IBTV módosítás

Módosították a 2013. évi L. (az állami és önkormányzati szervek elektronikus információbiztonságáról szóló) törvényt és a kapcsolódó végrehajtási rendeleteket.

A várakozásoknak megfelelően az Országgyűlés még a nyári ülésszakban módosította az IBTV-t. A 2015. évi CXXX. törvény rendelkezik többek között a 2013. évi L. törvény módosításáról is. Ehhez kapcsolódóan módosultak a végrehajtási rendeletek is. Új rendeletek:

• 185/2015. (VII. 13.) Korm. rendelet
• 187/2015. (VII. 13.) Korm. rendelet
• 41/2015. (VII. 15.) BM rendelet
• 42/2015. (VII. 15.) BM rendelet

Hatályon kívül kerültek a 233/2013. (VI. 30.) és 301/2013. (VII. 29.) Korm. rendeletek valamint 73/2013. (XII. 4.) és 77/2013. (XII. 19.) NFM rendeletek.

Fontosabb változások:

• A kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköre, a biztonsági események kezelése, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályai változtak (185/2015. Korm. rendelet).
• Felügyelő hatóságok szervezeti felépítése, a feladatainak megosztása és a hatósági eljárás is változott (187/2015. Korm. rendelet). A NEIH önálló feladatkörrel és hatósági jogkörrel rendelkező főosztály a Belügyminisztériumban.
• Az érintett szervezetek a továbbiakban kizárólag a NEIH szakrendszerén keresztül tehetnek eleget az adatszolgáltatási kötelezettségüknek (elektronikus információs rendszer biztonságáért felelős személy és a szervezet adatai), valamint egy elektronikus űrlap kitöltésén keresztül juttathatják el a biztonsági szintbe és osztályba sorolás eredményét. Tehát az adatszolgáltatási kötelezettségnek mostantól a hatóság által meghatározott formában kell megtörténnie. Részletek a NEIH honlapján. A már elvégzett adatszolgáltatásokat nem kell újra elvégezni a szakrendszerben. Apró szépséghiba, hogy a NEIH szakrendszere a bejegyzés írásakor még nem üzemel.
• Lényeges újdonság, hogy a szervezet biztonsági szintbe sorolásán túl az alábbi szervezeti alegységeket is be kell sorolni. Az elektronikus információs rendszer: fejlesztését végző; üzemeltetését végző; üzemeltetéséért felelős; információbiztonságáért felelős szervezeti egységek. Az egyes szervezeti egységek besorolása eltérhet a szervezet biztonsági szintjétől.
• Újdonság továbbá, hogy a szervezet és szervezeti egységek biztonsági szintjét nem az elektronikus információs rendszer biztonsági osztályba sorolása határozza meg, hanem ezen rendszerek használatának módja alapján a rendeletben rögzítettek szerint meghatározható. A 41/2015. BM rendelet 2. melléklete nyújt részletes tájékoztatást a biztonsági szintekről és a hozzájuk tartozó követelményekről.

A biztonsági szintekkel kapcsolatos változások minden érintettnél elengedhetetlenné teszik a már elvégzett besorolások felülvizsgálatát legalább a szervezet tekintetében. Meg kell határozni a kiemelt szervezeti egységek biztonsági szintjeit.
Az egyes elektronikus információs rendszerek biztonsági osztályba sorolását is érdemes áttekinteni, megbizonyosodni a megfelelésről a 41/2015. BM rendelet 3. melléklete alapján.

Szomorú belegondolni hogy azok a szervezetek, akik nem tettek eleget mostanáig a törvényi kötelezettségüknek jobban jártak abban a tekintetben, hogy nem kell kétszer megbizonyosodniuk a megfelelésről az IBTV mostani módosítása miatt. Ennek ellenére úgy gondoljuk, hogy a módosítás pozitív irányba mozdítja a törvény alkalmazhatóságát a gyakorlatban.