← Magyarország

187/2015. (VII. 13.) Korm. rendelete az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági

Röviden

Ez a rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatáskörét, továbbá a zárt célú elektronikus információs rendszerek meghatározását szabályozza.

Amit szabályoz

Akire vonatkozik

Kulcsfontosságú pontok

📄 Jogszabály szövege
187/2015. (VII. 13.) Korm. rendelete az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról. A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés a)–c), h) és i) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el: 1. Értelmező rendelkezések 1. § E rendelet alkalmazásában 1. felhő alapú számítástechnikai szolgáltatás: olyan információs társadalommal összefüggő szolgáltatás, amely lehetővé teszi konfigurálható számítási erőforrások – különösen hálózatok, kiszolgálók, tárolók, alkalmazások, szolgáltatások – osztott készletének igény szerinti, hálózaton keresztül történő elérését, és jellemzője a  szolgáltatások igény szerinti használata, a  hálózati elérés, az  erőforrás készlet kialakítása, a  rugalmasság valamint a  szolgáltatás mérése. Felhő alapú szolgáltatás különösen az  infrastruktúra mint szolgáltatás, a platform mint szolgáltatás, valamint a szoftver mint szolgáltatás függetlenül annak telepítési módjától; 2. honvédelmi célú elektronikus információs rendszer: a honvédelmért felelős miniszter vezetése, irányítása alatt álló szervek zárt célú elektronikus információs rendszereinek, valamint egyéb – funkciója, rendeltetése, feladatellátása szerint – nyílt elektronikus információs rendszereinek összessége, amely ágazatspecifikus módon támogatja a honvédelmi ágazaton belüli és ágazatok közötti működést; 3. Nemzeti Elektronikus Információbiztonsági Hatóság: állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (1) bekezdése szerinti hatóság. 2. A hatóság 2. § A Kormány Nemzeti Elektronikus Információbiztonsági Hatóságként (a továbbiakban: hatóság) a Nemzetbiztonsági Szakszolgálatot jelöli ki. 3. A hatósági eljárásra vonatkozó általános rendelkezések 3. § (1) A hatóság eljárásainak általános ügyintézési határideje – a (2) bekezdésben meghatározott kivétellel – hatvan nap. (2) A hatóság által lefolytatott hatósági eljárás ügyintézési határideje a) fizikai védelmi kötelezettség teljesítésére irányuló vizsgálat esetén hetvenöt nap, b) adminisztratív védelmi kötelezettség teljesítésére irányuló vizsgálat esetén kilencven nap, c) logikai védelmi kötelezettség teljesítésére irányuló vizsgálat esetén százharmincöt nap. (3) A  hatóság az  (1) és a  (2)  bekezdés szerinti ügyintézési határidőt indokolt esetben egy alkalommal, legfeljebb harminc nappal meghosszabbíthatja. 4. § A  hatóság az  eljárását lezáró döntésének meghozatala előtt az  érintett szervezettel – ha ezt azonnali fenyegetés vagy biztonsági esemény, vagy az érintett szervezet ismételt jogsértő magatartása nem zárja ki – egyeztetést folytat le. 5. § (1) A  hatóság az  eljárása során, feladatai ellátása érdekében – az  intézkedéssel érintett szervezet működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében jogosult önállóan, vagy más hatósággal együtt a) az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni, b) az  érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az  elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az  elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az  információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal. (2) A  hatóság a  helyszíni ellenőrzés elrendelése esetén a  hatóság helyszíni ellenőrzést ellátó munkatársa részére megbízólevelet állít ki. A  megbízólevélnek tartalmaznia kell a  helyszíni ellenőrzés célját, tárgyát, az  elrendelésre okot adó körülményeket, a jogszabályi hivatkozást, a helyszíni ellenőrzés várható időtartamát, a helyszíni ellenőrzés módját és a helyszíni ellenőrzést végző személyek megnevezését. (3) A  helyszíni ellenőrzés nem eredményezheti a  titkos információgyűjtő munkára és az  abban együttműködő személyekre, továbbá a titkos információgyűjtés eszközeire és módszereire vonatkozó adat megismerését. (4) A  helyszíni ellenőrzés elrendeléséről az  érintett szervezet vezetőjét előzetesen írásban, az  érintett szervezet elektronikus információs rendszereinek biztonságáért felelős személyt elektronikus úton a  helyszíni ellenőrzés megkezdése előtt tíz nappal értesíteni kell. Az  értesítéshez mellékelni kell a  helyszíni ellenőrzést ellátó személy megbízólevelét. (5) A (4) bekezdés szerinti értesítés mellőzhető, ha a) súlyos fenyegetettség áll fenn, b) súlyos biztonsági esemény történt, c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy d) az  érintett szervezet a  rendelkezésre álló adatok alapján a  helyszíni ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná. (6) A  helyszíni ellenőrzéssel érintett szervezet vezetője, munkatársa, alkalmazottja, illetve szerződéses jogviszony alapján az  elektronikus információbiztonság tekintetében érintett egyéb közreműködő és az  elektronikus információs rendszer biztonságáért felelős személy köteles a hatósággal együttműködni. (7) A  helyszíni ellenőrzésről a  hatóság jegyzőkönyvet készít, amelyet a  helyszíni ellenőrzés lezárását követő nyolc napon belül az  érintett szervezetnek írásban észrevételezésre megküld. Az  érintett szervezet azzal kapcsolatban nyolc napon belül írásban tehet – a hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a hatóság egyeztetést kezdeményezhet az érintett szervezettel. 4. A hatóság feladatai 6. § (1) A hatóság a) engedélyezi az  érintett szervezetek által az  Európai Gazdasági Térség (a továbbiakban: EGT) tagállamaiban történő elektronikus információsrendszer-üzemeltetést, b) ellenőrzi az  érintett szervezetek által az  EGT tagállamain kívül történő elektronikus információsrendszer-üzemeltetést, c) ellenőrzi az  információtechnológiai fejlesztési projektekben az  információbiztonsági követelmények teljesülését, d) nyilvántartja a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályát, valamint az  elektronikus információs rendszer osztályba soroláshoz szükséges, jogszabályban meghatározott fizikai, logikai és adminisztratív védelmi intézkedések adatait, e) nyilvántartja és honlapján közzéteszi a biztonsági eseményekkel kapcsolatos, a kormányzati eseménykezelő központtól kapott értesítéseket, valamint f ) jogszabályban meghatározott szempontok szerint, hatósági eljárás keretében lefolytatja a  fizikai, logikai és adminisztratív védelmi ellenőrzéseket. (2) A  hatóság az  EGT tagállamaiban történő elektronikus információs rendszer üzemeltetése tekintetében engedélyezési eljárást folytat le a 7. § (3) bekezdésében foglaltak kivételével. Az eljárás során a hatóság megvizsgálja a) az EGT tagállamaiban történő adatkezelés indokát, b) az EGT tagállamaiban kezelt adatok és adatbázisok leírását, c) azt, hogy az  adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az  adatkezelés jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e, d) az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és szoftverkomponenseket is, e) az  adatkezelő rendszer információbiztonságának ismertetését, a  rendszerhez kapcsolódó, továbbá az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat, f ) a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét, g) a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot, valamint h) azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni. (3) Nem kell a (2) bekezdés e)–g) pontja szerinti leírásokat megvizsgálni, ha nemzetközi egyezmények vagy nemzetközi szabványok alapján, illetve az  ezeken alapuló hazai követelmények vagy ajánlások alapján kiadott érvényes biztonsági tanúsítvány a kérelem benyújtásakor rendelkezésre áll, és azt a hatóságnak bemutatják. 7. § (1) Az engedélyezésre irányuló kérelem tartalmazza a 6. § (2) és (3) bekezdése szerinti adatokat. A kérelmet a külföldön történő adatkezelés megkezdését megelőzően kilencven nappal kell benyújtani a  hatóság részére. A  6.  § (2) bekezdés b), e) és f ) pontja, és a 6. § (3) bekezdése szerinti dokumentációkat, okiratokat az eredetivel megegyező másolatban, és hiteles magyar fordításban a kérelem mellékleteként csatolni kell. (2) A  hatóság engedélye hiányában az  elektronikus információs rendszer EGT tagállamban történő üzemeltetése, továbbá ilyen rendszeren adatfeldolgozói, adatkezelői tevékenység nem kezdhető meg. Az  engedély lejártát a benyújtott tanúsítványok érvényességi időtartamához igazodóan kell megállapítani. (3) Ha a  külföldön végzett adatkezelésre vagy rendszerüzemeltetésre olyan nemzetközi szerződés alapján kerül sor, amelyben az  állam az  egyik szerződő fél, a  hatóságot tájékoztatni kell az  érintett adatokról, az  adatfeldolgozó vagy üzemeltető személyéről, és a  szerződéses jogviszony tartalmáról. A  hatóság a  tájékoztatást további eljárás lefolytatása nélkül tudomásul veszi. (4) Ha a  hatóság tudomására jut, hogy az  érintett szervezet az  adatkezelést vagy üzemeltetést – ideértve a  nem azonosítható adatkezelési, vagy jogszabály által kizárt helyszínen megvalósuló, felhő alapú számítástechnikai szolgáltatásokat is – jogosulatlanul Magyarországon kívül folytatja, a  hatóság a  13.  § szerinti jogkövetkezményt alkalmazza. 8. § (1) Az  európai uniós támogatásból, központi költségvetési támogatásból megvalósuló fejlesztési projektek információbiztonsági követelményeinek teljesítése során a  projekt vezetője, a  projekt tervezési szakaszában a  hatóság részére véleményezésre megküldi a  fejlesztendő elektronikus információs rendszerre vonatkozó biztonsági osztályba sorolást, továbbá mindazon dokumentációkat, amelyek alapján a  biztonsági követelmények megvalósulása ellenőrizhető a  projekt teljes életciklusára nézve, ideértve az  átvétel vagy teljesülés után az elektronikus információs rendszer használata során érvényesítendő elvárásokat is. (2) A projekt szintű mérföldkövek figyelembevételével, az adott projektszakasz zárását megelőző legkevesebb harminc nappal kell a  hatóság rendelkezésére bocsátani a  kapcsolódó elektronikus információbiztonsági dokumentációt annak érdekében, hogy a hatóság észrevételei vagy kifogásai a projekt terveken, vagy a projekt tárgyán átvezethető és alkalmazható legyen. (3) A hatvan napnál rövidebb időtartamú projektek esetén az (1) bekezdés szerinti dokumentációt legkésőbb a projekt befejezésekor kell a  hatóság rendelkezésére bocsátani. A  projekt megvalósítása során – elektronikus információs rendszer érintettsége esetén – a hatósággal a projekt tartalmáról egyeztetni kell. (4) A hatóság az (1) bekezdés szerinti dokumentumok tekintetében más hatóság véleményét kikérheti. 9. § (1) Az  elektronikus információs rendszerek biztonsági osztályba sorolásának ellenőrzése a  hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik. (2) Ha az  elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolást – ideértve az  adott elektronikus információs rendszerre vonatkozó biztonsági osztály meghatározásánál feltárt hiányosság megszüntetésére irányuló cselekvési tervet – a  hatóság elfogadja, az  erre irányuló döntés a  biztonsági osztályba sorolás későbbi önálló, illetve az érintett szervezet vagy szervezeti egység ellenőrzése során történő felülvizsgálatát nem zárja ki. (3) Ha a  hatóság az  eljárása során az  elektronikus információs rendszerre vonatkozó, az  érintett szervezet vezetője által megállapított és bejelentett biztonsági osztályba sorolást felülbírálja és magasabb biztonsági osztályt állapít meg, a  következő biztonsági osztály elérésére irányadó határidő alkalmazása tekintetében a  hatóság döntésének megfelelő osztályt kell alapul venni. (4) Ha a  hatóság az  elektronikus információs rendszerre vonatkozó, bejelentett biztonsági osztályba sorolásnál alacsonyabb osztály alkalmazásának lehetőségét látja, arra az érintett szervezetnek javaslatot tesz. (5) Ha az érintett szervezet vezetője az elektronikus információs rendszerre vonatkozóan a biztonsági osztályba sorolás követelményeiről szóló jogszabályban meghatározott biztonsági osztály helyett alacsonyabb osztályt állapít meg, azt részletesen indokolnia kell. 10. § (1) Az érintett szervezet vagy szervezeti egység biztonsági szintbe sorolásának ellenőrzése a hatóságnak megküldött információk alapján – ideértve a szervezetre, vagy szervezeti egységre vonatkozó biztonsági szint meghatározásánál feltárt hiányosság megszüntetésére irányuló cselekvési tervet is – jogszabályban meghatározott szempontok szerint történik. (2) Ha a hatóság az érintett szervezetre vagy szervezeti egységre vonatkozó, bejelentett biztonsági szintbe sorolásnál alacsonyabb szint alkalmazásának lehetőségét látja, arra az  érintett szervezetnek vagy szervezeti egységnek javaslatot tesz. 5. Az érintett szervezet egyes kötelezettségei 11. § (1) Az érintett szervezet, ha az elektronikus információs rendszer biztonságért felelős személy, szervezet kijelölése vagy az  elektronikus informatikai biztonsági szabályzat elkészítése a  jogszabályban meghatározott időn belül neki fel nem róható okból nem teljesül, a jogszabályban meghatározott határidőn belül a hatóságot tájékoztatja a teljesítést akadályozó ok és a teljesítés határidejének megjelölésével. (2) Az elektronikus információs rendszer biztonságáért felelős személy – ideértve az információbiztonsági szolgáltatást nyújtó vállalkozás tagjait és alkalmazottait is – az  érintett szervezet igényeihez igazodva és annak rendelkezése szerint feladatát elláthatja a) részmunkaidőben, b) a vonatkozó szerződésben meghatározott időtartamban, vagy c) több érintett szervezetnél. (3) Az  elektronikus információs rendszer biztonságáért felelős személyről szóló, az  Ibtv. 12.  § a)  pontja szerinti tájékoztatás magában foglalja a vonatkozó munka-, megbízási vagy más szerződés másolatának hatóság kérésére való megküldését olyan módon, hogy abból csak a  hatóság számára releváns, a  feladat- és hatásköre ellátáshoz szükséges információ legyen megismerhető. A  szerződéshez csatolni kell az  adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát. (4) A  jogszabály által kijelölt központosított informatikai és elektronikus hírközlési szolgáltató, illetve központi adatkezelő és adatfeldolgozó szolgáltató igénybevétele során – figyelemmel az  Ibtv. 11.  § (3)  bekezdésére – az  érintett szervezet vezetője nem mentesül a  jogszabályban meghatározott azon kötelezettségek alól, amelyek az  érintett szervezet felett az  információbiztonság tekintetében gyakorolt irányítási és ellenőrzési jogkörébe tartoznak. 6. Az ellenőrzési terv 12. § (1) Az éves ellenőrzési tervet a hatóság a tárgyévet megelőző év november 30-áig állítja össze. (2) A hatóság az ellenőrzési terv végrehajtását a tárgyévet követő év március 1-jéig értékeli. (3) A  hatóság az  ellenőrzési tervben foglaltaktól eltérhet, ha olyan azonnali ellenőrzéseket vagy eljárásokat kell lefolytatnia, amelyek a  magyar kiberteret, a  nemzeti elektronikus adatvagyont, az  állam és polgárai számára kiemelten fontos elektronikus információs rendszereket fenyegető súlyos biztonsági események elhárítását szolgálják. 7. Jogkövetkezmények 13. § (1) A  hatóság az  információbiztonsági követelmények teljesülése érdekében – határidő kitűzése mellett – felhívja az  érintett szervezet vezetőjét az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a  biztonsági követelmény megsértése megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, az elvárt intézkedés megtételére. (2) A  hatóság azonnali intézkedések megtételére kötelezi az  érintett szervezetet, ha az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé. (3) A hatóság által az  Ibtv. 16. § (2) bekezdése alapján kiszabható bírság – amely az  Ibtv. 16. § (3) bekezdése alapján költségvetési szervre nem szabható ki – ötvenezer forinttól ötmillió forintig terjedhet, amelyet a  hatóság határozatának jogerőre emelkedését követő nyolc napon belül kell befizetni a  hatóság Magyar Államkincstárnál vezetett számlájára. (4) A hatóság a jogkövetkezmények alkalmazása során jogszabályban meghatározottakon túl az alábbi szempontokat veszi figyelembe: a) az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a  megsértett biztonsági követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát, b) történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye, c) a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre, d) az érintett szervezet magatartását, hatósággal való együttműködését és e) az esemény egyedi, vagy ismételt jellegét. 8. A zárt célú elektronikus információs rendszerek, valamint a biztonsági felügyeletüket ellátó hatóságok és feladataik 14. § (1) A rendészetért felelős miniszter vezetése, irányítása, alá tartozó következő szerveknél működnek az Ibtv. szerinti zárt célú elektronikus információs rendszerek a) rendészetért felelős miniszter által vezetett minisztérium, b) Alkotmányvédelmi Hivatal, c) Nemzetbiztonsági Szakszolgálat, d) Terrorelhárítási Központ, e) Nemzeti Védelmi Szolgálat, f ) BM Országos Katasztrófavédelmi Főigazgatóság, g) Büntetés-végrehajtás Országos Parancsnokság, h) Országos Rendőr-főkapitányság és i) Szervezett Bűnözés Elleni Koordinációs Központ. (2) Az (1) bekezdés szerinti szerveknél működő zárt célú elektronikus információs rendszerek a következők: a) rendészeti, nemzetbiztonsági területen titkos információgyűjtést, titkos adatszerzést támogató zárt célú elektronikus információs rendszerek, b) rendészeti, nemzetbiztonsági területen belső irodai és iratkezelési célt szolgáló zárt célú elektronikus információs rendszerek, valamint c) rendészeti, nemzetbiztonsági területen szakmai feladatok támogatását szolgáló zárt célú elektronikus információs rendszerek. (3) A (2) bekezdés szerinti zárt célú elektronikus információs rendszerekkel kapcsolatos hatósági, biztonsági felügyeleti feladatok ellátására a Kormány a zárt célú elektronikus információs rendszert működtető szerv vezetőjét jelöli ki. 15. § (1) A honvédelemért felelős miniszter vezetése, irányítása alá tartozó szervek és a tulajdonosi joggyakorlása alatt álló gazdasági társaságok zárt célú elektronikus információs rendszerei a következők: a) honvédelmi célú közigazgatási döntés-előkészítő és vezetés-irányítási rendszerek, b) honvédelmi stacioner és tábori, nemzetközi műveleteket, valamint gyakorlatokat támogató műveleti vezetési rendszerek, c) katonai nemzetbiztonsági területen titkos információgyűjtést, illetve titkos adatszerzést támogató rendszerek, d) a  Honvédelmi Tanács és a  Kormány speciális működési területén szakmai feladatok támogatását szolgáló kormányzati célú informatikai rendszerek, valamint e) a  honvédelemért felelős miniszter irányítása alatt álló központi hivatalnál, szervnél, szervezetnél, valamint tulajdonosi joggyakorlása alatt álló gazdasági társaságnál működő – a)–d) pontba nem tartozó – elektronikus információs rendszerek. (2) Az (1) bekezdés szerinti zárt célú elektronikus információs rendszerekkel kapcsolatos hatósági, biztonsági felügyeleti feladatok ellátására a Kormány a honvédelemért felelős minisztert jelöli ki. 16. § (1) A  külpolitikáért felelős miniszter vezetése, irányítása alá tartozó szervek zárt célú elektronikus információs rendszerei a következők: a) a  diplomáciai szakfeladatok ellátását szolgáló zárt célú elektronikus információs rendszerek a katonadiplomáciai információs célokra használt zárt célú elektronikus információs rendszerek kivételével, b) a konzuli szolgálat szakfeladatainak ellátását szolgáló zárt célú elektronikus információs rendszerek, valamint c) a  kormányzati külpolitikai és külgazdasági tevékenység koordinálása valamint a  nemzetközi kötelezettségvállalások támogatása érdekében működtetett zárt célú elektronikus információs rendszerek. (2) Az (1) bekezdés szerinti zárt célú elektronikus információs rendszerekkel kapcsolatos hatósági, biztonsági felügyeleti feladatok ellátására a Kormány hatóságként a külpolitikáért felelős minisztert jelöli ki. 17. § (1) A  kormányzati tevékenység összehangolásáért felelős miniszter vezetése, irányítása alá tartozó szervek zárt célú elektronikus információs rendszerei a következők: a) a nyílt és titkos információgyűjtést támogató zárt célú elektronikus információs rendszerek, valamint b) a külső és belső irodai és iratkezelési célt szolgáló zárt célú elektronikus információs rendszerek. (2) Az (1) bekezdés szerinti zárt célú elektronikus információs rendszerekkel kapcsolatos hatósági, biztonsági felügyeleti feladatok ellátására a Kormány a zárt célú elektronikus információs rendszert működtető szerv vezetőjét jelöli ki. 18. § (1) A  zárt célú elektronikus információs rendszerek biztonsági felügyeletét ellátó, e  rendeletben kijelölt hatóságokra (a továbbiakban: kijelölt hatóság) az Ibtv. 14–17. §-a helyett a 19–22. §-t kell alkalmazni. (2) A  honvédelemért felelős miniszter vezetése, irányítása alá tartozó szervek és a  tulajdonosi joggyakorlása alatt álló gazdasági társaságok zárt célú elektronikus információs rendszerei biztonsági felügyeletét ellátó hatóságra az (1) bekezdésben meghatározottak mellett a 3–10. §-t, valamint a 12. és 13. §-t is alkalmazni kell. 19. § A kijelölt hatóság feladata a) a  zárt célú elektronikus információs rendszerekre vonatkozóan az  osztályba sorolás és a  biztonsági szint megállapításának ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala, b) a zárt célú elektronikus információs rendszerek osztályba sorolására és – ehhez kapcsolódóan – a zárt célú elektronikus információs rendszert működtető szervek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülésének ellenőrzése, c) az  ellenőrzés során a  feltárt vagy tudomására jutott biztonsági hiányosságok elhárításának elrendelése, és eredményességének ellenőrzése, d) a rendelkezésre álló információk alapján kockázatelemzés elvégzése, e) a  hozzá érkező biztonsági eseményekkel kapcsolatos bejelentések kivizsgálására irányuló hatósági eljárás megindítása, f ) az információs társadalom biztonságtudatosságának elősegítése és támogatása, g) hazai és nemzetközi információbiztonsági, kibervédelmi, létfontosságú információs infrastruktúra védelmével kapcsolatos gyakorlatokon történő részvétel, valamint h) kapcsolattartás és együttműködés a hatósággal, valamint az eseménykezelő központokkal. 20. § A kijelölt hatóság a zárt célú elektronikus információs rendszerek és az azokban kezelt adatok biztonsága érdekében jogosult megtenni, elrendelni, ellenőrizni minden olyan, a  zárt célú elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett zárt célú elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek. Ennek érdekében jogosult a) a jogszabályokban foglalt biztonsági követelmények és az ezekhez kapcsolódó eljárási szabályok teljesülését ellenőrizni, b) a követelményeknek való megfelelőség alátámasztásához szükséges dokumentumokat bekérni, c) a  központi költségvetési és az  európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában az információbiztonsági követelmények megtartását ellenőrizni, azokra ajánlásokat tenni, d) a  fejlesztési projektek tervezési szakaszában szakmai részvételt biztosítani és a  biztonsági követelmények beépülésének ellenőrzésére irányuló tevékenységet folytatni, valamint e) a sérülékenység megszüntetésére vonatkozó intézkedési tervet készíteni. 21. § (1) A  kijelölt hatóság a  zárt célú elektronikus információs rendszer vonatkozásában az  Ibtv. hatósági nyilvántartásra vonatkozó szabályai szerinti nyilvántartást vezet. (2) A  zárt célú elektronikus információs rendszert működtető szervezet az  Ibtv. szerinti adatokat, valamint ezek változásait nyolc napon belül megküldi a kijelölt hatóságnak. 22. § (1) A  kijelölt hatóság az  ellenőrzést a  zárt célú elektronikus információs rendszert működtető szervezet irányítását, vezetését vagy felügyeletét ellátó miniszter által jóváhagyott éves ellenőrzési terv vagy egyedi utasítás alapján végzi. (2) Ha a  kijelölt hatóság azt állapítja meg, hogy a  zárt célú elektronikus információs rendszert működtető szervezet a  biztonsági követelményeket és az  ehhez kapcsolódó eljárási szabályokat nem teljesíti, vagy nem tartja be, akkor az  érintettet felszólítja a  jogszabályokban foglalt biztonsági követelmények és az  ehhez kapcsolódó eljárási szabályok teljesítésére. 9. A polgári hírszerző tevékenységhez kapcsolódó, a honvédelmi célú elektronikus információs rendszerek, valamint a létfontosságú létesítmények, rendszerek elektronikus információs rendszerei biztonsági felügyeletét ellátó hatóságok és feladataik 23. § (1) A Kormány a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszerei biztonságának felügyeletét ellátó hatóságként az Információs Hivatal főigazgatóját jelöli ki. (2) Az (1) bekezdés szerinti hatóságra az Ibtv. 14–17. §-a helyett a 19–22. §-t kell megfelelően alkalmazni. (3) Az  ellenőrzések és vizsgálatok nem veszélyeztethetik a  polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszereinek biztonságos működését, valamint az  elektronikus információs rendszerekben kezelt adatok védelmét. (4) Szükség esetén megfelelő szakképesítéssel rendelkező koordináló személyt kell kijelölni a  polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat állományából az elektronikus információs rendszerek biztonságos működéséhez kapcsolódó követelmény érvényesítése céljából. A  koordináló személy köteles felhívni a  figyelmet az elektronikus információs rendszereket veszélyeztető tényezőkre az ellenőrzés és vizsgálat során. 24. § (1) A Kormány a honvédelmi célú elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságként a honvédelemért felelős minisztert jelöli ki. (2) Az (1) bekezdés szerinti hatóságra a 3–10. §-t, a 12. és 13. §-t, valamint az  Ibtv. 14–17. §-a helyett a 19–22. §-t kell megfelelően alkalmazni. 25. § (1) A  14–17.  §, valamint a  23. és 24.  § szerinti hatóságok hatáskörébe tartozó elektronikus információs rendszerek kivételével, a  Kormány az  európai vagy nemzeti létfontosságú rendszerré, létesítménnyé törvény alapján kijelölt rendszerek, létesítmények elektronikus információs rendszerei biztonságának felügyeletét ellátó hatóságként a BM Országos Katasztrófavédelmi Főigazgatóságot jelöli ki. (2) Az (1) bekezdés szerinti hatóságra az Ibtv. 14–17. §-a helyett a 19–22. §-t kell megfelelően alkalmazni. 10. Az információbiztonsági felügyelő 26. § (1) Információbiztonsági felügyelőként (a továbbiakban: felügyelő) az  rendelhető ki, aki a  kirendelést vállalja és az  Ibtv.-ben, valamint e  rendeletben meghatározott feltételeknek megfelel. A  felügyelőnek a  vezetői gyakorlatára előírt időtartamába beszámítható a  közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 8.  § (5)  bekezdése szerinti munkavégzésre irányuló jogviszonyban szerzett, közigazgatáson kívüli vezetői gyakorlat is. A felügyelő felett a munkáltatói jogokat az e-közigazgatásért felelős miniszter (a továbbiakban: miniszter) gyakorolja. (2) A felügyelő egyidejűleg több érintett szervezethez is – ha a kirendelés indokai ezt lehetővé teszik – kirendelhető. (3) A  miniszter a  megbízólevél kiállításával a  felügyelőt határozott időtartamra rendeli ki az  adott szerv elektronikus információbiztonsági tevékenységének felügyeletére. A  kirendelés meghosszabbítására a  kirendelés idejének lejárta előtt, legfeljebb egy alkalommal kerülhet sor, a  folyamatban lévő intézkedések lezárásáig. A  kirendelés időtartamának meghatározásakor figyelemmel kell lenni az  érintett szervezet kötelezettségszegésének súlyára és a  fenyegetés elhárításához szükséges védelmi intézkedésekre. A  kirendelésről szóló megbízólevél megfelelően tartalmazza a  kirendelés célját, tárgyát, a  kirendelésre okot adó körülményeket, a  jogszabályi hivatkozást, a kirendelés időtartamát, az információbiztonsági felügyelő személyazonosításához szükséges adatokat. (4) Felügyelőnek nem rendelhető ki az a személy, aki a) az érintett szervezettel munkavégzésre irányuló jogviszonyban áll, b) a kirendelést megelőző három évben az érintett szervezettel munkavégzésre irányuló jogviszonyban állt, c) a  kirendeléskor, vagy a  kirendelést megelőző három évben az  érintett szervezetnél rendszeres és tartós megbízási vagy vállalkozási jogviszonyban áll vagy állt, d) az  érintett szervezet vezetőjének, gazdasági vezetőjének vagy alkalmazottjának hozzátartozója e minőségének fennállása alatt, e) az  érintett szervezet képviselője, e  minőségének fennállása alatt és annak megszűnésétől számított három évig, valamint f ) az, akitől az  adott helyzet tárgyilagos megítélése üzleti érdekeltségből vagy egyéb okból nem elvárható (elfogultság). (5) A felügyelő kirendelésének megszűnésére a megbízólevélben meghatározott időtartam letelte előtt akkor kerülhet sor, ha a) a kirendelés oka elhárult és a felügyelő összefoglaló beszámolóját a hatóság elfogadta, vagy b) a felügyelőt a miniszter visszahívja. (6) A felügyelőt a miniszter visszahívja, ha a) a  hatóság megállapítja, hogy az  érintett szervezetnél a  felügyelőnek felróhatóan nem érvényesülnek a biztonsági követelmények, vagy b) a (4) bekezdés szerinti, kizárásra okot adó körülmény merült fel, vagy a kirendeléskor fennálló, kizárásra okot adó körülmény a miniszter tudomására jut. (7) A miniszter jogosult az (5) bekezdés b) pontja esetén új felügyelőt kirendelni. (8) A  felügyelő kirendelésének megszűnéséről a  miniszter írásban haladéktalanul tájékoztatja az  érintett szervezet vezetőjét. 27. § (1) A felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben a) az  érintett szervezet vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni, b) az  érintett szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába betekinteni, arról másolatot, kivonatot készíttetni, c) az érintett szervezet valamennyi információtechnológiával kapcsolatos helyiségébe belépni, d) azonnali intézkedést javasolni az  érintett szervezet vezetőjének a  közvetlen fenyegetés elhárításához (működés korlátozása, leállítása), e) intézkedést javasolni a  jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében különösen az érintett szabályzatok felülvizsgálatát kezdeményezni, f ) előzetesen véleményezni a  működéssel kapcsolatos elektronikus információbiztonságot is érintő intézkedéseket, valamint g) kifogással élni az  érintett szervezet által az  Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései tekintetében. (2) A felügyelő köteles a) az érintett szervezetnél megbízólevelét bemutatni, b) figyelemmel kísérni megbízatásának időpontjától kezdve az érintett szervezetnél a  jogszabályokban foglalt biztonsági követelmények és eljárások megvalósulását, a jogszabályokban előírt feladatok ellátását, c) feltárni azokat az  okokat, amelyek a  kötelezettség nem teljesítéséhez vagy esetleg a  fenyegetés kialakulásához vezettek, d) a  c)  pontban foglaltak és az  érintett szervezet működésének ismert feltételei alapján a  szükséges intézkedések végrehajtására irányuló intézkedési tervet készíteni, e) azonnali intézkedéseket kezdeményezni úgy, hogy azok bevezetése nem lehetetleníti el az alaptevékenység ellátását, valamint azokról haladéktalanul értesíteni a hatóságot, f ) betartani a titoktartási kötelezettségre vonatkozó szabályokat, g) a  megtett intézkedésekről a  hatóságnak folyamatosan beszámolni, a  beszámolóban számot kell adni a  megtett intézkedésekről, a  biztonsági követelmények teljesüléséről, az  elektronikus információbiztonság fejlődéséhez szükséges további intézkedésekről, valamint h) a  megbízatásának megszűnésekor összefoglaló beszámolót készíteni a  működéséről, ideértve a  megtett intézkedéseket és azok eredményét, és a  javasolt további intézkedéseket, amely elfogadásáról a  hatóság dönt. 11. Jogorvoslat 28. § (1) A hatóság határozatai ellen újrafelvételi eljárásnak nincs helye. (2) A hatóság határozatainak felügyeleti jogkörben való visszavonására, módosítására nincs lehetőség. 12. A hatóságra vonatkozó vegyes rendelkezések 29. § (1) Az elektronikus információbiztonsági szabályok érvényesülésének biztosítására az európai és nemzeti létfontosságú rendszerelemek nyilvántartására és a  nyilvántartás adatainak kezelésére kijelölt szerv és a  hatóság, valamint a  kormányzati eseménykezelő központ kölcsönösen tájékoztatják egymást az  európai vagy hazai létfontosságú rendszerek és rendszerelemek kapcsán feltárt, az elektronikus információbiztonságot érintő megállapításaikról. (2) Az  (1)  bekezdés szerinti tájékoztatást haladéktalanul meg kell tenni, ha annak tárgya az  elektronikus információbiztonságot fenyegető veszélyforrást tár fel, vagy biztonsági eseményre utal. Az  értesítés alapján az érintett szervezetek a hatáskörükbe tartozó intézkedést – egymással koordinálva – azonnal megkezdik. 13. Záró rendelkezések 30. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – a kihirdetését követő harmadik napon lép hatályba. (2) A 32. § a) pontja 2016. január 1-jén lép hatályba. 31. § A 25. § szerinti hatósági feladatokat 2015. december 31-ig a hatóság látja el. 32. § Hatályát veszti a) a 31. §, b) a  Nemzeti Elektronikus Információbiztonsági Hatóság és az  információbiztonsági felügyelő feladat- és hatásköréről, valamint a  Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet, c) a  Magyar Honvédség, a  Katonai Nemzetbiztonsági Szolgálat, a  Honvédelmi Tanács és a  Kormány speciális működését támogató elektronikus infokommunikációs rendszerek biztonságának felügyeletéről és ellenőrzéséről szóló 16/2013. (VIII. 30.) HM rendelet, d) a  zárt célú elektronikus információs rendszerek biztonságának felügyeletével és ellenőrzésével kapcsolatos ágazati szabályokról szóló 36/2013. (VII. 17.) BM rendelet, e) a  diplomáciai információs célokra használt zárt célú elektronikus információs rendszerek biztonságának felügyeletéről és ellenőrzéséről szóló 3/2014. (II. 26.) KüM rendelet, f ) a  Nemzeti Adó- és Vámhivatal elektronikus információs rendszerei biztonságának felügyeletéről és ellenőrzéséről szóló 34/2013. (VIII. 30.) NGM rendelet, valamint g) az  Információs Hivatal elektronikus információs rendszereinek biztonsági felügyeletéről és ellenőrzéséről szóló 12/2015. (III. 6.) MvM rendelet. Orbán Viktor s. k., miniszterelnök

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.