neih.gov.hu/regisztracio oldalon tekintheti meg.

Az elektronikus információs rendszer biztonságáért felelős személy (IBF) nyilvántartásba vétele (regisztráció) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 15. § (1) bekezdésének c) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együttesen kijelölt eljárásban történik.

">

Elektronikus információs rendszer biztonságáért felelős személy nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/regisztracio oldalon tekintheti meg.

Az elektronikus információs rendszer biztonságáért felelős személy (IBF) nyilvántartásba vétele (regisztráció) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 15. § (1) bekezdésének c) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együttesen kijelölt eljárásban történik.

Kulcsszavak: információs rendszer, biztonság

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/regisztracio oldalon tekintheti meg.

Az elektronikus információs rendszer biztonságáért felelős személy (IBF) nyilvántartásba vétele (regisztráció) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 15. § (1) bekezdésének c) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együttesen kijelölt eljárásban történik.

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

Regisztráció csak olyan IBF-re kezdeményezhető, akit az ügyfél szervezet foglalkoztat, illetve akivel az ügyfél szervezet közvetlen vagy közvetett szerződéses kapcsolatban áll. Ha az ügyfél szervezet a kijelölt IBF-fel nem közvetlenül szerződött, vagy az ügyfél szervezet az IBF-et más munkakörben is foglalkoztatja, akkor az ügyfél szervezet vezetőjének – hivatkozva az IBF igénybe vételére mint szolgáltatásra kötött szerződésre – megbízólevelet kell kiadnia az IBF számára, melyet az IBF aláírásával tudomásul vesz. Az érintett szerződéseknek és a megbízólevélnek ki kell térnie az Ibtv. 13. § (1)-(7) bekezdése szerinti feladatokra. Az IBF az Ibtv. 15. § (1) bekezdés c) pontja alapján kizárólag természetes személy lehet.

Ha az ügyfél szervezet nemzetbiztonsági védelem alá esik, akkor az IBF kijelölésére vonatkozóan a Kormányzati Eseménykezelő Központ (GovCERT) előzetes véleményezési jogot gyakorol. A GovCERT előzetes véleményét az IBF kinevezése vagy megbízása előtt legalább 30 nappal, a GovCERT elektronikus levélcímére küldve kell megkérni. A kérelmet a szervezet vezetője írja alá, mely tartalmazza az IBF jelölt természetes személyazonosító adatait, képzettségét és szakmai tapasztalatát (utóbbiakat tájékoztató jelleggel: az előzetes vélemény kiadásához nem kell a bizonyítékokat csatolni). A kérelemhez csatolni kell a kijelölni kívánt IBF nyilatkozatát, melyben hozzájárul személyes adatainak a GovCERT-nél történő kezeléséhez.

A szervezet NEIH-IBF űrlapot tölt ki, melyhez a „Benyújtandó dokumentumok” címszó alatt felsorolt dokumentumokat csatolja, majd az űrlapot a Személyre Szabott Ügyintézési Felületen benyújtja.

A NEIH-IBF űrlapon az alábbi adatokat kell megadni:

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén az IBF adatainak bejelentési határideje: 2013. augusztus 30.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 60 napon belül kötelesek bejelenteni az IBF adatait.

Ha az IBF személyében változás következik be, az új IBF adatait a változást követő 8 napon belül kell bejelenteni.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

  1. Ahol szükséges: a GovCERT-nek az IBF megfelelőségét érintő előzetes véleménye
  2. Az ügyfél szervezet és az IBF, vagy az IBF szolgáltatást nyújtó szervezet között létrejött szerződés (vagy kinevezési okmány) másolata (ez kivonatolható olyan módon, hogy csak a NEIH számára releváns adatok legyenek megismerhetők)
  3. Az ügyfél szervezet vezetőjének az IBF természetes személy számára kiadott megbízólevele vagy annak másolata
  4. Az IBF-nek a szerződéskötés napján vagy az adatszolgáltatás napján érvényes hatósági erkölcsi bizonyítványa vagy annak másolata
  5. A felelős végzettségi, szakképzettségi adatait alátámasztó okiratok másolata
  6. A felelős szakmai tapasztalatáról szóló, a gyakorlatszerzésben érintett munkáltató vagy jogutódja nyilatkozata, ennek hiányában az IBF-nek a tárgyidőszakban keletkezett munkaköri leírása, vagy feladatellátását igazoló egyéb okirata. 

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információbiztonsági Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

NEIH-IBF űrlap

A tájékoztatóban hivatkozott űrlap jelenleg nem elérhető, kialakítás alatt van.

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről

38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

szervezet: az adatkezelést végző, illetve az adatfeldolgozást végző vagy végeztető jogi személy vagy egyéni vállalkozó, valamint az üzemeltető;

adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik

adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése

adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi és a működésért felelős

szervezet: az adatkezelést végző, illetve az adatfeldolgozást végző vagy végeztető jogi személy vagy egyéni vállalkozó, valamint az üzemeltető;

adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik

adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése

adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi és a működésért felelős

Array

NEIH