📄 Jogszabály szövege
410/2017. (XII. 15.) Korm. rendelete a bejelentés-köteles szolgáltatást nyújtókról.
A Kormány az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes
kérdéseiről szóló 2001. évi CVIII. törvény 17. § (1a) bekezdés a)–f ) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk
(1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
a) bejelentés-köteles szolgáltatás: az elektronikus kereskedelmi szolgáltatások, valamint az információs
társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban:
Ekertv.) 2. § j) pontja szerinti szolgáltatás;
b) bejelentés-köteles szolgáltatást nyújtó: az a magyarországi székhelyű gazdasági társaság, amely
a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét
biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a tanácsi irányelv
III. mellékletében meghatározott digitális szolgáltatást nyújt, és a kis- és középvállalkozásokról, fejlődésük
támogatásáról szóló a 2004. évi XXXIV. törvény alapján nem tartozik a mikro- és kisvállalkozások körébe;
c) biztonsági esemény: minden olyan esemény, amely ténylegesen kedvezőtlen hatást gyakorol a hálózati és
információs rendszerek biztonságára;
d) biztonsági esemény kezelése: a biztonsági események észlelése, elemzése és elszigetelése, valamint az azokra
való reagálás és a támogató eljárások összessége;
e) hálózati és információs rendszer:
ea) az elektronikus hírközlő hálózat,
eb) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja,
amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését
végzi vagy
ec) az ea) és eb) alpontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk
céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok.
2. Az eseménykezelő központok feladat- és hatásköre 2. § (1) A Kormány az Ekertv. 6/B. § (1) bekezdése szerinti eseménykezelő központként (a továbbiakban: eseménykezelő
központ) a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelöli ki.
(2) Az eseménykezelő központ a biztonsági esemény kezelése feladatkörében felelős
a) a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza
a biztonsági eseményt, az annak kapcsán megtett intézkedéseket és azok eredményét, valamint
b) az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért.
(3) Az eseménykezelő központ a biztonsági események megelőzése céljából a bejelentés-köteles szolgáltatást nyújtók
hálózati és információs rendszereit érintő fenyegetésekkel összefüggő riasztási, tájékoztatási és tudatosítási
feladatokat lát el.
(4) A hálózati és információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal
összefüggésben az eseménykezelő központ felelős a sérülékenységekről és fenyegetésekről, valamint
a javasolt biztonsági intézkedésekről rendszeres tájékoztatás nyújtásáért a 4. § (2) bekezdés a) pontja szerinti
nyilvántartásában szereplő bejelentés-köteles szolgáltatást nyújtók részére.
(5) Az eseménykezelő központ
a) nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki,
b) a biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az információbiztonság
tudatosításáért felelős intézmények tudatosítási programjában,
c) együttműködik a kormányzati információtechnológiai, hálózatbiztonsági és biztonsági eseménykezelési
rendszer résztvevőivel.
(6) Az eseménykezelő központ a további feladatait a kormányzati eseménykezelő központ és az eseménykezelő
központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki
vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet 6. §
(3a)–(3e) bekezdésében foglaltak szerint látja el.
3. § (1) Az eseménykezelő központ a biztonsági eseményről szigorúan zárt kezelésű technológiai naplót vezet, amely
tartalmazza a biztonsági esemény kivizsgálásának támogatása során tett intézkedéseket és azok eredményét is.
(2) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálatának célja, hogy az eseménykezelő központ
javaslatot tegyen a biztonsági esemény által okozott kár mérséklésére és a bekövetkezett biztonsági események
tapasztalatairól tájékoztassa a biztonsági eseménnyel érintett vagy veszélyeztetett más szervezeteket, hatóságokat
és további érintetteket annak érdekében, hogy a jövőben a biztonsági esemény bekövetkezése megelőzhető
legyen.
(3) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálata során az eseménykezelő központ feltárja
a) a biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik
az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását,
b) más szereplők esetleges érintettségét,
c) a szolgáltatás működésében támadt zavar mértékét,
d) a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
e) a biztonsági eseménnyel érintett eszköz, technológia sérülékenységét,
f ) a gazdasági és társadalmi hatások mértékét,
g) a biztonsági esemény bekövetkeztének okait, körülményeit, az okozott kár mértékét.
(4) Az eseménykezelő központ a biztonsági esemény műszaki vizsgálatát követően hatósági eljárás megindítása
és lefolytatása céljából a rendelkezésre álló információkat összefoglaló jelentéssel átadja a hatáskörrel és
illetékességgel rendelkező hatóság részére.
3. A hatóság hatásköre és feladatai 4. § (1) A Kormány az Ekertv. 6/B. § (3) bekezdése szerinti hatóságként (a továbbiakban: hatóság) a Belügyminisztérium
Országos Katasztrófavédelmi Főigazgatóságot jelöli ki.
(2) A hatóság a biztonsági események megelőzése, kivizsgálása, felszámolása és terjedésének korlátozása érdekében
a) regisztráció alapján nyilvántartást vezet;
b) az eseménykezelő központtal együttműködésben tájékoztató kampányt szervez és végez;
c) kapcsolatot tart
ca) a bejelentés-köteles szolgáltatást nyújtókkal,
cb) a bűnüldöző hatóságokkal,
cc) az egyedüli kapcsolattartó ponttal,
cd) más tagállamok illetékes ágazati hatóságaival,
ce) az adatvédelmi hatóságokkal,
cf ) az Európai Unióban nem letelepedett, az Európai Unión belül szolgáltatásait kínáló bejelentés
köteles szolgáltatást nyújtók által kinevezett képviselőkkel;
d) megbízhatja az egyedüli kapcsolattartó pontot azzal, hogy továbbítsa az eseményről küldött bejelentést más
érintett tagállamok egyedüli kapcsolattartó pontjai részére;
e) monitorozza a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas
szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a tanácsi
irányelv alkalmazását;
f ) haladéktalanul tájékoztatja az egyedüli kapcsolattartó pontot e rendelet alapján bejelentett biztonsági
eseményekről;
g) a nyilvánosságot szükség szerint tájékoztatja az egyes biztonsági eseményekről;
h) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására;
i) az egyedüli kapcsolattartó pont útján indokolt esetben tájékoztatja a biztonsági eseményekkel
összefüggésben érintett tagállamokat, ennek során biztosítja a szolgáltatást nyújtók biztonságát;
j) szükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy
ja) bocsássák rendelkezésre a hálózati és információs rendszereik biztonságának megállapításához
szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is,
jb) gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről,
bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről;
k) részt vesz eseménykezelő központok és más, kiberbiztonsági feladatokat ellátó szervezetek tudatosító és
felvilágosító kampányában;
l) hatósági ellenőrzést végez a bejelentés-köteles szolgáltatást nyújtók kötelezettségeinek teljesítése céljából.
(3) A hatóság a (2) bekezdés a) pontja szerinti nyilvántartásban kezeli a bejelentés-köteles szolgáltatást nyújtó
a) nevét,
b) székhelyét,
c) cégjegyzékszámát,
d) elektronikus kapcsolattartási adatait, valamint
e) az általa nyújtott bejelentés-köteles szolgáltatás típusát.
(4) A bejelentés-köteles szolgáltatást nyújtók adatait a hatósági nyilvántartásból törölni kell a gazdasági társaság
– tevékenységének megszűnéséről a hatóság részére benyújtott – bejelentése alapján, a bejelentést követő nyolc
napon belül.
(5) A hatóság az eseménykezelő központ 3. § (4) bekezdése szerinti összefoglaló jelentése alapján hivatalból indítható
hatósági eljárása keretében
a) vizsgálja a bejelentés-köteles szolgáltatást nyújtó által megtett megelőző és eseményt kezelő tevékenységét;
b) vizsgálja az 5. § és 6. §-ban meghatározott követelmények teljesülését;
c) vizsgálja a bejelentés-köteles szolgáltatást nyújtó kockázatelemzésének és biztonsági intézkedéseinek
megfelelőségét;
d) a vizsgálathoz a (7) bekezdés szerinti cselekményeket jogosult elvégezni;
e) a vizsgálat eredményeként hatósági döntést hoz, amelynek tartalma legalább:
ea) a biztonsági esemény bekövetkezés tényének megállapítása,
eb) az elhárításra javasolt intézkedések,
ec) a további károkozások megelőzése érdekében javasolt intézkedések;
f ) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására.
(6) A hatóság a hatósági eljárással összefüggésben, további intézkedés keretében
a) szükség esetén tájékoztatja az eseménykezelő központokat, egyéb érintett szervezeteket,
b) alapvető szolgáltatásokat nyújtó szereplő érintettsége esetén tájékoztatja a kijelölő hatóságot,
c) más megelőzési célú intézkedést hoz,
d) más hatóság hatáskörébe tartozó eljárást kezdeményez.
(7) A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett bejelentés-köteles szolgáltatást
nyújtó működésének és üzemvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében
jogosult önállóan, vagy más hatósággal együtt
a) az érintett bejelentés-köteles szolgáltatást nyújtó információtechnológiai tevékenységével összefüggő
helyiségeibe belépni,
b) az érintett bejelentés-köteles szolgáltatást nyújtó számára adatkezelést biztosító, adatfeldolgozást végző,
vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely,
az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy
passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus
információbiztonsággal kapcsolatos elektronikus vagy papíralapú okiratokról, dokumentumokról,
szerződésekről, adatbázisokról másolatot készíteni, valamint
c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai
rendszerhez egyedileg biztosított belépési jogosultsággal.
(8) A helyszíni ellenőrzés elrendeléséről az érintett bejelentés-köteles szolgáltatás nyújtó vezetőjét előzetesen írásban,
illetve elektronikus úton a helyszíni ellenőrzés megkezdése előtt tíz nappal értesíteni kell.
(9) Az ellenőrzésről az előzetes értesítés mellőzhető, ha
a) súlyos fenyegetettség áll fenn,
b) súlyos biztonsági esemény történt,
c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy
d) az érintett bejelentés-köteles szolgáltatást nyújtó a rendelkezésre álló adatok alapján a helyszíni ellenőrzés
eredményes lefolytatását feltehetően meghiúsítaná.
(10) A helyszíni ellenőrzéssel érintett bejelentés-köteles szolgáltatást nyújtó, illetve egyéb érintett közreműködő köteles
a hatósággal együttműködni. 4. A bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereinek biztonságára
vonatkozó alapvető követelmények
5. § (1) A bejelentés-köteles szolgáltatást nyújtó kockázatelemzést készít, amely kiterjed
a) a hálózati és információs rendszerek és létesítmények biztonságára,
b) a biztonsági események kezelésére és
c) az üzletmenet folytonosság biztosítására.
(2) A bejelentés-köteles szolgáltatást nyújtó a kockázatelemzés eredménye alapján a kockázatokkal arányos biztonsági
intézkedéseket vezet be és alkalmaz.
(3) Az (1) és (2) bekezdésben meghatározott feladatokat a vonatkozó egyezmények, szabványok, ágazati ajánlások
figyelembevételével a rendelet hatálybalépését követő egy éven belül kell végrehajtani.
(4) Azon gazdasági társaságok, amelyek e rendelet hatálybalépését követően kerülnek létrehozásra, a cégbejegyzést
követő egy éven belül kötelesek az (1) és (2) bekezdésben meghatározott feladatokat a vonatkozó egyezmények,
szabványok, ágazati ajánlások figyelembevételével végrehajtani.
(5) A bejelentés-köteles szolgáltatást nyújtó a kockázatelemzést és a szükséges biztonsági intézkedéseket
a bekövetkezett, a 7. § (1) bekezdés szerinti biztonsági eseményt követően haladéktalanul, egyéb esetben legalább
évente dokumentáltan felülvizsgálja.
6. § (1) A bejelentés-köteles szolgáltatást nyújtó e rendelet hatálybalépését követő 90 napon belül elektronikus úton
regisztrál a hatóság honlapján közétett formában a 4. § (3) bekezdésben meghatározott adatok megadásával.
(2) Azon bejelentés-köteles szolgáltatást nyújtó, amely e rendelet hatálybalépését követően kerül a rendelet hatálya
alá, a változást követő 90 napon belül köteles a 4. § (3) bekezdésben meghatározott adatokat az (1) bekezdésben
megjelölt formában benyújtani a hatóságnak.
(3) A bejelentés-köteles szolgáltatást nyújtó a 4. § (3) bekezdésben meghatározott adatokban bekövetkezett
változásokról, továbbá a megszűnéséről 8 napon belül tájékoztatja a hatóságot.
5. A jelentős biztonsági eseményekkel és a bejelentéssel összefüggő részletes szabályok
7. § (1) A bejelentés-köteles szolgáltatást nyújtó haladéktalanul bejelenti az eseménykezelő központ részére a hálózati
és információs rendszereiken bekövetkezett azon biztonsági eseményeket, amelyek jelentős hatást gyakorolnak
az általa az Európai Unión belül kínált bejelentés-köteles szolgáltatás nyújtására.
(2) A biztonsági esemény bejelentése elsődlegesen elektronikus úton történik, ha azonban a hálózati és információs
rendszer oly mértékben sérül, hogy az nem lehetséges, a bejelentés bármely más módon megvalósítható.
(3) Az (1) bekezdés szerinti bejelentés tartalmazza legalább
a) az esemény rövid leírását, státuszát,
b) a szolgáltatás működésében támadt zavar mértékét,
c) az esemény kezelésére az üzemeltető által kijelölt kapcsolattartó személy elérhetőségeit,
d) biztonsági esemény hatását meghatározó szempontokat.
(4) Annak meghatározása érdekében, hogy egy biztonsági esemény hatása jelentős-e, figyelembe kell venni
a) a biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik
az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását,
b) a biztonsági esemény időtartamát,
c) a biztonsági esemény által érintett terület földrajzi kiterjedését,
d) a szolgáltatás működésében támadt zavar mértékét,
e) a gazdasági és társadalmi tevékenységekre gyakorolt hatás mértékét.
(5) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az eseménykezelő központ felhívására
köteles a biztonsági események kezeléséhez szükséges műszaki, technikai adatokat, információkat összegyűjteni és
elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni.
(6) Ha a biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó bármely okból nem képes
az (5) bekezdés szerinti adatok összegyűjtésére, az eseménykezelő központ begyűjtheti az adatokat. A biztonsági
eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó gondoskodik arról, hogy az eseménykezelő központ
az adatokhoz hozzáférjen.
(7) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó a biztonsági esemény felszámolásához
szükséges intézkedéseket kidolgozza és haladéktalanul végrehajtja.
(8) Az eseménykezelő központ támogatja a biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtót
a biztonsági esemény felszámolásához szükséges intézkedések kidolgozásában.
(9) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az esemény felszámolását követően
felülvizsgálja a hálózati és információs rendszerei kockázatelemzésének, kockázatkezelésének teljeskörűségét,
végrehajtja a szükséges módosításokat.
6. Jogkövetkezmények alkalmazása 8. § (1) A hatóság – határidő kitűzése mellett – felhívja az érintett bejelentés-köteles szolgáltatást nyújtó vezetőjét
a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény
megsértésének megszüntetésére,
b) a jogszabályban meghatározott kötelezettség teljesítésére,
c) az elvárt intézkedés megtételére.
(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett bejelentés-köteles szolgáltatást nyújtót, ha
az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény
súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására
tehet javaslatot a munkáltatói jogkör gyakorlója felé.
(3) A hatóság az Ekertv. 6/C. §-a alapján az 1. mellékletben megjelölt szabálytalanság esetén az ott rögzített mértékben
bírságot szabhat ki.
(4) A kiszabható bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának véglegessé
válását követő nyolc napon belül kell befizetni (a továbbiakban: befizetés) a határozatban megjelölt, a hatóság
Magyar Államkincstárnál vezetett számlájára.
(5) A befizetés során az átutalás közlemény rovatában fel kell tüntetni a „digitális bírság” szöveget, a határozat számát és
a bírságfizetésre kötelezett nevét.
(6) Több szabálytalanság együttes fennállása esetén a bírság mértéke az egyes szabálytalanságokért kiszabható
bírságok összege, amely nem haladhatja meg az ötmillió forintos felső határt.
9. § (1) A bírság megfizetése nem mentesít a büntetőjogi, illetve a polgári jogi felelősség, valamint a bírság kiszabására okot
adó szabálytalanság megszüntetésének kötelezettsége alól.
(2) A bírság ugyanazon tényállás mellett – az azonnal megszüntethető szabálytalanságok kivételével – a bírságot
kiszabó végleges határozat közlését követő két hónap elteltével szabható ki ismételten.
7. Záró rendelkezések 10. § Ez a rendelet 2018. május 10-én lép hatályba.
11. § Ez a rendelet a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét
biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek való
megfelelést szolgálja.
Orbán Viktor s. k.,
miniszterelnök
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.