A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények ellenőrzése az Ibtv. 14. § (2) bekezdés b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-OVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
Minden olyan elektronikus információs rendszerre, melyet ebben az eljárásban vizsgálunk, előfeltétel, hogy a biztonsági osztályba sorolás megfelelőségének ellenőrzése című eljárásban jóváhagyó döntés szülessen.
Az ügyfél szervezetnek a 41/2015. (VII. 13.) BM rendelet 3. melléklete alapján fel kell térképeznie, hogy a biztonsági osztályba sorolás eredménye alapján egy adott elektronikus információs rendszerben milyen védelmi intézkedéseket kell megvalósítania e rendelet 4. mellékletében, a 3. pontban található védelmi intézkedés katalógusból. Amint a NEIH-OVI űrlapokon kiszámításra került a biztonsági osztályba sorolás eredménye, a NEIH-OVI űrlap a 3.1.1. fültől kezdődően minden lapfülön automatikusan színnel jelzi a kötelező intézkedéseket, a kitöltési útmutatóban leírtak szerint.
Az ügyfél szervezetnek a 3.1.1.-3.3.13. lapfüleken a “Megvalósult-e” oszlopban “Igen” és “Nem” válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Üres mező azt jelenti, hogy az ügyfél szervezettől az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő adatkezelői minőségben, az Ibtv. 11. § (3) bekezdése szerint átvállalta.
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-OVI űrlapjára felvezeti (ilyenkor nem lehetnek üres mezők a “Megvalósult-e” oszlopban).
A fenti adatokat minden egyes, a biztonsági osztályba sorolás kapcsán azonosított elektronikus információs rendszerre létrehozott NEIH-OVI űrlapon ki kell tölteni.
Kérelem
Az ügyfél szervezet munkatársa a kitöltött NBSZ-IBD ÁNYK-űrlapot a szervezet hivatali kapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor az NBSZ-IBD űrlapot az IBF is benyújthatja személyes ügyfélkapujáról az NBSZ hivatali kapujára. Az NBSZ-IBD űrlaphoz minden egyes elektronikus információs rendszerre külön NEIH-OVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP vagy RAR archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-OVI űrlap a védelmi intézkedés katalógus mellett a biztonsági osztályba sorolás eredményét, illetve a 41/2015. (VII. 15.) BM rendelet 1. és 3. melléklete szerinti adatokat egyesíti. Az 1. melléklet szerinti adatok a “biztonsági osztályba sorolás megfelelőségének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.
Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk.
Döntéshozatal
A hatóság a biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények teljesüléséről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági osztályba sorolás alapján kötelező védelmi intézkedések akkor teljesülnek, ha az ügyfél szervezet (és adatkezelő közreműködői) biztonsági osztályba sorolásával az érintettek információbiztonsági intézkedései együttesen kiadják a legmagasabb besorolást megállapított adatkezelő biztonsági osztályához a 41/2015. (VII. 15.) BM rendelet 3. mellékletében rendelt intézkedéscsomagot.
A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.
Megjegyzés
Az Ibtv. hatályba lépésénél később indult informatikai fejlesztési projektekben újonnan fejlesztett vagy továbbfejlesztett elektronikus információs rendszer használatba vételéig minden, a biztonsági osztályba sorolás alapján elvárható védelmi intézkedést teljesíteni kell [Ibtv. 8. § (7) bekezdés.] Ezt a fejlesztési projekt lezárultát követően a hatóság bármikor ellenőrizheti, melynek során az adatkezelő az Ibtv. 2. § (2) bekezdésének a) pontja alapján önálló érintettként eljárás alá vonható.
