A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.
">Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.
A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.
Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.
A szervezetnek a 41/2015. (VII. 13.) BM rendelet 3. melléklete alapján fel kell térképeznie, hogy a biztonsági osztályba sorolás eredménye alapján egy adott EIR-ben milyen védelmi intézkedéseket kell megvalósítania e rendelet 4. mellékletében, a 3. pontban található védelmi intézkedés katalógusból. Amint a NEIH-BOS űrlapon kiszámításra került az EIR biztonsági osztályának három tényezője, az átvezethető a NEIH-BOÁF űrlapra, mely ezután a 3.1.1. fültől kezdődően minden lapfülön automatikusan színnel jelzi a kötelező intézkedéseket.
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-BOÁF űrlapjára felvezeti.
Ha a szervezet az EIR védelmének biztosításához külső adatkezelőt vesz igénybe, az Ibtv. 11. § (3) bekezdése szerinti szerződésben mindkét fél által vállalt intézkedéseket rögzíteni kell. Az adatkezelők önállóan is eljárás alá vonhatók!
A szervezetnek a 3.1.1.-3.3.13. lapfüleken a "Megvalósult-e" oszlopban "Igen" és "Nem" válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Ha az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő az Ibtv. 11. § (1) bekezdés k)-l) pontja vagy a (3) bekezdés szerint átvállalta, az adott sor „Közreműködő” oszlopában az intézkedés megvalósításáért felelős jogalanyt azonosítani kell.
A fenti adatokat minden EIR-re külön NEIH-BOÁF űrlapon kell kitölteni.
A NEIH-BOÁF űrlapon a fentieken túl az alábbi adatokat kell megadni:
A küldemény a Nemzeti Elektronikus Információbiztonsági Hatóság 313910359 KRID számú hivatali kapujára érkezik.
Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.
Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.
Határozatban elrendelt sérülékenység-vizsgálat elmulasztása esetén költségvetési szerv is bírságolható.
Ügyfél adatszolgáltatásának határideje:
2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedések bejelentési határideje: 2014. július 1.
2013. július 1-jén működő EIR-ben az 1. biztonsági osztálynak megfelelő védelmet 2016. július 1-ig kell megvalósítani. Minden további biztonsági osztályhoz tartozó követelmények teljesítésére (ha azt a biztonsági osztály indokolja) további 2-2 év áll rendelkezésre.
Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedéseket. Innentől számítva az 1. biztonsági osztály, és minden további biztonsági osztály követelményeinek teljesítésére 2-2 év áll rendelkezésre
Ha valamely EIR védelme a korábban benyújtott állapotfelméréshez képest egy újabb biztonsági osztálynak megfelelt, az így kapott NEIH-BOÁF űrlapokat a változást követő 8 napon belül kell bejelenteni.
2013. július 1-jét követően indult informatikai fejlesztési projekt során az újonnan fejlesztendő / továbbfejlesztendő elektronikus információs rendszer biztonsági osztályba sorolását még a tervezési szakaszban el kell végezni / felül kell vizsgálni, és a biztonsági osztály alapján kötelező információbiztonsági követelményeket az üzemeltetés megkezdése előtt maradéktalanul teljesíteni kell.
Hatóság ügyintézési határideje:
Sommás eljárás esetén: az eljárás megindulását követő 8. nap.
Teljes eljárás esetén: az eljárás megindulását követő 30. nap.
Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.
NEIH-BOÁF űrlap
NEIH-BOS űrlap
A tájékoztatóban hivatkozott űrlapok jelenleg nem elérhetők, kialakítás alatt vannak.
Az eljárás illetékmentes.
Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információvédelmi Hatóság
Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)
A hatóság lefolytatja az alábbi kapcsolódó eljárást: biztonsági osztályba sorolás nyilvántartásba vétele.
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
2016. évi L. törvény az általános közigazgatási rendtartásról
2017. évi I. törvény a közigazgatási perrendtartásról
1990. évi XCIII. törvény az illetékekről
NEIH