📄 Jogszabály szövege
185/2015. (VII. 13.) Korm. rendelete a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól.
A Kormány
az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés e), j) és
k) pontjában,
a 6. alcím tekintetében a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi
CLXVI. törvény 14. § i) pontjában
kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket
rendeli el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
1. adminisztrátori jogosultsággal rendelkező informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás,
amelynek során a vizsgálatot végző személy rendszergazdai jogosultsággal rendelkezik, és az eljárás
célja, hogy megfelelőségi listák alapján az érintett szervezet teljes informatikai rendszerének az állapota
ellenőrzésre kerüljön;
2. automatizált informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett
szervezet informatikai rendszerének a sérülékenységei célszoftverek segítségével kerülnek feltérképezésre;
3. belső informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett szervezet
informatikai rendszerének sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik;
4. biztonságiesemény-kezelési megbízott: az érintett szervezet vezetője által a biztonsági események
kivizsgálására megbízott személy;
5. célszoftverek: a biztonsági vizsgálati eljárás során a sérülékenységvizsgálat egyes fázisainak végrehajtására
kifejlesztett szoftverek;
6. érintett szervezet: a biztonsági vizsgálattal vagy sérülékenységvizsgálattal érintett, elektronikus információs
rendszert üzemeltető szervezet;
7. kézi informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során az érintett szervezet
informatikai rendszerének sérülékenységei a vizsgálatot végző személy által egyedileg, manuálisan
összeállított lekérdezések alkalmazásával kerülnek feltérképezésre;
8. külső informatikai biztonsági vizsgálat: az informatikai rendszer internet felőli, külső sérülékenységvizsgálata,
amelynek során az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott
információgyűjtésre, valamint az elérhető számítógépek szolgáltatásainak, sebezhetőségének
feltérképezésére kerül sor;
9. regisztrált felhasználói jogosultság nélküli informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás,
amelynek során a vizsgálatot végző személy semmilyen előzetes információval nem rendelkezik az érintett
szervezet informatikai rendszeréről, és nincs felhasználói jogosultsága a rendszerhez;
10. regisztrált felhasználói jogosultsággal rendelkező informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati
eljárás, amelynek során a vizsgálatot végző személy a számára külön létrehozott felhasználói jogosultsággal
végzi a vizsgálatot;
11. titkosítási eljárás: olyan eljárás, amely az adat megismerhetőségét azáltal korlátozza, hogy az adat egy
algoritmus segítségével átalakításra kerül olyan jelsorozattá, ami olvashatatlan azon személy számára, aki
nem rendelkezik a visszaalakításhoz szükséges egyedi jelsorozatból álló kulccsal;
12. titkosítási kulcs: titkosítási eljárás során alkalmazott olyan jelsorozat, amelynek ismeretében a titkosított
állomány megismerhető;
13. webes vizsgálat: olyan biztonsági vizsgálati eljárás, amely során automatizált és kézi vizsgálatok útján kerülnek
feltárásra a webes alkalmazások sérülékenységei;
14. vezeték nélküli hálózat informatikai biztonsági vizsgálat: olyan biztonsági vizsgálati eljárás, amelynek során
a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése,
titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik.
2. A kormányzati eseménykezelő központ feladat- és hatásköre
2. § A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
(a továbbiakban: Ibtv.) 19. §-a szerinti kormányzati eseménykezelő központként (a továbbiakban: Központ)
a Nemzetbiztonsági Szakszolgálatot jelöli ki.
3. § (1) A Központ a biztonsági események és fenyegetések kezelésével támogatja az állami és önkormányzati szerveket,
amelynek céljából együttműködik
a) az állami és önkormányzati szervek elektronikus információs rendszerei biztonságának felügyeletét ellátó
hatósággal és az Ibtv. 2. § (4)–(6) bekezdése szerint kijelölt hatóságokkal (a továbbiakban együtt: hatóságok),
b) az Ibtv. 19. § (2)–(4) bekezdése szerint kijelölt eseménykezelő központokkal (a továbbiakban együtt:
eseménykezelő központok),
c) a rendvédelmi szervekkel és a Katonai Nemzetbiztonsági Szolgálattal,
d) a Nemzeti Média- és Hírközlési Hatósággal és az általa működtetett Országos Informatikai és Hírközlési
Főügyelettel,
e) az elektronikus hírközlési szolgáltatókkal, a központosított informatikai és elektronikus hírközlési
szolgáltatóval,
f ) az elektronikus kereskedelmi szolgáltatókkal és közvetítő szolgáltatókkal,
g) az elektronikus információs rendszer biztonságáért felelős személlyel,
h) a magyar és nemzetközi hálózatbiztonsági és információbiztonsági szervezetekkel, valamint
i) iparági szereplőkkel [a továbbiakban az a)–i) pont együtt: együttműködő szervek].
(2) A Központ a biztonsági eseményre vagy fenyegetésre utaló tevékenységeket kivizsgálhatja és szükség esetén
figyelmeztetést ad ki a központosított informatikai és elektronikus hírközlési szolgáltató, a felhasználók,
az eseménykezelő központok és a hatóságok felé.
4. § A Központ a biztonságiesemény-kezelési feladatkörében felelős
a) a tudomására jutott biztonsági eseményekről az érintettek haladéktalan értesítéséért,
b) a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza
a biztonsági esemény kapcsán megtett intézkedéseket és azok eredményét, valamint
c) az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért.
5. § (1) A Központ a biztonsági események megelőzése céljából az állami és önkormányzati szervek elektronikus
információs rendszereit érintő fenyegetésekkel összefüggő tájékoztatási és tudatosítási feladatokat a (2)–(4) bekezdésben
meghatározottak szerint látja el.
(2) A Központ az elektronikus információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal
összefüggésben felelős
a) az elektronikus információs rendszerek biztonságáért felelős személyek tájékoztatásáért,
b) a hatóságok és az eseménykezelő központok tájékoztatásáért, valamint
c) a sérülékenységekről és fenyegetésekről, valamint a javasolt biztonsági intézkedésekről a honlapján
rendszeres tájékoztatás nyújtásáért.
(3) A Központ a) elemzéseket, jelentéseket készít a magyar és nemzetközi információbiztonsági irányokról,
b) a hatáskörébe tartozó biztonsági eseményekről negyedévente jelentést tesz a Nemzeti Kiberbiztonsági
Koordinációs Tanács részére, valamint
c) évente jelentést készít a tevékenységéről a Központot irányító miniszter részére.
(4) A Központ
a) nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki,
b) a biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az információbiztonság
tudatosításáért felelős intézmények tudatosítási programjában, szakértői-oktatói tevékenységet végezhet,
c) kormányzati információtechnológiai, hálózatbiztonsági, és biztonságiesemény-kezelési együttműködési
fórumot működtethet, valamint
d) részt vesz az infokommunikációs biztonságra vonatkozó stratégiák és szabályozások előkészítésében.
3. Az eseménykezelő központok feladat- és hatásköre 6. § (1) A Kormány a honvédelmi célú elektronikus információs rendszereket érintő biztonsági események és fenyegetések
kezelésére a Katonai Nemzetbiztonsági Szolgálatot jelöli ki. A Katonai Nemzetbiztonsági Szolgálat a biztonsági
események és fenyegetések kezelését a szakmai irányítása és koordinálása alatt álló, szakfeladat szerint elkülönülő
– a honvédelemért felelős miniszter irányítása alatt álló központi hivatalnál, szervnél, szervezetnél működő –
eseménykezelő központokkal együtt látja el.
(2) A Kormány a polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs
rendszereit érintő biztonsági események és fenyegetések kezelésére az Információs Hivatalt jelöli ki. Az Információs
Hivatal e feladat ellátására a szervezeti keretén belül működő eseménykezelő központot (a továbbiakban: IntCERT)
működtet.
(3) A Kormány az Ibtv. 2. § (2) bekezdés c) pontjában meghatározott kijelölt létfontosságú létesítmény, rendszer
elektronikus információs rendszereit érintő biztonsági események és fenyegetések kezelésére a BM Országos
Katasztrófavédelmi Főigazgatóságot jelöli ki.
(4) Az eseménykezelő központok a hatáskörükbe tartozó elektronikus információs rendszerek tekintetében,
a) biztonságiesemény-kezelési feladatkörükben ellátják a Központ 4. §,
b) tájékoztatási feladatkörükben ellátják a Központ 5. § (2) bekezdés b) pontja, és 5. § (3) bekezdés c) pontja,
c) tudatosítási feladatkörükben ellátják a Központ 5. § (4) bekezdés a)–c) pontja
szerinti feladatait.
7. § (1) Az eseménykezelő központok a hatáskörükbe tartozó elektronikus információs rendszerek tekintetében
a) személyes adatokat nem tartalmazó nyilvántartást vezetnek a hatáskörükbe tartozó és együttműködő
szervekkel való kapcsolattartáshoz szükséges elérhetőségekről, és
b) az észlelt, valamint a tudomásukra jutott biztonsági eseményekről haladéktalanul tájékoztatják a Központot.
(2) Az eseménykezelő központok a működésük megkezdéséről – működésüknek a tervezett megkezdését
megelőzően legalább öt nappal – a Központot tájékoztatják, a kapcsolattartáshoz szükséges adatokat, valamint
a kapcsolattartási adatok változását haladéktalanul bejelentik a Központnak.
4. A biztonsági események kezelésének, műszaki vizsgálatának szabályai
8. § Az állami és önkormányzati szervek elektronikus információs rendszereit érintő biztonsági események
kivizsgálásában első sorban
a) az elektronikus információs rendszer biztonságáért felelős személy,
b) biztonságiesemény-kezelési megbízott, valamint
c) a hatáskörrel rendelkező eseménykezelő központ vehet részt.
9. § (1) A nemzetbiztonsági védelem alá eső szerv vezetője – a 6. § (1)–(3) bekezdésben meghatározott szervek kivételével –
a) az elektronikus információs rendszer biztonságáért felelős személy esetében a feladatra történő kinevezése,
b) a biztonságiesemény-kezelési megbízott esetében a feladatra történő megbízása
tervezett hatálybalépését megelőző harminc nappal véleményezés céljából – az érintett személy hozzájárulásával –
megküldi a Központ részére a kinevezésben, illetve a megbízásban szereplő személy adatait.
(2) A Központ a feladatra történő kinevezés, illetve a megbízás hatálybalépésének időpontjáig köteles a véleményét
a véleménykérő szerv vezetője részére megküldeni.
(3) A biztonságiesemény-kezelési megbízottat az Ibtv.-ben meghatározott elektronikus információs rendszer
biztonságával összefüggő feladatok ellátásában részt vevő személynek kell tekinteni.
10. § (1) Az állami és önkormányzati szervek – a (6) bekezdés kivételével – kötelesek a Központ részére az elektronikus
információs rendszereiken bekövetkezett biztonsági eseményeket haladéktalanul bejelenteni.
(2) A biztonsági eseménnyel érintett szervezet a Központ kérésére köteles a biztonsági események kezeléséhez
szükséges műszaki, technikai adatokat, információkat összegyűjteni és elektronikus formában átadni vagy egyéb
módon hozzáférhetővé tenni.
(3) Ha a biztonsági eseménnyel érintett szervezet bármely okból nem képes a (2) bekezdés szerinti adatok
összegyűjtésére, a Központ begyűjtheti az adatokat. A biztonsági eseménnyel érintett szervezet gondoskodik arról,
hogy a Központ az adatokhoz hozzáférjen.
(4) A Központ a biztonsági eseménnyel érintett szervezettel együttműködve kidolgozza a biztonsági esemény
felszámolásához szükséges intézkedéseket, amelyeket a biztonsági eseménnyel érintett szervezet köteles
végrehajtani.
(5) A Központ a biztonsági eseményről szigorúan zárt kezelésű technológiai naplót vezet, amely tartalmazza
a biztonsági esemény kivizsgálásának támogatása során tett intézkedéseket, és azok eredményét is.
(6) Az (1) bekezdésben meghatározott jelentéstételi kötelezettség a polgári hírszerző tevékenységet végző
nemzetbiztonsági szolgálat részéről az IntCERT felé áll fenn. Az IntCERT haladéktalanul tájékoztatja a Központot
a hozzá beérkezett biztonsági eseményekről.
11. § (1) A Központ a hatáskörébe tartozó elektronikus információs rendszert működtető szervektől és az eseménykezelő
központoktól kért és kötelezően átadott információk és adatok alapján, az elektronikus információs rendszereket
érintő, biztonsági eseményre vagy fenyegetésre utaló jeleket elemezi, kiértékeli, és folyamatos ügyeleti rendszerén
keresztül értesíti az elektronikus információs rendszer üzemeltetőjét a biztonsági esemény bekövetkeztének
veszélyéről vagy fennállásáról, valamint a javasolt intézkedésekről.
(2) A Központ a központosított informatikai és elektronikus hírközlési szolgáltatótól átvett műszaki adatok és
információk folyamatos figyelésével értékelést végezhet, valamint keresheti a hálózatok, illetve szolgáltatások
működését érintő biztonsági eseményre vagy fenyegetésre utaló jeleket.
(3) A központosított informatikai és elektronikus hírközlési szolgáltató a Központ által történő biztonságieseménykezelés során köteles
a) a biztonsági eseményben érintettek (támadó/támadott) beazonosításához szükséges műszaki, technikai
adatok Központ részére történő átadására,
b) az ismert fenyegetések elleni védelmi intézkedések, műszaki, technikai megoldások alkalmazására,
c) a Központ kérésére adatokat szolgáltatni a hálózati forgalomba való beavatkozásra utaló jelek elemzése,
kiértékelése céljából, valamint
d) a Központ által meghatározott, biztonsági eseményekkel kapcsolatos feladatokban együttműködni.
12. § (1) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálatának célja, hogy a bekövetkezett biztonsági
események kivizsgálása révén a Központ
a) feltárja a biztonsági esemény bekövetkeztének okait, körülményeit, az okozott kár mértékét,
b) behatárolja a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
c) javaslatot tegyen a biztonsági esemény által okozott kár elhárítására, és
d) a bekövetkezett biztonsági eseményből levonható tanulságokról tájékoztassa a biztonsági eseménnyel
érintett más szerveket és a hatóságot annak érdekében, hogy a jövőben a biztonsági esemény bekövetkezése
megelőzhető legyen.
(2) A biztonsági eseményekkel érintett szerv köteles a vizsgálat lefolytatásához szükséges adatokat, dokumentumokat,
eszközöket és egyéb információkat a Központ rendelkezésére bocsátani.
13. § A 6. § (1)–(3) bekezdése szerinti eseménykezelő központok a biztonsági esemény kivizsgálása során a 8–12. §
szerinti eljárásrendnek megfelelően járnak el.
5. Sérülékenységvizsgálat 14. § (1) A nemzetbiztonsági védelem alá eső szervek elektronikus információs rendszerei, az Ibtv. 2. § (1) bekezdése
szerinti állami és önkormányzati szervek európai létfontosságú rendszerelemmé vagy nemzeti létfontosságú
rendszerelemmé törvény alapján kijelölt rendszerelemeinek elektronikus információs rendszerei, valamint a zárt
célú elektronikus információs rendszerek sérülékenységvizsgálatát – a (2) és (3) bekezdésben meghatározott
kivételével – a Központ végzi. A Központ jogosult továbbá az Ibtv. 18. § (3) bekezdése szerinti állami szervként
a sérülékenységvizsgálat lefolytatására.
(2) A polgári hírszerző tevékenységet végző nemzetbiztonsági szolgálat elektronikus információs rendszerei
sérülékenységvizsgálatát a 6. § (2) bekezdése szerinti eseménykezelő központ végzi.
(3) A honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálatát a 6. § (1) bekezdése szerinti
eseménykezelő központ végzi.
(4) Az Ibtv. 18. § (3) bekezdés b) pontja szerinti gazdasági társaság (a továbbiakban: gazdasági társaság) abban
az esetben végezhet sérülékenységvizsgálatot, ha
a) a gazdasági társaság nevében és alkalmazásában eljárva a sérülékenységvizsgálatban részt vevő személy
az Ibtv.-ben meghatározott feltételeken túl rendelkezik a sérülékenységvizsgálat lefolytatásához szükséges
ismeretek meglétét igazoló végzettséggel, és ezen a szakterületen legalább 2 év szakmai tapasztalattal,
valamint
b) a gazdasági társaság bejegyzésre került a sérülékenységvizsgálat lefolytatására jogosult gazdasági társaságok
nyilvántartásába.
(5) A sérülékenységvizsgálat lefolytatására jogosult gazdasági társaságokról az Alkotmányvédelmi Hivatal – személyes
adatot nem tartalmazó – nyilvántartást vezet. A nyilvántartás tartalmazza a gazdasági társaság adatait,
a sérülékenységvizsgálatban részt vevő személyek számát és a sérülékenységvizsgálat lefolytatásához szükséges
ismereteket igazoló végzettség megnevezését és megszerzési idejét.
(6) Az (5) bekezdés szerinti adatok tekintetében az Alkotmányvédelmi Hivatal egyéni, írásbeli kérelem alapján, annak
beérkezésétől számított tizenöt napon belül nyújt tájékoztatást azon elektronikus információs rendszereket
üzemeltető szervezet részére, amelyek az Ibtv. 18. § (2) bekezdése alapján jogosultak sérülékenységvizsgálatot
kezdeményezni.
(7) A nyilvántartásba való felvételt a gazdasági társaság kezdeményezi az Alkotmányvédelmi Hivatal felé,
a (4) bekezdésben meghatározott feltételek meglétét igazoló okiratok benyújtásával. A (4) bekezdésben
meghatározott feltételek szakmai megfelelősége tekintetében a Központ nyilatkozata irányadó.
(8) Az Alkotmányvédelmi Hivatal elutasítja a nyilvántartásba történő felvételi kérelmet, ha
a) a gazdasági társaság nem rendelkezik az Ibtv. 18. § (3) bekezdés b) pontjában megkövetelt telephely
biztonsági tanúsítvánnyal,
b) a Központ nyilatkozata alapján a sérülékenységvizsgálat lefolytatásához szükséges ismeretek meglétét
igazoló végzettség, és ezen a szakterületen legalább 2 év szakmai tapasztalat nem áll fenn, vagy
c) a gazdasági társaság által közölt adatok a valóságnak nem felelnek meg.
(9) A sérülékenységvizsgálat lefolytatására jogosult gazdasági társaság az alkalmassági feltételeket érintő változásokról,
valamint a sérülékenységvizsgálatban részt vevő személyeket érintő változásokról a változást követő nyolc napon
belül értesíti az Alkotmányvédelmi Hivatalt.
(10) Az Alkotmányvédelmi Hivatal jogosult az alkalmassági feltételek meglétét, valamint a nyilvántartásban szereplő
adatok valódiságát ellenőrizni. Az értesítési kötelezettség elmulasztása esetén, valamint az alkalmassági feltételek
meglétének hiánya esetén az Alkotmányvédelmi Hivatal a gazdasági társaságot a nyilvántartásából törli.
15. § (1) A sérülékenységvizsgálat célja az esetleges biztonsági események bekövetkeztét megelőzően az érintett szervezet
elektronikus információs rendszere, rendszerelemei gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására
vonatkozó részletes megoldási javaslatok kidolgozása az elektronikus információs rendszerek, rendszerelemek
védelmének és biztonságának megerősítése érdekében.
(2) A sérülékenységvizsgálat tárgya az adatok, információk kezelésére használt elektronikus információs rendszerek,
rendszerelemek, eszközök, eljárások és kapcsolódó folyamatok vizsgálata, valamint az ezeket kezelő személyek
általános informatikai felkészültségének, és az érintett szervezetnél használt informatikai és információbiztonsági
előírások, szabályok betartásának vizsgálata.
16. § (1) A sérülékenységvizsgálat során a sérülékenységvizsgálati eljárását megalapozó dokumentációban meghatározottak
szerint az alábbi vizsgálatok elvégzésére kerül sor:
a) külső informatikai biztonsági vizsgálat,
b) webes vizsgálat,
c) belső informatikai biztonsági vizsgálat, illetve
d) vezeték nélküli hálózat informatikai biztonsági vizsgálata.
(2) A sérülékenységvizsgálat az (1) bekezdésben meghatározott irányultságok tekintetében három típusú jogosultsági
fázist tartalmazhat:
a) regisztrált felhasználói jogosultság nélküli vizsgálat,
b) regisztrált felhasználói jogosultsággal rendelkező vizsgálat és
c) adminisztrátori jogosultsággal rendelkező vizsgálat.
(3) A sérülékenységvizsgálat határideje a hatóság határozatának keltétől, illetve az előzetesen egyeztetett kezdési
időponttól számítva az (1) bekezdésben meghatározott vizsgálatok szerint:
a) külső informatikai biztonsági vizsgálat esetén harminc nap,
b) webes vizsgálat esetén hetvenöt nap,
c) belső informatikai biztonsági vizsgálat esetén kilencven nap,
d) vezeték nélküli hálózat informatikai biztonsági vizsgálat esetén harminc nap.
17. § (1) A sérülékenységvizsgálat előkészítése során a sérülékenységvizsgálatot végző szerv sérülékenységvizsgálati
dokumentációt készít. A sérülékenységvizsgálati dokumentációban rögzíti a vizsgálati feladatokat, célokat,
a technikai és személyi feltételeket, a módszertant, az egyeztetések, a sérülékenységvizsgálat várható befejezésének
dátumát.
(2) Ha a sérülékenységvizsgálatot a hatóság rendeli el, akkor a sérülékenységvizsgálati dokumentációban
a határozatban rögzített vizsgálati feladatokat kell feltüntetni. A sérülékenységvizsgálat egyedi kezdeményezése
esetén a vizsgálati feladatokra a kezdeményező javaslatot tehet, amelyről a sérülékenységvizsgálatot végző szerv
dönt.
(3) A sérülékenységvizsgálati dokumentációt a sérülékenységvizsgálatot végző szerv megküldi az érintett szervezet
részére. Az érintett szervezet a sérülékenységvizsgálati dokumentáció tartalmára a kézhezvételtől számított nyolc
napon belül észrevételt tehet. Az észrevétel nem érintheti a hatóság által elrendelt vizsgálatokat. Az észrevételekről
a sérülékenységvizsgálatot végző szerv dönt.
18. § (1) A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálat során kellő gondossággal eljárva, törekedni
köteles a vizsgált elektronikus információs rendszer által nyújtott szolgáltatások szükségesnél nem nagyobb
mértékű korlátozására, a sérülékenységvizsgálatnak a szolgáltatás szempontjából nem kritikus időszakban történő
elvégzésére. A sérülékenységvizsgálatot végző szerv köteles a korlátozás várható mértékéről és időtartalmáról
az érintett szervezetet előzetesen tájékoztatni.
(2) Hatósági határozat alapján elrendelt sérülékenységvizsgálat esetén az érintett szervezet köteles
a sérülékenységvizsgálat lefolytatásához szükséges adatokat, dokumentumokat, eszközöket és egyéb információkat
a sérülékenységvizsgálatot végző szerv rendelkezésére bocsátani, valamint tűrni a sérülékenységvizsgálatból
fakadó, a vizsgált elektronikus információs rendszeren bekövetkezett szolgáltatáscsökkenést.
(3) Egyedi kezdeményezés esetén az érintett szervezet a 17. § (3) bekezdés szerinti észrevételezés során kizárhatja azon
vizsgálatokat, amelyek jelentős szolgáltatáscsökkenést eredményeznek.
(4) A sérülékenységvizsgálatot végző szerv a sérülékenységvizsgálatra irányadó határidőt, annak letelte előtt egy
alkalommal legfeljebb harminc nappal meghosszabbíthatja, és erről az érintett szervezetet és a hatóságot értesíti.
19. § (1) Az érintett szervezet elektronikus információs rendszere az átlagostól jelentősen eltér, ha
a) az elektronikus információs rendszer
aa) a külső internetes tartományban több mint 20 IP címen elérhető eszközzel,
ab) több mint 10 webes szolgáltatással,
ac) a belső hálózat tekintetében több mint 50 szerverrel,
ad) több mint 500 munkaállomással,
ae) több mint 5 vezeték nélküli hálózattal, vagy
af ) több mint 500 fős felhasználói létszámmal
rendelkezik, vagy
b) az érintett szervezet több mint három telephelyen rendelkezik a vizsgálattal érintett elektronikus információs
rendszerrel.
(2) Ha az érintett szervezet elektronikus információs rendszere, rendszereleme az átlagostól jelentősen eltér és emiatt
egyedi sérülékenységvizsgálati eljárás szükséges, a sérülékenységvizsgálati határidő a 16. § (3) bekezdésben
meghatározottakon túl további harminc nappal meghosszabbítható.
20. § (1) A sérülékenységvizsgálat lezárásakor a sérülékenységvizsgálatot végző szerv állásfoglalást készít, és azt nyolc napon
belül megküldi az érintett szervezet és a hatóság részére.
(2) Az (1) bekezdés szerinti állásfoglalás tartalmazza:
a) a vizsgálati eredmények leírását, és
b) a rövid-, közép- és hosszú távú intézkedésekre vonatkozó intézkedési javaslatokat.
6. Hálózatbiztonsági tevékenységgel összefüggő szabályok 21. § A BM Országos Katasztrófavédelmi Főigazgatóság keretében működő Létfontosságú Rendszerek és Létesítmények
Informatikai Biztonsági Eseménykezelő Központja – az állami és önkormányzati elektronikus információs rendszerek,
a zárt célú elektronikus információs rendszerek, a honvédelmi célú, valamint a polgári hírszerző tevékenységet
végző nemzetbiztonsági szolgálat által üzemeltetett létfontosságú rendszerek és létesítmények kivételével – ellátja
a nemzeti létfontosságú rendszerek és létesítmények védelmével kapcsolatos hálózatbiztonsági tevékenységet.
7. Záró rendelkezések 22. § Ez a rendelet a kihirdetését követő harmadik napon lép hatályba.
23. § E rendelet 14. § (4) bekezdése a belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai
parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
24. § E rendelet tervezetének a belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti
és tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént.
25. § Hatályát veszti az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati
eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja
feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet.
Orbán Viktor s. k.,
miniszterelnök
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.