718/2021. (XII. 20.) Korm. rendelet
718/2021. (XII. 20.) Korm. rendelet
a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsításról1
A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés b), o) és p) pontjában, valamint 24. § (1b) bekezdésében kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
a) eseménykezelő központ: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 19. § (2) bekezdése szerinti szerv,
b) hadiipari IKT-termék: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-termék,
c) hadiipari IKT-folyamat: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-folyamat,
d) hadiipari IKT-szolgáltatás: a haditechnikai termékek gyártásának és haditechnikai szolgáltatások nyújtásának engedélyezéséről szóló törvény szerinti hadiipari tevékenységhez kapcsolódó IKT-szolgáltatás,
e) megbízhatósági szint: az (EU) 2019/881 európai parlamenti és tanácsi rendelet 2. cikk 21. pontja szerinti fogalom, amelynek követelményét és feltételeit az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat vonatkozásában az európai kiberbiztonsági tanúsítási rendszer határozza meg „alap”, „jelentős” vagy „magas” szintűként,
f) sebezhetőség: a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat olyan része vagy tulajdonsága, amelyen keresztül valamely kiberfenyegetés megvalósulhat, és
g) uniós megfelelőségi nyilatkozat: „alap” megbízhatósági szint esetében a gyártó megfelelőségi önértékelés keretében kiállított írásbeli nyilatkozata és felelősségvállalása, hogy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel a vonatkozó uniós tanúsítási rendszer által előírt követelményeknek.
2. A tanúsító hatóság
2. § A Kormány az Ibtv. 22/B. § (1) bekezdés b) pontja alapján a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok ellátására tanúsító hatóságként a Katonai Nemzetbiztonsági Szolgálatot (a továbbiakban: tanúsító hatóság) jelöli ki.
3. § A tanúsító hatóság tanúsításfelügyeleti tevékenységet kizárólag valamely európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában végez. A tanúsító hatóság hatásköre a Magyarországon letelepedett gyártó, illetve megfelelőségértékelő szervezet tevékenységére terjed ki.
3. A tanúsító hatóság feladatai
4. § A tanúsító hatóság
a) tanúsításfelügyeleti tevékenysége keretében végzi
aa) a megfelelőségi önértékelést végző szervezetek nyilvántartásba vételét,
ab) a megfelelőségértékelő szervezetek nyilvántartásba vételét,
ac) az Ibtv. 22/B. § (6) bekezdése szerinti esetekben a megfelelőségértékelő szervezetek engedélyezését,
ad) a piacfelügyeleti hatósági feladatokat,
ae) az eseménykezelő központ bevonásával a hadiipari IKT-termékkel, hadiipari IKT-szolgáltatással vagy hadiipari IKT-folyamattal kapcsolatosan bejelentett sebezhetőséggel összefüggő feladatokat,
b) részt vesz az (EU) 2019/881 európai parlamenti és tanácsi rendelet által előírt kölcsönös felülvizsgálati eljárásokban, valamint
c) az (EU) 2019/881 európai parlamenti és tanácsi rendeletben meghatározott esetekben tanúsítványt bocsát ki, és ehhez kapcsolódóan részt vesz a vonatkozó európai kiberbiztonsági tanúsítási rendszer rendelkezései szerint a kölcsönös értékelési mechanizmusban.
4. A megfelelőségi önértékelés
5. § (1) Ha egy tanúsítási rendszer lehetővé teszi, illetve uniós vagy hazai jogszabály kötelezővé teszi „alap” megbízhatósági szint esetében a megfelelőségi önértékelést, a gyártó – ha a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel a tanúsítási rendszerben foglalt követelményeknek – uniós megfelelőségi nyilatkozatot állíthat ki.
(2) A gyártó az uniós megfelelőségi nyilatkozatot magyar és angol nyelven állítja ki.
(3) A gyártó az uniós megfelelőségi nyilatkozatot a kiállítását követően honlapján haladéktalanul közzéteszi.
6. § A gyártó az uniós megfelelőségi nyilatkozat kiállítását követően gyárthatja, illetve nyújthatja a tanúsítási rendszer követelményeinek megfelelően a hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot.
7. § (1) Ha valamely hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tekintetében uniós vagy hazai jogszabály kötelezővé teszi az uniós megfelelőségi nyilatkozat kiállítását, az adott termék, szolgáltatás vagy folyamat az uniós megfelelőségi nyilatkozat kiállítása hiányában – a kötelezővé tétel napját követően vagy az uniós, illetve hazai jogszabályban meghatározott határidőt követően – nem hozható forgalomba, illetve nem nyújtható.
(2) A már forgalomban lévő hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán a gyártó köteles a honlapján tájékoztatást közzétenni arról, hogy
a) az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában mely időponttól vált jogszabály alapján kötelezővé a megfelelőségi önértékelés,
b) a megfelelőségi nyilatkozat mely időpontban került kiállításra, és
c) mely időponttól gyártott termékek, nyújtott szolgáltatások, folyamatok felelnek meg a tanúsítási rendszerben foglalt követelményeknek.
8. § A gyártó az uniós megfelelőségi nyilatkozat másolati példányát a kiállítást követő 15 napon belül benyújtja a tanúsító hatósághoz, kérve annak nyilvántartásba vételét. A kérelemhez a gyártó csatolja a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat műszaki dokumentációját, illetve a tanúsítási rendszernek való megfeleléssel kapcsolatos, releváns információkat tartalmazó dokumentumokat.
9. § Ahol a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat jellege lehetővé teszi, a gyártónak a megfelelőségi önértékelés megtörténtét jelző megfelelőségi jelölést kell elhelyeznie az adott hadiipari IKT-terméken, hadiipari IKT-szolgáltatáson vagy hadiipari IKT-folyamatban. A megfelelőségi jelölésre a 39. § rendelkezései alkalmazandók.
10. § (1) A gyártó a tanúsítási rendszerben foglaltak szerint, ennek hiányában negyedévente vizsgálja, hogy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel-e a tanúsítási rendszer szerinti követelményeknek, nem megfelelés esetén kiigazító intézkedéseket tesz.
(2) Ha a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat a gyártó által megtett kiigazító intézkedések eredményeképpen sem felel meg a tanúsítási rendszer szerinti egyes követelményeknek, a gyártó az általa kiadott uniós megfelelőségi nyilatkozatot visszavonja, és erről a visszavonást követő 8 napon belül tájékoztatja az Európai Uniós Kiberbiztonsági Ügynökséget (a továbbiakban: ENISA), a tanúsító hatóságot és a forgalmazót, valamint a visszavonásról szóló tájékoztatást tesz közzé a honlapján.
(3) Az uniós megfelelőségi nyilatkozat visszavonása esetén a gyártó haladéktalanul köteles intézkedni az érintett hadiipari IKT-termékről, hadiipari IKT-szolgáltatásról vagy hadiipari IKT-folyamatról a megfelelőségi jelölés eltávolítása iránt.
5. Kiberbiztonsági tanúsítás
11. § (1) A kiberbiztonsági tanúsítás önkéntes, kivéve, ha uniós vagy hazai jogszabály eltérően rendelkezik.
(2) Ha valamely hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tekintetében uniós vagy hazai jogszabály kötelezővé teszi a kiberbiztonsági tanúsítást, az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tanúsítás hiányában – a kötelezővé tétel napját követően vagy az uniós, illetve hazai jogszabályban meghatározott határidőt követően – nem hozható forgalomba, illetve nem nyújtható.
(3) A már forgalomban lévő hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán a gyártó köteles a honlapján tájékoztatást közzétenni, hogy
a) az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában mikortól kötelező a tanúsítás, és
b) az azt megelőzően gyártott, illetve nyújtott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat még nem tanúsított.
12. § (1) Kiberbiztonsági tanúsításra az Ibtv. 22/B. § (4) bekezdése szerinti megfelelőségértékelő szervezet vagy a tanúsító hatóság jogosult.
(2) A Kormány által meghatározott egyes tanúsítási rendszerek esetében a megfelelőségértékelést kizárólag a tanúsító hatóság végezheti.
6. A megfelelőségértékelő szervezetek nyilvántartásba vételével kapcsolatos eljárás
13. § (1) A megfelelőségértékelő szervezet nyilvántartásba vételi eljárása kérelemre indul, amelyet a megfelelőségértékelő szervezet nyújt be a tanúsító hatósághoz.
(2) A kérelemben a megfelelőségértékelő szervezet megjelöli
a) kérelmezett megfelelőségértékelési területként azt a tanúsítási rendszert, amelynek keretében a megfelelőségértékelési tevékenységet végezni kívánja,
b) hogy a tevékenységet közreműködő igénybevételével kívánja-e végezni, valamint
c) hogy az (EU) 2019/881 európai parlamenti és tanácsi rendelet 56. cikk (5) bekezdése szerinti közjogi szervnek minősül-e.
(3) A nyilvántartásba vételi kérelemhez a kérelmező benyújtja
a) az arra a tanúsítási rendszerre vonatkozó akkreditációról szóló határozatot, amely keretében a kérelmező szervezet a tanúsítási tevékenységet végezni kívánja, és
b) a miniszteri rendeletben meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
14. § (1) Ha a kérelmező az akkreditációról szóló határozatot nem nyújtja be, úgy azt a tanúsító hatóság – a kérelmező adatközlése alapján – közvetlenül beszerzi a nemzeti akkreditáló szervtől.
(2) A nemzeti akkreditáló szerv nyolc napon belül megküldi a tanúsító hatóság számára a kért adatokat.
7. A nyilvántartásba vételi eljárás és az engedélyezési eljárás közös szabályai
15. § (1) A megfelelőségértékelő szervezet a nyilvántartásba vételről szóló határozat véglegessé válását követően jogosult az érintett tanúsítási rendszer keretében tanúsítvány kiadására és a megfelelőségértékelő szervezetként történő tevékenységek ellátására.
(2) Az engedély, illetve a nyilvántartásba vételről szóló határozat hatálya az akkreditált státusz lejártáig terjedhet.
(3) A tanúsító hatóság a nyilvántartásba vett megfelelőségértékelő szervezetet bejelenti az Európai Bizottság (a továbbiakban: Bizottság) részére, és honlapján közzéteszi a nyilvántartásba vett megfelelőségértékelő szervezetek jegyzékét. A tanúsító hatóság a megfelelőségértékelő szervezet megnevezését, székhelyének címét, a nyilvántartásba vételi okirat számát, a nyilvántartásba vételének időpontját, lejáratát és a vonatkozó tanúsítási rendszert teszi közzé.
(4) Újabb nyilvántartásba vételi, illetve engedélyezési eljárást kell kezdeményezni, ha a megfelelőségértékelő szervezet a nyilvántartásba vételét követően tevékenységét további megfelelőségértékelési területre, más tanúsítási rendszer keretében végzett megfelelőségértékelési területre is ki kívánja terjeszteni.
8. A megfelelőségértékelő szervezetek engedélyezésével kapcsolatos eljárás
16. § (1) Az Ibtv. 22/B. § (6) bekezdésében foglaltaknak megfelelően, ha a tanúsítási rendszer konkrét vagy kiegészítő követelményeket ír elő, vagy ha a megfelelőségértékelő szervezet „magas” megbízhatósági szintű tanúsítványok kiadása jogkörének részére történő átruházását kívánja kezdeményezni a tanúsító hatóságnál, a megfelelőségértékelő szervezet engedélyezés iránti kérelmet nyújt be a tanúsító hatóságnál.
(2) A megfelelőségértékelő szervezet által benyújtott engedélyezés iránti kérelem tartalmazza
a) az engedély benyújtása iránti kérelem célját,
b) kérelmezett megfelelőségértékelési területként azt a tanúsítási rendszert, amelynek keretében a megfelelőségértékelési tevékenységet végezni kívánja, valamint
c) hogy a tevékenységet közreműködő igénybevételével kívánja-e végezni.
(3) Az engedélyezés iránti kérelemhez a megfelelőségértékelő szervezet benyújtja
a) az arra a tanúsítási rendszerre vonatkozó akkreditációról szóló határozatot, amely keretében a kérelmező szervezet a tanúsítási tevékenységet végezni kívánja,
b) a miniszteri rendeletben meghatározott igazgatási szolgáltatási díj megfizetésének igazolását,
c) arra vonatkozó nyilatkozatát, hogy a vonatkozó tanúsítási rendszer konkrét vagy kiegészítő követelményeket határozott-e meg, illetve
d) „magas” megbízhatósági szintű tanúsítványok kiadási jogkörének a kérelmező megfelelőségértékelő szervezet részére történő átruházására irányuló kezdeményezés esetén a nyilatkozatát, hogy a kérelmező, valamint igénybe venni kívánt közreműködője szerepel a védelmi és biztonsági célú beszerzésekről szóló törvényben meghatározott jegyzéken (a továbbiakban: jegyzék).
17. § Ha a tanúsítási rendszer konkrét vagy kiegészítő követelményt határoz meg, a nemzeti akkreditáló szerv az akkreditációról szóló határozatban szerepelteti, hogy az akkreditációs eljárás ezen követelmények teljesítésének ellenőrzésére is kiterjedt.
18. § (1) A tanúsító hatóság az engedélyezési eljárás során
a) ha a kérelmező az akkreditációról szóló határozatot nem nyújtja be, úgy azt – a kérelmező adatközlése alapján – közvetlenül beszerzi a nemzeti akkreditáló szervtől,
b) ha az akkreditációról szóló határozat külön nem tartalmazza, hogy a kérelmező megfelel-e a tanúsítási rendszerben foglalt konkrét vagy kiegészítő követelményeknek, úgy erre irányuló nyilatkozat végett megkeresi a nemzeti akkreditáló szervet, illetve
c) a kérelmezőnek, illetve a kérelemben feltüntetett közreműködőjének jegyzéken való szereplése ellenőrzése érdekében megkeresi az Alkotmányvédelmi Hivatalt (a továbbiakban: AH).
(2) A nemzeti akkreditáló szerv, illetve az AH a tanúsító hatóság írásbeli megkeresése alapján nyolc napon belül megküldi a tanúsító hatóság számára a kért adatokat.
19. § (1) Ha a tanúsító hatóság az engedélyezésre irányuló kérelmet jóváhagyja, a kérelmezőt és közreműködőjét nyilvántartásba veszi. Ha a kérelem vagy a kérelmező nem felel meg a kérelemmel vagy a kérelmezővel, közreműködővel szemben támasztott követelményeknek, a kérelmet elutasítja.
(2) A „magas” megbízhatósági szintű tanúsítványok kiadása jogkörének átruházására irányuló kérelmet honvédelmi, nemzetbiztonsági érdek alapján a tanúsító hatóság akkor is elutasíthatja, ha a kérelmező és a közreműködő megfelel a kérelemmel, valamint a kérelmezővel és a közreműködővel szemben támasztott követelményeknek.
20. § (1) A tanúsító hatóság az engedélyt visszavonja, ha a megfelelőségértékelő szervezet
a) akkreditációját a nemzeti akkreditáló szerv visszavonja, vagy
b) már nem felel meg a tanúsítási rendszerben meghatározott konkrét vagy kiegészítő követelményeknek.
(2) Ha a tanúsító hatóság a „magas” megbízhatósági szintű tanúsítványok kiadásának jogkörét átruházta valamely megfelelőségértékelő szervezetre, az átruházást – részben vagy egészben – visszavonja, ha
a) a megfelelőségértékelő szervezet a jegyzékről törlésre kerül,
b) a megfelelőségértékelő szervezet közreműködője a jegyzékről törlésre kerül, és a megfelelőségértékelő szervezet más, a jegyzéken szereplő közreműködőt nem jelent be, és a jövőben önmaga sem látja el a törölt közreműködő által ellátott feladatokat,
c) bizonyítható, hogy az érintett átruházott feladatot ellátó megfelelőségértékelő szervezet – a hatóság figyelmeztetése ellenére – nem végzi megfelelően azon feladatokat, amelyeket rá átruháztak,
d) az átruházott feladatot ellátó megfelelőségértékelő szervezet a tanúsító hatóság által megállapított időben a hatóság ismételt figyelmeztetése ellenére sem teszi meg a szükséges intézkedéseket a megállapított hiányosságok orvosolására, vagy
e) igazolást nyert, hogy az átruházott feladatot ellátó megfelelőségértékelő szervezet függetlensége vagy pártatlansága sérült, és a probléma nem orvosolható, vagy a megfelelőségértékelő szervezet a tanúsító hatóság figyelmeztetése ellenére sem orvosolja.
9. A hatósági nyilvántartás
21. § A tanúsító hatóság nyilvántartási feladatai ellátása keretében nyilvántartásba veszi
a) a megfelelőségi önértékelést végző szervezet által kiadott uniós megfelelőségi nyilatkozatot,
b) az engedélyezési kötelezettség hatálya alá nem tartozó akkreditált megfelelőségértékelő szervezetet a jogszabályban előírt feltételek fennállása esetén, és
c) az engedélyezett megfelelőségértékelő szervezetet.
22. § A tanúsító hatóság részére a nyilvántartásba vételhez szükséges adatszolgáltatást a tanúsító hatóság honlapján közzétett formátumban kell teljesíteni.
23. § (1) A tanúsító hatóság részére korábban bejelentett adatokban történt változás esetén, a változást követő 8 napon belül a bejelentő gondoskodik a megváltozott adatok tanúsító hatóság részére történő megküldéséről.
(2) A megfelelőségértékelő szervezet a változás beálltát követő 8 napon belül köteles bejelenteni a tanúsító hatóságnak, ha
a) csődeljárás, felszámolási eljárás, végelszámolási eljárás vagy kényszertörlési eljárás indult ellene,
b) akkreditált státuszát érintően változás következett be,
c) bejelentett közreműködőjét érintően változás következett be, vagy
d) a jegyzékről törlésre került.
24. § (1) Ha a nemzeti akkreditáló szerv az akkreditált státuszt részlegesen vagy teljeskörűen felfüggeszti, részlegesen vagy teljeskörűen visszavonja, vagy az akkreditált szervezet kérelmére az akkreditált területet szűkíti, erről a tanúsító hatóságot értesíti. A nemzeti akkreditáló szerv a felügyeleti vizsgálat, illetve a rendkívüli felügyeleti vizsgálat eredményeit megküldi a tanúsító hatóságnak.
(2) Ha a tanúsító hatóság eljárása során felmerül annak a gyanúja, hogy a megfelelőségértékelő szervezet már nem rendelkezik akkreditációval, a tanúsító hatóság megkeresi a nemzeti akkreditáló szervet az akkreditált státuszra vonatkozó tájékoztatás nyújtása érdekében.
(3) Ha a megfelelőségértékelő szervezet az akkreditált státusz lejárta előtt megküldi az akkreditált státusz fenntartásáról szóló határozatot, a tanúsító hatóság a nyilvántartásban ezt rögzíti.
(4) Az akkreditált státusz lejártát követően megküldött tájékoztatás esetén új nyilvántartásba vételi kérelmet kell benyújtani, engedélyezési eljárás esetén új engedélyezési eljárást kell lefolytatni.
(5) Ha akkreditált státusz lejártát megelőzően a megfelelőségértékelő szervezet igazolja, hogy az akkreditált státusz fenntartására irányuló eljárás folyamatban van, a tanúsító hatóság a nyilvántartásban szereplő megfelelőségértékelő szervezet státuszát felfüggeszti az akkreditációs eljárás befejezéséig.
(6) Ha a nemzeti akkreditáló szerv az akkreditációt részlegesen vagy teljeskörűen felfüggeszti,
a) a tanúsító hatóság a nyilvántartásában rögzíti, hogy az akkreditáció státusza felfüggesztésre került,
b) a tanúsító hatóság az általa kiadott engedélyt felfüggeszti, és
c) a megfelelőségértékelő szervezet a felfüggesztés időtartama alatt tanúsítványt nem bocsáthat ki.
25. § (1) A megfelelőségi önértékelést végző gyártó, illetve a megfelelőségértékelő szervezet a jogutódlás nélkül történő megszűnését – a megszűnés időpontját megelőző 8 napon belül – köteles bejelenteni a tanúsító hatóság részére.
(2) Ha a tanúsító hatóság jogszabályban meghatározott eljárása során szerez tudomást a jogutódlás nélkül történő megszűnésről, hivatalból intézkedik a nyilvántartásban szereplő adatok helyesbítéséről.
(3) A megfelelőségi önértékelést végző gyártót érintő jogutódlás esetén, ha a jogutód folytatni kívánja a megfelelőségi önértékelés keretében tanúsított hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat gyártását, illetve nyújtását, visszavonja jogelődje megfelelőségi nyilatkozatát, és új megfelelőségi nyilatkozatot állít ki. A jogutód a változás bekövetkezésétől számított 8 napon belül a jogerős cégbírósági bejegyző határozat és a megfelelőségi nyilatkozat másolatának megküldésével értesíti a tanúsító hatóságot, és a nyilvántartásba vételi eljárásra vonatkozó szabályok szerint kezdeményezi a nyilvántartásba vételt. A megfelelőségi önértékelést végző gyártó a névváltozásról 8 napon belül értesíti a tanúsító hatóságot.
(4) A megfelelőségértékelő szervezetet érintő jogutódlás esetén, amennyiben a jogutód a megfelelőségértékelési tevékenységet folytatni kívánja, a jogutód az akkreditációs okirat kézhezvételét követő 8 napon belül az akkreditációs okirat másolatának megküldésével értesíti a tanúsító hatóságot, és a nyilvántartásba vételi, illetve az engedélyezési eljárásra vonatkozó szabályok szerint kezdeményezi a nyilvántartásba vételt, illetve az engedélyezése iránti eljárás megindítását. A megfelelőségértékelő szervezet a névváltozásról 8 napon belül értesíti a tanúsító hatóságot.
(5) A megfelelőségértékelő szervezetet érintő változásról a tanúsító hatóság a nyilvántartásba való bejegyzésről szóló határozat véglegessé válásától számított 15 napon belül értesíti a Bizottságot.
26. § (1) A tanúsító hatóság törli a nyilvántartásból
a) a megfelelőségi önértékelést végző gyártót, amennyiben az visszavonja az uniós megfelelőségi nyilatkozatát,
b) a megfelelőségértékelő szervezetet, amennyiben a tanúsító hatóság által az engedélye visszavonásra kerül,
c) a megfelelőségértékelő szervezetet, ha az akkreditációja megszűnik,
d) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha jogutód nélkül megszűnik,
e) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
(2) A megfelelőségértékelő szervezet hatósági nyilvántartásból való törlése esetén a tanúsító hatóság a törlésről szóló határozat véglegessé válásától számított 15 napon belül értesíti a Bizottságot.
10. A tanúsító hatóság ellenőrzési tevékenysége
27. § (1) A piacfelügyeleti eljárás keretében a tanúsító hatóság a hadiipari IKT-termékekre, hadiipari IKT-szolgáltatásokra vagy hadiipari IKT-folyamatokra vonatkozó tanúsítási rendszerben, az uniós és magyar jogszabályokban foglalt követelményeknek való megfelelőséget, valamint a megfelelőség tanúsításának ellenőrzését végzi.
(2) A tanúsító hatóság a piacfelügyeleti ellenőrzést a tanúsítási rendszerben foglaltak szerint végzi.
28. § (1) A tanúsító hatóság ellenőrzési jogkörében ellenőrzi
a) a vonatkozó nyilvántartásokat, dokumentációkat és a nyomonkövethetőséget,
b) a jogszabályban, a tanúsítási rendszerben, valamint az engedélyben foglaltak betartását és
c) a panaszok kivizsgálásának megfelelőségét.
(2) A tanúsító hatóság a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat védelmére vonatkozó intézkedést, amellyel az érintett hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot veszélyeztető fenyegetések kezelhetőek.
(3) A tanúsító hatóság ellenőrzési jogkörében a megfelelőségértékelő szervezetnél ellenőrzi, hogy
a) a megfelelőségértékelő szervezet a megfelelőségértékelési területen folytatott tevékenysége során betartja-e a működési és eljárási szabályzatában foglaltakat,
b) az előző ellenőrzés óta a szakmai – személyi és műszaki –, valamint adminisztratív felkészültség terén történt esetleges változás befolyásolja-e a megfelelőségértékelési tevékenység hatékonyságát, és
c) az előző ellenőrzés óta a működési és eljárási szabályzatban történt esetleges változtatások befolyásolják-e a kijelölt szervezet megfelelőségértékelési tevékenység folytatására való alkalmasságát.
29. § (1) A tanúsító hatóság az ellenőrzés elrendeléséről az érintett szervezet vezetőjét az ellenőrzés megkezdése előtt legalább tíz nappal értesíti.
(2) A tanúsító hatóság az ellenőrzés elrendelése esetén az ellenőrzést ellátó munkatársa részére megbízólevelet állít ki.
(3) A tanúsító hatóság a hatósági ellenőrzésről készített feljegyzés vagy jegyzőkönyv egy példányát az ügyfélnek a helyszínen átadja, vagy azt az ügyfél részére az ellenőrzés befejezésétől számított 20 napon belül megküldi, amelyre az érintett szervezet 8 napon belül írásban tehet – a tanúsító hatóságot nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a tanúsító hatóság egyeztetést kezdeményezhet az érintett szervezettel.
(4) Ha a tanúsító hatóság úgy ítéli meg, hogy az előírások megsértése más tagállamot is érint, tájékoztatja a tanúsítási rendszerben foglaltak szerint a Bizottságot, az ENISA-t és a többi tagállamot az ellenőrzés eredményeiről és azokról az intézkedésekről, amelyek meghozatalára az érintett szervezetet felszólították, illetve amelyeket a tanúsító hatóság megtett.
11. Jogkövetkezmények
30. § A tanúsító hatóság az ellenőrzés eredményeként a feltárt jogsértés súlyával arányosan, a jogsértésben rejlő kockázat mértékének és jellegének figyelembevételével – a termékek piacfelügyeletéről szóló törvényben foglaltakon túl – a következő jogkövetkezményeket alkalmazhatja:
a) kötelezheti a gyártót az uniós megfelelőségi nyilatkozat módosítására vagy visszavonására,
b) a megfelelőségértékelő szervezet tanúsítványkibocsátási jogát részben vagy teljeskörűen felfüggesztheti vagy visszavonhatja,
c) a megfelelőségértékelő szervezetet törölheti a nyilvántartásból,
d) az engedélyköteles tevékenység végzésére vonatkozó engedélyt módosíthatja, visszavonhatja,
e) az érintett hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában elrendelheti a tanúsításra utaló kifejezés, jelölés használatával történő forgalmazás, nyújtás, reklámozás korlátozását vagy megtiltását,
f) az érintett hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában elrendelheti a megfelelőségi jelölés eltávolíttatását.
31. §2
12. A hatósági eljárásra vonatkozó általános rendelkezések
32. § (1) A tanúsító hatóság közigazgatási hatósági jogkörében eljárva kizárólag a jogszabályoknak van alávetve, hatósági eljárása során és hatósági döntéseinek tartalmával összefüggésben – a feladat elvégzésére vagy a mulasztás pótlására irányuló utasítás kivételével – nem utasítható.
(2) Az eljárás során a kérelem kormányablaknál való előterjesztése kizárt.
(3) Az eljárásban kétszeri hiánypótlásra való felszólításnak van helye.
(4) A tanúsító hatóság a panaszok kezelésére vonatkozó eljárásrendjét a honlapján közzéteszi.
33. § (1) A tanúsító hatóság eljárása során a szükséges vizsgálatok elvégzéséhez szakértő vagy az adott területen akkreditált szervezet vagy szakértelemmel rendelkező szervezet (a továbbiakban: szakértő) közreműködését veheti igénybe, vagy elrendelheti azok igénybevételét a megfelelőség igazolásához.
(2) A tanúsító hatóság megbízására nem járhat el olyan szakértő, amely a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelelőségét korábban vizsgálta, vagy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat fejlesztésében, kialakításában közreműködött.
(3) A tanúsító hatóság szakértő bevonásával vagy a saját laboratóriumában, vagy, amennyiben a vizsgálat alá vont hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tulajdonságai ezt nem teszik lehetővé, a gyártó vagy az üzemeltető telephelyén a hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot az előírt követelmények teljesítése tekintetében vizsgálat alá vonhatja.
(4) Ha a tanúsító hatóság az üzleti titok körébe tartozó információkhoz jut hozzá, gondoskodik ezen információk védelméről. Az üzleti titok nem akadályozhatja azt, hogy a piacfelügyeletre irányuló tevékenységek hatékonyságának biztosítása szempontjából jelentős információkat a tanúsító hatóságok egymás, valamint a vizsgáló és tanúsító intézmények a tanúsító hatóság tudomására hozzák.
13. A megfelelőségértékelő szervezetekre vonatkozó kötelezettségek, tevékenységük
34. § A nyilvántartásba vett megfelelőségértékelő szervezetnek folyamatosan meg kell felelnie a nyilvántartásba vétel feltételeinek, amit a tanúsító hatóság jogosult bármikor ellenőrizni.
35. § A megfelelőségértékelő szervezet tanúsítási tevékenysége során 8 napon belül tájékoztatja a tanúsító hatóságot
a) a tanúsítvány kiadása iránt hozzá benyújtott kezdeményezésről,
b) a tanúsítvány kiadása iránt általa indított eljárásról,
c) az általa kiadott tanúsítványokról,
d) a tanúsítványok bármilyen elutasításáról, korlátozásáról, felfüggesztéséről vagy visszavonásáról,
e) az általa kiadott tanúsítvány alapján gyártott, illetve nyújtott hadiipari IKT-termékkel, hadiipari IKT-szolgáltatással vagy hadiipari IKT-folyamattal összefüggésben benyújtott panaszról,
f) az általa kiadott tanúsítvány alapján gyártott, illetve nyújtott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat kapcsán felmerült sebezhetőségről és
g) azokról a körülményekről, amelyek érinthetik a nyilvántartásba vétel hatályát vagy feltételeit.
36. § (1) A megfelelőségértékelő szervezet az előző évben végzett megfelelőségértékelési tevékenységéről jelentést készít (a továbbiakban: éves jelentés), amelyet megküld a tanúsító hatóság részére.
(2) Az éves jelentés tartalmazza
a) megfelelőségértékelésieljárás-típusonként az eljárást kérelmező nevét, székhelyét, a szerződések, a vizsgálati, ellenőrzési jegyzőkönyvek, a kiadott tanúsítványok iktatószámát, a megfelelőségértékelés eredményét, valamint ha van közreműködő szervezet, annak nevét, az ezekben az adatokban bekövetkezett változásokat,
b) a kiadott tanúsítványok másolatát,
c) a megfelelőségértékelő szervezet tevékenységével összefüggő, a szervezethez beérkezett panaszok felsorolását és a panaszok kivizsgálásának eredményét,
d) a nyilvántartásba vett megfelelőségértékelési területtel kapcsolatos képzések, együttműködések felsorolását, azok témájának rövid ismertetését, a kijelölt szervezet részéről részt vevők felsorolását,
e) a megfelelőségértékelési területen a szabványosítási tevékenységben, továbbá a kijelölt szervezetek koordináló és ágazati csoportjának tevékenységében való részvételről szóló tájékoztatást, ideértve az adott évben megvalósuló ülések felsorolását, amelyeken a kijelölt szervezet képviselője vagy meghatalmazottja útján részt vett, valamint meghatalmazott útján való képviselet esetén a meghatalmazás másolatát,
f) vizsgálólaboratóriumok közötti összehasonlításban vagy jártasságvizsgáló programokban való részvétel esetén a részvételt igazoló dokumentumokat,
g) a nyilvántartásba vett megfelelőségértékelési területen – a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat forgalmazására, nyújtására vonatkozó rendelkezések megsértésével összefüggésben – a tanúsító hatóságnak és a nyilvántartásba vett megfelelőségértékelési területen működő más megfelelőségértékelő szervezeteknek küldött tájékoztatások felsorolását, azok iktatószámát, valamint
h) a felfüggesztett, visszavont tanúsítványok iktatószámát, a kérelmező megnevezését, a tanúsítvány tárgyát, a felfüggesztés-visszavonás indokát.
37. § (1) Ha a megfelelőségértékelő szervezet egyes megfelelőségértékelési feladatok ellátásához közreműködőt vesz igénybe, biztosítja, hogy a közreműködő megfelel a jogszabályban meghatározott követelményeknek, és erről tájékoztatja a tanúsító hatóságot.
(2) A megfelelőségértékelő szervezet teljes felelősséget vállal a közreműködő által elvégzett feladatokért, függetlenül attól, hogy az hol van letelepedve.
(3) A megfelelőségértékelő szervezet a tanúsító hatóság megkeresése esetén rendelkezésre bocsátja a közreműködő szakmai képesítésére és az általa elvégzett munkára vonatkozó dokumentumokat.
38. § A megfelelőségértékelő szervezetnek a panaszok és vitás kérdések kezelésére olyan eljárásrenddel kell rendelkeznie, amely alkalmas a panaszok tényszerű feltárására és orvoslására.
14. A megfelelőségi jelölés elhelyezésére vonatkozó rendelkezések
39. § (1) A tanúsított hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban a tanúsítottság tényének jelzése érdekében a tanúsítási rendszer által előírt formátumban megfelelőségi jelölést kell elhelyezni. A megfelelőségi jelölést jól láthatóan, egyértelműen és maradandóan kell elhelyezni.
(2) Ahol a megfelelőségi jelölés elhelyezése nem értelmezhető, a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat jellege által biztosított lehetőség szerinti formában kell feltüntetni a megfelelőségi jelölést vagy az erre történő utalást.
(3) Tilos a hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban az olyan jelölés használata, amely hasonlít a megfelelőségi jelölés jelentésére vagy formájára, és így harmadik felet megtéveszthet. Minden egyéb jelölés, amely nem rontja a megfelelőségi jelölés láthatóságát és olvashatóságát, feltüntethető a hadiipari IKT-terméken, hadiipari IKT-szolgáltatáson vagy hadiipari IKT-folyamatban.
(4) A jelölést a forgalomba hozatal előtt, akkor kell elhelyezni, amikor a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat elkészült. A megfelelőségi jelölést csak a gyártó vagy meghatalmazott képviselője helyezheti el. A megfelelőségi jelölés elhelyezésével vagy elhelyeztetésével a gyártó jelzi, hogy vállalja a felelősséget a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat e rendeletben, valamint valamennyi olyan alkalmazandó közösségi jogszabályban megállapított követelménynek való megfelelésért, amely a jelölés alkalmazását előírja.
(5) Ha a tanúsító hatóság azt állapítja meg, hogy a megfelelőségi jelölést jogosulatlanul tüntették fel a hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban, kötelezi a gyártót vagy meghatalmazott képviselőjét, hogy a terméket, illetve a tájékoztatást módosítsa a megfelelőségi jelölésre vonatkozó előírások szerint, és akadályozza meg a további szabálytalanságot a tanúsító hatóság által előírt feltételeknek megfelelően.
(6) Ha a nem-megfelelőség továbbra is fennáll, a tanúsító hatóság felszólítja a gyártót a meg nem feleléssel érintett termékről, illetve tájékoztatásról a megfelelőségi jelölés eltávolítása iránt. Amennyiben erre nincs lehetőség, vagy amennyiben a gyártó e kötelezettségének nem tesz eleget, a tanúsító hatóság intézkedhet az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat forgalomba hozatalának, nyújtásának korlátozása, megtiltása vagy forgalomból történő kivonása iránt.
15. Sebezhetőség bejelentése
40. § (1) A megfelelőségi önértékelést végző gyártó – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a tanúsító hatóság részére az általa gyártott termék, nyújtott szolgáltatás vagy folyamat vonatkozásában feltárt sebezhetőséget.
(2) A gyártó – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a megfelelőségértékelő szervezet részére az általa gyártott termék, nyújtott szolgáltatás vagy folyamat vonatkozásában feltárt sebezhetőséget.
(3) A megfelelőségértékelő szervezet – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a tanúsító hatóság részére az általa tanúsított hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában feltárt sebezhetőséget.
41. § A tanúsító hatóság a bejelentésről értesíti az eseménykezelő központot, és az adott hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően jár el.
16. Záró rendelkezések
42. § (1) Ez a rendelet – a (2) bekezdésben foglalt kivétellel – 2022. január 1-jén lép hatályba.
(2) A 31. § és az 1. melléklet az e rendelet kihirdetését követő 30. napon lép hatályba.
43. § Ez a rendelet az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) című, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.
1. melléklet a 718/2021. (XII. 20.) Korm. rendelethez3
A rendeletet a 608/2023. (XII. 22.) Korm. rendelet 39. §-a hatályon kívül helyezte 2023. december 23. napjával.
A 31. §-t a 305/2023. (VII. 11.) Korm. rendelet 5. § (1) bekezdés a) pontja hatályon kívül helyezte.
Az 1. mellékletet a 305/2023. (VII. 11.) Korm. rendelet 5. § (1) bekezdés b) pontja hatályon kívül helyezte.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás