A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények ellenőrzése az Ibtv. 14. § (2) bekezdés b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-SZVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
A szervezet egészére, illetve minden olyan szervezeti egységre (és a szervezet fennmaradó részére), melyet ebben az eljárásban vizsgálunk, előfeltétel, hogy a biztonsági szintbe sorolás megfelelőségének ellenőrzése című eljárásban jóváhagyó döntés szülessen.
Az ügyfél szervezetnek a 41/2015. (VII. 13.) BM rendelet 2. melléklete alapján fel kell térképeznie, hogy a biztonsági szintbe sorolás eredménye alapján egy adott területen milyen védelmi intézkedéseket kell megvalósítania az e mellékletben, egyes szintmeghatározások alatt felsorolt védelmi intézkedések közül. Amint a NEIH-SZVI űrlapokon kiszámításra került a biztonsági szintbe sorolás eredménye, a NEIH-SZVI űrlap a “Követelmények” lapfülön automatikusan színnel jelzi a kötelező intézkedéseket, a kitöltési útmutatóban leírtak szerint.
Az ügyfél szervezetnek a “Követelmények” lapfülön a “Megvalósult-e” oszlopban “Igen” és “Nem” válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Az üres mező nem értékelhető!
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-SZVI űrlapjára felvezeti (ilyenkor nem lehetnek üres mezők a “Megvalósult-e” oszlopban).
A fenti adatokat a szervezet egészére, illetve minden egyes, a biztonsági szintbe sorolás kapcsán azonosított szervezeti egységre (és utóbbi esetben a szervezet fennmaradó részére) létrehozott NEIH-SZVI űrlapon ki kell tölteni.
Kérelem
Az ügyfél szervezet munkatársa a kitöltött NBSZ-IBD ÁNYK-űrlapot a szervezet hivatali kapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor az NBSZ-IBD űrlapot az IBF is benyújthatja személyes ügyfélkapujáról az NBSZ hivatali kapujára. Az NBSZ-IBD űrlaphoz a szervezet egészére, illetve minden egyes szervezeti egységre (utóbbi esetben a szervezet fennmaradó részére is) külön NEIH-SZVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP vagy RAR archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-SZVI űrlap a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti adatokat egyesíti. A “Szintbe sorolás” fülön megjelenő adatok a “biztonsági szintbe sorolás megfelelőségének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.
Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk.
Döntéshozatal
A hatóság a biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények teljesüléséről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági szintbe sorolás alapján kötelező védelmi intézkedések akkor teljesülnek, ha az ügyfél szervezet vagy szervezeti egység információbiztonsági intézkedései együttesen kiadják a biztonsági szinthez a 41/2015. (VII. 15.) BM rendelet 2. mellékletében rendelt intézkedéscsomagot.
A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.
