📄 Jogszabály szövege
186/2015. (VII. 13.) Korm. rendelete a központosított informatikai és elektronikus hírközlési szolgáltató információbiztonsággal kapcsolatos feladatköréről.
A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés
g) pontjában kapott felhatalmazás alapján,
az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
a) központi szolgáltató: a jogszabály által kijelölt központosított informatikai és elektronikus hírközlési
szolgáltató;
b) szolgáltatások: jogszabályban meghatározott, az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) hatálya alá tartozó elektronikus
információs rendszerek felhasználói számára a központi szolgáltató által kötelezően vagy egyedi igény
alapján biztosítandó központosított informatikai és elektronikus hírközlési szolgáltatások.
2. A központi szolgáltató feladatai 2. § Az Ibtv. 11. § (2) és (3) bekezdése szerinti szolgáltatási tevékenysége keretében a központi szolgáltató
a) kialakítja a szolgáltatások esetében az informatikai biztonsági irányítási rendszerét, aminek keretében
aa) kidolgozza a vonatkozó szabályzatokat az informatikai biztonsági irányítási rendszer működési
követelményeinek megfelelően,
ab) megismerteti az aa) alpont szerinti szabályzatokat a központi szolgáltató szolgáltatását igénybevevő
szervezettel, amely az Ibtv. 11. § (3) bekezdése szerinti szervezeti szintű informatikai biztonsági
szabályokat az aa) alpont szerinti szabályzatokra figyelemmel dolgozza ki,
ac) rendszeresen felülvizsgálja az aa) alpont szerinti szabályzatokat,
ad) kidolgozza az aa) alpont szerinti szabályzatok módosításait, valamint
ae) ellenőrzi az aa) alpont szerinti szabályzatok megfelelő alkalmazását;
b) azonosítja és nyilvántartja
ba) a szolgáltatásokat,
bb) a szolgáltatások végfelhasználóit, az üzemeltető felhasználókat, valamint a szolgáltatás
biztosításához igénybevett támogatókat és fejlesztőket (a továbbiakban együtt: felhasználók),
továbbá a hozzáférési jogosultságaikat,
bc) a szolgáltatások biztosításához szükséges vagyonelemeket (hardver és szoftver elemek),
bd) a szolgáltatásokhoz kapcsolódó távoli hozzáféréseket,
be) az általa a szolgáltatások biztosításához igénybevett külső szolgáltatásokat, valamint
bf ) a szolgáltatások c) pont ca) alpontjában meghatározott kritikusságát;
c) folyamatos kockázatkezelés keretében
ca) meghatározza és elemzi a szolgáltatások és az azokat biztosító vagyonelemek, valamint az igénybe
vett külső szolgáltatások kritikusságát és fenyegetettségének mértékét,
cb) elvégzi a szolgáltatások kockázatértékelését,
cc) az egyes kockázati értékek alapján meghatározza a szolgáltatások biztosításához szükséges és
a kockázatokkal arányos védelmi intézkedéseket,
cd) kidolgozza az alkalmazott védelmi intézkedések hatékonyságának mérési módszereit, valamint
ce) folyamatos felülvizsgálat keretében meggyőződik az alkalmazott védelmi intézkedések
megfelelőségéről és szükség esetén új védelmi intézkedéseket vezet be;
d) az azonosítási és hozzáférés-kezelési tevékenysége körében
da) biztosítja a szolgáltatások igénybevételét az általa azonosított és nyilvántartott felhasználók,
informatikai eszközök és kapcsolódó szolgáltatások számára,
db) a da) alpont szerinti felhasználói kör részére biztosítja a szolgáltatásokhoz való hozzáférési
jogosultságot, valamint
dc) biztosítja a db) alpontban meghatározott jogosultságok szükség szerinti kiosztását, módosítását és
visszavonását;
e) folyamatosan ellenőrzi a szolgáltatások biztonsági állapotát, amelynek keretében
ea) biztosítja a szolgáltatások nyújtásában használt vagyonelemek által létrehozott üzemi és biztonsági
információk folyamatos gyűjtését,
eb) biztosítja az ea) alpontban meghatározott információk biztonsági szempontú elemzését, valamint
ec) azonosítja a biztonsági eseményeket és összegyűjti az azokkal kapcsolatos információkat;
f ) folyamatosan biztosítja a szolgáltatások nyújtásában használt vagyonelemek biztonsági állapotának
megfelelőségét, aminek keretében
fa) intézkedik a biztonsági események megelőzéséről, a bekövetkezett biztonsági események által
okozott kár csökkentéséről, valamint
fb) az e) pont eb) alpontja szerinti elemzések alapján biztonságnövelő megelőző intézkedéseket vezet
be;
g) az elektronikus információs rendszereket érintő biztonsági események kezelése során
ga) tájékoztatja a kormányzati eseménykezelő központot és az Ibtv. 19. § (2)–(4) bekezdése
szerinti, feladat- és hatáskörrel rendelkező eseménykezelő központot az azonosított biztonsági
eseményekről és fenyegetettségekről,
gb) biztosítja a biztonsági események azonosításához, elemzéséhez és kezeléséhez szükséges,
bizonyíték értékű információkat a kormányzati eseménykezelő központ és az Ibtv. 19. §
(2)–(4) bekezdése szerinti, feladat- és hatáskörrel rendelkező eseménykezelő központ részére,
valamint
gc) közreműködik a kormányzati eseménykezelő központ és az Ibtv. 19. § (2)–(4) bekezdése szerinti
eseménykezelő központok által végzett informatikai biztonsági eseménykezelésben a biztonsági
eseményről szóló adatszolgáltatással, vizsgálat elvégzésével, illetve a kormányzati eseménykezelő
központ és az Ibtv. 19. § (2)–(4) bekezdése szerinti eseménykezelő központok által elrendelt
biztonságnövelő intézkedések végrehajtásával.
3. A központi szolgáltató együttműködési kötelezettsége 3. § A központi szolgáltató a szolgáltatások tekintetében, különösen a 2. § g) pontja szerinti tevékenysége keretében
együttműködik
a) a Nemzeti Elektronikus Információbiztonsági Hatósággal,
b) a kormányzati eseménykezelő központtal,
c) az Ibtv. 19. § (2)–(4) bekezdése szerinti eseménykezelő központokkal, valamint
d) az Ibtv. felhatalmazása alapján az elektronikus információbiztonsággal kapcsolatban hatósági feladatok
ellátására kijelölt szervezetekkel. 4. § (1) A központi szolgáltató – a Nemzeti Elektronikus Információbiztonsági Hatósággal, valamint a kormányzati
eseménykezelő központtal együttműködve – kidolgozza és szolgáltatási szerződésbe vagy általános szerződési
feltételekbe foglalja a közszolgáltatási szerződésekben meghatározott információbiztonsági eseménykezelési
feladatain kívül vállalt többlet-információbiztonsági és eseménykezelési szolgáltatásokat, továbbá meghatározza
azok díjazását.
(2) A központi szolgáltató az (1) bekezdés szerinti szolgáltatási szerződésben vagy általános szerződési feltételekben
szabályozza különösen
a) a szolgáltatásoknak az elektronikus információs rendszer biztonsági osztálya szerint előírt
információbiztonsági védelme biztosításának feltételeit,
b) a szolgáltatások igénybevételének feltételeit,
c) a szolgáltatásokhoz kapcsolódó felelősségi rendet,
d) az információbiztonsági esemény bejelentésének rendjét, a bejelentés módját, az eseménykezeléshez
kapcsolódó felelősséget, valamint
e) az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában
vagy javításában közreműködőre jogszabályban meghatározott egyéb feltételeket, szerződési kötelemként.
4. Záró rendelkezések 5. § (1) Ez a rendelet – a (2) bekezdésben meghatározott kivétellel – a kihirdetését követő harmadik napon lép hatályba.
(2) A 2. § a)–d) pontja és a 4. § 2016. március 1-jén lép hatályba.
Orbán Viktor s. k.,
miniszterelnök
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.