A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének d) pontja által együttesen kijelölt eljárásban történik.
">Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-szint-kovetelmenyei oldalon tekintheti meg.
A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének d) pontja által együttesen kijelölt eljárásban történik.
Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.
A szervezetnek a 41/2015. (VII. 13.) BM rendelet 2. melléklete alapján fel kell térképeznie, hogy a biztonsági szintbe sorolás eredménye alapján egy adott területen milyen védelmi intézkedéseket kell megvalósítania az e mellékletben, egyes szintmeghatározások alatt felsorolt védelmi intézkedések közül. Amint a NEIH-BSZS űrlapon kiszámításra került szervezet vagy szervezeti egység biztonsági szintje, az átvezethető a NEIH-BSZÁF űrlapra, mely ezután a "Követelmények" lapfülön automatikusan színnel jelzi a kötelező intézkedéseket.
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-BSZÁF űrlapjára felvezeti.
Ha a szervezet a szervezeti egység vagy terület védelmének biztosításához külső adatkezelőt vesz igénybe, az Ibtv. 11. § (3) bekezdése szerinti szerződésben mindkét fél által vállalt intézkedéseket rögzíteni kell. Az adatkezelők önállóan is eljárás alá vonhatók!
A szervezetnek a "Követelmények" lapfülön a "Megvalósult-e" oszlopban "Igen" és "Nem" válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Ha az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő az Ibtv. 11. § (1) bekezdés k)-l) pontja vagy a (3) bekezdés szerint átvállalta, az adott sor „Közreműködő” oszlopában az intézkedés megvalósításáért felelős jogalanyt azonosítani kell.
A fenti adatokat a szervezet egészére, illetve minden vizsgált szervezeti egységre (és utóbbi esetben a szervezet fennmaradó részére) külön NEIH-BSZÁF űrlapon kell kitölteni.
A NEIH-BSZÁF űrlapon a fentieken túl az alábbi adatokat kell megadni:
A küldemény a Nemzeti Elektronikus Információbiztonsági Hatóság 313910359 KRID számú hivatali kapujára érkezik.
Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.
Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.
Ügyfél adatszolgáltatásának határideje:
2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági szintbe soroláshoz kötődően megtett védelmi intézkedések bejelentési határideje: 2014. július 1.
2013. július 1-jén működő szervezetnél az 1. biztonsági szintnek megfelelő védelmet 2020. július 1-ig kell megvalósítani. Minden további biztonsági szinthez tartozó követelmények teljesítésére (ha azt a biztonsági szint indokolja) további 2-2 év áll rendelkezésre.
Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági szintbe soroláshoz kötődően megtett védelmi intézkedéseket. Ezt követő további 6 éven belül kell az 1. biztonsági szinthez tartozó követelményeket teljesíteni, a további biztonsági szintek elérésére 2-2 év áll rendelkezésre.
Ha valamely terület védelme a korábban benyújtott állapotfelméréshez képest egy újabb biztonsági szintnek megfelelt, az így kapott NEIH-BSZÁF űrlapokat a változást követő 8 napon belül kell bejelenteni.
Hatóság ügyintézési határideje:
Sommás eljárás esetén: az eljárás megindulását követő 8. nap.
Teljes eljárás esetén: az eljárás megindulását követő 30. nap.
Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.
Az eljárás illetékmentes.
Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információbiztonsági Hatóság
Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)
A hatóság lefolytatja az alábbi kapcsolódó eljárást: biztonsági szintbe sorolás nyilvántartásba vétele.
NEIH-BSZÁF űrlap
NEIH-BSZS űrlap
A tájékoztatóban hivatkozott űrlapok jelenleg nem elérhetők, kialakítás alatt vannak.
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
2016. évi L. törvény az általános közigazgatási rendtartásról
2017. évi I. törvény a közigazgatási perrendtartásról
1990. évi XCIII. törvény az illetékekről
NEIH