← Magyarország

410/2017. (XII. 15.) Korm. rendelete a bejelentés-köteles szolgáltatást nyújtókról.

Röviden

Ez a rendelet a bejelentés-köteles szolgáltatásokat nyújtó cégekre vonatkozó szabályokat, különösen a hálózati és információs rendszerek biztonságát és a biztonsági események kezelését írja elő. Célja, hogy egységesen magas szintű biztonságot garantáljon az Európai Unióban.

Amit szabályoz

Akire vonatkozik

Főbb pontok

📄 Jogszabály szövege
410/2017. (XII. 15.) Korm. rendelete a bejelentés-köteles szolgáltatást nyújtókról. A Kormány az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 17. § (1a) bekezdés a)–f ) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el: 1. Értelmező rendelkezések 1. § E rendelet alkalmazásában a) bejelentés-köteles szolgáltatás: az  elektronikus kereskedelmi szolgáltatások, valamint az  információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a  továbbiakban: Ekertv.) 2. § j) pontja szerinti szolgáltatás; b) bejelentés-köteles szolgáltatást nyújtó: az  a  magyarországi székhelyű gazdasági társaság, amely a  hálózati és információs rendszerek biztonságának az  egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a  tanácsi irányelv III.  mellékletében meghatározott digitális szolgáltatást nyújt, és a  kis- és középvállalkozásokról, fejlődésük támogatásáról szóló a 2004. évi XXXIV. törvény alapján nem tartozik a mikro- és kisvállalkozások körébe; c) biztonsági esemény: minden olyan esemény, amely ténylegesen kedvezőtlen hatást gyakorol a  hálózati és információs rendszerek biztonságára; d) biztonsági esemény kezelése: a biztonsági események észlelése, elemzése és elszigetelése, valamint az azokra való reagálás és a támogató eljárások összessége; e) hálózati és információs rendszer: ea) az elektronikus hírközlő hálózat, eb) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi vagy ec) az ea) és eb) alpontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok. 2. Az eseménykezelő központok feladat- és hatásköre 2. § (1) A  Kormány az  Ekertv. 6/B.  § (1)  bekezdése szerinti eseménykezelő központként (a  továbbiakban: eseménykezelő központ) a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelöli ki. (2) Az eseménykezelő központ a biztonsági esemény kezelése feladatkörében felelős a) a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza a biztonsági eseményt, az annak kapcsán megtett intézkedéseket és azok eredményét, valamint b) az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért. (3) Az eseménykezelő központ a biztonsági események megelőzése céljából a bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereit érintő fenyegetésekkel összefüggő riasztási, tájékoztatási és tudatosítási feladatokat lát el. (4) A  hálózati és információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal összefüggésben az  eseménykezelő központ felelős a  sérülékenységekről és fenyegetésekről, valamint a  javasolt biztonsági intézkedésekről rendszeres tájékoztatás nyújtásáért a  4.  § (2)  bekezdés a)  pontja szerinti nyilvántartásában szereplő bejelentés-köteles szolgáltatást nyújtók részére. (5) Az eseménykezelő központ a) nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki, b) a  biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az  információbiztonság tudatosításáért felelős intézmények tudatosítási programjában, c) együttműködik a  kormányzati információtechnológiai, hálózatbiztonsági és biztonsági eseménykezelési rendszer résztvevőivel. (6) Az  eseménykezelő központ a  további feladatait a  kormányzati eseménykezelő központ és az  eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet 6. § (3a)–(3e) bekezdésében foglaltak szerint látja el. 3. § (1) Az  eseménykezelő központ a  biztonsági eseményről szigorúan zárt kezelésű technológiai naplót vezet, amely tartalmazza a biztonsági esemény kivizsgálásának támogatása során tett intézkedéseket és azok eredményét is. (2) A  biztonsági eseményekkel összefüggő adatok műszaki vizsgálatának célja, hogy az  eseménykezelő központ javaslatot tegyen a  biztonsági esemény által okozott kár mérséklésére és a  bekövetkezett biztonsági események tapasztalatairól tájékoztassa a biztonsági eseménnyel érintett vagy veszélyeztetett más szervezeteket, hatóságokat és további érintetteket annak érdekében, hogy a  jövőben a  biztonsági esemény bekövetkezése megelőzhető legyen. (3) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálata során az eseménykezelő központ feltárja a) a  biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását, b) más szereplők esetleges érintettségét, c) a szolgáltatás működésében támadt zavar mértékét, d) a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét, e) a biztonsági eseménnyel érintett eszköz, technológia sérülékenységét, f ) a gazdasági és társadalmi hatások mértékét, g) a biztonsági esemény bekövetkeztének okait, körülményeit, az okozott kár mértékét. (4) Az  eseménykezelő központ a  biztonsági esemény műszaki vizsgálatát követően hatósági eljárás megindítása és lefolytatása céljából a  rendelkezésre álló információkat összefoglaló jelentéssel átadja a  hatáskörrel és illetékességgel rendelkező hatóság részére. 3. A hatóság hatásköre és feladatai 4. § (1) A  Kormány az  Ekertv. 6/B.  § (3)  bekezdése szerinti hatóságként (a  továbbiakban: hatóság) a  Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelöli ki. (2) A hatóság a biztonsági események megelőzése, kivizsgálása, felszámolása és terjedésének korlátozása érdekében a) regisztráció alapján nyilvántartást vezet; b) az eseménykezelő központtal együttműködésben tájékoztató kampányt szervez és végez; c) kapcsolatot tart ca) a bejelentés-köteles szolgáltatást nyújtókkal, cb) a bűnüldöző hatóságokkal, cc) az egyedüli kapcsolattartó ponttal, cd) más tagállamok illetékes ágazati hatóságaival, ce) az adatvédelmi hatóságokkal, cf ) az  Európai Unióban nem letelepedett, az  Európai Unión belül szolgáltatásait kínáló bejelentés köteles szolgáltatást nyújtók által kinevezett képviselőkkel; d) megbízhatja az egyedüli kapcsolattartó pontot azzal, hogy továbbítsa az eseményről küldött bejelentést más érintett tagállamok egyedüli kapcsolattartó pontjai részére; e) monitorozza a  hálózati és információs rendszerek biztonságának az  egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a  tanácsi irányelv alkalmazását; f ) haladéktalanul tájékoztatja az  egyedüli kapcsolattartó pontot e  rendelet alapján bejelentett biztonsági eseményekről; g) a nyilvánosságot szükség szerint tájékoztatja az egyes biztonsági eseményekről; h) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására; i) az  egyedüli kapcsolattartó pont útján indokolt esetben tájékoztatja a  biztonsági eseményekkel összefüggésben érintett tagállamokat, ennek során biztosítja a szolgáltatást nyújtók biztonságát; j) szükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy ja) bocsássák rendelkezésre a  hálózati és információs rendszereik biztonságának megállapításához szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is, jb) gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről, bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről; k) részt vesz eseménykezelő központok és más, kiberbiztonsági feladatokat ellátó szervezetek tudatosító és felvilágosító kampányában; l) hatósági ellenőrzést végez a bejelentés-köteles szolgáltatást nyújtók kötelezettségeinek teljesítése céljából. (3) A hatóság a (2) bekezdés a) pontja szerinti nyilvántartásban kezeli a bejelentés-köteles szolgáltatást nyújtó a) nevét, b) székhelyét, c) cégjegyzékszámát, d) elektronikus kapcsolattartási adatait, valamint e) az általa nyújtott bejelentés-köteles szolgáltatás típusát. (4) A  bejelentés-köteles szolgáltatást nyújtók adatait a  hatósági nyilvántartásból törölni kell a  gazdasági társaság –  tevékenységének megszűnéséről a hatóság részére benyújtott – bejelentése alapján, a bejelentést követő nyolc napon belül. (5) A hatóság az eseménykezelő központ 3. § (4) bekezdése szerinti összefoglaló jelentése alapján hivatalból indítható hatósági eljárása keretében a) vizsgálja a bejelentés-köteles szolgáltatást nyújtó által megtett megelőző és eseményt kezelő tevékenységét; b) vizsgálja az 5. § és 6. §-ban meghatározott követelmények teljesülését; c) vizsgálja a  bejelentés-köteles szolgáltatást nyújtó kockázatelemzésének és biztonsági intézkedéseinek megfelelőségét; d) a vizsgálathoz a (7) bekezdés szerinti cselekményeket jogosult elvégezni; e) a vizsgálat eredményeként hatósági döntést hoz, amelynek tartalma legalább: ea) a biztonsági esemény bekövetkezés tényének megállapítása, eb) az elhárításra javasolt intézkedések, ec) a további károkozások megelőzése érdekében javasolt intézkedések; f ) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására. (6) A hatóság a hatósági eljárással összefüggésben, további intézkedés keretében a) szükség esetén tájékoztatja az eseménykezelő központokat, egyéb érintett szervezeteket, b) alapvető szolgáltatásokat nyújtó szereplő érintettsége esetén tájékoztatja a kijelölő hatóságot, c) más megelőzési célú intézkedést hoz, d) más hatóság hatáskörébe tartozó eljárást kezdeményez. (7) A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett bejelentés-köteles szolgáltatást nyújtó működésének és üzemvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében jogosult önállóan, vagy más hatósággal együtt a) az  érintett bejelentés-köteles szolgáltatást nyújtó információtechnológiai tevékenységével összefüggő helyiségeibe belépni, b) az  érintett bejelentés-köteles szolgáltatást nyújtó számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az  elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az  elektronikus információbiztonsággal kapcsolatos elektronikus vagy papíralapú okiratokról, dokumentumokról, szerződésekről, adatbázisokról másolatot készíteni, valamint c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az  információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal. (8) A helyszíni ellenőrzés elrendeléséről az érintett bejelentés-köteles szolgáltatás nyújtó vezetőjét előzetesen írásban, illetve elektronikus úton a helyszíni ellenőrzés megkezdése előtt tíz nappal értesíteni kell. (9) Az ellenőrzésről az előzetes értesítés mellőzhető, ha a) súlyos fenyegetettség áll fenn, b) súlyos biztonsági esemény történt, c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy d) az  érintett bejelentés-köteles szolgáltatást nyújtó a  rendelkezésre álló adatok alapján a  helyszíni ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná. (10) A helyszíni ellenőrzéssel érintett bejelentés-köteles szolgáltatást nyújtó, illetve egyéb érintett közreműködő köteles a hatósággal együttműködni. 4. A bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereinek biztonságára vonatkozó alapvető követelmények 5. § (1) A bejelentés-köteles szolgáltatást nyújtó kockázatelemzést készít, amely kiterjed a) a hálózati és információs rendszerek és létesítmények biztonságára, b) a biztonsági események kezelésére és c) az üzletmenet folytonosság biztosítására. (2) A bejelentés-köteles szolgáltatást nyújtó a kockázatelemzés eredménye alapján a kockázatokkal arányos biztonsági intézkedéseket vezet be és alkalmaz. (3) Az  (1) és (2)  bekezdésben meghatározott feladatokat a  vonatkozó egyezmények, szabványok, ágazati ajánlások figyelembevételével a rendelet hatálybalépését követő egy éven belül kell végrehajtani. (4) Azon gazdasági társaságok, amelyek e  rendelet hatálybalépését követően kerülnek létrehozásra, a  cégbejegyzést követő egy éven belül kötelesek az  (1) és (2) bekezdésben meghatározott feladatokat a vonatkozó egyezmények, szabványok, ágazati ajánlások figyelembevételével végrehajtani. (5) A  bejelentés-köteles szolgáltatást nyújtó a  kockázatelemzést és a  szükséges biztonsági intézkedéseket a bekövetkezett, a 7. § (1) bekezdés szerinti biztonsági eseményt követően haladéktalanul, egyéb esetben legalább évente dokumentáltan felülvizsgálja. 6. § (1) A  bejelentés-köteles szolgáltatást nyújtó e  rendelet hatálybalépését követő 90 napon belül elektronikus úton regisztrál a hatóság honlapján közétett formában a 4. § (3) bekezdésben meghatározott adatok megadásával. (2) Azon bejelentés-köteles szolgáltatást nyújtó, amely e  rendelet hatálybalépését követően kerül a  rendelet hatálya alá, a változást követő 90 napon belül köteles a 4. § (3) bekezdésben meghatározott adatokat az  (1) bekezdésben megjelölt formában benyújtani a hatóságnak. (3) A  bejelentés-köteles szolgáltatást nyújtó a  4.  § (3)  bekezdésben meghatározott adatokban bekövetkezett változásokról, továbbá a megszűnéséről 8 napon belül tájékoztatja a hatóságot. 5. A jelentős biztonsági eseményekkel és a bejelentéssel összefüggő részletes szabályok 7. § (1) A  bejelentés-köteles szolgáltatást nyújtó haladéktalanul bejelenti az  eseménykezelő központ részére a  hálózati és információs rendszereiken bekövetkezett azon biztonsági eseményeket, amelyek jelentős hatást gyakorolnak az általa az Európai Unión belül kínált bejelentés-köteles szolgáltatás nyújtására. (2) A  biztonsági esemény bejelentése elsődlegesen elektronikus úton történik, ha azonban a  hálózati és információs rendszer oly mértékben sérül, hogy az nem lehetséges, a bejelentés bármely más módon megvalósítható. (3) Az (1) bekezdés szerinti bejelentés tartalmazza legalább a) az esemény rövid leírását, státuszát, b) a szolgáltatás működésében támadt zavar mértékét, c) az esemény kezelésére az üzemeltető által kijelölt kapcsolattartó személy elérhetőségeit, d) biztonsági esemény hatását meghatározó szempontokat. (4) Annak meghatározása érdekében, hogy egy biztonsági esemény hatása jelentős-e, figyelembe kell venni a) a  biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását, b) a biztonsági esemény időtartamát, c) a biztonsági esemény által érintett terület földrajzi kiterjedését, d) a szolgáltatás működésében támadt zavar mértékét, e) a gazdasági és társadalmi tevékenységekre gyakorolt hatás mértékét. (5) A  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az  eseménykezelő központ felhívására köteles a biztonsági események kezeléséhez szükséges műszaki, technikai adatokat, információkat összegyűjteni és elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni. (6) Ha a  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó bármely okból nem képes az  (5)  bekezdés szerinti adatok összegyűjtésére, az  eseménykezelő központ begyűjtheti az  adatokat. A  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó gondoskodik arról, hogy az  eseménykezelő központ az adatokhoz hozzáférjen. (7) A  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó a  biztonsági esemény felszámolásához szükséges intézkedéseket kidolgozza és haladéktalanul végrehajtja. (8) Az  eseménykezelő központ támogatja a  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtót a biztonsági esemény felszámolásához szükséges intézkedések kidolgozásában. (9) A  biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az  esemény felszámolását követően felülvizsgálja a  hálózati és információs rendszerei kockázatelemzésének, kockázatkezelésének teljeskörűségét, végrehajtja a szükséges módosításokat. 6. Jogkövetkezmények alkalmazása 8. § (1) A hatóság – határidő kitűzése mellett – felhívja az érintett bejelentés-köteles szolgáltatást nyújtó vezetőjét a) az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a  biztonsági követelmény megsértésének megszüntetésére, b) a jogszabályban meghatározott kötelezettség teljesítésére, c) az elvárt intézkedés megtételére. (2) A  hatóság azonnali intézkedések megtételére kötelezi az  érintett bejelentés-köteles szolgáltatást nyújtót, ha az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a  megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé. (3) A hatóság az Ekertv. 6/C. §-a alapján az 1. mellékletben megjelölt szabálytalanság esetén az ott rögzített mértékben bírságot szabhat ki. (4) A  kiszabható bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a  hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni (a  továbbiakban: befizetés) a  határozatban megjelölt, a  hatóság Magyar Államkincstárnál vezetett számlájára. (5) A befizetés során az átutalás közlemény rovatában fel kell tüntetni a „digitális bírság” szöveget, a határozat számát és a bírságfizetésre kötelezett nevét. (6) Több szabálytalanság együttes fennállása esetén a  bírság mértéke az  egyes szabálytalanságokért kiszabható bírságok összege, amely nem haladhatja meg az ötmillió forintos felső határt. 9. § (1) A bírság megfizetése nem mentesít a büntetőjogi, illetve a polgári jogi felelősség, valamint a bírság kiszabására okot adó szabálytalanság megszüntetésének kötelezettsége alól. (2) A  bírság ugyanazon tényállás mellett – az  azonnal megszüntethető szabálytalanságok kivételével – a  bírságot kiszabó végleges határozat közlését követő két hónap elteltével szabható ki ismételten. 7. Záró rendelkezések 10. § Ez a rendelet 2018. május 10-én lép hatályba. 11. § Ez a  rendelet a  hálózati és információs rendszerek biztonságának az  egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja. Orbán Viktor s. k., miniszterelnök

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.