A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények ellenőrzése az Ibtv. 14. § (2) bekezdés b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-SZVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
A szervezet egészére, illetve minden olyan szervezeti egységre (és a szervezet fennmaradó részére), melyet ebben az eljárásban vizsgálunk, előfeltétel, hogy a biztonsági szintbe sorolás megfelelőségének ellenőrzése című eljárásban jóváhagyó döntés szülessen.
Az ügyfél szervezetnek a 41/2015. (VII. 13.) BM rendelet 2. melléklete alapján fel kell térképeznie, hogy a biztonsági szintbe sorolás eredménye alapján egy adott területen milyen védelmi intézkedéseket kell megvalósítania az e mellékletben, egyes szintmeghatározások alatt felsorolt védelmi intézkedések közül. Amint a NEIH-SZVI űrlapokon kiszámításra került a biztonsági szintbe sorolás eredménye, a NEIH-SZVI űrlap a “Követelmények” lapfülön automatikusan színnel jelzi a kötelező intézkedéseket, a kitöltési útmutatóban leírtak szerint.
Az ügyfél szervezetnek a “Követelmények” lapfülön a “Megvalósult-e” oszlopban “Igen” és “Nem” válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Az üres mező nem értékelhető!
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-SZVI űrlapjára felvezeti (ilyenkor nem lehetnek üres mezők a “Megvalósult-e” oszlopban).
A fenti adatokat a szervezet egészére, illetve minden egyes, a biztonsági szintbe sorolás kapcsán azonosított szervezeti egységre (és utóbbi esetben a szervezet fennmaradó részére) létrehozott NEIH-SZVI űrlapon ki kell tölteni.
Kérelem
Az ügyfélszervezet munkatársa a kitöltött NBSZ-IBD űrlapot PDF formátumban elektronikus aláírással (pl.: Ügyfélkapu Azonosításra Visszavezetett Dokumentum Hitelesítés funkció (AVDH)) vagy más módon hitelesítve, elektronikus úton megküldi az NBSZ központi hivatali kapujára (KRID: 427386978). Az NBSZ-IBD űrlaphoz a szervezet egészére, illetve minden egyes szervezeti egységre (utóbbi esetben a szervezet fennmaradó részére is) külön NEIH-SZVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-SZVI űrlap a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti adatokat egyesíti. A “Szintbe sorolás” fülön megjelenő adatok a “biztonsági szintbe sorolás megfelelőségének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.
Beküldés módja:
Hivatali kapu / cégkapu esetében: Az ügyfélszervezet hivatali kapujáról vagy a szervezet cégkapujáról szükséges megküldeni az NBSZ központi hivatali kapujára (KRID: 427386978).
Általános kéreleműrlap (e-Papír) esetében: Az ügyfélszervezetnél az NBSZ által bejegyzett, az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) kitölti az általános kéreleműrlapot (e-Papírt) a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-Papírt az IBF, vagy ha az ügyfélszervezet bejegyzett IBF-fel még nem rendelkezik, más meghatalmazott munkatársa személyes ügyfélkapujáról megküldi az NBSZ központi hivatali kapujára (KRID: 427386978).
Felhívjuk a figyelmet, hogy az Ibtv. 22/A.§ (1) bekezdésében foglalt rendelkezések alapján ezen ügytípusban kizárólag az NBSZ hivatali kapujára elektronikusan megküldött iratok érdemi vizsgálatára van jogszerűen lehetőség, az egyéb módon, így különösen postán, vagy elektronikus levélben érkező beadványokat az NBSZ további vizsgálat nélkül visszautasítani köteles.
Döntéshozatal
A hatóság a biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények teljesüléséről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági szintbe sorolás alapján kötelező védelmi intézkedések akkor teljesülnek, ha az ügyfél szervezet vagy szervezeti egység információbiztonsági intézkedései együttesen kiadják a biztonsági szinthez a 41/2015. (VII. 15.) BM rendelet 2. mellékletében rendelt intézkedéscsomagot.
A hatóság ügyintézési határideje 60 nap, amelybe az ügyfél késedelmének időtartama nem számít bele.