Alapvető és bejelentés-köteles szolgáltatók - Áttekintés


 

Magyarország számára kiemelt feladatként jelentkezik a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-ai (EU) 2016/1148 európai parlamenti és tanácsi irányelv (a továbbiakban: NIS irányelv) hazai jogrendbe történő átültetése. Az implementálás során egységes cél volt, hogy a NIS irányelvből fakadó új feladatrendszer ellátása a már meglévő, információbiztonsági területen feladatot végző szervek képességeire építve, azokat kiegészítve valósuljon meg.
A NIS irányelv két szolgáltatói kört nevesít, az alapvető és bejelentés-köteles szolgáltatást nyújtókat, amelyek tekintetében meg kell teremteni a magasabb szintű információbiztonsági szintet az általuk nyújtott szolgáltatások folyamatossága, az általuk kezelt adatok és információk védelme érdekében.
Alapvető szolgáltatást nyújtónak minősül a kritikus infrastruktúrák azon köre, amelyeket az irányelv által meghatározott ágazatokban (energia, pénzügy, egészségügy, víz, közlekedés) jelöltek ki az illetékes hatóságok, továbbá létfontosságú szerepet játszanak társadalmunkban, megbízhatóságuk és biztonságuk alapvetően lényeges a gazdasági és társadalmi tevékenységek, különösen a belső piac működése szempontjából. Ezen szolgáltatók beazonosítása a már meglévő jogszabályi háttér alapján, annak kritériumrendszerének kiegészítésével történik.
A bejelentés-köteles szolgáltatást nyújtókkal (online piacterek és keresőprogramok, felhőalapú számítástechnikai szolgáltatások) kapcsolatos hatósági és eseménykezelési feladatok végrehajtása a hatályos információbiztonsági jogszabályok mintájára, de egy teljesen új, különálló jogszabály alapján valósul meg. A Kormány a belügyi feladatokat érintő és más kapcsolódó törvények módosításáról szóló 2017. évi CXXXIV. törvénnyel hatályba lépő, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 16. § (1a) bekezdés a)-d) pontja szerinti felhatalmazásának eleget téve a bejelentés-köteles szolgáltatást nyújtókról szóló 410/2017. (XII. 15.) Korm. rendeletben megállapította a bejelentés-köteles szolgáltatásokkal kapcsolatos szabályokat.

A Korm. rendelet részletesen meghatározza a bejelentés-köteles szolgáltatók kötelezettségeit, amelyek az informatikai rendszerüket érhető károk megelőzésére, valamint a bekövetkezés esetén az elhárításra, továbbá a hatósággal létrehozandó jogviszonyra vonatkoznak.

A Korm. rendelet kifejti a hatóság hatáskörét, amely a megelőzés-elhárítás-helyreállítás tagolású modellt követi és nagymértékben támaszkodik az ügyfelek önkéntes jogkövető magatartására, ugyanakkor hatósági eszközöket biztosít a végrehajtás érdekében.

A Kormány az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 25. § (1) alapján az alapvető szolgáltatásokat nyújtó szereplők hálózati és elektronikus információs rendszerei biztonsági felügyeletét ellátó hatósági és eseménykezelési feladatok ellátására a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóságot (a továbbiakban: BM OKF) jelölte ki. Az eseménykezelő központ kibővült feladat és hatásköre a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenység vizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendelet módosításával valósult meg.

Az alapvető szolgáltatást nyújtók beazonosítása a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtási rendeleteinek és kritériumrendszerének kiegészítésével realizálódik.