410/2017. (XII. 15.) Korm. rendelet
410/2017. (XII. 15.) Korm. rendelet
a bejelentés-köteles szolgáltatást nyújtókról1
A Kormány az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 17. § (1a) bekezdés a)–f) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
a) bejelentés-köteles szolgáltatás: az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ekertv.) 2. § j) pontja szerinti szolgáltatás;
b) bejelentés-köteles szolgáltatást nyújtó: az a magyarországi székhelyű gazdasági társaság, amely a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a tanácsi irányelv III. mellékletében meghatározott digitális szolgáltatást nyújt, és a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló a 2004. évi XXXIV. törvény alapján nem tartozik a mikro- és kisvállalkozások körébe;
c) biztonsági esemény: minden olyan esemény, amely ténylegesen kedvezőtlen hatást gyakorol a hálózati és információs rendszerek biztonságára;
d) biztonsági esemény kezelése: a biztonsági események észlelése, elemzése és elszigetelése, valamint az azokra való reagálás és a támogató eljárások összessége;
e) hálózati és információs rendszer:
ea) az elektronikus hírközlő hálózat,
eb) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi vagy
ec) az ea) és eb) alpontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok.
2. Az eseménykezelő központok feladat- és hatásköre
2. § (1) A Kormány az Ekertv. 6/B. § (1) bekezdése szerinti eseménykezelő központként (a továbbiakban: eseménykezelő központ) a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelöli ki.
(2) Az eseménykezelő központ a biztonsági esemény kezelése feladatkörében felelős
a) a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza a biztonsági eseményt, az annak kapcsán megtett intézkedéseket és azok eredményét, valamint
b) az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért.
(3) Az eseménykezelő központ a biztonsági események megelőzése céljából a bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereit érintő fenyegetésekkel összefüggő riasztási, tájékoztatási és tudatosítási feladatokat lát el.
(4) A hálózati és információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal összefüggésben az eseménykezelő központ felelős a sérülékenységekről és fenyegetésekről, valamint a javasolt biztonsági intézkedésekről rendszeres tájékoztatás nyújtásáért a 4. § (2) bekezdés a) pontja szerinti nyilvántartásában szereplő bejelentés-köteles szolgáltatást nyújtók részére.
(5) Az eseménykezelő központ
a) nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki,
b) a biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az információbiztonság tudatosításáért felelős intézmények tudatosítási programjában,
c) együttműködik a kormányzati információtechnológiai, hálózatbiztonsági és biztonsági eseménykezelési rendszer résztvevőivel.
(6) Az eseménykezelő központ a további feladatait a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet 6. § (3a)–(3e) bekezdésében foglaltak szerint látja el.
3. § (1) Az eseménykezelő központ a biztonsági eseményről szigorúan zárt kezelésű technológiai naplót vezet, amely tartalmazza a biztonsági esemény kivizsgálásának támogatása során tett intézkedéseket és azok eredményét is.
(2) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálatának célja, hogy az eseménykezelő központ javaslatot tegyen a biztonsági esemény által okozott kár mérséklésére és a bekövetkezett biztonsági események tapasztalatairól tájékoztassa a biztonsági eseménnyel érintett vagy veszélyeztetett más szervezeteket, hatóságokat és további érintetteket annak érdekében, hogy a jövőben a biztonsági esemény bekövetkezése megelőzhető legyen.
(3) A biztonsági eseményekkel összefüggő adatok műszaki vizsgálata során az eseménykezelő központ feltárja
a) a biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását,
b) más szereplők esetleges érintettségét,
c) a szolgáltatás működésében támadt zavar mértékét,
d) a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,
e) a biztonsági eseménnyel érintett eszköz, technológia sérülékenységét,
f) a gazdasági és társadalmi hatások mértékét,
g) a biztonsági esemény bekövetkeztének okait, körülményeit, az okozott kár mértékét.
(4) Az eseménykezelő központ a biztonsági esemény műszaki vizsgálatát követően hatósági eljárás megindítása és lefolytatása céljából a rendelkezésre álló információkat összefoglaló jelentéssel átadja a hatáskörrel és illetékességgel rendelkező hatóság részére.
3. A hatóság hatásköre és feladatai
4. § (1) A Kormány az Ekertv. 6/B. § (3) bekezdése szerinti hatóságként (a továbbiakban: hatóság) a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot jelöli ki.
(2) A hatóság a biztonsági események megelőzése, kivizsgálása, felszámolása és terjedésének korlátozása érdekében
a) regisztráció alapján nyilvántartást vezet;
b) az eseménykezelő központtal együttműködésben tájékoztató kampányt szervez és végez;
c) kapcsolatot tart
ca) a bejelentés-köteles szolgáltatást nyújtókkal,
cb) a bűnüldöző hatóságokkal,
cc) az egyedüli kapcsolattartó ponttal,
cd) más tagállamok illetékes ágazati hatóságaival,
ce) az adatvédelmi hatóságokkal,
cf) az Európai Unióban nem letelepedett, az Európai Unión belül szolgáltatásait kínáló bejelentés-köteles szolgáltatást nyújtók által kinevezett képviselőkkel;
d) megbízhatja az egyedüli kapcsolattartó pontot azzal, hogy továbbítsa az eseményről küldött bejelentést más érintett tagállamok egyedüli kapcsolattartó pontjai részére;
e) monitorozza a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és a tanácsi irányelv alkalmazását;
f) haladéktalanul tájékoztatja az egyedüli kapcsolattartó pontot e rendelet alapján bejelentett biztonsági eseményekről;
g) a nyilvánosságot szükség szerint tájékoztatja az egyes biztonsági eseményekről;
h) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására;
i) az egyedüli kapcsolattartó pont útján indokolt esetben tájékoztatja a biztonsági eseményekkel összefüggésben érintett tagállamokat, ennek során biztosítja a szolgáltatást nyújtók biztonságát;
j) szükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy
ja) bocsássák rendelkezésre a hálózati és információs rendszereik biztonságának megállapításához szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is,
jb) gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről, bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről;
k) részt vesz eseménykezelő központok és más, kiberbiztonsági feladatokat ellátó szervezetek tudatosító és felvilágosító kampányában;
l) hatósági ellenőrzést végez a bejelentés-köteles szolgáltatást nyújtók kötelezettségeinek teljesítése céljából.
(3) A hatóság a (2) bekezdés a) pontja szerinti nyilvántartásban kezeli a bejelentés-köteles szolgáltatást nyújtó
a) nevét,
b) székhelyét,
c) cégjegyzékszámát,
d) elektronikus kapcsolattartási adatait, valamint
e) az általa nyújtott bejelentés-köteles szolgáltatás típusát.
(4) A bejelentés-köteles szolgáltatást nyújtók adatait a hatósági nyilvántartásból törölni kell a gazdasági társaság – tevékenységének megszűnéséről a hatóság részére benyújtott – bejelentése alapján, a bejelentést követő nyolc napon belül.
(5) A hatóság az eseménykezelő központ 3. § (4) bekezdése szerinti összefoglaló jelentése alapján hivatalból indítható hatósági eljárása keretében
a) vizsgálja a bejelentés-köteles szolgáltatást nyújtó által megtett megelőző és eseményt kezelő tevékenységét;
c) vizsgálja a bejelentés-köteles szolgáltatást nyújtó kockázatelemzésének és biztonsági intézkedéseinek megfelelőségét;
d) a vizsgálathoz a (7) bekezdés szerinti cselekményeket jogosult elvégezni;
e) a vizsgálat eredményeként hatósági döntést hoz, amelynek tartalma legalább:
ea) a biztonsági esemény bekövetkezés tényének megállapítása,
eb) az elhárításra javasolt intézkedések,
ec) a további károkozások megelőzése érdekében javasolt intézkedések;
f) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására.
(6) A hatóság a hatósági eljárással összefüggésben, további intézkedés keretében
a) szükség esetén tájékoztatja az eseménykezelő központokat, egyéb érintett szervezeteket,
b) alapvető szolgáltatásokat nyújtó szereplő érintettsége esetén tájékoztatja a kijelölő hatóságot,
c) más megelőzési célú intézkedést hoz,
d) más hatóság hatáskörébe tartozó eljárást kezdeményez.
(7) A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett bejelentés-köteles szolgáltatást nyújtó működésének és üzemvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében jogosult önállóan, vagy más hatósággal együtt
a) az érintett bejelentés-köteles szolgáltatást nyújtó információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett bejelentés-köteles szolgáltatást nyújtó számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos elektronikus vagy papíralapú okiratokról, dokumentumokról, szerződésekről, adatbázisokról másolatot készíteni, valamint
c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.
(8) A helyszíni ellenőrzés elrendeléséről az érintett bejelentés-köteles szolgáltatás nyújtó vezetőjét előzetesen írásban, illetve elektronikus úton a helyszíni ellenőrzés megkezdése előtt tíz nappal értesíteni kell.
(9) Az ellenőrzésről az előzetes értesítés mellőzhető, ha
a) súlyos fenyegetettség áll fenn,
b) súlyos biztonsági esemény történt,
c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy
d) az érintett bejelentés-köteles szolgáltatást nyújtó a rendelkezésre álló adatok alapján a helyszíni ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.
(10) A helyszíni ellenőrzéssel érintett bejelentés-köteles szolgáltatást nyújtó, illetve egyéb érintett közreműködő köteles a hatósággal együttműködni.
4. A bejelentés-köteles szolgáltatást nyújtók hálózati és információs rendszereinek biztonságára vonatkozó alapvető követelmények
5. § (1) A bejelentés-köteles szolgáltatást nyújtó kockázatelemzést készít, amely kiterjed
a) a hálózati és információs rendszerek és létesítmények biztonságára,
b) a biztonsági események kezelésére és
c) az üzletmenet folytonosság biztosítására.
(2) A bejelentés-köteles szolgáltatást nyújtó a kockázatelemzés eredménye alapján a kockázatokkal arányos biztonsági intézkedéseket vezet be és alkalmaz.
(3) Az (1) és (2) bekezdésben meghatározott feladatokat a vonatkozó egyezmények, szabványok, ágazati ajánlások figyelembevételével a rendelet hatálybalépését követő egy éven belül kell végrehajtani.
(4) Azon gazdasági társaságok, amelyek e rendelet hatálybalépését követően kerülnek létrehozásra, a cégbejegyzést követő egy éven belül kötelesek az (1) és (2) bekezdésben meghatározott feladatokat a vonatkozó egyezmények, szabványok, ágazati ajánlások figyelembevételével végrehajtani.
(5) A bejelentés-köteles szolgáltatást nyújtó a kockázatelemzést és a szükséges biztonsági intézkedéseket a bekövetkezett, a 7. § (1) bekezdés szerinti biztonsági eseményt követően haladéktalanul, egyéb esetben legalább évente dokumentáltan felülvizsgálja.
6. § (1) A bejelentés-köteles szolgáltatást nyújtó e rendelet hatálybalépését követő 90 napon belül elektronikus úton regisztrál a hatóság honlapján közétett formában a 4. § (3) bekezdésben meghatározott adatok megadásával.
(2) Azon bejelentés-köteles szolgáltatást nyújtó, amely e rendelet hatálybalépését követően kerül a rendelet hatálya alá, a változást követő 90 napon belül köteles a 4. § (3) bekezdésben meghatározott adatokat az (1) bekezdésben megjelölt formában benyújtani a hatóságnak.
(3) A bejelentés-köteles szolgáltatást nyújtó a 4. § (3) bekezdésben meghatározott adatokban bekövetkezett változásokról, továbbá a megszűnéséről 8 napon belül tájékoztatja a hatóságot.
5. A jelentős biztonsági eseményekkel és a bejelentéssel összefüggő részletes szabályok
7. § (1) A bejelentés-köteles szolgáltatást nyújtó haladéktalanul bejelenti az eseménykezelő központ részére a hálózati és információs rendszereiken bekövetkezett azon biztonsági eseményeket, amelyek jelentős hatást gyakorolnak az általa az Európai Unión belül kínált bejelentés-köteles szolgáltatás nyújtására.
(2) A biztonsági esemény bejelentése elsődlegesen elektronikus úton történik, ha azonban a hálózati és információs rendszer oly mértékben sérül, hogy az nem lehetséges, a bejelentés bármely más módon megvalósítható.
(3) Az (1) bekezdés szerinti bejelentés tartalmazza legalább
a) az esemény rövid leírását, státuszát,
b) a szolgáltatás működésében támadt zavar mértékét,
c) az esemény kezelésére az üzemeltető által kijelölt kapcsolattartó személy elérhetőségeit,
d) biztonsági esemény hatását meghatározó szempontokat.
(4) Annak meghatározása érdekében, hogy egy biztonsági esemény hatása jelentős-e, figyelembe kell venni
a) a biztonsági esemény által érintett felhasználók számát, különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását,
b) a biztonsági esemény időtartamát,
c) a biztonsági esemény által érintett terület földrajzi kiterjedését,
d) a szolgáltatás működésében támadt zavar mértékét,
e) a gazdasági és társadalmi tevékenységekre gyakorolt hatás mértékét.
(5) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az eseménykezelő központ felhívására köteles a biztonsági események kezeléséhez szükséges műszaki, technikai adatokat, információkat összegyűjteni és elektronikus formában átadni vagy egyéb módon hozzáférhetővé tenni.
(6) Ha a biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó bármely okból nem képes az (5) bekezdés szerinti adatok összegyűjtésére, az eseménykezelő központ begyűjtheti az adatokat. A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó gondoskodik arról, hogy az eseménykezelő központ az adatokhoz hozzáférjen.
(7) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó a biztonsági esemény felszámolásához szükséges intézkedéseket kidolgozza és haladéktalanul végrehajtja.
(8) Az eseménykezelő központ támogatja a biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtót a biztonsági esemény felszámolásához szükséges intézkedések kidolgozásában.
(9) A biztonsági eseménnyel érintett bejelentés-köteles szolgáltatást nyújtó az esemény felszámolását követően felülvizsgálja a hálózati és információs rendszerei kockázatelemzésének, kockázatkezelésének teljeskörűségét, végrehajtja a szükséges módosításokat.
6. Jogkövetkezmények alkalmazása
8. § (1) A hatóság – határidő kitűzése mellett – felhívja az érintett bejelentés-köteles szolgáltatást nyújtó vezetőjét
a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértésének megszüntetésére,
b) a jogszabályban meghatározott kötelezettség teljesítésére,
c) az elvárt intézkedés megtételére.
(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett bejelentés-köteles szolgáltatást nyújtót, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé.
(3) A hatóság az Ekertv. 6/C. §-a alapján az 1. mellékletben megjelölt szabálytalanság esetén az ott rögzített mértékben bírságot szabhat ki.
(4) A kiszabható bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni (a továbbiakban: befizetés) a határozatban megjelölt, a hatóság Magyar Államkincstárnál vezetett számlájára.
(5) A befizetés során az átutalás közlemény rovatában fel kell tüntetni a „digitális bírság” szöveget, a határozat számát és a bírságfizetésre kötelezett nevét.
(6) Több szabálytalanság együttes fennállása esetén a bírság mértéke az egyes szabálytalanságokért kiszabható bírságok összege, amely nem haladhatja meg az ötmillió forintos felső határt.
9. § (1) A bírság megfizetése nem mentesít a büntetőjogi, illetve a polgári jogi felelősség, valamint a bírság kiszabására okot adó szabálytalanság megszüntetésének kötelezettsége alól.
(2) A bírság ugyanazon tényállás mellett – az azonnal megszüntethető szabálytalanságok kivételével – a bírságot kiszabó végleges határozat közlését követő két hónap elteltével szabható ki ismételten.
7. Záró rendelkezések
10. § Ez a rendelet 2018. május 10-én lép hatályba.
11. § Ez a rendelet a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
1. melléklet a 410/2017. (XII. 15.) Korm. rendelethez
|
A |
B |
C |
1. |
A jogszabálysértés megnevezése |
A bírság legkisebb mértéke (Ft) |
A bírság legnagyobb mértéke (Ft) |
2. |
regisztráció elmulasztása |
50 000 |
100 000 |
3. |
adatváltozás bejelentésének elmulasztása |
50 000 |
500 000 |
4. |
kockázatelemzés készítésének elmulasztása |
200 000 |
500 000 |
5. |
kockázatokkal arányos biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása |
300 000 |
5 000 000 |
6. |
kockázatelemzés és a szükséges biztonsági intézkedések biztonsági eseményt követő haladéktalan, egyéb esetben évente dokumentált felülvizsgálatának elmulasztása, a felülvizsgálat során feltárt hiányosságok alapján a szükséges módosítások végrehajtásának elmulasztása |
200 000 |
2 000 000 |
7. |
biztonsági esemény bejelentésének elmulasztása |
300 000 |
5 000 000 |
8. |
hatóság végleges, végrehajtandó határozatában foglalt kötelezésének nem teljesítése |
400 000 |
5 000 000 |
A rendeletet a 270/2018. (XII. 20.) Korm. rendelet 14. §-a hatályon kívül helyezte 2019. január 1. napjával. Alkalmazására lásd e hatályon kívül helyező rendelet 12. §-át.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás