A tavalyi év végén módosultak az információbiztonsági jogszabályok. Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (továbbiakban: Ibtv.), az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló törvény végrehajtásához kapcsolódó miniszteri rendeletek módosításáról szóló 37/2018. (XII. 28.) BM rendelet pedig módosította az Ibtv. végrehajtási rendeleteit, illetve egy végrehajtási rendeletet hatályon kívül helyezett és további két információbiztonságot érintő új végrehajtási rendelet született.[1]
A jelen cikkemben igyekszem összefoglalást adni az Ibtv. hatálya alá tartozó szervezetek vezetői (jegyzők, egyéb vezetők) részére a jelentősebb változásokról.
A bevezetőben említett törvény több ponton is módosította az Ibtv.-t.
Az első fontos módosítás, hogy megváltozott az elektronikus információs rendszer fogalma. A jelenlegi szabályozás szerint (Ibtv. 1. § 14b.) az elektronikus információs rendszer fogalma a következő:
a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat;
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi; vagy
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;
A korábbi szabályozás szerint az elektronikus információs rendszer meghatározása az alábbi volt:
az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese;
A fentiekből látható, hogy meglehetősen módosult az elektronikus információs rendszer fogalma, melynek értelmezése átalakíthatja a meglévő elektronikus információs rendszerek biztonsági osztályba sorolását, illetve a biztonsági osztályba sorolás szerinti védelmi intézkedések teljesítését, mivel elképzelhető, hogy a fentiek más módszertan, illetve megközelítés alkalmazását teszik szükségessé a védelmi intézkedések megszervezésekor.
Az Ibtv. 16. §-ának (2) bekezdése tartalmazta már korábban is a költségvetési szervek esetén alkalmazható jogkövetkezményeket, abban az esetben, ha az érintett szervezet nem tesz eleget a jogszabályban meghatározott biztonsági követelményeknek, illetve az ehhez kapcsolódó további eljárási szabályoknak.
A korábbiakban a Nemzeti Elektronikus Információbiztonsági Hatóság részéről alkalmazható jogkövetkezmények a következők voltak:
• A szervezet vezetőjének felszólítása a hiányosságok pótlására;
• A fentiek sikertelensége esetén a szervezetet felügyelő szervhez fordulhat és kérheti a közreműködését;
• Az e-közigazgatási miniszter egyetértésével, megfelelő végzettséggel és szakértelemmel rendelkező információbiztonsági felügyelőt rendelhet ki az érintett szervezethez, aki jogosult az érintett szervezetnél az információbiztonsági követelmények teljesítése érdekében, az Ibtv.-ben meghatározott szükséges intézkedéseket végrehajtani.
Az Ibtv. 16. §-ának (2) bekezdés d) pontja alapján 2019. január 1-jétől a Hatóság jogosult bírságot kiszabni költségvetési szervek esetében is a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítése vagy be nem tartása esetén.
2019. január 13-án lépett hatályba az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 13. § (5) bekezdése, mely alapján a hatóság - a következő táblázatban foglalt jogszabálysértések esetében - ötvenezer forinttól ötmillió forintig terjedő bírságot szabhat ki, amelyet a hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára:
Bírságok mértéke
| A jogszabálysértés megnevezése | A bírság legkisebb mértéke | A bírság legnagyobb mértéke |
| regisztráció elmulasztása | 50 000 Ft | 100 000 Ft |
| adatváltozás bejelentésének elmulasztása | 50 000 Ft | 500 000 Ft |
| kockázatelemzés készítésének elmulasztása | 200 000 Ft | 500 000 Ft |
| kockázatokkal arányos biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása | 300 000 Ft | 5 000 000 Ft |
| kockázatelemzés és a szükséges biztonsági intézkedések biztonsági eseményt követő haladéktalan, egyéb esetben évente dokumentált felülvizsgálatának elmulasztása, a felülvizsgálat során feltárt hiányosságok alapján a szükséges módosítások végrehajtásának elmulasztása | 200 000 Ft | 2 000 000 Ft |
| biztonsági esemény bejelentésének elmulasztása | 300 000 Ft | 5 000 000 Ft |
| hatóság végleges, végrehajtandó határozatában foglalt kötelezésének nem teljesítése | 400 000 Ft | 5 000 000 Ft |
- 37/38 -
Fontos kiemelni továbbá, hogy a Korm. rendelet 13. § (6) bekezdése alapján, a fentieken túlmenően az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja - ismételt jogsértés esetén sújtani köteles - a jogsértő vezető tisztségviselőjét is.
A fentiek alapján, egyrészt ha az érintett költségvetési szerv nem tesz eleget a fenti táblázatban foglalt előírásoknak, akkor magát a szervezetet sújthatja bírsággal a hatóság, illetve ezen túlmenően a szervezet vezető tisztségviselőjét is, ha akadályozza a hatósági eljárást, illetve nem vagy nem megfelelő minőségben szolgáltat adatot a hatóság részére.
Mindezekre tekintettel javasolható valamennyi, az Ibtv. hatálya alá tartozó költségvetési szervnek, hogy ha ez idáig nem tette meg, akkor
• tegyen eleget a regisztrációs kötelezettségeinek a hatóság irányába, ami magában foglalja a:
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
