít meg, azt
részletesen indokolnia kell.
4. Az érintett szervezet egyes kötelezettségei 11. § (1) Az érintett szervezet – ha az elektronikus információs rendszer biztonságért felelős személy, szervezet kijelölése
vagy az elektronikus informatikai biztonsági szabályzat elkészítése, az Ibtv.-ben meghatározott időn belül neki fel
nem róható okból nem teljesül – az Ibtv. 26. § (3) bekezdésében meghatározott hatvan, vagy kilencven napon belül
a hatóságot tájékoztatja a teljesítést akadályozó ok és a teljesítés határidejének megjelölésével.
(2) Az elektronikus információs rendszer biztonságáért felelős személy – ideértve az információbiztonsági szolgáltatást
nyújtó vállalkozás tagjait és alkalmazottait is – az érintett szervezet igényeihez igazodva és annak rendelkezése
szerint feladatát elláthatja
a) részmunkaidőben,
b) a vonatkozó szerződésben meghatározott időtartamban, vagy
c) több érintett szervezetnél.
(3) Az Ibtv. 12. § a) pontja szerinti tájékoztatás magában foglalja a vonatkozó munka-, megbízási vagy más szerződés
másolatának hatóság részére való megküldését, amelyhez csatolni kell az adott személy végzettségét, képzettségét
igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát.
(4) Az Ibtv. 11. § (3) bekezdésének alkalmazásában a szervezet vezetője nem mentesül a jogszabályban meghatározott
azon kötelezettségek alól, amelyek a szervezet felett az információbiztonság tekintetében gyakorolt irányítási és
ellenőrzési jogkörébe tartoznak.
(5) Az Ibtv. 11. § (4) bekezdése alapján az ágazati szabályzók rendelkezésre állása esetén ezeket szervezeti szinten
alkalmazni kell. Ha a szakmai irányítást ellátó miniszter az ágazat, vagy az általa felügyelt központosított rendszer,
vagy szolgáltatás tekintetében általános elektronikus információs rendszer biztonsági szabályozást ad ki, szervezeti
szinten csak annyiban kell egyedi szabályokat létrehozni, amennyiben ezt az érintett szervezetre érvényes egyedi
jellemzők megkövetelik.
(6) Az Ibtv. 2. § (2) bekezdése szerint érintett szervezet az Ibtv. 13. § (3) bekezdése szerinti biztonsági eseményt
jogszabályban meghatározott módon, a biztonsági eseményre vonatkozó összes információ megadásával,
dokumentum csatolásával azonnal bejelenti a hatóságnak.
(7) Nem kell bejelenteni a hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet saját
hatáskörében, biztonsági rendszerének üzemszerű működésével el tudott hárítani, és amelyek jogszabályban
meghatározottak szerinti csekély értékű kárt, vagy működésbeli kiesést nem okoztak.
(8) Az érintett szervezet a (6) és (7) bekezdés szerinti eseményekről technológiai naplót köteles vezetni, amely
tartalmazza az esemény kapcsán tett intézkedéseket, és azok eredményét is.
5. A szakhatósági eljárás általános szabályai 12. § (1) A Nemzeti Biztonsági Felügyelet (a továbbiakban: szakhatóság) az Ibtv. 14. § (1) bekezdésében meghatározott
hatóság szakhatóságaként, az Ibtv. hatálya alá tartozó szervezetek elektronikus információs rendszereinek,
rendszerelemeinek sérülékenységvizsgálatát, valamint a biztonsági események adatainak műszaki vizsgálatát
az Ibtv. 18. § a) pontjában foglaltak alapján a hatóság megkeresése vagy egyedi esetben felkérése esetén vizsgálja.
(2) A sérülékenységvizsgálati szakhatósági eljárás célja az esetleges biztonsági események bekövetkeztét megelőzően
a szervezet elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt
hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása az elektronikus információs rendszerek,
rendszerelemek védelmének és biztonságának megerősítése érdekében.
(3) A sérülékenységvizsgálati szakhatósági eljárás tárgya az adatok, információk kezelésére használt elektronikus
információs rendszereknek, rendszerelemeinek, eszközöknek, eljárásoknak, és kapcsolódó folyamatoknak, valamint
az ezeket kezelő személyek általános informatikai felkészültségének, és a szervezetnél használt informatikai és
információbiztonsági előírások, szabályok betartásának vizsgálata.
(4) A biztonsági események műszaki vizsgálatára vonatkozó szakhatósági eljárás célja, hogy a bekövetkezett biztonsági
események kivizsgálása révén
a) feltárja a biztonsági esemény bekövetkeztének okait, körülményeit,
b) behatárolja a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
c) javaslatot tegyen a biztonsági esemény által okozott kár elhárítására, és
d) a bekövetkezett biztonsági eseményből levonható tanulságokról tájékoztassa a biztonsági eseménnyel
érintett szervezeteket, a hatóságot és a kormányzati eseménykezelő központot annak érdekében, hogy
a jövőben a biztonsági esemény bekövetkezése megelőzhető legyen.
6. A sérülékenységvizsgálati szakhatósági eljárás 13. § (1) A szakhatóság sérülékenységvizsgálati szakhatósági eljárását – az Ibtv. 14. § (2) bekezdés a) és b) pontjában
meghatározott, az elektronikus információs rendszerek, rendszerelemek osztályba sorolásának és a szervezetek
biztonsági szintjei megállapításának, valamint az ezekre vonatkozó, a jogszabályban meghatározott követelmények
teljesülésének ellenőrzése érdekében – a hatóság kezdeményezi a szakhatóságnál.
(2) A szakhatóság a hatóságnál hatósági eljárás lefolytatását kezdeményezheti, ha a sérülékenységvizsgálati
szakhatósági eljárás során azt állapította meg, hogy a megkeresésben megjelölt szerven kívül más szerv
elektronikus információs rendszereinek, rendszerelemeinek sérülékenysége is felmerült.
(3) A sérülékenységvizsgálati szakhatósági eljárás során a szakhatóság sérülékenységvizsgálati szakhatósági eljárását
megalapozó dokumentációban (a továbbiakban: szakhatósági dokumentáció) meghatározottak szerint az alábbi
vizsgálatokat (a továbbiakban együtt: vizsgálat) végzi el:
a) külső vizsgálat,
b) webes vizsgálat,
c) belső vizsgálat,
d) vezeték nélküli hálózat vizsgálat,
e) 3G/GPRS vizsgálat és
f ) emberi tényezőkön alapuló vizsgálat.
(4) A vizsgálat a (3) bekezdés a)–e) pontjában meghatározott irányultságok tekintetében három típusú jogosultsági
fázist tartalmazhat:
a) regisztrált felhasználói jogosultság nélküli vizsgálat,
b) regisztrált felhasználói jogosultsággal rendelkező vizsgálat és
c) adminisztrátori jogosultsággal rendelkező vizsgálat.
(5) A sérülékenységvizsgálati szakhatósági eljárás ügyintézési határideje a (3) bekezdésben meghatározott vizsgálatok
szerint:
a) külső vizsgálat esetén tizenöt nap,
b) webes vizsgálat esetén ötven nap,
c) belső vizsgálat esetén hetvenöt nap,
d) vezeték nélküli hálózat vizsgálat esetén tizenöt nap,
e) 3G/GPRS vizsgálat esetén harminc nap,
f ) az emberi tényezőkön alapuló vizsgálat esetén harminc nap.
(6) A szakhatóság vezetője a szakhatósági eljárásra irányadó határidőt annak letelte előtt egy alkalommal legfeljebb
harminc nappal meghosszabbíthatja, és erről az érintett szervezetet és a hatóságot értesíti.
(7) Amennyiben az érintett szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen
eltér, és emiatt egyedi szakhatósági eljárás szükséges, az ügyintézési határidő további harminc nappal
meghosszabbítható.
14. § (1) Az érintett szervezet köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb
információkat a szakhatóság rendelkezésére bocsátani a hiánypótlási felhívásban foglaltak szerint, az értesítés
kézhezvételétől számított tizenöt napon belül.
(2) Ha az eljárás során a tényállás tisztázása azt szükségessé teszi, a szakhatóság az érintett szervezetet
nyilatkozattételre hívja fel. Ha az érintett szervezet a szakhatóság felhívására nem nyilatkozik, a szakhatóság
a rendelkezésre álló adatok alapján dönt.
(3) A sérülékenységvizsgálati szakhatósági eljárás keretében a szakhatóság a (4) bekezdésben meghatározottak szerint
folytatja le a vizsgálatot.
(4) A vizsgálatok előkészítése során a szakhatóság a szakhatósági dokumentációban rögzíti a feladatokat, célokat,
a technikai és személyi feltételeket, a módszertant, az egyeztetések rendszerét, a vizsgálat várható befejezésének
dátumát.
(5) A szakhatósági dokumentációt a szakhatóság megküldi az érintett szervezet részére. Az érintett szervezet
a szakhatósági dokumentáció tartalmára a kézhezvételtől számított három munkanapon belül észrevételt tehet,
amelynek elfogadásáról a szakhatóság dönt.
(6) A sérülékenységvizsgálati szakhatósági eljárás lezárásakor a szakhatóság sérülékenységvizsgálati szakhatósági
állásfoglalást készít, és azt öt munkanapon belül megküldi az érintett szervezet és a hatóság részére.
(7) A sérülékenységvizsgálati szakhatósági eljárás lezárásaként kiadott elektronikus információs rendszereket érintő
biztonsági vizsgálati szakhatósági állásfoglalás rendelkező része – a közigazgatási hatósági eljárás és szolgáltatás
általános szabályairól szóló 2004. évi CXL. törvény (a továbbiakban: Ket.) 44. § (6) bekezdésében foglaltak
mellett – tartalmazza:
a) a rövid-, közép- és hosszú távú intézkedésekre vonatkozó intézkedési tervet,
b) az a) pont szerinti intézkedések becsült idő- és költségigényét és
c) a szakhatósági eljárás költségeit.
(8) A szakhatósági állásfoglalás indokolása – a Ket. 44. § (6) bekezdésében foglaltak mellett – tartalmazza:
a) a sérülékenységvizsgálati szakhatósági eljárás módszertanának leírását,
b) a sérülékenységvizsgálati szakhatósági eljárás eredményeként a szakhatóság által feltárt sérülékenységek
részletes technikai információit és
c) a szakhatóság által javasolt megoldásokat. 7. A biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárás
15. § (1) A szakhatóság a biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárását az Ibtv.
14. § (2) bekezdés e) pontjában, valamint az Ibtv. 18. § a) pontjában meghatározottak szerint a hatóság megkeresése
alapján vagy egyedi esetben felkérésre végzi.
(2) A szakhatóság a hatóságnál hatósági eljárás lefolytatását kezdeményezheti, ha a biztonsági események adatainak
műszaki vizsgálata során azt állapítja meg, hogy a felkérésben megjelölt szerven kívül más szerv biztonsági
eseményei adatainak műszaki vizsgálata is indokolt.
(3) A biztonsági események adatainak műszaki vizsgálatára vonatkozó szakhatósági eljárás ügyintézési határideje
hatvan nap, amelyet a szakhatóság vezetője a határidő letelte előtt egy alkalommal legfeljebb harminc nappal
meghosszabbíthat. A meghosszabbítás tényéről a szakhatóság az érintett szervezetet és a hatóságot értesíti.
(4) Az érintett szervezet köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb
információkat a szakhatóság rendelkezésére bocsátani a hiánypótlási felhívásban foglaltak szerint, az értesítés
kézhezvételétől számított tizenöt napon belül.
(5) Ha az eljárás során a tényállás tisztázása azt szükségessé teszi, a szakhatóság az érintett szervezetet
nyilatkozattételre hívja fel. Ha az érintett szervezet a szakhatóság felhívására nem nyilatkozik, a szakhatóság
a rendelkezésre álló adatok alapján dönt.
8. Az ellenőrzési terv 16. § (1) Az éves ellenőrzési tervet a hatóság minden év november 30-áig állítja össze, a szakhatóság és a kormányzati,
az ágazati eseménykezelő központok, és az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és
a nyilvántartás adatainak kezelésére kijelölt szerv véleményének kikérésével.
(2) A hatóság az ellenőrzési terv végrehajtását az aktuális évet követő év március 1-jéig értékeli, és arról jelentést tesz
az informatikáért felelős miniszternek (a továbbiakban: miniszter).
(3) A hatóság vezetője az ellenőrzési tervben foglaltaktól – a szakhatósággal, a kormányzati eseménykezelő központtal,
és ha az ügy jellege azt megkívánja, az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és
a nyilvántartás adatainak kezelésére kijelölt szervvel egyeztetve – eltérhet, ha olyan azonnali ellenőrzéseket, vagy
eljárásokat kell lefolytatnia, amelyek a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai
számára kiemelten fontos elektronikus információs rendszereket fenyegető súlyos biztonsági események elhárítását
szolgálják.
(4) A hatóság vezetője az ellenőrzési tervtől való eltérés okát az ellenőrzési terv értékeléséről szóló jelentésben
bemutatja.
9. Jogkövetkezmények 17. § (1) A hatóság az információbiztonsági követelmények teljesülése érdekében – határidő kitűzése mellett – írásban
szólítja fel az érintett szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság,
mulasztás, a biztonsági követelmény sértés megszüntetésére, jogszabályban meghatározott kötelezettség
teljesítésére, az elvárt intézkedés megtételére.
(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus
információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági
esemény bekövetkeztével fenyeget.
(3) A bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának jogerőre emelkedését
követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára.
(4) A hatóság a jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe:
a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági
követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát,
b) történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,
c) a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre,
d) az érintett szervezet magatartását, hatósággal való együttműködését és
e) az esemény egyedi, vagy ismételt jellegét.
10. Az információbiztonsági felügyelő 18. § (1) Az információbiztonsági felügyelő (a továbbiakban: felügyelő) kirendelését a hatóság kezdeményezi a miniszternél.
A felügyelő kirendelésére vonatkozó javaslat tartalmazza a kirendelés indokait, a korábbi, az érintett szervezettel
kapcsolatos intézkedéseit, a felügyelő személyét, a kirendelés időtartamát.
(2) Felügyelőként az rendelhető ki, aki a kirendelést vállalja. A felügyelőnek a vezetői gyakorlatára előírt időtartamába
beleszámítható a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 8. § (5) bekezdése szerinti
munkavégzésre irányuló jogviszonyban szerzett közigazgatáson kívüli vezetői gyakorlat is. A felügyelő felett
a munkáltatói jogokat a miniszter gyakorolja.
(3) A felügyelő egyidejűleg több érintett szervezethez is – ha a kirendelés indokai ezt lehetővé teszik – kirendelhető.
(4) A miniszter a megbízólevél kiállításával a felügyelőt határozott időtartamra rendeli ki az adott szerv elektronikus
információbiztonsági tevékenységének felügyeletére. A kirendelés meghosszabbítását a hatóság vezetője
kezdeményezheti a kirendelés idejének lejárta előtt, legfeljebb egy alkalommal, a folyamatban lévő intézkedések
lezárásáig. A kirendelés időtartamának meghatározásakor figyelemmel kell lenni az érintett szervezet
kötelezettségszegésének súlyára és a fenyegetés elhárításához szükséges védelmi intézkedésekre. A kirendelésről
szóló megbízólevél megfelelően tartalmazza a 4. § (2) bekezdése szerinti adatokat, valamint a kirendelésről szóló
javaslatban megfogalmazott indokokat.
(5) Felügyelőnek nem rendelhető ki az a személy, aki
a) az érintett szervezettel munkavégzésre irányuló jogviszonyban áll,
b) a kirendelést megelőző három évben az adott szervezettel munkavégzésre irányuló jogviszonyban állt,
c) a kirendeléskor, vagy a kirendelést megelőző három évben az adott szervezetnél rendszeres és tartós
megbízási vagy vállalkozási jogviszonyban áll, vagy állt,
d) az adott szerv vezetőjének, gazdasági vezetőjének vagy alkalmazottjának hozzátartozója, e minőségének
fennállása alatt,
e) az adott szervezet képviselője, e minőségének fennállása alatt, és annak megszűnésétől számított három
évig, továbbá
f ) az, akitől az adott helyzet tárgyilagos megítélése üzleti érdekeltségből vagy egyéb okból nem elvárható
(elfogultság).
(6) A felügyelő kirendelésének megszűnésére a megbízólevélben meghatározott időtartam letelte előtt akkor kerülhet
sor, ha
a) a kirendelés oka elhárult és a felügyelő összefoglaló beszámolóját a hatóság elfogadta, vagy
b) a felügyelőt a miniszter visszahívja.
(7) A felügyelőt a miniszter akkor hívja vissza, ha
a) a hatóság megállapítja, hogy az adott szervnél a felügyelőnek felróhatóan nem érvényesülnek a biztonsági
követelmények, vagy
b) az (5) bekezdés szerinti, kizárásra okot adó körülmény merül fel, vagy a fennálló, a kizárásra okot adó
körülmény a miniszter tudomására jut.
(8) A miniszter jogosult a (6) bekezdés b) pontja esetén új felügyelőt kirendelni.
(9) Az új felügyelő kirendelésére a hatóság vezetője tesz javaslatot.
(10) A felügyelő kirendelésének megszűnéséről a hatóság vezetője írásban haladéktalanul tájékoztatja az érintett
szervezet vezetőjét. 19. § (1) A felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok
betartásával, teljesítésével összefüggésben
a) az adott szerv vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni,
b) az érintett szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába
betekinteni, arról másolatot, kivonatot készíttetni,
c) az érintett szervezet valamennyi információtechnológiával kapcsolatos helyiségébe belépni,
d) azonnali intézkedést javasolni a szerv vezetőjének a közvetlen fenyegetés elhárításához (működés
korlátozása, leállítása), e) intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében
különösen az érintett szabályzatok felülvizsgálatát kezdeményezni,
f ) előzetesen véleményezni a működéssel kapcsolatos elektronikus információbiztonságot is érintő
intézkedéseket és
g) kifogással élni az érintett szervezet által az Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései
tekintetében.
(2) A felügyelő köteles
a) az érintett szervezetnél megbízólevelét bemutatni,
b) figyelemmel kísérni megbízatásának időpontjától kezdve az adott szervnél a jogszabályokban foglalt
biztonsági követelmények és eljárások megvalósulását, a jogszabályokban előírt feladatok ellátását,
c) feltárni azokat az okokat, amelyek a kötelezettség nem teljesítéséhez vagy esetleg a fenyegetés
kialakulásához vezettek,
d) a c) pontban foglaltak és az érintett szervezet működésének ismert feltételei alapján a szükséges
intézkedések végrehajtására irányuló intézkedési tervet készíteni a szerv részére,
e) azonnali intézkedéseket kezdeményezni úgy, hogy azok bevezetése nem lehetetleníti el az alaptevékenység
ellátását, valamint azokról haladéktalanul értesíti a hatóságot,
f ) betartani a titoktartási kötelezettségre vonatkozó szabályokat,
g) a megtett intézkedésekről a hatóságnak folyamatosan beszámolni – a beszámolóban számot kell adni
a megtett intézkedésekről, a biztonsági követelmények teljesüléséről, az elektronikus információbiztonság
fejlődéséhez szükséges további intézkedésekről,
h) a megbízatásának megszűnésekor összefoglaló beszámolót készíteni a működéséről, ideértve a megtett
intézkedéseket és azok eredményét, és a javasolt további intézkedéseket, amely elfogadásáról a hatóság
dönt.
11. Jogorvoslat 20. § (1) A hatóság határozatai ellen újrafelvételi eljárásnak nincs helye.
(2) A hatóság határozatainak felügyeleti jogkörben való visszavonására, módosítására nincs lehetőség.
12. A hatóságra vonatkozó vegyes rendelkezések 21. § (1) Az elektronikus információbiztonsági szabályok érvényesülésének biztosítására:
a) az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a nyilvántartás adatainak kezelésére
kijelölt szerv és a hatóság, valamint a szakhatóság, a kormányzati eseménykezelő központ kölcsönösen
tájékoztatják egymást az Ibtv. személyi hatálya alá tartozó szervek, a létfontosságú rendszerelemek kapcsán
feltárt, az elektronikus információbiztonságot érintő megállapításaikról,
b) a kormányzati eseménykezelő központ tájékoztatja a hatóságot az ágazatok közötti, a biztonsági események
esetén követendő szabályokról és felelősségi körökről szóló tervezetéről, amellyel kapcsolatban a hatóság
öt napon belül állást foglal.
(2) Az (1) bekezdés szerinti tájékoztatást haladéktalanul meg kell tenni, ha annak tárgya az elektronikus
információbiztonságot fenyegető veszélyforrást tár fel, vagy biztonsági eseményre utal. Az értesítés alapján
az érintett szervezetek a hatáskörükbe tartozó intézkedést – egymással koordinálva – azonnal megkezdik.
(3) A hatóság a Nemzeti Kiberbiztonsági Koordinációs Tanács részére éves jelentést készít, amely tartalmazza
a) az elvégzett ellenőrzések eredményét,
b) az Ibtv. alanyi és tárgyi hatálya tekintetében Magyarország kibertér biztonsági helyzetének értékelését és
c) a jelentéssel érintett időszak kiemelt eseményeit.
(4) A hatóság vezetője a Nemzeti Kiberbiztonsági Koordinációs Tanácsot eseti jelentésben tájékoztatja, ha olyan
jelenséget, vagy folyamatokat észlel, amelyek Magyarország kiberbiztonsági helyzetére jelentős kihatással vannak.
(5) A hatóság az elektronikus információbiztonság növelése, a legjobb gyakorlatok elterjesztése,
az információbiztonsági tudatosság növelése és az azonnali reagálás érdekében kormányzati
információtechnológiai és hálózatbiztonsági információ-megosztási, incidens-kezelési munkacsoportot működtet,
amelynek tagjait a hatóság által felkért szervezetek, a szakhatóság és a kormányzati eseménykezelő központ
delegálják. Az operatív munkacsoport célja a tagjait delegáló szervek és szervezetek biztonsági szintjének emelése,
az azonnali információmegosztás, az egyes sérülékenységek, fenyegetések és incidensek korai felismerése és
egységes, gyors, kormányzati szintű kezelése, a veszély, fenyegetés mielőbbi elhárítása, és az erre való felkészülés.
A munkacsoport működését a tagok többsége által elfogadott Alapító Okirat, valamint szervezeti és működési
szabályzat szabályozza.
13. Záró rendelkezések 22. § Ez a rendelet a kihirdetését követő napon lép hatályba.
23. § (1) Az Európai Unió más tagállamában végzett, jelen rendelet hatálybalépésekor folyamatban levő adatkezelési
tevékenységet az érintett szervezetnek a hatóság felé a 6. § (2) bekezdése szerinti adattartalommal e rendelet
hatálybalépésétől számított 60 napon belül be kell jelenteni.
(2) Ha az érintett szervezet e rendelet hatálybalépésekor az adatkezelést, vagy üzemeltetést az Európai Unión, vagy
az Ibtv. 3. § (1) bekezdése tekintetében Magyarországon kívül – ideértve a nem azonosítható adatkezelési, vagy
jogszabály által kizárt helyszínen megvalósuló, felhő alapú számítástechnikai szolgáltatásokat is – folytatja, azt
a hatóság felé
a) a tevékenység helyszínének megnevezésével, az ott történő adatkezelés, rendszerüzemeltetés indokának
bemutatásával,
b) a kezelt adatok és adatbázisok
leírásával e rendelet hatálybalépésétől számított 60 napon belül be kell jelentenie.
(3) A hatóság az érintett szervezetet – ha az a tevékenységét a (2) bekezdés szerinti bejelentéssel egyidejűleg nem
szünteti meg – kötelezi annak megszüntetésére, valamint arra, hogy azonnal jelentse be mindazon intézkedéseket,
amelyek biztosítják, hogy az adatok a későbbiekben sem juthatnak illetéktelenek tudomására.
(4) Az érintett szervezetnek a 8. § (1) és (2) bekezdése szerinti kötelezettségeit e rendelet hatálybalépésekor a még le
nem zárt tervezési fázisban levő projekt szakaszok tekintetében kell teljesítenie.
(5) Ha a szervezet adatkezelési, vagy adatfeldolgozási tevékenységéhez, vagy az elektronikus információs rendszere
üzemeltetéséhez az Ibtv. hatálybalépése előtt megkötött szerződés alapján közreműködőt vesz igénybe,
a biztonsági követelmények teljesítéséről azt nyilatkoztatni, a nyilatkozatot a hatóság részére másolatban e rendelet
hatályba lépését követő 90 napon belül megküldeni köteles.
orbán viktor s. k.,
miniszterelnök
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.