10 dec Bejelentés-köteles /online/ szolgáltatások
Kiberbiztonság – NIS irányelv – Bejelentés-köteles /online/ szolgáltatások
Az új kiberbiztonsági szabályozás, vagyis a NIS Irányelv (Európai Parlament és a Tanács (EU) 2016/1148 irányelv (2016. július 6) magyar jogrendbe történő átültetése megtörtént és a bejelentés-köteles szolgáltatást nyújtókról szóló 410/2017. (XII. 15.) Korm. rendelet 2018. május 10. napján hatályba lépett.
A NIS irányelv a hálózati és információs rendszerek és szolgáltatások megfelelő szintű védelmét hívatott megteremteni az Európai Unióban, hiszen ezen rendszerek jelentős szerepet játszanak a belső piac működése során. A szabályozások célja, hogy minden bejelentés-köteles szolgáltatást nyújtó (digitális szolgáltató) az általa használt hálózati és információs rendszerek biztonságát növelje, az azokat érő biztonsági eseményeket megelőzze, hatásukat csökkentse, ezáltal emelve az általuk nyújtott szolgáltatások biztonságát.
Magyarországon az illetékes hatóság a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság (BM OKF) eseménykezelő központja.
A digitális szolgáltatók kötelesek a BM OFK által vezetett nyilvántartásba regisztrálni, a bejelentést 2018. augusztus 08-ig kellett megtenni. Azonban, aki e határidőről lecsúszott, haladéktalanul tegye meg, illetve a BM OFK által küldött felhívásban foglalt határidőben hátrányos jogkövetkezmény nélkül elvégezhető a regisztráció.
Kire vonatkoznak az új jogszabályi előírások?
Bejelentés-köteles szolgáltatást nyújtónak minősül a magyarországi székhelyű gazdasági társaság, amely a következő szolgáltatások valamelyikét nyújtja:
- aki online piacteret működtet vagy egy elérhető online piactér igénybevételével online adásvételi és szolgáltatási szerződések megkötését teszi lehetővé fogyasztók és kereskedők/ kereskedő és kereskedő között,
- keresőszolgáltatást,
- felhőalapú számítástechnikai szolgáltatást nyújt.
Nem tartoznak a jogszabály hatálya alá és regisztrációs kötelezettség nem terheli azokat a digitális szolgáltatót, akik szolgáltatásukat MIKRO- ÉS KISVÁLLALKOZÁSKÉNT nyújtják.
Azok a gazdasági társaságok, amelyek 2018. május 10-ét követően kerülnek létrehozásra, a cégbejegyzést követő egy éven belül kötelesek a 410/2017. (XII. 15.) Korm. rendeletben meghatározott feladatokat végrehajtani.
Regisztráció folyamata
A digitális szolgáltatónak a regisztrációs űrlapot (táblázat) ki kell töltenie és szerkeszthető formátumban köteles a BM OKF részére kell beküldeni e-papír felületen keresztül a NIS regisztráció pont alatt csatolva.
Ha több azonos szolgáltatás regisztrációját kívánja végrehajtani a digitális szolgáltató, abban az esetben azokat külön táblázatokban szükséges megadni és önálló mellékletként csatolni.
Regisztrációs lap elérhetősége:
http://www.katasztrofavedelem.hu/index2.php?pageid=iparbiztonsagi_szolgaltatok_regisztracio
Beküldési felület: https://epapir.gov.hu/
A bekövetkezett biztonsági esemény bejelentését pedig haladéktalanul elektronikus úton, a regisztrációt követően kapott e-mail címre kell beküldeni. Ha a hálózati és információs rendszer oly mértékben sérül, hogy az elektronikus úton történő bejelentés nem lehetséges, a bejelentés bármely más módon megvalósítható.
A digitális szolgáltatók kötelezettségei összefoglalva
- Regisztráció a BM OFK által vezetett nyilvántartásba 2018. május 10-ig.
- Kockázatelemzés készítése.
- Intézkedések: A kidolgozott kockázatelemzés alapján a kockázatokkal arányos biztonsági intézkedések bevezetése és alkalmazása.
- Biztonsági események bejelentése: azon eseményeké, melyek a hálózati és információs rendszerben következett be és a szolgáltatás nyújtására jelentős hatást gyakorol.
- Felülvizsgálat: Bekövetkezett biztonsági eseményt követően haladéktalanul, de legalább évente felül kell vizsgálnia a készített kockázatelemzést és a megtett biztonsági intézkedéseket.
- Adatváltozás bejelentése: A regisztráció során megadott adatok változásáról, megszűnéséről 8 napon belül tájékoztatni köteles a hatóságot.
Bírság mértéke
A digitális szolgáltató, ha nem tesz eleget kötelezettségeinek, azokat elmulasztja – jogsértés súlyától függően – a bírság mértéke 50.000 Ft-tól 5.000.000 Ft-ig terjedhet.
Módosított jogszabályok
Magyarországon többek között az alábbi jogszabályokat érintette az implementáció:
- Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
- A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény
- A víziközmű-szolgáltatásról szóló 2011. évi CCIX. törvény
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
- A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) Korm. rendelet
- Az energetikai létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 360/2013. (X. 11.) Korm. rendelet
- A létfontosságú vízgazdálkodási rendszerelemek és vízilétesítmények azonosításáról, kijelöléséről és védelméről szóló 541/2013. (XII. 30.) Korm. rendelet
- A kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet
- Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet
- Az egészségügyi létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 246/2015. (IX. 8.) Korm. rendelet
- A pénzügyi ágazathoz tartozó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 330/2015. (XI. 10.) Korm. rendelet
- Az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 249/2017. (IX. 5.) Korm. rendelet