Az Országgyűlés az elmúlt két év tapasztalatai alapján felülvizsgálta az információbiztonsági törvényt. A legfontosabb változásokat Misák István információbiztonsági tanácsadó foglalja össze.
Az Országgyűlés az e-kártya megvalósításához szükséges egyes törvények, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény módosításáról szóló 2015. évi CXXX. törvény elfogadásával módosította az információbiztonsági törvényt (a továbbiakban: Ibtv.).
A módosítások 2015. július 16-án léptek hatályba.
Az információbiztonsági törvény felülvizsgálatával párhuzamosan a Kormány, valamint a Belügyminisztérium elvégezte a végrehajtási rendeletek felülvizsgálatát is.
Ennek eredményeként a következő új jogszabályok léptek hatályba:
• 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról.
• 185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól.
• 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről.
• 42/2015. (VII. 15.) BM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének rendjéről.
A fentiekkel párhuzamosan a következő jogszabályokat helyezték hatályon kívül:
• 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről.
• 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információ-biztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról.
• 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről.
• 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről.
A 2014-es kormányzati átalakítás eredményeként már a korábbiakban a Belügyminisztériumhoz került a Nemzeti Biztonsági Felügyelet (korábbiakban: KIM), valamint a Nemzeti Elektronikus Információbiztonsági Hatóság (korábbiakban: NFM, továbbiakban: NEIH).
Az információbiztonsági törvény és végrehajtási rendeleteinek módosításával a Nemzeti Biztonsági Felügyelet sérü-
- 45/46 -
lékenységvizsgálati szakhatósági feladatköre megszűnt, azt a Nemzetbiztonsági Szakszolgálat vette át.
A NEIH 2015. január 1-jétől a Belügy-minisztérium főosztályaként tevékenykedett. Ezt a feladatkört mostantól szintén a Nemzetbiztonsági Szakszolgálat veszi át.
A korábbiakban lehetősége volt a szervezetnek az Ibtv. 15. § (3) bekezdése szerinti adatokat ÁNYK űrlapon, elektronikusan aláírt elektronikus levélben, vagy postai úton is megküldeni a hatóság részére.
Az új szabályozás [42/2015. (VII. 15.) BM rendelet] szerint erre kizárólag elektronikus űrlap szolgáltatás igénybevételével a hatóság elektronikus adatbejelentési felületén kerülhet sor.
Fontos változás, hogy idáig az Ibtv. 15. § (1) bekezdése szerinti, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatainak megküldésére vonatkozóan nem volt kötelezően meghatározott formai és tartalmi követelmény (a hatóság segédletet tett közzé a honlapján), mostantól ezeket az adatokat a hatóság által meghatározott formában kell megküldeni.
Változtatták a szervezeti regisztrációt is. Az új szabály szerint elsőként a szervezet regisztrálja be az elektronikus információs rendszerek biztonságáért felelős személyt (a továbbiakban: IBF), majd az IBF jelenti be a szervezetet.
A szervezet vezetőjének a feladata, hogy az így kapott regisztrációs űrlap hitelesített példányát biztonságos elektronikus kézbesítési szolgáltatás útján, vagy postai úton megküldje a hatóság számára.
Az új rendelet hatálybalépése előtt regisztrált szervezeteknek nem kell újra regisztrálniuk magukat. Az interneten fellelhető nem hivatalos információk szerint a mintegy ötezer érintett szervezet közül nagyságrendileg ezer tett eleget a bejelentési kötelezettségének.
Fontos megemlíteni, hogy megváltozott a szervezetek biztonsági szintbe sorolásának módja is.
A törvény alapján valamennyi hatálya alá tartozó szervezetnek biztonsági szintbe kell sorolnia szervezetét és a megállapított biztonsági szinttől függően adminisztratív és fizikai védelmi intézkedéseket kell bevezetnie.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
