• Tartalom
Oldalmenü

26/2016. (VI. 30.) BM rendelet

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről1

2016.07.01.

Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 106. § b) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21. § 5. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § A rendelet hatálya kiterjed

a) a Nemzeti Média- és Hírközlési Hatóságra (a továbbiakban: bizalmi felügyelet), és

b) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: eIDAS Rendelet) 3. cikk 16. pontja szerinti szolgáltatást nyújtó Magyarországon letelepedett bizalmi szolgáltatókra (a továbbiakban: szolgáltató).

1. Szolgáltató és szolgáltatás bejelentése

2. § (1) A szolgáltató az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: E-ügyintézési tv.) 80. § (1) és (2) bekezdése szerinti bejelentést a bizalmi felügyelet által a honlapján közzétett űrlapon teszi meg. A bejelentésnek a következőket kell tartalmaznia:

a) a szolgáltató nevét, lakcímét, szervezet esetén székhelyét,

b) a folytatni kívánt bizalmi szolgáltatás (a továbbiakban: szolgáltatás) megjelölését,

c) a szolgáltatás nyújtásának helyét és a szolgáltatás megkezdésének időpontját, valamint

d) ha a szolgáltató létrejötte cég- vagy egyéb közhiteles nyilvántartásban való bejegyzéshez kötött, a vonatkozó nyilvántartás megnevezését és a szolgáltató nyilvántartási számát vagy egyéb, az adott nyilvántartás szerinti azonosítóját.

(2) A bejelentéshez csatolni kell a következő iratokat és dokumentumokat:

a) a szolgáltatási szabályzatot,

b) a szolgáltatási rendet,

c) a szolgáltatási szerződés kapcsán a minden ügyfélnél alkalmazni kívánt általános szerződési feltételeket (üzletszabályzatot),

d) a fogyasztók részére elérhetővé tett szolgáltatási kivonatot,

e) minősített bizalmi szolgáltató esetén a szolgáltató vagy alkalmazottja szakképzettségét igazoló okirat hiteles másolatát, vagy ha az adott szakképzettség valamely állami szerv jogszabály alapján rendszeresített nyilvántartásában is szerepel, a szakképzettség megnevezését és az azt igazoló okirat számát, valamint a szolgáltató vagy alkalmazottja szakmai tapasztalatát igazoló részletes szakmai önéletrajzát,

f) a felelősségbiztosítást, valamint a minősített bizalmi szolgáltató esetén a szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről szóló jogszabályban meghatározott egyéb pénzügyi követelmények teljesítését igazoló iratokat,

g) minősített bizalmi szolgáltató esetén az 1. melléklet, nem minősített bizalmi szolgáltató esetén a 2. melléklet szerinti nyilatkozatot,

h) minősített bizalmi szolgáltató esetén a minősített bizalmi szolgáltatóval szemben az eIDAS Rendeletben vagy a végrehajtására kiadott uniós jogi aktusban és jogszabályban meghatározott követelményeknek való megfelelőséget igazoló, az eIDAS Rendelet 20. cikk (1) bekezdése szerinti, független megfelelőségértékelő szerv (a továbbiakban: megfelelőségértékelő szerv) által kiadott megfelelőségértékelési jelentést,

i) a bizalmi listán való közzétételhez, illetve a bizalmi lista összeállításához szükséges adatlapot, valamint

j) a bizalmi munkakörök elhatárolását alátámasztó dokumentumokat.

2. A szolgáltató változásbejelentési kötelezettsége és a szolgáltatás megszüntetésére irányuló bejelentés

3. § (1) A szolgáltató – a (2) bekezdésben foglalt kivétellel – köteles a bizalmi felügyelet által közzétett űrlapon, változásbejelentési eljárás keretében bejelenteni a 2. § (1) bekezdése szerinti bejelentő űrlapon szereplő adatokat érintő változást, valamint csatolja

a) minősített bizalmi szolgáltatók esetén az E-ügyintézési tv. 95. § (2) bekezdése szerinti éves helyszíni ellenőrzést megelőzően benyújtandó megfelelőségértékelési jelentést és az adott éves változásokról szóló összefoglalót,

b) az adatváltozást alátámasztó azon iratokat, amelyeket a 2. § (1) bekezdése szerinti bejelentéskor is köteles csatolni.

(2) A szolgáltató változásbejelentési eljárás nélkül jelenti be

a) a 2. § (2) bekezdés a)–d) pontja szerinti valamely irat módosítását akkor is, ha az egyébként változásbejelentési kötelezettség alá eső adatot nem érint,

b) a 2. § (2) bekezdés f) pontja szerinti pénzügyi követelményeket igazoló adatban vagy a követelmények teljesítését alátámasztó iratokban bekövetkező változást, valamint

c) a 2. § (1) bekezdés a) vagy c) pontjában foglalt adatok változását, ha a szolgáltató személye egyébként nem változott és abban jogutódlás sem történt.

(3) Ha az (1) bekezdés szerinti változásbejelentés vagy a (2) bekezdés szerinti bejelentés a 2. § (2) bekezdés a)–d) pontja szerinti valamely irat módosítását is tartalmazza, a szolgáltató a módosított irathoz köteles annak a változásokkal egységes szerkezetbe foglalt változatát is csatolni.

4. § (1) A szolgáltató szolgáltatás nyújtásának megszüntetésére irányuló bejelentése tartalmazza

a) a szolgáltatás megszüntetése időpontját,

b) az E-ügyintézési tv. 88. és 89. §-a szerinti átvevő bizalmi szolgáltató megnevezését, valamint az ott meghatározott követelmények teljesítéséről szóló megállapodást, és

c) a szolgáltatás nyújtását megszüntető szolgáltató megőrzési kötelezettségének eleget tevő minősített archiválási szolgáltató megnevezését, ha a bizalmi szolgáltató megőrzési kötelezettségének minősített archiválási szolgáltató igénybevételével tesz eleget.

(2) A szolgáltatás nyújtását megszüntető szolgáltató köteles a nyilvántartások átvétele és működtetése kapcsán felmerülő költségeket a nyilvántartást átvevő kijelölt szolgáltatónak megtéríteni.

3. A minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök megfelelőségét tanúsító kijelölt szervezet által tanúsított eszközök bejelentése

5. § (1) Az E-ügyintézési tv. 94. § (1) bekezdés b) pontja szerinti, minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök megfelelőségét tanúsító, az E-ügyintézési tv. 94. § (1) bekezdés c) pontja szerint bejelentett kijelölt szervezet (a továbbiakban: kijelölt tanúsító szerv) bejelenti a bizalmi felügyeletnek az általa kiállított tanúsítványba foglalt minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközt mint biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközt (a továbbiakban: eszköz).

(2) Az (1) bekezdés szerinti bejelentés tartalmazza

a) a tanúsítványban foglalt eszköz gyártójának megnevezését,

b) az eszköz sorozatának vagy típusának megnevezését, azonosítóját,

c) a tanúsítvány kiadásának keltét,

d) kijelölt tanúsító szerv megnevezését,

e) a tanúsítványt és az azt alátámasztó jelentést,

f) ha a tanúsítvány vagy a jelentés nem magyar nyelvű, azok hiteles magyar nyelvű fordítását, valamint

g) a tanúsítvány érvényességének kezdetét és lejártának napját.

(3) A kijelölt tanúsító szerv az (1) bekezdés szerint bejelentett tanúsítást érintő valamennyi lényeges döntésről – így különösen a tanúsítás felfüggesztéséről, visszavonásáról a tanúsítási jelentésben foglalt megállapítások változásáról – három munkanapon belül köteles a bizalmi felügyeletet értesíteni.

(4) Ha a bizalmi felügyelet ellenőrzése során észleli, hogy a minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszköz nem felel meg a biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközzel szemben támasztott követelményeknek, erről értesíti a kijelölt tanúsító szervet, szükség esetén annak kijelölő hatóságát.

(5) Ha a kijelölt tanúsító szerv bejelentésében a bizalmi felügyeletet arról értesíti, hogy a tanúsítványt visszavonta, felfüggesztette vagy a tanúsítási jelentésben foglalt megállapításokat megváltoztatta vagy a bizalmi felügyelet ennek megtörténtéről más módon tudomást szerez, a bizalmi felügyelet a biztonságos minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszközök nyilvántartásából ezt jelzi vagy törli, és a törlés tényét és időpontját feltünteti.

4. A bejelentés tartalma és a bejelentő ellenőrzése, a hatósági nyilvántartás vezetése

6. § A bizalmi felügyelet a 2. § (1) és (2) bekezdése szerinti bejelentés és a benyújtott iratok alapján haladéktalanul ellenőrzi, hogy a szolgáltató megfelel-e a szolgáltatás nyújtásával kapcsolatos követelményeknek. Ha a bizalmi felügyelet megállapítja, hogy a szolgáltató a követelményeknek nem vagy nem teljes körűen felel meg, a szolgáltatás nyújtására való jogosultság megfelelő igazolásáig megtiltja a szolgáltató számára a szolgáltatás nyújtását.

7. § Ha a bizalmi felügyelet ellenőrzése során a szolgáltató működésében változást tapasztal vagy az más módon a tudomására jut, a szolgáltatót felhívja a változással összefüggő iratok benyújtására.

8. § A bizalmi felügyelet a szolgáltatónak megtiltja a szolgáltatás nyújtását és a szolgáltatót a nyilvántartásból törli, ha az E-ügyintézési tv. 95. §-ában meghatározott intézkedései nem vezettek eredményre, és

a) a szolgáltatás nyújtásának feltétele már nem áll fenn, vagy

b) az eIDAS Rendeletben, annak uniós végrehajtási aktusaiban, az E-ügyintézési tv.-ben, valamint az E-ügyintézési tv. végrehajtására kiadott jogszabályokban foglalt követelmények teljesítése más módon nem biztosítható.

9. § A bizalmi felügyelet olyan nyilvántartási rendszert alakít ki, amely biztosítja a nyilvántartások 10. § szerinti közzétételét és folyamatos elérhetőségét a bizalmi felügyelet honlapján.

10. § A bizalmi felügyelet által vezetett nyilvántartásokban szereplő adatok közül nyilvános a 2. § (1) bekezdése szerinti adat, valamint a 2. § (2) bekezdés a)–d) pontjában meghatározott iratok, továbbá az adattartalom érvényességi ideje.

11. § A bizalmi felügyelet az eIDAS Rendelet 21. cikk (2) bekezdés második albekezdése szerinti esetben a bizalmi listán haladéktalanul feltünteti a minősített bizalmi szolgáltatót és az általa nyújtott minősített bizalmi szolgáltatást.

12. § A bizalmi felügyelet a 4. § (1) bekezdése szerint tett bejelentés alapján vezeti a szolgáltatóknak a szolgáltatás megszűnésével kapcsolatos nyilvántartását, amely a szolgáltatását megszüntető, illetve a nyilvántartásait átvevő szolgáltatónak az E-ügyintézési tv.-ben meghatározott adatait tartalmazza.

13. § (1) A bizalmi felügyelet az E-ügyintézési tv. 94. § (1) bekezdés c) pontja alapján az eIDAS Rendelet 30. cikk (1) bekezdése szerinti célból nyilvántartásba veszi a minősített elektronikus aláírást és minősített elektronikus bélyegzőt létrehozó eszköz megfelelőségének tanúsítására a megfelelőséget tanúsító szervek tevékenységéről szóló törvény és végrehajtási rendeletei szerint arra jogosult szerveket.

(2) A tanúsító szerv az (1) bekezdés szerinti tevékenységet jogszabályban meghatározott kijelölés alapján, a kijelölési okirat tartalmának megfelelően jogosult végezni.

(3) A bizalmi felügyelet ellenőrzi, hogy a kijelölt tanúsító szerv a kijelölési feltételeknek megfelel-e. E célból a kijelölt tanúsító szerv köteles lehetővé tenni, hogy a bizalmi felügyelet képviselői a kijelölt tanúsító szerv helyiségeibe, területére beléphessenek, a kijelöléssel kapcsolatos tevékenységet érintő iratokat, jegyzőkönyveket, tanúsítványokat megtekinthessék, és a szükséges ellenőrzéseket elvégezhessék.

(4) Ha a bizalmi felügyelet az ellenőrzése során észleli, hogy a kijelölt tanúsító szerv nem felel meg a vele szemben támasztott követelményeknek, erről értesíti a kijelölt tanúsító szerv kijelölő hatóságát.

5. Záró rendelkezések

14. § Ez a rendelet 2016. július 1-jén lép hatályba.

15. § Ez a rendelet a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.

1. melléklet a 26/2016. (VI. 30.) BM rendelethez

AZONOSÍTÓ SZÁM
Megfelelőségi nyilatkozat minősített szolgáltatás nyújtásának nyilvántartásba vételéhez
Alulírott a(z) ....................................... (a továbbiakban: szolgáltató) képviseletében
    1.    Nyilatkozom arról, hogy a .....................-n kelt Bejelentésben megjelölt minősített szolgáltatások nyújtásához:
1.1.    A szolgáltató rendelkezik a hatályos jogszabályokat kielégítő fizikai-környezeti védelemmel, számítógépes programokkal/rendszerekkel, nyilvántartásokkal, valamint az ezek ellenőrzésére szolgáló, a kockázatokkal adekvát és az elvárható gondos és körültekintő vezetéshez és megbízható működéshez szükséges kontroll rendszerrel. A kialakított kontroll rendszer – beleértve a szükséges szabályzatokat, az ügyviteli és mentési, valamint helyreállítási eljárásokat, az üzletmenet folytonossági és rendkívüli üzemeltetési helyzetek kezelésére vonatkozó tervet és erőforrásokat – biztosítja a tevékenység folyamatos és biztonságos végzéséhez szükséges feltételeket.
1.2.    Kialakításra került a szolgáltató által nyújtott szolgáltatásokra vonatkozó, a körültekintő és biztonságos működéshez szükséges szabályozási környezet, és a kapcsolódó monitoring. Ezek implementálásáról, naprakészen tartásáról, és a változásokhoz igazításáról gondoskodom.
1.3.    A szolgáltató eszközeire vonatkozó tervezési és fejlesztési szabályzatok, szerződések, valamint a kialakított mentési és helyreállítási eljárások, a számítógépes programok és a tárolt adatok vonatkozásában bármilyen körülmények között biztosítják a jogszabályban, a szolgáltatási szabályzatban és a belső eljárási rendben meghatározott határidőn belül a szolgáltatások helyreállíthatóságát és folyamatos működését.
1.4.    A szolgáltató (hardver, szoftver, telekommunikációs) eszközeire és üzleti folyamataira lebonyolított tesztekkel igazolom, hogy számítógépes rendszere alkalmas azok rendszerelemeinek a jogszabályban és a belső szabályokban előírt módon történő rendszerszintű összekapcsolására, illetve folyamatos, biztonságos és megbízható szolgáltatások nyújtására, amely magába foglalja a tevékenységből eredő adatszolgáltatási és módosítási kötelezettséget is.
1.5.    A kontroll rendszer működtetéséhez a megfelelő képzettséggel, ismeretekkel és gyakorlattal rendelkező, megfelelő számú személyzet rendelkezésre áll. A személyzet kiválasztásáról, ellenőrzéséről, függetlenségéről, folyamatos képzéséről a biztonsági szabályzat részeként kidolgozott, folyamatosan karbantartott személyzeti politika, szerepkör-meghatározások és ezek alapján elkészített egyéni feladatleírások alapján gondoskodom. A bizalmi munkakörök egymástól és más munkaköröktől való elválasztásáról gondoskodom.
1.6.    A szolgáltató rendelkezik a szükséges független ellenőri háttérrel.
    2.    Nyilatkozatomat a következők és a jelen nyilatkozat mellékletében felsorolt dokumentumok támasztják alá:
2.1.    Az egyes számítógépes rendszerek szállítói-bevizsgálói nyilatkoztak arról, hogy a rendszer, valamint annak telepítése és konfigurálása megfelel a jogszabályokban megfogalmazott biztonsági, üzleti, nyilvántartási, adatvédelmi és ellenőrzési követelményeknek. A rendszerben dokumentálatlan funkció nincs.
2.2.    A szolgáltató a szolgáltatás nyújtásához kapcsolódó kontroll rendszer működőképességéről megfelelő teszteléssel meggyőződött. Ezen belül az informatikáért és az egyes üzletágakért/szolgáltatásokért felelős vezetők írásban nyilatkoztak arról, hogy a számítógépes rendszer teljesíti a jogszabályokban megfogalmazott követelményeket, továbbá megfelel az üzletszabályzatban, a belső szabályzatokban és az ügyviteli eljárásokban előírtaknak. Az egyes szakterületek vezetői az ügyviteli eljárások végrehajthatóságáról, a követelmények teljesítéséről, a rendszer ellenőrizhetőségéről, a szállítók nyilatkozatának megalapozottságáról meggyőződtek.
2.3.    A szolgáltató adat- vagy informatikai biztonsági felelőse írásban nyilatkozott arról, hogy:
2.3.1.    a számítógépes rendszerek használatához a szállítók által előírt környezeti feltételeket az intézmény kialakította,
2.3.2.    a hozzáférési jogosultsági rendszer a jogszabályi előírásoknak és az intézmény szabályzatainak megfelelően lett kialakítva,
2.3.3.    a hozzáférési jogokat ennek megfelelően osztották ki és paraméterezték a rendszerbe,
2.3.4.    a rendszer adatvédelmi és információ archiválási funkcióinak működőképességéről teszteléssel meggyőződött, a tesztelési eredményeket dokumentálta.
2.4.    A szolgáltató belső ellenőre írásban nyilatkozott arról, hogy:
2.4.1.    a szolgáltatónál kialakított kontroll rendszer jogszabályi és belső szabályoknak történő megfelelőségét megállapította,
2.4.2.    a tesztek terjedelmét, lebonyolítását és dokumentálását megvizsgálta és azt megfelelőnek tartja.
    3.    Nyilatkozom arról, hogy a minősített szolgáltatás nyújtása során folyamatosan gondoskodom a kialakított kontroll rendszer működtetéséről és megfelelő változáskövető rendszer alkalmazásával naprakészen tartásáról.
    4.    Kijelentem, hogy a szolgáltató a vonatkozó jogszabályok ismeretében, a tőle elvárható gondossággal végzi a minősített szolgáltatásokat. A szolgáltató vezetésének nincs tudomása olyan tényről vagy körülményről, amely ennek ellentmondana. Kijelentem továbbá azt is, hogy ha a fenti körülményekben változás következne be, akkor a jogszabályoknak megfelelően a bizalmi felügyeletet haladéktalanul értesítem és gondoskodom a feltételeknek megfelelő működés helyreállításáról.
Kelt: .............................
................................................
cégszerű aláírása

2. melléklet a 26/2016. (VI. 30.) BM rendelethez

AZONOSÍTÓ SZÁM
Megfelelőségi nyilatkozat nem minősített szolgáltatás nyújtásának nyilvántartásba vételéhez
Alulírott a(z) ....................................... (a továbbiakban: szolgáltató) képviseletében
    1.    Nyilatkozom arról, hogy a .....................-n kelt bejelentésben megjelölt nem minősített szolgáltatások nyújtásához:
1.1.    A szolgáltató rendelkezik a hatályos jogszabályokat kielégítő fizikai-környezeti védelemmel, számítógépes programokkal/rendszerekkel, nyilvántartásokkal, valamint az ezek ellenőrzésére szolgáló, a kockázatokkal adekvát és az elvárható gondos és körültekintő vezetéshez és megbízható működéshez szükséges kontroll rendszerrel. A kialakított kontroll rendszer biztosítja a tevékenység folyamatos és biztonságos végzéséhez szükséges feltételeket.
1.2.    A szolgáltató eszközeire vonatkozó tervezési és fejlesztési szabályzatok, szerződések, valamint a kialakított mentési és helyreállítási eljárások, a számítógépes programok és a tárolt adatok vonatkozásában biztosítják a jogszabályban, a szolgáltatási szabályzatban és a belső eljárási rendben meghatározott határidőn belül a szolgáltatások helyreállíthatóságát.
1.3.    A szolgáltató számítógépes rendszere alkalmas azok rendszerelemeinek a jogszabályban és a belső szabályokban előírt módon történő rendszerszintű összekapcsolására, illetve biztonságos és megbízható szolgáltatások nyújtására, amely magába foglalja a tevékenységből eredő adatszolgáltatási és módosítási kötelezettséget is.
1.4.    A kontroll rendszer működtetéséhez a megfelelő képzettséggel, ismeretekkel és gyakorlattal rendelkező, megfelelő számú személyzet rendelkezésre áll.
    2.    Nyilatkozatomat a következők és a jelen nyilatkozat mellékletében felsorolt dokumentumok támasztják alá:
2.1.    A szolgáltató a nem minősített szolgáltatás nyújtásához kapcsolódó kontroll rendszer működőképességéről megfelelő teszteléssel meggyőződött.
2.2.    A szolgáltató adat- vagy informatikai biztonsági felelőse írásban nyilatkozott arról, hogy:
2.2.1.    a számítógépes rendszerek használatához a szállítók és vagy előállítók által előírt környezeti feltételeket az intézmény kialakította;
2.2.2.    a hozzáférési jogosultsági rendszer a jogszabályi előírásoknak és az intézmény szabályzatainak megfelelően lett kialakítva;
2.2.3.    a hozzáférési jogokat ennek megfelelően osztották ki és paraméterezték a rendszerbe;
2.2.4.    a rendszer adatvédelmi és információ archiválási funkcióinak működőképességéről meggyőződött.
    3.    Nyilatkozom arról, hogy a nem minősített szolgáltatás nyújtása során folyamatosan gondoskodom a kialakított kontroll rendszer működtetéséről és naprakészen tartásáról.
    4.    Kijelentem, hogy a szolgáltató a vonatkozó jogszabályok ismeretében, a tőle elvárható gondossággal végzi a nem minősített szolgáltatásokat. A szolgáltató vezetésének nincs tudomása olyan tényről vagy körülményről, amely ennek ellentmondana. Kijelentem továbbá azt is, hogy amennyiben a fenti körülményekben változás következne be, akkor a jogszabályoknak megfelelően a bizalmi felügyeletet haladéktalanul értesítem és gondoskodom a feltételeknek megfelelő működés helyreállításáról.
Kelt: .............................
................................................
cégszerű aláírás
1

A rendeletet a 44/2017. (XII. 29.) BM rendelet 112. §-a hatályon kívül helyezte 2018. január 1. napjával.