Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-SZVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
A biztonsági szintbe sorolást alapértelmezés szerint az ügyfél szervezet egészére kell elvégezni. Ha azonban az Ibtv. 9. § (2) szerinti információbiztonságért felelős, üzemeltetésért felelős, üzemeltetést végző vagy fejlesztést végző szervezeti egységek azonosíthatók az ügyfél szervezetnél, akkor ezekre a területekre önálló biztonsági szintbe sorolást kell készíteni, és további egy biztonsági szint vonatkozik az ügyfél szervezet fennmaradó részére.
A szervezet vagy szervezeti egységek biztonsági szintbe sorolásához a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározások elemeit végig kell venni, hogy az érintett területre érvényesek-e – ez minden egyes terület esetén külön NEIH-SZVI űrlapon rögzíthető, a Szintbe sorolás fülön, mely alapján a NEIH-SZVI űrlap Összegzés fülén automatikusan kiszámításra kerül a biztonsági szintbe sorolás eredménye. Ennek során nem kell alkalmazni a “high water mark” elvét, azaz egy szervezeti egységre érvényes állítást nem kell a szervezet egészére érvényes állításnak tekinteni.
Kérelem
Az ügyfél szervezet munkatársa a kitöltött NBSZ-IBD ÁNYK-űrlapot a szervezet hivatali kapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor az NBSZ-IBD űrlapot az IBF is benyújthatja személyes ügyfélkapujáról az NBSZ hivatali kapujára. Az NBSZ-IBD űrlaphoz minden egyes szervezeti egységre, illetve az ügyfél szervezet fennmaradó részére külön NEIH-SZVI űrlapot, vagy pedig – ha az Ibtv. 9. § (2) bekezdése szerinti szervezeti egységek nem azonosíthatók – az egész szervezetre egyetlen NEIH-SZVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP vagy RAR archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-SZVI űrlap a biztonsági szintbe sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározásokat és követelményeket egyesíti. A követelményekre vonatkozó rész a kapcsolódó, “a biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap az ügyfél azonosító adatait, illetve a csatolt dokumentumok egyes metaadatait tartalmazza.
Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre és az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel az ily módon benyújtott kérelmeket visszautasítjuk.
Döntéshozatal
A hatóság a biztonsági szintbe sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági szintbe sorolás akkor megfelelő, ha az az ügyfél szervezetnek a NEIH-SZVI űrlap “Szintbe sorolás” fülén rögzített nyilatkozatával összhangban van. Egy adott területhez, illetve a szervezet egészéhez tartozó biztonsági szintbe sorolás eredménye a kapcsolódó NEIH-SZVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.
Korábban megállapított biztonsági szintbe sorolás felülvizsgálata keretében megállapított, a korábbinál alacsonyabb biztonsági szint csak olyan szervezetre vagy szervezeti egységre hagyható jóvá, ahol az Lrtv. szerint azonosított létfontosságú rendszer vagy létesítmény működik.
A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.
