← Magyarország

41/2015. (VII. 15.) BM rendelete az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. L. törvényben meghatározott techn

Röviden

Ez a rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott technológiai biztonsági követelményeket, valamint a biztonságos információs eszközökre és a biztonsági osztályba, illetve szintbe sorolásra vonatkozó szabályokat részletezi. Célja az elektronikus információs rendszerek biztonságának egységesítése és fenntartása.

Amit szabályoz

Akire vonatkozik

Kulcspontok

📄 Jogszabály szövege
41/2015. (VII. 15.) BM rendelete az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24.  § (2)  bekezdés a) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21.  § 5. és 20.  pontjában meghatározott feladatkörömben eljárva – a  Kormány tagjainak feladat- és hatásköréről szóló 152/2014.  (VI. 6.) Korm. rendelet 109.  § 11.  pontjában meghatározott feladatkörében eljáró nemzeti fejlesztési miniszterrel egyetértésben – a következőket rendelem el: 1. § Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) hatálya alá tartozó elektronikus információs rendszerrel rendelkező szervezet az  elektronikus információs rendszereit az 1. mellékletben felsorolt szempontok szerint sorolja biztonsági osztályba. 2. § Az elektronikus információs rendszerrel rendelkező szervezet vagy e szervezetnek az Ibtv. 9. § (2) bekezdése szerinti szervezeti egysége (a továbbiakban: szervezeti egység) a biztonsági szintbe sorolást a 2. melléklet szerinti biztonsági szintek alapján végzi el. 3. § (1) Az  1.  § és a  2.  § szerint elvégzett besorolás alapján az  elektronikus információs rendszerrel rendelkező szervezet a  3.  mellékletben meghatározott, az  elektronikus információs rendszerére érvényes biztonsági osztályhoz rendelt követelményeket a 4. mellékletben meghatározott módon teljesíti. (2) Ha az  elektronikus információs rendszerrel rendelkező szervezetre vagy a  szervezeti egységre e  rendelet előírásai szerint kidolgozott szabályzatokban meghatározott adminisztratív és fizikai védelmi intézkedésektől egy elektronikus információs rendszer esetében a magasabb védelmi igény miatt el kell térni, az eltéréseket az érintett elektronikus információs rendszer e rendelet előírásai szerint kidolgozott szabályzatában kell rögzíteni. (3) Ha a  szervezeti egységre vonatkozóan – a  magasabb védelmi igény miatt a  szervezetre megállapított biztonsági szinttől – eltérő biztonsági szint megállapítása indokolt, a  szervezeti egységet önállóan kell szintbe sorolni a 2. mellékletben meghatározott szempontok alapján. (4) Ha az  elektronikus információs rendszerrel rendelkező szervezet az  elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy használja – részben vagy teljesen –, a 4. mellékletben meghatározott követelményeket ezen elemek és funkciók tekintetében kell teljesíteni. (5) Ha az  elektronikus információs rendszert több szervezet használja, az  elektronikus információs rendszer üzemeltetője az  üzemeltetés elektronikus információbiztonságához szükséges követelményeket az  elektronikus információs rendszeren tevékenységet végző minden, elektronikus információs rendszerrel rendelkező szervezet tekintetében érvényesíti. (6) Az  elektronikus információs rendszer üzemeltetője az  üzemeltetés elektronikus információbiztonságához szükséges követelményeket úgy érvényesíti az  elektronikus információs rendszeren tevékenységet végző elektronikus információs rendszerrel rendelkező szervezetek tekintetében, hogy a  követelményeknek való megfelelés az  elektronikus információs rendszerrel rendelkező szervezet elektronikus információbiztonsággal kapcsolatos eljárási rendjébe beépüljön. Az  elektronikus információs rendszer üzemeltetője és az  elektronikus információs rendszerrel rendelkező szervezetek az  üzemeltetés elektronikus információbiztonságához szükséges követelményeket az elektronikus információs rendszer üzemeltetésére kötött szerződésben rögzítik. 4. § Ez a rendelet 2015. július 16-án lép hatályba. 5. § Hatályát veszti az  állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.  törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet (a továbbiakban: R.). 6. § (1) Ha az  elektronikus információs rendszerrel rendelkező szervezet az  Ibtv. 26.  §-ában meghatározott határidőig az  elektronikus információs rendszereinek biztonsági osztályba sorolását elvégezte és az  elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének rendjéről szóló BM rendelet 5.  § (1)  bekezdés b) és c)  pontja szerinti bejelentési kötelezettségének eleget tett, az elektronikus információs rendszerek e rendelet szerinti osztályba sorolását az Ibtv. 8. § (1) bekezdésében foglalt esetekben kell elvégezni. (2) Ha az  elektronikus információs rendszerrel rendelkező szervezet az  Ibtv. 26.  §-ában meghatározott határidőig a  szervezet biztonsági szintbe sorolását elvégezte és a  biztonsági szint – az  e  rendelet 2.  mellékletében foglaltak alkalmazásával – nem változik, továbbá az  Ibtv. 9.  § (2)  bekezdése szerinti szervezeti egység nem kerül kijelölésre, valamint az  elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének rendjéről szóló BM rendelet 5.  § (1)  bekezdés a)  pontja szerinti bejelentési kötelezettségének eleget tett, a  szervezet e  rendelet szerinti osztályba sorolását az  Ibtv. 10.  § (5)  bekezdésében foglalt esetekben kell elvégezni. (3) Ha az  elektronikus információs rendszer fejlesztése e  rendelet hatálybalépésekor az  R. előírásai szerint már folyik, az  elektronikus információs rendszer e  fejlesztésére az  e  rendeletben foglaltakat 2015. október 1. napjától kell alkalmazni. Dr. Pintér Sándor s. k., belügyminiszter

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.