A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló Európai Parlamenti és Tanácsi (EU) 2016/1148 irányelvnek (a továbbiakban: NIS irányelv) európai szintű végrehajtása és magyar jogrendbe történő átültetése megtörtént: kihirdetésre került a Bizottsági (EU) 2018/151 rendelet (a továbbiakban: EU rendelet), illetve módosult az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ekertv.). A rendelkezések 2018. május 10. napján hatályba léptek. A magyar jogszabályok a NIS irányelvben használt „digitális szolgáltatás” terminológia megfelelőjeként a „bejelentés-köteles szolgáltatás” elnevezést használják.
Az új szabályozások célja, hogy a bejelentés-köteles szolgáltatást nyújtók az általuk használt hálózati és információs rendszerek biztonságát növeljék, az azokat érő biztonsági eseményeket megelőzzék, illetve hatásukat csökkentsék, ezáltal emelve az általuk nyújtott szolgáltatások biztonságát. A bejelentés-köteles szolgáltatások elterjedtsége, illetve más fontos szolgáltatásokba történő beépülése miatt a megbízható, folyamatos működésükre alapvető gazdasági és társadalmi tevékenységek támaszkodhatnak. Az erre épülő célokat, illetve a kibertérbeli működés biztonságát és üzemfolytonosságát támogatja az eseménykezelő központ és a hatóság.
A kiberbiztonság érdekében az EU rendelet előírja a hálózati és információs rendszerek kockázatokkal arányos védelmét és az alkalmazandó biztonsági elemeket. Az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről szóló 270/2018. (XII. 20.) Korm. rendelet (a továbbiakban: Vhr.) a bejelentés-köteles szolgáltatást nyújtó szereplők számára előírja a hatóságnál történő regisztrációt, valamint a hálózati és információs rendszereikben bekövetkezett jelentős biztonsági események bejelentését az eseménykezelő központ számára. A Vhr. a bejelentés-köteles szolgáltatást nyújtókkal kapcsolatos hatósági, valamint eseménykezelési feladatok ellátására a Nemzetbiztonsági Szakszolgálatot (NBSZ) jelölte ki.
Jelen tájékoztató célja, hogy átfogó képet nyújtsunk az új szabályozás lényegi elemeiről, a leendő ügyfelek jogszabályban rögzített kötelezettségeiről, valamint a hatóság eljárásairól.
Kire vonatkoznak az új jogszabályi előírások?
Bejelentés-köteles szolgáltatást nyújtónak minősül az a magyarországi székhelyű gazdasági társaság, amely a következő szolgáltatások valamelyikét nyújtja:
- az online piactér weboldalán vagy valamely kereskedőnek az online piactér által nyújtott számítástechnikai szolgáltatásokat felhasználó weboldalán keresztül online adásvételi és szolgáltatási szerződések megkötését teszi lehetővé fogyasztók és kereskedők között (online piactér)
- információk megtalálását elősegítő segédeszközöket biztosít az igénybevevő számára, amelyek lehetővé teszik, hogy egy adott kulcsszó, lekérdezés alapján elvben minden webhelyen keresést hajtsanak végre bármely témában (keresőszolgáltatás)
- távoli hozzáférést tesz lehetővé a többek között hálózati funkciókat, adattárolást, alkalmazások, szolgáltatások futtatását biztosító számítástechnikai megoldásokhoz (felhőalapú számítástechnikai szolgáltatás)
Nem tartoznak a fenti jogszabályok hatálya alá azok a bejelentés-köteles szolgáltatások, amelyeket a szolgáltatók mikro- és kisvállalkozásként nyújtanak.
Nem vonatkoznak továbbá a bejelentés-köteles szolgáltatást nyújtókra vonatkozó előírások az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 2. § (2) bekezdésének a) és b) pontja hatálya alá tartozók, tehát a törvény személyi hatálya alá tartozók számára adatkezelést végzők és a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói által nyújtott szolgáltatásokra.
A bejelentés-köteles szolgáltatást nyújtó feladatai
1. Regisztráció
Amennyiben a bejelentés-köteles szolgáltatást nyújtó a fenti jogszabályok hatálya alá tartozik, elektronikus úton regisztrálnia kell az Űrlapok menüpontban közzétett Excel munkafüzet formátumú NEIH-BKSZ űrlap használatával, melyet általános kéreleműrlaphoz (e-Papír) csatolva, cégkapuról bejelentkezve kell benyújtani. Az e-Papírt a szervezet törvényes képviseletére jogosult személy személyes ügyfélkapuról is benyújthatja.
A regisztráció során megadja:
- a szolgáltatást nyújtó nevét
- a szolgáltatást nyújtó székhelyét
- a szolgáltatást nyújtó cégjegyzékszámát
- a szolgáltatást nyújtó elektronikus kapcsolattartási adatait
- a nyújtott szolgáltatás típusát (piactér – keresőszolgáltató – felhőszolgáltató)
- a nyújtott szolgáltatás elektronikus elérhetőségét (domain, URL, weboldal)
- a szolgáltatás nyújtásában közreműködő egyéb szervezet fenti adatait
Bekövetkezett biztonsági eseményt követően haladéktalanul, de legalább évente felülvizsgálja a biztonsági intézkedéseket.
A regisztráció során megadott adatok változásáról, továbbá megszűnéséről 8 napon belül tájékoztatja a hatóságot az NBSZ honlapján közzétett formában.
2. Biztonsági elemek teljesítése
Lásd az EU rendelet 2. cikkében felsorolt biztonsági elemeket.
3. Biztonsági események bejelentése
A bejelentés-köteles szolgáltatást nyújtó az Ekertv. 6/B. § (1) bekezdés és a Vhr. 6. § alapján haladéktalanul bejelenti az NBSZ eseménykezelő központja részére a hálózati és információs rendszereiben bekövetkezett, a szolgáltatás nyújtására jelentős hatást gyakorló eseményeket.
A bejelentésnek legalább a következőket kell tartalmaznia:
- az információs rendszerben bekövetkezett incidens rövid leírását, státuszát;
- a bejelentés-köteles szolgáltatás működésében támadt zavar mértékét;
- az incidens kezelésére kijelölt kapcsolattartó személy elérhetőségét;
- a biztonsági esemény hatását meghatározó szempontokat.
A biztonsági esemény jelentőségének mérlegelésénél a biztonsági esemény által érintett felhasználók számát – különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását – a biztonsági esemény időtartamát, a biztonsági esemény által érintett terület földrajzi kiterjedését, a szolgáltatás működésében támadt zavar mértékét, és a gazdasági és társadalmi tevékenységekre gyakorolt hatás mértékét kell figyelembe venni.
A biztonsági esemény bejelentése elsődlegesen elektronikus úton, a regisztrációt követően megkapott e-mail címre történik. Amennyiben a hálózati és információs rendszer oly mértékben sérül, hogy ez nem lehetséges, a bejelentés telefonon is megtehető (szintén a regisztrációt követően küldjük meg).
Lehetséges, hogy a biztonsági esemény eredményes kezelése érdekében az eseménykezelő központ számára további műszaki, technikai adatokat, információkat kell beküldeni vagy hozzáférhetővé tenni.
Az NBSZ mint eseménykezelő központ és hatóság tevékenysége
Az NBSZ eseménykezelő központja nyilvántartást vezet a tudomására jutott biztonsági eseményekről, és szakmai támogatást nyújt azok kezeléséhez. Elvégzi az incidens műszaki vizsgálatát, feltárja az okokat, az okozott kár mértékét, amennyiben lehetséges, javaslatot tesz a kár elhárítására, valamint levonja a többi lehetséges érintett számára érdekes tanulságokat.
Az NBSZ a megelőzés és a tudatosítás érdekében a bejelentés-köteles szolgáltatást nyújtók számára a rendszereiket érintő sérülékenységekről, fenyegetésekről hírleveleket, tájékoztatókat, riasztásokat bocsát ki.
A biztonsági esemény műszaki vizsgálatának eredményeiből az eseménykezelő központ összefoglaló jelentést készít, amely alapján a hatóság eljárást folytat le.
A hatósági eljárás során az NBSZ megvizsgálja a bejelentés-köteles szolgáltatást nyújtó megelőző és eseménykezelő tevékenységét, valamint a Vhr. 4. és 5. §-ában előírtak teljesülését, azaz a szolgáltatók rendszerei és létesítményei biztonságát szabályozó dokumentumok rendelkezésre állását, valamint a regisztráció megtörténtét. Az eljárás lefolytatásához a hatóság szükség szerint további adatokat, dokumentumokat kérhet be, helyszíni ellenőrzést folytathat le.
Hiányosságok, mulasztások esetén a hatóság a Vhr. 7. § (1) és (2) bekezdései alapján határidő kitűzése mellett rendeli el azok megszüntetését. Ha ezen hiányosságok következtében súlyos biztonsági esemény bekövetkezése fenyeget, úgy a hatóság azonnali intézkedések megtételére kötelezi az érintett bejelentés-köteles szolgáltatást nyújtót.
Mulasztás esetén a hatóság az Ekertv. 6/C §-a és a Vhr. 7. § (3) bekezdése alapján eljárhat, bírságot szabhat ki. Fontos kiemelni, hogy a bírság megfizetése nem mentesít a bírság kiszabására okot adó szabálytalanság megszüntetésének kötelezettsége alól.
Az eljárás eredményeként a hatósági döntés megállapítja a biztonsági esemény bekövetkezésének tényét, felsorolja a javasolt intézkedéseket, valamint szükség esetén kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására.