Röviden
Ez a rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott technológiai biztonsági követelményeket, valamint a biztonságos információs eszközökre és a biztonsági osztályba, illetve szintbe sorolásra vonatkozó szabályokat részletezi. Célja az elektronikus információs rendszerek biztonságának egységesítése és fenntartása.
Amit szabályoz
- Az elektronikus információs rendszerek biztonsági osztályba sorolásának szempontjait.
- A biztonsági szintek meghatározását és az azokhoz tartozó követelményeket.
- Az elektronikus információs rendszerek üzemeltetésének elektronikus információbiztonsági követelményeit.
- Az eltérések rögzítésének módját magasabb védelmi igény esetén.
Akire vonatkozik
- Az állami és önkormányzati szervek, amelyek elektronikus információs rendszerrel rendelkeznek.
- Azok a szervezeti egységek, amelyek az Ibtv. 9. § (2) bekezdése szerinti elektronikus információs rendszert üzemeltetnek.
Kulcspontok
- A szervezeteknek az 1. mellékletben felsorolt szempontok szerint kell biztonsági osztályba sorolniuk elektronikus információs rendszereiket.
- A biztonsági szintbe sorolást a 2. melléklet szerinti szintek alapján kell elvégezni.
- A besorolás alapján a 3. mellékletben meghatározott, az elektronikus információs rendszerre érvényes biztonsági osztályhoz rendelt követelményeket a 4. mellékletben meghatározott módon kell teljesíteni.
- Ha az elektronikus információs rendszert több szervezet használja, az üzemeltetőnek érvényesítenie kell az információbiztonsági követelményeket minden érintett szervezet felé, és ezeket a szerződésben rögzíteni kell.
📄 Jogszabály szövege
41/2015. (VII. 15.) BM rendelete az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés
a) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet
21. § 5. és 20. pontjában meghatározott feladatkörömben eljárva – a Kormány tagjainak feladat- és hatásköréről szóló
152/2014. (VI. 6.) Korm. rendelet 109. § 11. pontjában meghatározott feladatkörében eljáró nemzeti fejlesztési miniszterrel
egyetértésben – a következőket rendelem el:
1. § Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban:
Ibtv.) hatálya alá tartozó elektronikus információs rendszerrel rendelkező szervezet az elektronikus információs
rendszereit az 1. mellékletben felsorolt szempontok szerint sorolja biztonsági osztályba.
2. § Az elektronikus információs rendszerrel rendelkező szervezet vagy e szervezetnek az Ibtv. 9. § (2) bekezdése szerinti
szervezeti egysége (a továbbiakban: szervezeti egység) a biztonsági szintbe sorolást a 2. melléklet szerinti biztonsági
szintek alapján végzi el.
3. § (1) Az 1. § és a 2. § szerint elvégzett besorolás alapján az elektronikus információs rendszerrel rendelkező szervezet
a 3. mellékletben meghatározott, az elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt
követelményeket a 4. mellékletben meghatározott módon teljesíti.
(2) Ha az elektronikus információs rendszerrel rendelkező szervezetre vagy a szervezeti egységre e rendelet előírásai
szerint kidolgozott szabályzatokban meghatározott adminisztratív és fizikai védelmi intézkedésektől egy
elektronikus információs rendszer esetében a magasabb védelmi igény miatt el kell térni, az eltéréseket az érintett
elektronikus információs rendszer e rendelet előírásai szerint kidolgozott szabályzatában kell rögzíteni.
(3) Ha a szervezeti egységre vonatkozóan – a magasabb védelmi igény miatt a szervezetre megállapított biztonsági
szinttől – eltérő biztonsági szint megállapítása indokolt, a szervezeti egységet önállóan kell szintbe sorolni
a 2. mellékletben meghatározott szempontok alapján.
(4) Ha az elektronikus információs rendszerrel rendelkező szervezet az elektronikus információs rendszernek csak
egyes elemeit vagy funkcióit üzemelteti vagy használja – részben vagy teljesen –, a 4. mellékletben meghatározott
követelményeket ezen elemek és funkciók tekintetében kell teljesíteni.
(5) Ha az elektronikus információs rendszert több szervezet használja, az elektronikus információs rendszer
üzemeltetője az üzemeltetés elektronikus információbiztonságához szükséges követelményeket az elektronikus
információs rendszeren tevékenységet végző minden, elektronikus információs rendszerrel rendelkező szervezet
tekintetében érvényesíti.
(6) Az elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához
szükséges követelményeket úgy érvényesíti az elektronikus információs rendszeren tevékenységet végző
elektronikus információs rendszerrel rendelkező szervezetek tekintetében, hogy a követelményeknek való
megfelelés az elektronikus információs rendszerrel rendelkező szervezet elektronikus információbiztonsággal
kapcsolatos eljárási rendjébe beépüljön. Az elektronikus információs rendszer üzemeltetője és az elektronikus
információs rendszerrel rendelkező szervezetek az üzemeltetés elektronikus információbiztonságához szükséges
követelményeket az elektronikus információs rendszer üzemeltetésére kötött szerződésben rögzítik.
4. § Ez a rendelet 2015. július 16-án lép hatályba.
5. § Hatályát veszti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi
L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre
vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.)
NFM rendelet (a továbbiakban: R.).
6. § (1) Ha az elektronikus információs rendszerrel rendelkező szervezet az Ibtv. 26. §-ában meghatározott határidőig
az elektronikus információs rendszereinek biztonsági osztályba sorolását elvégezte és az elektronikus
információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének
rendjéről szóló BM rendelet 5. § (1) bekezdés b) és c) pontja szerinti bejelentési kötelezettségének eleget tett,
az elektronikus információs rendszerek e rendelet szerinti osztályba sorolását az Ibtv. 8. § (1) bekezdésében foglalt
esetekben kell elvégezni.
(2) Ha az elektronikus információs rendszerrel rendelkező szervezet az Ibtv. 26. §-ában meghatározott határidőig
a szervezet biztonsági szintbe sorolását elvégezte és a biztonsági szint – az e rendelet 2. mellékletében foglaltak
alkalmazásával – nem változik, továbbá az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység nem kerül
kijelölésre, valamint az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek
hatósági nyilvántartásba vételének rendjéről szóló BM rendelet 5. § (1) bekezdés a) pontja szerinti bejelentési
kötelezettségének eleget tett, a szervezet e rendelet szerinti osztályba sorolását az Ibtv. 10. § (5) bekezdésében
foglalt esetekben kell elvégezni.
(3) Ha az elektronikus információs rendszer fejlesztése e rendelet hatálybalépésekor az R. előírásai szerint már folyik,
az elektronikus információs rendszer e fejlesztésére az e rendeletben foglaltakat 2015. október 1. napjától kell
alkalmazni.
Dr. Pintér Sándor s. k.,
belügyminiszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.