nyomtatás  nagyítás kicsinyítés 
Betöltés...
249/2017. (IX. 5.) Korm. rendelet
az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről
2020-07-31
infinity
3
Jogszabály

249/2017. (IX. 5.) Korm. rendelet

az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről

A Kormány a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény 14. § a), b), d) és g) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában

a)1 infokommunikációs technológiák ágazat: a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény (a továbbiakban: Lrtv.) 1. mellékletében foglalt táblázat 23–27. sorában meghatározott ágazat, amely az ott felsorolt alágazatokra tagolódik,

b) internet-infrastruktúra: az internetszolgáltatást biztosító fizikai és műszaki létesítmények összessége, amely magába foglalja a nyilvános adatkicserélő központokat, valamint az internet-hozzáférést biztosító infrastruktúrákat is,

c) postai szolgáltatás: a postai szolgáltatásokról szóló 2012. évi CLIX. törvény 3. § (1)–(3) bekezdése szerinti szolgáltatás,

d)2 authoritatív DNS-szolgáltatás: a legfelső szintű domain név regisztrátorok által kezelt domain név adatok lekérdezését közvetlenül elvégző szolgáltatás, amely a legfelső szintű domain név nyilvántartó szolgáltatás része,

e)3 rekurzív DNS-szolgáltatás: olyan DNS-szolgáltatás, amely a felhasználók domain név lekérdezéseit a megfelelő authoritatív DNS-szolgáltatókhoz továbbítja a hierarchikusan felépülő domain név rendszerben, és az authoritatív DNS-szolgáltató által a lekérdezésre adott válaszokat továbbítja a felhasználó részére; kiegészítő része lehet a DNS-gyorsítótárazás, amely az authoritatív DNS-szolgáltatók által a domain név lekérdezésre adott válaszok átmeneti tárolását és a felhasználói lekérdezéseknek a tárolt domain név adatok alapján történő kiszolgálását jelenti.

2. A rendelet hatálya

2. § (1)4 E rendelet hatálya nem terjed ki az infokommunikációs technológiák ágazatba tartozó, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) meghatározott, zárt célú és az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendeletben meghatározott honvédelmi célú elektronikus információs rendszerre.

(2) E rendelet hatálya nem terjed ki az infokommunikációs technológiák ágazatba tartozó, kísérleti, kutatói, oktatási intézményen belüli kísérleti, kutatói és oktatási céllal működtetett rendszerelemekre.

3. Az eljáró hatóságok

3. § (1)5 Az Lrtv. 1. mellékletében foglalt táblázat 23–25. sora szerinti alágazatba tartozó nemzeti létfontosságú rendszerelem kijelölése és a kijelölés visszavonása során ágazati kijelölő hatóságként a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) Hivatala jár el.

(2) Az (1) bekezdés szerinti eljárásban a kijelölő hatóság

a)6 a 9–10/A. § szerinti ágazati kritériumok és

b) a létfontosságú rendszerek és létesítmények azonosításról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) Korm. rendeletben (a továbbiakban: Vhr.) meghatározott horizontális kritériumok

alapján dönt a kijelölésről.

4. § (1) Az NMHH Hivatalát a 3. § (1) bekezdése szerinti feladatainak ellátásában döntés-előkészítő bizottság segíti.

(2) A döntés-előkészítő bizottság

a) létszámát,

b) szervezetét,

c) működési rendjét,

d) tagjaival kapcsolatos képzettségi és szakmai elvárásokat

az NMHH szervezeti és működési szabályzata állapítja meg.

5. § (1)7 Az Lrtv. 1. mellékletében foglalt táblázat 26. sora szerinti alágazatba tartozó nemzeti létfontosságú rendszerelem és európai létfontosságú rendszerelem kijelölése és a kijelölés visszavonása során javaslattevő hatóságként a postaügyért felelős miniszter jár el.

(2)8 Az Lrtv. 1. mellékletében foglalt táblázat 26. sora szerinti alágazatba tartozó nemzeti létfontosságú rendszerelem, és az Lrtv. 1. mellékletében foglalt táblázat 26. sora szerinti alágazatba tartozó európai létfontosságú rendszerelem kijelölése és a kijelölés visszavonása során ágazati kijelölő hatóságként az NMHH Hivatala jár el.

6. § (1)9 Az Lrtv. 1. mellékletében foglalt táblázat 27. sora szerinti alágazatba tartozó nemzeti létfontosságú rendszerelem és európai létfontosságú rendszerelem kijelölése és a kijelölés visszavonása során ágazati kijelölő hatóságként az NMHH Hivatala jár el.

(2) Az (1) bekezdés szerinti eljárásban a kijelölő hatóság

a)10 a 10/A. §, a 12. §, illetve a 14. § (2) bekezdése szerinti ágazati kritériumok és

b) a Vhr.-ben meghatározott horizontális kritériumok

alapján dönt a kijelölésről.

7. §11

8. §12 Az infokommunikációs technológiák ágazattal kapcsolatos helyszíni ellenőrzést a 3. § (1) bekezdése, az 5. § (2) bekezdése és a 6. § (1) bekezdése szerint kijelölt nemzeti létfontosságú rendszerelemek és európai létfontosságú rendszerelemek tekintetében az NMHH Hivatala végzi.

3/A.13 A létfontosságú rendszerelemek azonosítási vizsgálatának különös szabályai

8/A. §14 Az Lrtv. 1. mellékletében foglalt táblázat 23–25. sora szerinti alágazatba tartozó létfontosságú rendszerelemek azonosítási vizsgálata során a Vhr. 2. § (1) bekezdését azzal a kiegészítéssel kell alkalmazni, hogy azonosítási jelentés készítésére azon elektronikus hírközlési szolgáltatók kötelezettek, amelyek előző üzleti évi nettó árbevétele eléri az 1 milliárd forintot.

8/B. §15 Az Lrtv. 1. mellékletében foglalt táblázat 23–25. sora szerinti alágazatba tartozó létfontosságú rendszerelemek azonosítási vizsgálata során a Vhr. 2. § (2) bekezdését azzal az a kiegészítéssel kell alkalmazni, hogy az azonosítási jelentés tartalmazza

a) az üzemeltető teljes hálózati infrastruktúrájának bemutatását és

b) azt, hogy az üzemeltető egyes vizsgált lehetséges létfontosságú rendszerelemeit mely más elektronikus hírközlési szolgáltatók veszik igénybe az Lrtv. 1. mellékletében foglalt táblázat szerinti infokommunikációs technológiák ágazat egyes alágazataival összefüggésben.

4. Az infokommunikációs technológiák ágazathoz tartozó nemzeti létfontosságú rendszerelemek ágazati kritériumai

9. §16 Nemzeti létfontosságú rendszerelemnek lehet kijelölni az alkalmazott technológiától függetlenül az Lrtv. 1. mellékletében foglalt táblázat 23., illetve 24. sora szerinti alágazatba tartozó azon rendszerelemet, amelynek igénybevételével

a) az elektronikus hírközlési szolgáltató erre irányuló szerződés vagy jogszabályi rendelkezés alapján Magyarország területén

aa) internet-hozzáférési szolgáltatást nyújt, illetve a szolgáltatás nyújtásához szükséges internet-infrastruktúrát biztosít, vagy

ab) elektronikus hírközlési szolgáltatást nyújt, illetve a szolgáltatás nyújtásához szükséges elektronikus hírközlő hálózatokat biztosít,

és amelynek működése közvetlenül vagy közvetve összesen több mint húszezer előfizetőt érinthet, vagy

b) az egyetemes elektronikus hírközlési szolgáltató az elektronikus hírközlésről szóló 2003. évi C. törvény (a továbbiakban: Eht.) szerinti egyetemes elektronikus hírközlési szolgáltatást nyújt.

10. §17 Nemzeti létfontosságú rendszerelemnek lehet kijelölni az Lrtv. 1. mellékletében foglalt táblázat 25. sora szerinti alágazatba tartozó azon rendszerelemet, amelynek igénybevételével nyújtott műsorszórási szolgáltatás Magyarország lakosságának legalább 70%-a számára elérhető.

10/A. §18 Nemzeti létfontosságú rendszerelemnek lehet kijelölni az Lrtv. 1. mellékletében foglalt táblázat 23–25. és 27. sora szerinti alágazatba tartozó azon rendszerelemet, amelyet az Lrtv. 1. mellékletében meghatározott ágazat valamelyikébe tartozó üzemeltető nemzeti létfontosságú rendszerelemének üzemeltetése érdekében vesz igénybe.

11. §19 Nemzeti létfontosságú rendszerelemként lehet kijelölni az Lrtv. 1. mellékletében foglalt táblázat 26. sora szerinti alágazat tekintetében az egyetemes postai szolgáltató

a) honvédelmi intézkedési és veszélyelhárítási tervében megjelölt rendszerelemét, amely a különleges jogrend idején kizárólag a – jogszabályban meghatározott – követelménytámasztó szervek részére ellátott postai szolgáltatások működtetéséhez szükséges, vagy

b) üzletmenet-folytonossági tervében meghatározott olyan rendszerelemét, amelynek kiesése esetén az általa ellátott postai szolgáltatások működtetéséhez szükséges napi központi küldeményfeldolgozói átlagos kapacitása 40% alá csökken, és 48 órát meghaladó időtartam alatt azonos tevékenységet ellátni képes rendszerelemmel nem váltható ki.

12. §20 Nemzeti létfontosságú rendszerelemként lehet kijelölni az Lrtv. 1. mellékletében foglalt táblázat 27. sora szerinti alágazatba tartozó azon rendszerelemet, amely jogszabályban meghatározott kormányzati célú hálózat, illetve infokommunikációs rendszer vagy rendszerek működését biztosítja, és amely

a) legalább tízezer természetes személy közigazgatási ügyintézési tevékenységét támogatja, vagy

b) az emberéletet is fenyegető veszélyhelyzet előrejelzését, jelzését vagy az emberéletet is fenyegető katasztrófa elhárítását támogatja.

13. § Ha a 9–12. §-ban meghatározott rendszerelemeknek a honvédelmi létfontosságú rendszerelemek azonosításáról, kijelöléséről és védelméről szóló 359/2015. (XII. 2.) Korm. rendelet 4. § (1) bekezdés a) és b) pontja szerint ágazaton kívüli honvédelmi létfontosságú rendszerelemnek való kijelölés szüksége is felmerül, a honvédelmi ágazat javaslattevő hatósága vagy a rendszerelem üzemeltetője – az azonosítási eljárást megelőzően – a 3. § (1) bekezdésében, az 5. § (2) bekezdésében és a 6. § (1) bekezdésében meghatározott ágazati kijelölő hatósággal egyeztetést kezdeményez.

4/A.21 A jelentős zavar mértéke a digitális infrastruktúra ágazatban

13/A. §22 (1) A Vhr. 3. mellékletében foglalt táblázat 28–30. sora szerinti helyhez kötött internet-hozzáférési (elérési) szolgáltatás, nomadikus internet-hozzáférési (elérési) szolgáltatás, valamint mobil internet-hozzáférési (elérési) szolgáltatás esetében az üzemeltető által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha az üzemeltető által a szolgáltatás nyújtása érdekében üzemeltetett

a) rendszerelem működése közvetlenül vagy közvetve összesen több mint húszezer előfizetőt érinthet,

b) rendszerelem igénybevételével az egyetemes elektronikus hírközlési szolgáltató az Eht. szerinti egyetemes elektronikus hírközlési szolgáltatást nyújt, vagy

c) rendszerelemet az Lrtv. 1. mellékletében meghatározott ágazat valamelyikébe tartozó üzemeltető nemzeti létfontosságú rendszerelemének üzemeltetése érdekében veszi igénybe.

(2) A Vhr. 3. mellékletében foglalt táblázat 31. sora szerinti adatkicserélő (IXP) szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha

a) az adatkicserélő központ kapacitása 1 órát meghaladó időtartamra kevesebb, mint a teljes rendelkezésre álló kapacitás 50%-ára esik vissza, vagy

b) az adatkicserélő központot érintő incidens a kapcsolódó szervezetek ügyfelei közül 100 000-nél több esetén jár az adatok integritásának, eredetiségének vagy bizalmasságának a sérülésével.

(3) A Vhr. 3. mellékletében foglalt táblázat 32. sora szerinti DNS-szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha a rekurzív DNS-szolgáltatás 2 órát meghaladóan kiesik, illetve a DNS-kiszolgálók adatbázisai kompromittálódnak, amely legalább 100 000 felhasználót érint.

(4) A Vhr. 3. mellékletében foglalt táblázat 33. sora szerinti legfelső szintű domain név nyilvántartó szolgáltatás esetében a szervezet vagy gazdasági szereplő által nyújtott szolgáltatást érintő biztonsági esemény akkor okoz jelentős zavart a szolgáltatás nyújtásában, ha

a) a TLD regisztrátor authoritatív DNS-szolgáltatása több mint 50 000 domain név esetén 2 órát meghaladó időtartamra elérhetetlenné válik, vagy

b) a TLD regisztrátor által kezelt DNS-bejegyzések módosítását a domain név jogosultjai 24 órát meghaladó időtartamon keresztül nem tudják elvégezni.

4/B.23 A küszöbértékek a digitális infrastruktúra ágazatban

13/B. §24 (1) A Vhr. 3. mellékletében foglalt táblázat 28–30. sora szerinti helyhez kötött internet-hozzáférési (elérési) szolgáltatás, nomadikus internet-hozzáférési (elérési) szolgáltatás, valamint mobil internet-hozzáférési (elérési) szolgáltatás esetében a releváns ellátási szint meghatározásához a küszöbértékek a 13/A. § (1) bekezdés a–c) pontjában foglaltak szerint alakulnak.

(2) A Vhr. 3. mellékletében foglalt táblázat 31. sora szerinti adatkicserélő (IXP) szolgáltatás esetében alapvető szolgáltatásokat nyújtó szereplőként jelölhető ki

a) a Budapesti Adatkicserélő Központ,

b) minden olyan adatkicserélő központ, amely legalább 25 darab műszakilag önálló hálózat (autonóm rendszer) számára biztosítja a kapcsolódást.

(3) A Vhr. 3. mellékletében foglalt táblázat 32. sora szerinti DNS-szolgáltatás esetében alapvető szolgáltatásokat nyújtó szereplőként jelölhető ki

a) minden olyan alapvető szolgáltatásokat nyújtó szereplőként kijelölt elektronikus hírközlési szolgáltató, amely DNS-szolgáltatást is nyújt az ügyfelei részére,

b) minden olyan DNS-szolgáltató, amely legalább 100 000 különböző felhasználó részére biztosít rekurzív DNS-lekérdezést.

(4) A Vhr. 3. mellékletében foglalt táblázat 33. sora szerinti legfelső szintű domain név nyilvántartó szolgáltatás esetében alapvető szolgáltatásokat nyújtó szereplőként jelölhető ki

a) minden olyan alapvető szolgáltatásokat nyújtó szereplőként kijelölt elektronikus hírközlési szolgáltató, aki TLD regisztráció szolgáltatást is nyújt az ügyfelei részére,

b) minden olyan TLD regisztrátor szolgáltató, aki legalább 100 000 regisztrált TLD domain nevet kezel.

4/C.25 Rendkívüli események

13/C. §26 (1) Infokommunikációs technológiák ágazatban rendkívüli eseménynek minősül

a) létesítmény, szolgáltatás nyújtását érintő igénybe vett közműszolgáltatások előreláthatóan 4 órát meghaladó kimaradása,

b) az olyan esemény, amely a szükséges feltételek leállásához vagy az alaptevékenység átalakításához vezet,

c) létesítmény, eszköz vagy berendezés olyan meghibásodása, zavara, amely legalább az alábbi hatások valamelyikével jár:

ca) a helyhez kötött internet-hozzáférés szolgáltatás olyan meghibásodása, amely az előfizetők 30%-át érinti, várhatóan 4 órát meghaladó időtartamban,

cb) a mobil rádiótelefon- vagy mobil internet-hozzáférés szolgáltatás olyan meghibásodása, amely a szolgáltatással ellátott terület minimum 30%-át érinti, várhatóan 4 órát meghaladó időtartamban,

cc) a mobil rádiótelefon szolgáltatás minőségének jelentős romlása, így különösen a sikeres hívások arányának 2 órát meghaladó időtartamban fennálló csökkenése, az esemény bekövetkezését megelőző év átlagához képest 35%-ot meghaladó mértékben,

cd) az elektronikus hírközlő hálózatok olyan meghibásodása, amely a kormányzati, közigazgatási, nemzetbiztonsági, rendőrségi, honvédelmi, katasztrófavédelmi igények kielégítését szolgáló elektronikus hírközlő hálózatokban, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény hatálya alá tartozó infrastruktúrában szolgáltatáskiesést okoz, nemzetközi összeköttetést vagy segélyhívó szolgáltatást érint,

ce) az olyan, a kábeltelevíziós, digitális földfelszíni vagy műholdas műsorterjesztési szolgáltatás nyújtását ellehetetlenítő vagy jelentős mértékben veszélyeztető eseményt és annak folytán kialakult helyzetet, amely országos közszolgálati vagy jelentős befolyásoló erejű médiaszolgáltató médiaszolgáltatását 2 órát meghaladó időtartamra elérhetetlenné teszi,

cf) a postai szolgáltatás normál üzemmenetét 5 órát meghaladóan akadályozó zavar,

cg) különleges jogrend, katasztrófaveszély, honvédelmi veszélyhelyzet vagy egészségügyi válsághelyzet idején bekövetkezett minden olyan esemény, amely az elektronikus hírközlési, a postai és a műsorszórás szolgáltatás ellátásának megszűnéséhez, átalakításához vezet,

d) az, ha az illetékes hatóság a kijelölt létfontosságú rendszerelemnél egészségügyi zárlatot rendel el,

e) a humánerőforrás olyan mértékű kritikus hiánya, ami a tevékenység leállításához, szüneteltetéséhez vezethet.

(2) Az (1) bekezdés szerinti rendkívüli eseményekkel kapcsolatos, az Lrtv. 6. § (11) bekezdésében előírt tájékoztatási kötelezettségnek az NMHH Hivatala irányába az NMHH Adatkapun keresztül, az NMHH Adatkapu működésképtelensége esetén elektronikus levélben, az elektronikus levelező rendszer működésképtelensége esetén telefonon vagy telefaxon, az előbbiekhez szükséges hálózati hozzáférés hiányában futár útján kell eleget tenni.

5. Az infokommunikációs technológiák ágazathoz tartozó európai létfontosságú rendszerelemek ágazati kritériumai

14. § (1)27 Az Lrtv. 1. mellékletében foglalt táblázat 26. sora alapján európai létfontosságú rendszerelemként lehet kijelölni az egyetemes postai szolgáltató által nyújtott nemzetközi viszonylatú küldeményforgalmi szolgáltatások érdekében működtetett olyan rendszerelemet, amelynek kiesése esetén a nemzetközi viszonylatú postai szolgáltatás ellátása 48 órát meghaladó időtartamban ellehetetlenül, és ezen időtartam alatt azonos tevékenységet ellátni képes rendszerelemmel nem váltható ki.

(2)28 Az Lrtv. 1. mellékletében foglalt táblázat 27. sora alapján európai létfontosságú rendszerelemként lehet kijelölni azt a rendszerelemet, amely nemzetközi hálózat vagy rendszer része, vagy nemzetközi hálózatok vagy rendszerek számára közvetlen hozzáférést biztosít, az általa nyújtott szolgáltatás kiesése más rendszerelemmel nem váltható ki, és amely

a) valamely EGT-állammal vagy EGT-államokkal való kormányzati szintű együttműködési kötelezettség teljesítését vagy

b) nemzetközi kötelezettségvállalás keretében katasztrófaelhárítási, terrorelhárítási feladatok kezelését

biztosítja vagy támogatja.

6. Az infokommunikációs technológiák ágazathoz tartozó létesítmény üzemeltetője által foglalkoztatott biztonsági összekötő személy képesítési követelményei és foglalkoztatási feltételei

15. § (1) A Vhr. 6. § (1) bekezdésében a biztonsági összekötő személy tekintetében meghatározott szakirányú végzettségnek kell tekinteni az infokommunikációs technológiák ágazat esetében

a) az üzemeltető által akként elismert felsőfokú végzettséget,

b) az infokommunikációs technológiák ágazatban eltöltött legalább öt év munkaviszonyt és okleveles védelmi igazgatási vagy azzal egyenértékű végzettséget vagy

c) az Ibtv. szerinti elektronikus információs rendszer biztonságáért felelős személy tekintetében irányadó képzettséget.

(2) A Vhr. 6. § (1) bekezdése szerinti, a biztonsági összekötő személy tekintetében meghatározott szakirányú végzettségnek kell tekinteni az egyetemes postai szolgáltatás esetében – az (1) bekezdésben meghatározottakon túl – a jogi végzettséget is.

7. Záró rendelkezések

16. § Ez a rendelet a kihirdetését követő 180. napon lép hatályba.

17. §29 Ez a rendelet a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

Magyar Közlöny Lap- és Könyvkiadó Kft.
A Nemzeti Jogszabálytárban elérhető szövegek tekintetében a Közlönykiadó minden jogot fenntart!