Röviden
Ez a rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó szervezetek hatósági nyilvántartásba vételének, valamint a biztonsági események jelentésének és közzétételének rendjét szabályozza.
Amit szabályoz
- A szervezetek nyilvántartásba vételének módját és határidejét.
- Az adatok változásának bejelentését.
- Az informatikai biztonsági szabályzat és biztonsági tanúsítvány beküldését.
- A biztonsági események bejelentésének és közzétételének szabályait.
Akire vonatkozik
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény hatálya alá tartozó szervezetek.
- A biztonsági események bejelentésére kötelezett szervezetek.
Főbb pontok
- A szervezetnek az Ibtv. hatálya alá tartozó tevékenysége megkezdését megelőző 8 napon belül kell eleget tennie az adatközlési kötelezettségének.
- Az adatközlés elektronikus űrlapon történik, melyet az ÁNYK-űrlap benyújtás támogatási szolgáltatás igénybevételével vagy elektronikus aláírással ellátva kell megküldeni.
- A szervezetnek az informatikai biztonsági szabályzatát és a biztonsági tanúsítvány másolatát is meg kell küldenie a tevékenység megkezdését megelőző 8 napon belül.
- A biztonsági eseményekről elektronikus úton kell bejelentést tenni, kivéve a minősített adatot tartalmazó bejelentéseket, melyeket papír alapon kell megtenni.
- A rendelet hatálybalépése előtt megkezdett tevékenységek esetén a szervezetnek a rendelet hatálybalépésétől számított 60 napon belül kell eleget tennie az adatközlési kötelezettségének.
📄 Jogszabály szövege
73/2013. (XII. 4.) NFM rendelete az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés
c) pontjában kapott felhatalmazás alapján, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és
hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontjában meghatározott feladatkörömben eljárva a következőket
rendelem el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
1. ÁNYK-űrlap benyújtás támogatási szolgáltatás: a szabályozott elektronikus ügyintézési szolgáltatásokról és
az állam által kötelezően nyújtandó szolgáltatásokról szóló kormányrendelet (a továbbiakban: SZEÜSZR.)
szerinti szolgáltatás,
2. elektronikus űrlap: a SZEÜSZR. szerinti elektronikus adatbeviteli felület,
3. hatóság: a Nemzeti Elektronikus Információbiztonsági Hatóság,
4. hatósági nyilvántartás: a hatóság által vezetett, az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 15. § (1) bekezdése szerinti
adatokat tartalmazó nyilvántartás.
2. Hatósági nyilvántartásba vétel 2. § (1) Az Ibtv. 15. § (3) bekezdése szerinti adatközlési kötelezettséggel érintett szervezet (a továbbiakban: szervezet)
az Ibtv. hatálya alá tartozó tevékenysége megkezdését megelőző 8 napon belül az adatközlési kötelezettségének
a hatóság által az elektronikus tájékoztatás szabályai szerint közzétett elektronikus űrlap útján tesz eleget.
(2) Az (1) bekezdés szerinti űrlapot a szervezet a hatóság részére elektronikus úton az ÁNYK-űrlap benyújtás támogatási
szolgáltatás igénybevételével küldi meg.
(3) A szervezet az adatközlési kötelezettségét a kitöltött elektronikus űrlapnak a hatóság elektronikus levelezési címére
történő megküldésével is teljesítheti. Ez esetben az űrlapot elektronikus aláírással kell ellátni. Az elektronikus
aláírásnál használt aláíró tanúsítvány csak olyan minősített vagy fokozott biztonságú elektronikus aláíró tanúsítvány
lehet, amely megfelel az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről szóló
kormányrendeletben meghatározott követelményeknek.
(4) Ha a szervezet nem rendelkezik a (3) bekezdés szerinti elektronikus aláírással, vagy az ÁNYK-űrlap benyújtás
támogatási szolgáltatáshoz szükséges ügyfélkapu vagy hivatali regisztrációval, az elektronikus űrlapot kinyomtatva,
kitöltve és a szervezet vezetője által aláírva postai úton küldi meg a hatóság részére.
(5) Az űrlap postai úton történő megküldése esetén a kitöltött, kinyomtatott és a szervezet vezetője által aláírt űrlapot
a szervezet a postai szolgáltatásokról szóló jogszabály szerinti könyvelt küldeményként megküldi a hatóság postai
címére, ezzel párhuzamosan a kitöltött űrlapot a postai úton beküldött űrlappal azonos tartalommal elektronikus
formátumban is köteles megküldeni a hatóság elektronikus levélcímére.
3. § (1) A hatóság a beérkezett űrlapot és mellékleteit megvizsgálja, hogy azok tartalmilag és formailag megfelelnek-e
az Ibtv. és a kapcsolódó jogszabályok követelményeinek.
(2) A hatóság az (1) bekezdésben lefolytatott vizsgálatot követően a bejelentett adatokat nyilvántartásba veszi, vagy
hiánypótlást bocsát ki.
(3) A szervezet a hatóság részére korábban megküldött adataiban történt változás esetében a változást követő
8 napon belül a 2. §-ban meghatározottak szerint gondoskodik a megváltozott adatoknak a hatóság részére történő
megküldéséről.
(4) A hatóság az (1) és (3) bekezdés szerint tett bejelentések nyilvántartásba vételéről – a szervezet által megjelölt
kapcsolattartási módhoz igazodóan – elektronikus vagy postai úton értesíti a szervezetet.
4. § (1) A szervezet a 2. § (1) bekezdése szerinti adatközlése mellett az Ibtv. hatálya alá tartozó tevékenysége megkezdését
megelőző 8 napon belül a hatósági nyilvántartásba vétel céljából a hatóság részére megküldi az informatikai
biztonsági szabályzatát is (a továbbiakban: szabályzat), valamint – ha rendelkezésre áll – megküldi az Ibtv. 4. §-a
szerinti biztonsági tanúsítvány másolatát is.
(2) A szabályzat és a biztonsági tanúsítvány másolatának megküldésére a 2. § és a 3. § rendelkezései irányadóak azzal,
hogy azokat az erre rendszeresített űrlap mellékleteként kell megküldeni a hatóság részére.
5. § (1) A szervezet az Ibtv. hatálya alá tartozó tevékenységének befejezését – ide értve a szervezet jogutódlással vagy
jogutódlás nélkül történő megszűnését is – a tevékenység befejezésének időpontját megelőző 8 napon belül
köteles a 2. §-ban meghatározottak szerint bejelenteni a hatóság részére.
(2) A szervezet jogutódlással történő megszűnése esetében, vagy ha az (1) bekezdés szerinti tevékenységét másik
szervezet veszi át, a jogutód vagy az átvevő szervezet a 2. § és a 4. § szerint jár el.
(3) Ha a hatóság jogszabályban meghatározott eljárása során szerez tudomást az (1) és (2) bekezdés szerinti
eseményről, vagy a szervezet adataiban bekövetkezett adatváltozásról, hivatalból intézkedik a nyilvántartásban
szereplő adatok helyesbítéséről.
(4) A (3) bekezdés esetén a hatóság külön nem értesíti a szervezetet az adatok nyilvántartásba vételéről.
6. § Az elektronikus űrlap mellékletei elektronikus úton – ide nem értve a telefaxot – történő beküldése érdekében
a hatóság az általa elfogadott dokumentum formátumokat az elektronikus tájékoztatás szabályai szerint teszi közzé.
7. § Ha üzemzavar miatt a szervezetnek nincs lehetősége a 2–4. §-ban foglalt adatközlését elektronikus úton – ide nem
értve a telefaxot – benyújtani a hatósághoz, az üzemzavar elhárításáig az űrlapot és annak mellékleteit a szervezet
a 2. § (5) bekezdése szerint papír alapon, vagy elektronikus aláírással ellátva elektronikus adathordozón a postai
szolgáltatásokról szóló jogszabály szerinti könyvelt küldeményként postai úton nyújtja be a hatósághoz.
3. Biztonsági események bejelentése és közzététele 8. § (1) A biztonsági események bejelentésére kötelezett szervezet (a továbbiakban: bejelentő szervezet) az érdekkörében
felmerült vagy a tudomására jutott biztonsági eseményekről a bejelentést a hatóság részére a közigazgatási
hatósági eljárásról és szolgáltatásról szóló törvény szerint írásbelinek minősülő elektronikus úton teszi meg.
(2) A bejelentő szervezet a minősített adatot tartalmazó bejelentést papír alapon teszi meg.
9. § (1) A hatóság jogosult – személlyel, szervezettel nem azonosítható módon – az elektronikus tájékoztatásra vonatkozó
szabályok szerint közzétenni azokat az általa ismert biztonsági eseményeket, amelyek általános fenyegetést
jelentenek a kiberbiztonságra. Ezzel egyidejűleg – személlyel, szervezettel nem azonosítható módon – közzéteheti
mindazon rendelkezésre álló információkat is, amelyek a fenyegetés elhárítására szolgálnak.
(2) A hatóság a kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási és incidens-kezelési
munkacsoportot – személlyel, szervezettel nem azonosítható módon – tájékoztathatja mindazon biztonsági
eseményekről, és azok értékeléséről, amelyek a munkacsoport tagjainak védelmi felkészültségét növelik.
(3) Ha a hatósághoz bejelentett vagy a tudomására jutott biztonsági eseményről egyértelműen megállapítható, hogy
az személyes adatokat, vagy azok bizalmasságát sértette, a hatóság jogszabályban meghatározott tájékoztatási
kötelezettsége mellett a Nemzeti Adatvédelmi és Információszabadság Hatóságot is értesíti a bejelentésről.
4. Záró rendelkezések 10. § Ez a rendelet a kihirdetését követő napon lép hatályba.
11. § Az a szervezet, amely az Ibtv. hatálya alá tarozó tevékenységet az e rendelet hatálybalépése előtt kezdte meg, a 2. §
és a 4. § szerinti adatközlésnek az e rendelet hatálybalépésétől számított 60 napon belül köteles eleget tenni.
Németh Lászlóné s. k.,
nemzeti fejlesztési miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.