neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.

 

A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.

">

Biztonsági osztályba sorolás alapján kötelező védelmi intézkedések nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.

 

A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.

Kulcsszavak: biztonsági osztály, védelmi intézkedés

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

A szervezetnek a 41/2015. (VII. 13.) BM rendelet 3. melléklete alapján fel kell térképeznie, hogy a biztonsági osztályba sorolás eredménye alapján egy adott EIR-ben milyen védelmi intézkedéseket kell megvalósítania e rendelet 4. mellékletében, a 3. pontban található védelmi intézkedés katalógusból. Amint a NEIH-BOS űrlapon kiszámításra került az EIR biztonsági osztályának három tényezője, az átvezethető a NEIH-BOÁF űrlapra, mely ezután a 3.1.1. fültől kezdődően minden lapfülön automatikusan színnel jelzi a kötelező intézkedéseket.

A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-BOÁF űrlapjára felvezeti.

Ha a szervezet az EIR védelmének biztosításához külső adatkezelőt vesz igénybe, az Ibtv. 11. § (3) bekezdése szerinti szerződésben mindkét fél által vállalt intézkedéseket rögzíteni kell. Az adatkezelők önállóan is eljárás alá vonhatók!

A szervezetnek a 3.1.1.-3.3.13. lapfüleken a "Megvalósult-e" oszlopban "Igen" és "Nem" válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Ha az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő az Ibtv. 11. § (1) bekezdés k)-l) pontja vagy a (3) bekezdés szerint átvállalta, az adott sor „Közreműködő” oszlopában az intézkedés megvalósításáért felelős jogalanyt azonosítani kell.

A fenti adatokat minden EIR-re külön NEIH-BOÁF űrlapon kell kitölteni.

A NEIH-BOÁF űrlapon a fentieken túl az alábbi adatokat kell megadni:

A küldemény a Nemzeti Elektronikus Információbiztonsági Hatóság 313910359 KRID számú hivatali kapujára érkezik.

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Határozatban elrendelt sérülékenység-vizsgálat elmulasztása esetén költségvetési szerv is bírságolható.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedések bejelentési határideje: 2014. július 1.

2013. július 1-jén működő EIR-ben az 1. biztonsági osztálynak megfelelő védelmet 2016. július 1-ig kell megvalósítani. Minden további biztonsági osztályhoz tartozó követelmények teljesítésére (ha azt a biztonsági osztály indokolja) további 2-2 év áll rendelkezésre.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedéseket. Innentől számítva az 1. biztonsági osztály, és minden további biztonsági osztály követelményeinek teljesítésére 2-2 év áll rendelkezésre

Ha valamely EIR védelme a korábban benyújtott állapotfelméréshez képest egy újabb biztonsági osztálynak megfelelt, az így kapott NEIH-BOÁF űrlapokat a változást követő 8 napon belül kell bejelenteni.

2013. július 1-jét követően indult informatikai fejlesztési projekt során az újonnan fejlesztendő / továbbfejlesztendő elektronikus információs rendszer biztonsági osztályba sorolását még a tervezési szakaszban el kell végezni / felül kell vizsgálni, és a biztonsági osztály alapján kötelező információbiztonsági követelményeket az üzemeltetés megkezdése előtt maradéktalanul teljesíteni kell.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

NEIH-BOÁF űrlap

NEIH-BOS űrlap

A tájékoztatóban hivatkozott űrlapok jelenleg nem elérhetők, kialakítás alatt vannak.

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információvédelmi Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

A hatóság lefolytatja az alábbi kapcsolódó eljárást: biztonsági osztályba sorolás nyilvántartásba vétele.

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

NEIH