A biztonsági osztályba sorolás nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének b) pontja által együttesen kijelölt eljárásban történik.

Biztonsági osztályba sorolás nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/osztalyba-sorolas oldalon tekintheti meg.

A biztonsági osztályba sorolás nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének b) pontja által együttesen kijelölt eljárásban történik.

Kulcsszavak: biztonsági osztály

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

Az elektronikus információs rendszereket (a továbbiakban: EIR) az Ibtv. 1. § (3) bekezdése szerint adatkezelési célok mentén kell elhatárolni egymástól. Egy EIR az adatkezelési célját kiszolgáló rendszerelemek (személyek, eszközök, módszerek és szabályozási elemek) összességéből áll. Különböző EIR-eknek lehetnek közös rendszerelemeik, ezeket az ily módon rájuk értelmezhető legmagasabb kockázatnak megfelelően kell védeni.

Az EIR-ek biztonsági osztályba sorolásához a 41/2015. (VII. 15.) BM rendelet 1. melléklete szerinti módszertannak megfelelő információbiztonsági kockázatelemzést kell végezni, ahol a kockázatgazda az ügyfél szervezet vezetője, vagy az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység vezetője. Az 1. melléklet lehetőséget ad más módszertan alkalmazására, ez azonban a biztonsági osztályba sorolás eredményének formátumát nem befolyásolhatja.

A kockázatelemzést alapján meghatározásra kerül az EIR bizalmassága, sértetlensége és rendelkezésre állása. Maga a biztonsági osztály a "high water mark" elvén a bizalmasság, sértetlenség és rendelkezésre állás értékének maximuma.

A 187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdése miatt a kockázatelemzést az ügyfél szervezetnek akkor is el kell végeznie, ha az érintett EIR-t központosított informatikai vagy hírközlési szolgáltatótól igénybe vett szolgáltatás keretében használja.

A szervezet minden EIR-re külön NEIH-BOS űrlapot tölt ki az alábbi adatokkal, majd az űrlapot a Személyre Szabott Ügyintézési Felületen benyújtja.

Az alapértelmezett kockázatelemzési módszertan használata esetén a NEIH-BOS űrlapon automatikusan kiszámításra kerül a biztonsági osztály három tényezője. Az alapértelmezettől eltérő kockázatelemzési módszertant önálló dokumentumként csatolni kell a NEIH-BOS űrlaphoz: ilyenkor az eredményül kapott biztonsági osztály három tényezője kézzel rögzíthető a NEIH-BOS űrlapon.

A NEIH-BOS űrlapon a fentieken túl az alábbi adatokat kell megadni:

• a bejelentésre kötelezett szervezet nevét és adószámát
• az EIR jogszabályban, közjogi szervezetszabályozó eszközben, szerződésben vagy egyéb dokumentumban meghatározott hosszú nevét, valamint nyilvántartásra használatos rövid nevét
• az EIR adatgazdáját
• a kapcsolódó adatkezelést megalapozó jogszabályi rendelkezés helyét
• azt, hogy a kapcsolódó adatkezelés Magyarország területén kívül (is) történik-e
• azt, hogy az EIR zárt célú-e
• azt, hogy az EIR tartalmaz-e a nemzeti adatvagyon körébe tartozó állami nyilvántartást
• azt, hogy az EIR nemzeti/európai létfontosságú rendszeren vagy létesítményen belül került-e azonosításra

  A küldemény a Nemzeti Elektronikus Információbiztonsági Hatóság 313910359 KRID számú hivatali kapujára érkezik.

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Határozatban elrendelt sérülékenység-vizsgálat elmulasztása esetén költségvetési szerv is bírságolható.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági osztályba sorolás bejelentési határideje: 2014. július 1.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági osztályba sorolás eredményét.

Az EIR-ek biztonsági osztályait az első megállapítást követően 3 évenként felül kell vizsgálni.

Ha valamely EIR biztonsági osztálya megváltozik, vagy felülvizsgálat helybenhagyja, az így kapott NEIH-BOS űrlapokat a változást követő 8 napon belül kell bejelenteni.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

Kockázatelemzési dokumentáció (ha a szervezet az alapértelmezettől eltérő kockázatelemzési módszertant használt).

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információbiztonsági Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

Felülvizsgálat keretében az adott EIR-re korábban megállapítottnál alacsonyabb biztonsági osztály nyilvántartásba vételét a hatóság csak akkor végzi el, ha az alapértelmezettől eltérő kockázatelemzésre épül, valamint a kapcsolódó információbiztonsági fenyegetések csökkenését az érintett szervezet hitelt érdemlően alátámasztja.

NEIH-BOS űrlap

A tájékoztatóban hivatkozott űrlap jelenleg nem elérhető, kialakítás alatt van.

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

NEIH