Kritikus infrastruktúra-védelmi szakterület
A 2001. szeptember 11-i támadások következményeképpen Európában is erőteljesebben megjelent a kritikus infrastruktúrák védelmének kérdésköre. Az első, irányelvi szintű közösségi szabályozás az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, 2008. december 8-i 2008/114/EK tanácsi irányelv (ECI Irányelv) melynek hazai implementációja a 2012. évi CLXVI. törvénnyel (a továbbiakban: Lrtv.) következett. A szabályozás célja egyrészt a létfontosságú rendszerelemek azonosítása, kijelölése, illetve a teljeskörű védelem kialakítása és üzemfolytonos működés biztosítása. A törvény az alapvető fogalmak meghatározásán túl – többek között – rendelkezik a nemzeti és az európai létfontosságú rendszerelemek kijelöléséről, az üzemeltetői biztonsági tervkészítési kötelezettségről, a biztonsági összekötő személy kijelöléséről, a nyilvántartás és ellenőrzés szabályairól, valamint a szankcionálásról.
2016. július 19-én az Európai Unió elfogadta az Európai Parlament és a Tanács (EU) 2016/1148 irányelvét, az „A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló irányelvet” (NIS Irányelv). Ez az első átfogó, közösségi szintű szabályozás az információbiztonság területén, mely hálózati és információs rendszerek magas biztonsági szintjét kívánja biztosítani a közösségen belül. Az irányelv kettős alanyi hatállyal bír, mely alá esik az úgynevezett alapvető szolgáltatásokat nyújtó szereplők csoportja, illetve a digitális szolgáltatók csoportja.
Nemzeti létfontosságú rendszerelemmé történő kijelölés folyamata:
Az Lrtv. 1. mellékletében felsorolt ágazatok valamelyikébe tartozó szolgáltatást nyújtó valamennyi üzemeltető köteles azonosítási vizsgálatot lefolytatni. A vizsgálatnak ki kell terjednie a rendszerelem(ek) által nyújtott szolgáltatás(ok) folytonosságát veszélyeztető kockázati tényezők elemzésére és értékelésére, az ágazati és horizontális kritériumok teljesülésére, valamint az alapvető szolgáltatást nyújtóvá történő kijelölés lehetőségének vizsgálatára. A vizsgálat eredményeként elkészített azonosítási jelentésnek tartalmaznia kell az azonosítási vizsgálat eredményét, valamint a nemzeti vagy európai létfontosságú rendszerelemmé történő kijelölésre irányuló javaslatot. Erre az üzemeltetőnek a szolgáltatás nyújtásától, illetve a törvény hatályba lépésétől számított 60 nap áll rendelkezésére.
Az üzemeltető az elkészített azonosítási jelentését – annak elkészítését követő 8 napon belül – benyújtja az ágazati kormányrendeletben kijelölt ágazati kijelölő hatóság részére. Az ágazati kijelölő hatóság az azonosítási jelentésben foglaltakat, a horizontális és ágazati kritériumok teljesülését szakhatóság bevonásával, kijelölési eljárás keretében vizsgálja. Amennyiben legalább egy ágazati és legalább egy horizontális kritérium teljesül, úgy az ágazati kijelölő hatóság a létfontosságú rendszerelemet, vagy szolgáltatást kijelöli, továbbá elrendeli nyilvántartásba vételét, egyidejűleg rendelkezik az üzemeltető felvételéről az alapvető szolgáltatásokat nyújtó szereplők jegyzékébe, ha az általa üzemeltetett rendszerelem tekintetében megvalósulnak az Lrtv. 2/A. § (2) bekezdésében foglaltak, és az R. 3. melléklet szerinti jegyzékben szereplő alapvető szolgáltatást nyújt. Egyúttal rendelkezik az üzemeltetői biztonsági terv készítésének kötelezettségéről, elkészítésének és benyújtásának határidejéről, valamint biztonsági összekötő személy foglalkoztatásáról.
A szakhatóság (a hivatásos katasztrófavédelmi szervek központi szerve) a horizontális kritériumok teljesülését véleménynyilvánító szervek (Nemzeti Adó- és Vámhivatal, Alkotmányvédelmi Hivatal központi szerve, általános rendőrségi feladatok ellátására létrehozott szerv területi, illetve központi szerve, a Terrorelhárítási Központ, a Nemzeti Információs Központ, a Terrorelhárítási Információs és Bűnügyi Elemző Központ, az Országos Idegenrendészeti Főigazgatóság, a területileg illetékes főispán, a területi környezetvédelmi hatóság, a területi vízügyi és vízvédelmi hatóság, az országos természetvédelmi és környezetvédelmi hatóság, valamint az országos vízügyi és vízvédelmi hatóság, a hivatásos katasztrófavédelmi szerv területi szervének) bevonásával vizsgálja.
Horizontális kritériumok (65/2013. (III. 8.) Korm. rendelet (a továbbiakban Lrtv. Vhr.) 1. melléklete:
- gazdasági hatás kritériuma
- politikai hatás kritériuma
- társadalmi hatás kritériuma
- környezeti hatás kritériuma
- veszteségek kritériuma
- védelem kritériuma
Az alapvető szolgáltatást nyújtó szereplők olyan szervezetek, vagy gazdasági szereplők, amelyek létfontosságú társadalmi és/vagy gazdasági folyamatok és funkciók ellátásnak biztosítása céljából alapvető szolgáltatást nyújtanak, szolgáltatásuk elektronikus információs rendszerektől függ és a szolgáltatásukat érintő biztonsági esemény jelentős zavart okozna a szolgáltatásban, valamint az erre irányuló eljárásban alapvető szolgáltatást nyújtó szereplőként került azonosításra. Az irányelv hét alapvető szolgáltatási ágazatot azonosított:
- Energia,
- Közlekedés,
- Egészségügy,
- Digitális infrastruktúra,
- Pénzügy,
- Ivóvízellátás.
A magyar szabályozás kettős az alapvető szolgáltatást nyújtó szereplők kijelölése esetén, akik egy része a létfontosságú rendszerelem üzemeltetői köréből kerül ki, más részük– figyelemmel arra, hogy nem teljesítik az ágazati és a horizontális kritériumokat – viszont a Nemzetbiztonsági Szakszolgálat által kerülnek kijelölésre.
Magyarországon a 2013. évi L. törvény szabályozza az állami és önkormányzati szervek mellett a létfontosságú rendszerek és létesítmények információbiztonsági keretrendszerét, melyek hatósági felügyeletét a Nemzetbiztonsági Szakszolgálat látja el.
A kijelölt nemzeti létfontosságú rendszerelem üzemeltetőjének a kijelölő határozat véglegessé válásától számított 60 napon belül intézkednie kell biztonsági összekötő személy megbízásáról, vagy foglalkoztatásáról, mely személy adatait a fenti határidőn belül köteles eljuttatni a nyilvántartó hatóság (BM OKF) részére.
A kijelölt nemzeti létfontosságú rendszerelem üzemeltetőjének a kijelölő határozatban rögzített határidőn belül üzemeltetői biztonsági tervet kell készítenie, melynek tartalmi elemeit a Lrtv. Vhr. 2. melléklete határozza meg. A dokumentumot a fenti határidőn belül köteles eljuttatni az ágazati kijelölő hatóság részére, mely a tartalmi és formai követelmények ellenőrzését követően megküldi azt a nyilvántartó hatóság részére.
A katasztrófavédelmi szerv központi szerve (BM OKF) a kijelölt nemzeti létfontosságú rendszerelemet 5 évenként komplex ellenőrzés keretében ellenőrzi, melyen részt vehet az ágazati kijelölő hatóság, a szakhatóság, a kijelölési eljárásban részt vevő, véleménynyilvánító szerv, és jogszabály alapján helyszíni ellenőrzés lefolytatására jogosult szerv.
Kritikusinfrastruktúra-védelem jogszabályi környezete:
- A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény (Lrtv.)
- Az Lrtv. végrehajtásáról szóló 65/2013. (III.8.) Korm.rendelet (Lrtv. Vhr.)
- Ágazati kormányrendeletek:
Energia | 374/2020. (VII. 30.) Korm. rendelet |
Agrárgazdaság | 540/2013. (XII. 30.) Korm. rendelet |
Egészségügy | 246/2015. (IX. 8.) Korm. rendelet |
Pénzügy | 330/2015. (XI. 10.) Korm. rendelet |
Infokommunikációs technológiák | 249/2017. (IX. 5.) Korm. rendelet |
Víz | 541/2013. (XII. 30.) Korm. rendelet |
Közbiztonság-védelem | 512/2013. (XII. 29.) Korm. rendelet |
Honvédelem | 359/2015. (XII. 2.) Korm. rendelet |
Közlekedés | 161/2019. (VII. 4.) Korm. rendelet |
Társadalombiztosítás | - |
A létfontosságú rendszerelemek üzemeltetői által működtetett rendszerelemekre kiterjednek az információbiztonsági követelmények is, az alábbi vonatkozó jogszabályok szerint:
- Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.)
- az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet
- az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet
- az Ibtv.-ben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet
A BM OKF létfontosságú rendszerelemek hatósági tevékenységével kapcsolatos hatáskörei:
- Általános javaslattevő hatóságként:
Az ágazatok és alágazatok helyzetét félévente értékeli, és az értékelés alapján készített ügyindító javaslatát megküldi az ágazati kijelölő hatóság részére. Az ágazati kijelölő hatóság hivatalból hatósági eljárást indít az ügyindító javaslatban szereplő létfontosságú rendszerelem, szolgáltatások, üzemeltetők kijelölésére. - Szakhatóságként:
A nemzeti létfontosságú rendszerelemmé történő kijelölésre vonatkozó közigazgatási hatósági eljárás során a horizontális kritériumok teljesülésének lehetőségét szakhatóságként vizsgálja véleménynyilvánító szervek bevonásával. - Nyilvántartó hatóságként:
A honvédelmi létfontosságú rendszerelemek kivételével nyilvántartja és kezeli az üzemeltetőre vonatkozó Lrtv. 5. § szerinti adatokat. - Ellenőrzést koordináló szervként:
A helyszíni ellenőrzés lefolytatására jogosult szervek részvételével éves ütemezésű komplex ellenőrzés szervezése, lefolytatása, utóellenőrzése. - Komplex gyakorlat:
Az üzemeltetői biztonsági tervben megjelölt szervezeti és eszközrendszert, és az információ- és hálózatbiztonsági ellenálló képességét valós bekövetkezési lehetőségek mentén, a létfontosságú rendszerelem ágazati, alágazati, és területi sajátosságait figyelembe véve a hivatásos katasztrófavédelmi szerv központi szerve tervez és hajtat végre a tárgyév január 15-ig kiválasztott létfontosságú rendszerelemek üzemeltetőivel.
A vármegyei/fővárosi katasztrófavédelmi igazgatóság létfontosságú rendszerelemek hatósági tevékenységével kapcsolatos hatáskörei:
- Ágazati kijelölő hatóságként:
Közbiztonság-védelem, valamint Víz ágazatok tekintetében ágazati kijelölő hatóságként a nemzeti létfontosságú rendszerelemmé történő kijelölésre vonatkozó közigazgatási hatósági eljárás során az ágazati kritériumok teljesülésének vizsgálata, határozat kiadása mellett az üzemeltetői biztonsági tervek formai és tartalmi ellenőrzését végzi, továbbá helyszíni ellenőrzés lefolytatására jogosult szervként a komplex ellenőrzésen részt vehet. - Vélemény-nyilvánító szervként:
A védelem kritérium fennállásának feltételeit vizsgálja a szakhatóság megkeresésére.