Új fejezet nyílt az információbiztonsági szabályok terén

Az új szabályozás eredete

Az Európai Unió 2016. július 6-án elfogadta a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, un. NIS irányelvet, amelyet elsősorban az elektronikus kereskedelemről szóló törvény, másodsorban pedig a 270/2018 (XII. 20) Kormány rendelet implementált a magyar jogrendbe 2018. május 10-i hatályba lépéssel.

Az új szabályozás három szektorban (online piactér, online keresőszolgáltatás, felhőalapú számítástechnikai szolgáltatás) írja elő a digitális szolgáltatást nyújtó vállalkozások regisztrációs, biztonsági eseményekkel kapcsolatos bejelentési kötelezettségét. A Nemzetbiztonsági Szakszolgálat az eljáró hatóság, amelynek hatósági eljárás indítási joga van dokumentációkhoz hozzáférési, helyszíni ellenőrzés joggal megtűzdelve a figyelmeztetés, bírságolás mellett.

A jogszabály egyértelműen abba az irányba mutat, hogy a szabályozás tárgykörébe tartozó, kkv-t meghaladó cégméret fölötti vállalkozások digitális térben való működése nem kizárólag a cég belügye, hanem állami felügyelet, ellenőrzés alá vont terület. A továbbiakban nem marad az informatikai kollégák zárt ajtaja mögött az, hogyan tervezik meg a biztonsági események megelőzését, kezelését, milyen dokumentumokat készítenek és hogyan járnak el egy információ biztonsági esemény bekövetkeztekor. A hatóság felé bejelentendő biztonsági események körét ugyan megjelöli a jogszabály, azonban az előírások gyakorlati értelmezésére és az esetleges esemény bejelentésének kezelésére célszerű előzetesen felkészülni, vállalati stratégiát, folyamatokat kialakítani.

A szabályozással érintett legnagyobb szolgáltatói kör: a webshopok

Miután a legnagyobb számban az online piacteret működtetők vannak, ezért ezt a definíciót fejtem ki bővebben. Az elektronikus kereskedelemről szóló törvény szerint az „online piactér” új definíciója (ezáltal a NIS irányelv hatálya alá tartozó cégek köre) gyakorlatilag az összes B2C és B2B digitális szolgáltatást lefedi, amennyiben a fogyasztó ellenérték fejében vásárol vagy szerez meg szolgáltatást üzletszerűen eljáró vállalkozástól a digitális térben. Pl.

  • online áruvásárlás: áru vásárlás webshopban; jegyvásárlás rendezvényre, (légi) utazásra; voucher (később felhasználható szolgáltatás) vásárlás,
  • online szolgáltatás vásárlás: előfizetés digitális vagy print sajtótermékre; előfizetés digitális szolgáltatásra (játék, adatbázis elérés, időjárás-jelentés); szállásfoglalás; hirdetés feladás, sportbérlet.

Tennivalók

1. Regisztráció

A bejelentés-köteles szolgáltatást nyújtónak elektronikus úton regisztrálnia kell az Űrlapok menüpontban közzétett Excel munkafüzet formátumú NEIH-BKSZ űrlap használatával, melyet általános kéreleműrlaphoz (e-Papír) csatolva, cégkapuról bejelentkezve tud benyújtani a cég illetékes kollégája. Az e-Papírt a szervezet törvényes képviseletére jogosult személy személyes ügyfélkapuról is benyújthatja.

Az űrlapon meg kell adni:

  • a szolgáltatást nyújtó gazdasági társaság elnevezését,
  • a szolgáltatást nyújtó gazdasági társaság székhelyét,
  • a szolgáltatást nyújtó gazdasági társaság cégjegyzékszámát,
  • a szolgáltatást nyújtó elektronikus kapcsolattartási adatait, (itt olyan kapcsolattartót érdemes megadni, aki tudja kezelni a hatóságról érkező leveleket),
  • a nyújtott szolgáltatás típusát (piactér – keresőszolgáltató – felhőszolgáltató).

A kormányrendeletben ugyan nem szerepel, de az Excel-ben elkérik továbbá:

  • a nyújtott szolgáltatás elektronikus elérhetőségét (domain, URL, weboldal)
  • a szolgáltatás nyújtásában közreműködő egyéb szervezet fenti adatait.

Az első adat (domain) megadása a cég számára is előnyös, mert kritikus esetben egyértelmű lesz, hogy a biztonsági esemény jelzése miért az adott weboldalra terjed ki. Az utolsóként kért adat (alvállalkozó megjelölése) túl megy a jogszabályi kereteken, ezért megadása nem kötelező és nem is javasolom.

Elvárás az, hogy a regisztráció során megadott adatok változásáról (pl. cégnév változás), továbbá a szolgáltatás megszűnéséről 8 napon belül tájékoztatni kell a hatóságot az NBSZ honlapján közzétett formában.

2. Biztonsági elvárásoknak megfelelés

A kormányrendelet egyértelműen nem írja elő, hogy a hatálya alá tartozó digitális szolgáltatóknak meg kellene felelniük a biztonsági szintre vonatkozó jogszabályi elvárásoknak, azonban a hatósági jogkörök (2. § (2) db)) között, és hatóság hivatalos kommunikációjában is szerepel ez az elvárás.

A Hatóság a Bizottság (EU) 2018/151 végrehajtási rendeletének 2. cikkében foglalt rendelkezéseket tekinti a „megfelelő biztonsági szint biztosításának” érdekében figyelembe veendő szempontoknak.

A rendelet szövege itt található meg (terjedelmi okok miatt itt nem idézem): https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32018R0151&from=BG

Nem elég azonban elméletben megfelelni az EU végrehajtási rendeletben foglaltaknak, azt dokumentálni is kell. (4. §) A digitális szolgáltatók tekintetében egyértelmű tehát az elvárás, hogy a hatály alá tartozó szolgáltatás biztonsági elvárások szerinti működése megfelelően dokumentálva legyen. Hangsúlyozandó, hogy online piacterek esetében kizárólag a „webshop”, vagy az azzal egyenértékű felület biztonsági megoldásainak beállításáról és dokumentálásáról van szó és nem pedig a vállalkozás egyéb tevékenységeinek biztonsági paramétereiről és azok dokumentálásáról. Nem vonatkozik a szabályozás a webshop-ban árusított digitális termékekre biztonsági elvárásaira és azok dokumentálására sem.

Egy példával illusztrálva: a kormányrendelet elvárásai kizárólag a Spotify digitális előfizetésre szolgáló felületét illetik, se az egyéb tevékenység (pl. műsorgyártás), sem pedig az előfizetési szolgáltatás nem tartozik a szabályozás hatókörébe.

3. Biztonsági események bejelentése

A digitális szolgáltatónak haladéktalanul be kell jelenteni az NBSZ (Nemzetbiztonsági Szakszolgálat) eseménykezelő központja részére az elektronikus információs rendszereiben bekövetkezett, a szolgáltatás nyújtására jelentős hatást gyakorló eseményeket.

A jelentős hatású események paramétereit a Bizottsági végrehajtási rendelet 4. cikke tartalmazza:

„(1) A biztonsági esemény akkor tekinthető jelentős hatásúnak, ha az alábbi helyzetek közül legalább az egyik előáll:

a) a digitális szolgáltató által nyújtott szolgáltatás több mint 5 000 000 felhasználóóra erejéig nem érhető el, ahol a „felhasználóóra” kifejezés az esemény által hatvan perces időszak alatt az Unió területén érintett felhasználók számát jelenti;

b) az esemény következtében sérül a tárolt, továbbított vagy feldolgozott adatok vagy a digitális szolgáltató hálózati és információs rendszere által nyújtott vagy azon keresztül elérhető, kapcsolódó szolgáltatások sértetlensége, hitelessége vagy bizalmassága, és ez Unió-szerte több mint 100 000 felhasználót érint;

c) az esemény veszélyt jelent a közvédelemre, a közbiztonságra vagy az emberi életre;

d) az esemény az Unió területén legalább egy felhasználó számára 1 000 000 EUR-t meghaladó kárt okoz.”

A bejelentésnek legalább a következőket kell tartalmaznia:

  • az információs rendszerben bekövetkezett incidens rövid leírását, státuszát;
  • a bejelentés-köteles szolgáltatás működésében támadt zavar mértékét;
  • az incidens kezelésére kijelölt kapcsolattartó személy elérhetőségét;
  • a biztonsági esemény hatását meghatározó szempontokat
  •  a biztonsági esemény által érintett felhasználók számát – különös tekintettel azon felhasználókra, akik az érintett szolgáltatásra alapozzák a saját szolgáltatásaik nyújtását
  • a biztonsági esemény időtartamát,
  • a biztonsági esemény által érintett terület földrajzi kiterjedését,
  • a szolgáltatás működésében támadt zavar mértékét, és
  • a gazdasági és társadalmi tevékenységekre gyakorolt hatás mértékét.

A biztonsági esemény bejelentésére vonatkozó kötelezettség csak akkor áll fenn, ha a szolgáltató rendelkezésére állnak azok az információk, amelyek alapján az esemény hatását meg tudja ítélni. (6. § (4)) Ezt a kisegítő szabályt feltehetően nem lehet kiterjesztően értelmezni, vagyis nem tudunk úgy tenni, mintha nem tudnánk semmit és emiatt nem jelentünk semmit, mert a biztonsági sérülések jellemzően nem elszigetelten történnek és a hatósághoz beérkező egyéb – hazai és nemzetközi – információk alapján feljárás megindításához elegendő eltételezésekkel tudnak élni.

A bejelentéseket ide kell megtenni: https://www.cert-hungary.hu/incidensbejelentes

Jogkövetkezmények:

A hatóság jogköre számos, az adott társaság számára „fájdalmas” elemet ölel fel. A legfontosabbakat kiemelem:

2. § dszükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy

da) bocsássák rendelkezésre az elektronikus információs rendszereik biztonságának megállapításához szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is,

db) gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről, bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről;

e) a nyilvánosságot szükség szerint tájékoztatja az egyes biztonsági eseményekről;

f) szükség szerint kötelezi a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására;

(6) A hatóság az eljárása során, feladatai ellátása érdekében – az intézkedéssel érintett bejelentés-köteles szolgáltatást nyújtó működésének és üzemvitelének lehető legkisebb mértékű zavarása mellett – helyszíni ellenőrzés keretében jogosult önállóan vagy más hatósággal együtt

a) az érintett bejelentés-köteles szolgáltatást nyújtó információtechnológiai tevékenységével összefüggő helyiségeibe belépni,

b) az érintett bejelentés-köteles szolgáltatást nyújtó számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos elektronikus vagy papíralapú okiratokról, dokumentumokról, szerződésekről, adatbázisokról másolatot készíteni, valamint

c) információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal.”

7. § (3) A hatóság (…) bírságot szabhat ki” maximum 5.000.0000 Forint értékhatárig.

A kivétel

A kkv-kra nem vonatkozik a szabályozás! Kik ők?

Akik a kkv-król szóló 2004. évi XXIV. tv. alapján max. kb. 3.200.000.000 forint évi árbevétel rendelkeztek a 2018. december 31-én záruló üzleti évben partnervállalkozással, kapcsoltvállalkozással együtt.

Az árbevételi küszöb kalkulálásakor nem az online piactér szolgáltatásból származó árbevétel számít, hanem az adott vállalkozás (kapcsolat vagy partner cégekkel együtt) árbevétele, ami azt jelenti, hogy egy marginális webshopot működtető, de egyébként a küszöb feletti árbevétellel rendelkező cég tevékenysége automatikusan bejelentés kötelessé válik a biztonsági események kezelésére, bejelentésére vonatkozó szabályok alkalmazásának kötelezettsége mellett.

Jogi támogatás

A bejelentés megtételében, a jogszabály értelmezésében, a dokumentáció teljességének megítélésében, bejelentés-kezelési folyamat kidolgozásában, valamint esetleges hatósági eljárásban jogi támogatást nyújtani, azonban a magyar és uniós a biztonsági szint beállítását, a biztonsági események besorolását, azonosítását, az alkalmazandó eljárások kidolgozását illetően az IT Security terület az elsődlegesen felelős.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

A bejegyzés kategóriája: Nincs kategorizálva
Kiemelt szavak: , , .
Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

* Copy This Password *

* Type Or Paste Password Here *

This site uses Akismet to reduce spam. Learn how your comment data is processed.