Törvénytár
10/2023. (V. 15.) SZTFH rendelet
az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény 28. § (3) bekezdés a) és b) pontjában, valamint a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 29. § f) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. Általános rendelkezések
1. § A Szabályozott Tevékenységek Felügyeleti Hatósága mint a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a továbbiakban: Kibertan.tv.) 4. § (1) bekezdés a) pontjában kijelölt nemzeti kiberbiztonsági tanúsító hatóság (a továbbiakban: tanúsító hatóság) a tanúsító hatósági feladatokat – a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel össze nem függő – európai vagy nemzeti kiberbiztonsági tanúsítási rendszer (a továbbiakban együtt: tanúsítási rendszer) hatálya alá tartozó IKT-termék, IKT-szolgáltatás vagy IKT-folyamat vonatkozásában látja el. A tanúsító hatóság hatásköre a Magyarországon letelepedett gyártó, illetve megfelelőségértékelő szervezet tevékenységére terjed ki.
2. § A tanúsító hatóság
a) kiberbiztonsági tanúsítási felügyeleti tevékenysége keretében végzi
aa) a Kibertan.tv. 14. § (1) bekezdése szerint nyilvántartás (a továbbiakban: nyilvántartás) vezetését,
ab) a Kibertan.tv. 13. § (4) bekezdése szerinti esetben a megfelelőségértékelő szervezetek engedélyezését,
ac) a piacfelügyeleti hatósági feladatok ellátását,
ad) az állami és önkormányzat szervek elektronikus információbiztonságáról szóló törvény szerinti eseménykezelő központ bevonásával az IKT-termékkel, IKT-szolgáltatással vagy IKT-folyamattal kapcsolatosan bejelentett, sebezhetőséggel összefüggő feladatokat, valamint
b) részt vesz az (EU) 2019/881 európai parlamenti és tanácsi rendelet által előírt kölcsönös felülvizsgálati eljárásokban.
3. § Kiberbiztonsági tanúsításra a Kibertan.tv. 12. §-a szerinti megfelelőségértékelő szervezet jogosult.
4. § (1) A megfelelőségi önértékelés, valamint a kiberbiztonsági tanúsítás önkéntes, kivéve, ha uniós vagy magyar jogszabály eltérően rendelkezik.
(2) Ha az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tekintetében nemzeti kiberbiztonsági tanúsítási rendszer kerül elfogadásra, a gyártó köteles a honlapján tájékoztatást közzétenni arról, hogy az adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat vonatkozásában tanúsítási rendszer érhető el.
(3) Ha valamely IKT-termék, IKT-szolgáltatás vagy IKT-folyamat tekintetében uniós vagy magyar jogszabály kötelezővé teszi a megfelelőségi önértékelést, valamint a kiberbiztonsági tanúsítást, tanúsítás hiányában – a kötelezővé tétel napját követően – az adott IKT-termék nem gyártható, nem hozható forgalomba, illetve az adott IKT-szolgáltatás vagy IKT-folyamat nem nyújtható.
(4) A (3) bekezdés szerinti esetben a gyártó köteles a már forgalomban lévő IKT-termék, IKT-szolgáltatás vagy IKT-folyamat kapcsán a honlapján tájékoztatást közzétenni arról, hogy
a) az adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat vonatkozásában mely időponttól vált jogszabály alapján kötelezővé a tanúsítás, és
b) az azt megelőzően gyártott IKT-termék, illetve nyújtott IKT-szolgáltatás vagy IKT-folyamat nem tanúsított, vagy megfelelőségi nyilatkozat kiállításával nem érintett.
2. A megfelelőségi önértékelés
5. § (1) Ha tanúsítási rendszer lehetővé teszi „alap” megbízhatósági szint esetében a megfelelőségi önértékelést, a gyártó – ha az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat megfelel a tanúsítási rendszerben foglalt követelményeknek – a Kibertan.tv. 11. § (2) bekezdésében foglaltak szerint megfelelőségi nyilatkozatot állíthat ki.
(2) A gyártó a megfelelőségi nyilatkozatot a tanúsító hatóság honlapján közzétett minta szerint magyar és angol nyelven állítja ki, és azt a kiállítást követően honlapján haladéktalanul közzéteszi.
6. § (1) A gyártó a tanúsítási rendszerben foglaltak szerint, ennek hiányában negyedévente, továbbá szükség esetén – ha a gyártó tudomására jut erre okot adó körülmény – soron kívül vizsgálja, hogy az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat megfelel-e a tanúsítási rendszer szerinti követelményeknek, és nem megfelelés esetén megteszi a tanúsító rendszernek való megfelelést biztosító intézkedéseket.
(2) Ha a gyártó tudomására jut, vagy vizsgálat alapján megállapítja, hogy az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat nem felel meg a tanúsítási rendszer szerinti követelményeknek, és az (1) bekezdés szerinti intézkedések nem vezetnek eredményre, a gyártó az általa kiadott megfelelőségi nyilatkozatot visszavonja.
(3) A megfelelőségi nyilatkozat visszavonásáról a gyártó tájékoztatást tesz közzé a honlapján, továbbá a visszavonást követő 8 napon belül tájékoztatja
a) nemzeti megfelelőségi nyilatkozat esetében a tanúsító hatóságot és a forgalmazót vagy a szolgáltatást közvetlenül igénybe vevőt,
b) uniós megfelelőségi nyilatkozat esetében az Európai Uniós Kiberbiztonsági Ügynökséget (a továbbiakban: ENISA), a tanúsító hatóságot és a forgalmazót vagy a szolgáltatást közvetlenül igénybe vevőt.
3. A megfelelőségértékelő szervezetekkel szemben támasztott követelmények, valamint a megfelelőségértékelő szervezetekkel kapcsolatos hatósági eljárások
7. § (1) A megfelelőségértékelő szervezetnek a nyilvántartásba történő felvételére irányuló eljárás (a továbbiakban: nyilvántartásba vételi eljárás) kérelemre indul, amelyet a megfelelőségértékelő szervezet a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon nyújt be a tanúsító hatósághoz.
(2) Az (1) bekezdés szerinti kérelemben a megfelelőségértékelő szervezet
a) megjelöli, hogy a megfelelőségértékelési tevékenységet milyen megbízhatósági szintet meghatározó tanúsítási rendszerekre kívánja végezni,
b) feltünteti a megfelelőségértékelő szervezet 18. § (1) bekezdés a) pontja szerinti adatait, és
c) feltünteti a megfelelőségértékelési tevékenységben közreműködő, akkreditált vizsgáló laboratórium (a továbbiakban: vizsgáló laboratórium) 18. § (1) bekezdés c) pontja szerinti adatait.
(3) A megfelelőségértékelő szervezet az (1) bekezdés szerinti kérelemhez mellékeli
a) a (9) bekezdésben meghatározott dokumentumokat, valamint
b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
(4) A megfelelőségértékelő szervezetnek – az (1) bekezdés szerinti kérelemben feltüntetett bármely megbízhatósági szint esetében – a következő feltételeknek kell megfelelnie:
a) eljárásrendje alapján a tanúsítványát vizsgáló laboratórium által kiadott értékelési jelentés alapulvételével, valamely – informatikai termékek és rendszerek technológiai biztonsági értékelési követelményeit tartalmazó – szabvány vagy nyilvános műszaki követelményrendszer előírásainak való megfelelés alapján állítja ki;
b) legalább két olyan szakértőt foglalkoztat, aki a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel, továbbá legalább kétéves, akkreditált tanúsító szervezetnél szerzett, igazolt tanúsítási gyakorlattal rendelkezik;
c) eljárásait az MSZ EN ISO/IEC 17065 szabvány szerint meghatározott, dokumentált eljárások alapján végzi;
d) rendelkezik biztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel;
e) rendelkezik a tanúsítás lefolytatásához szükséges adatok törlésére vonatkozó jogszabályi előírások teljesítése érdekében olyan törlési eljárásrenddel és megoldásokkal, amelyek biztosítják az adatok visszaállíthatatlan módon történő törlését a rendszereikből, a levelezéseikből és az archív mentéseikből;
f) rendelkezik olyan biztonságos kommunikációs eszközökkel, szoftverekkel, amelyek garantálják a vizsgálathoz felhasznált adatok bizalmasságát, sértetlenségét és hitelességét a vizsgált szervezetekkel való kapcsolattartás során; és
g) rendelkezik olyan verifikált és validált, az akkreditációja során elfogadott szoftvermegoldásokkal, amelyek biztosítják az értékelési döntések szakszerűségét.
(5) A vizsgáló laboratóriumnak a következő feltételeknek kell megfelelnie:
a) legalább két olyan szakértőt foglalkoztat, aki a felsőoktatásban szerezhető képesítések jegyzékéről és az új képzések létesítéséről szóló miniszteri rendelet szerinti műszaki vagy informatika képzési területen felsőfokú végzettséggel és a végzettségnek megfelelő szakterületen legalább kétéves, igazolt gyakorlattal rendelkezik;
b) eljárásait az MSZ EN ISO/IEC 17025 szabvány szerint meghatározott, dokumentált eljárások alapján végzi;
c) megfelel a (4) bekezdés d)–g) pontja szerinti feltételeknek; és
d) rendelkezik az éles rendszerek sérülékenységvizsgálatához és behatolásvizsgálatához olyan rendszerrel, amely garantálja azt, hogy az adatforgalom a vizsgálat lezárása után is teljeskörűen megismerhető legyen, és bizonyítható legyen, hogy a vizsgálat során milyen éles rendszerekben milyen adatokhoz, szolgáltatásokhoz fért hozzá a vizsgálatot végző szervezet.
(6) A megfelelőségértékelő szervezetnek a nyilvántartásba vételi eljárás során igazolnia kell – a kérelemben feltüntetett megbízhatósági szintnek megfelelően – a következő feltételek teljesítését:
a) rendelkezik
aa) „alap” megbízhatósági szint esetén legalább öt,
ab) „jelentős” és „magas” megbízhatósági szint esetén legalább tizenöt teljes munkaidőben foglalkoztatott munkavállalóval;
b) tagjai, vezető tisztségviselői vagy munkavállalói közül
ba) „alap” megbízhatósági szint esetén legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal,
bb) „jelentős” és „magas” megbízhatósági szint esetén legalább tízen rendelkeznek személyi biztonsági tanúsítvánnyal;
c) rendelkezik a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított,
ca) „alap” megbízhatósági szint esetén egyszerűsített telephely biztonsági tanúsítvánnyal vagy telephely biztonsági tanúsítvánnyal,
cb) „jelentős” megbízhatósági szint esetén telephely biztonsági tanúsítvánnyal a nyilvántartásba vételi kérelem benyújtását megelőző 7 évben legalább 5 éven keresztül,
cc) „magas” megbízhatósági szint esetén telephely biztonsági tanúsítvánnyal a nyilvántartásba vételi kérelem benyújtását megelőző 9 évben legalább 7 éven keresztül;
d) rendelkezik
da) „alap” megbízhatósági szint esetén minimum 50 000 000 forint,
db) „jelentős” megbízhatósági szint esetén minimum 150 000 000 forint,
dc) „magas” megbízhatósági szint esetén minimum 250 000 000 forint éves összeghatárig kiterjedő tevékenységi felelősségbiztosítással;
e) rendelkezik a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendelet (a továbbiakban: 910/2014/EU rendelet) szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó,
ea) „alap” megbízhatósági szint esetén a kérelem benyújtását megelőző 3 évben legalább 1 éves időtartamú,
eb) „jelentős” megbízhatósági szint esetén a kérelem benyújtását megelőző 5 évben legalább 3 éves időtartamú,
ec) „magas” megbízhatósági szint esetén a kérelem benyújtását megelőző 7 évben legalább 5 éves időtartamú
akkreditált státuszt igazoló okirattal;
f) rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek, a 910/2014/EU rendelet szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek mindegyikének hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó
fa) „alap” megbízhatósági szint esetén legalább egy,
fb) „jelentős” és „magas” megbízhatósági szint esetén legalább két referenciával;
g) rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló, tanúsításra vonatkozó,
ga) „alap” megbízhatósági szint esetén a kérelem benyújtását megelőző 5 évben legalább 3 éves időtartamú,
gb) „jelentős” megbízhatósági szint esetén a kérelem benyújtását megelőző 7 évben legalább 5 éves időtartamú,
gc) „magas” megbízhatósági szint esetén a kérelem benyújtását megelőző 9 évben legalább 7 éves időtartamú
akkreditált státuszt igazoló okirattal; és
h) rendelkezik
ha) „alap” megbízhatósági szint esetén informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditálás alapján – bármilyen ágazatban – végzett szolgáltatásra vonatkozó legalább 3 referenciával,
hb) „jelentős” megbízhatósági szint esetén informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditálás alapján a kérelem benyújtását megelőző három évben a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény szerinti mikro-, kis- vagy középvállalkozásnál (a továbbiakban együtt: KKV) végzett szolgáltatásra vonatkozó legalább 25, valamint KKV-nak nem minősülő vállalatnál végzett szolgáltatásról legalább 10 referenciával,
hc) „magas” megbízhatósági szint esetén informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditálás alapján a kérelem benyújtását megelőző három évben KKV-nál végzett szolgáltatásról legalább 40, valamint KKV-nak nem minősülő vállalatnál végzett szolgáltatásról legalább 20 referenciával.
(7) A megfelelőségértékelő szervezetnek a nyilvántartásba vételi eljárás során igazolnia kell a vizsgáló laboratóriumra vonatkozóan – a kérelemben feltüntetett megbízhatósági szintnek megfelelően – a következő feltételek teljesítését:
a) megfelel a (6) bekezdés a)–c) pontja szerinti feltételeknek,
b) rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló vizsgálatra vonatkozó,
ba) „alap” megbízhatósági szint esetén a kérelem benyújtását megelőző 5 évben legalább 3 éves időtartamú,
bb) „jelentős” megbízhatósági szint esetén a kérelem benyújtását megelőző 7 évben legalább 5 éves időtartamú,
bc) „magas” megbízhatósági szint esetén a kérelem benyújtását megelőző 9 évben legalább 7 éves időtartamú
akkreditált státuszt igazoló okirattal;
c) rendelkezik az (5) bekezdés d) pontja szerinti rendszerrel végzett behatolásteszt vonatkozásában
ca) „alap” megbízhatósági szint esetén legalább egy,
cb) „jelentős” megbízhatósági szint esetén legalább három,
cc) „magas” megbízhatósági szint esetén legalább öt referenciával; és
d) rendelkezik
da) „alap” megbízhatósági szint esetén automata forráskódelemző rendszerrel,
db) „jelentős” és „magas” megbízhatósági szint esetén olyan nem nyílt forráskódú automata forráskódelemző rendszerrel, amely biztosítja a vizsgált kód változásainak nyomonkövethetőségét, valamint a vizsgálati eredmények tanúsító hatóság által a honlapján közzétett nemzetközi vizsgálati módszertanoknak való megfeleltethetőségét.
(8) Ha a vizsgáló laboratórium a megfelelőségértékelő szervezet mint gazdasági társaság részét képezi, úgy az (5) bekezdés a) és c) pontja, valamint a (7) bekezdés a) pontja szerinti feltételek teljesítését nem szükséges a vizsgáló laboratóriumra nézve külön is igazolni.
(9) A megfelelőségértékelő szervezet a (4)–(7) bekezdés szerinti feltételek meglétét a következő módon igazolja:
a) a (4) bekezdés b) pontja és az (5) bekezdés a) pontja esetében az érintett munkavállalók felsőfokú végzettséget igazoló okiratának másolatával és szakmai önéletrajzzal;
b) a (4) bekezdés c) pontja, az (5) bekezdés b) pontja, a (6) bekezdés e) és g) pontja és a (7) bekezdés b) pontja esetében a nemzeti akkreditáló szerv által kiállított okiratokkal;
c) a (4) bekezdés d) pontja esetében az információbiztonsági szabályzattal, valamint az információbiztonsági irányítási rendszerre kiállított tanúsítvánnyal;
d) a (4) bekezdés e) pontja esetében a törlési eljárásrenddel és műszaki leírásokkal;
e) a (4) bekezdés f) pontja esetében a biztonságos kommunikációs eszközök és szoftverek műszaki dokumentációjával;
f) a (4) bekezdés g) pontja esetében az eljárások lefolytatásához használt szoftvermegoldások verifikálási és validálási dokumentációjával;
g) az (5) bekezdés d) pontja esetében a sérülékenységvizsgálathoz és behatolásvizsgálathoz használt rendszer műszaki dokumentációjával;
h) a (6) bekezdés a) pontja esetében anonimizált munkaszerződésekkel;
i) a (6) bekezdés b) pontja esetében a személyi biztonsági tanúsítványokkal;
j) a (6) bekezdés c) pontja esetében az egyszerűsített telephely biztonsági tanúsítvánnyal vagy a telephely biztonsági tanúsítvánnyal;
k) a (6) bekezdés d) pontja esetében a biztosítási kötvénnyel;
l) a (6) bekezdés f) és h) pontja esetében a megfelelőségértékelő szervezet által kiállított tanúsítvánnyal;
m) a (7) bekezdés c) pontja esetében értékelési vagy vizsgálati jelentéssel;
n) a (7) bekezdés d) pontja esetében
na) nyílt forráskódú automata forráskódelemző rendszer esetében a rendszer megnevezésével,
nb) nem nyílt forráskódú automata forráskódelemző rendszer esetében licencigazolással.
(10) A tanúsító hatóság jogosult a benyújtott dokumentumok hitelességét a kiállító szerv bevonásával ellenőrizni.
8. § (1) A Kibertan.tv. 13. § (4) bekezdése szerinti esetben a tanúsító hatóság nyilvántartásában szereplő megfelelőségértékelő szervezet engedélyezés iránti kérelmet nyújt be a tanúsító hatóság által e célra rendszeresített elektronikus űrlapon.
(2) Az (1) bekezdés szerinti kérelem tartalmazza
a) a kérelem célját, valamint
b) kérelmezett megfelelőségértékelési területként azt a tanúsítási rendszert, amelynek keretében a kérelmező a megfelelőségértékelési tevékenységet végezni kívánja.
(3) Az (1) bekezdés szerinti kérelemhez a kérelmező csatolja
a) az arra a tanúsítási rendszerre vonatkozó akkreditálási részletező okiratot, amelynek keretében a kérelmező a tanúsítási tevékenységet végezni kívánja, és
b) a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének rendeletében meghatározott igazgatási szolgáltatási díj megfizetésének igazolását.
(4) Ha a tanúsítási rendszer kiegészítő követelményt határoz meg, a nemzeti akkreditáló szerv az akkreditálási részletező okiratban szerepelteti, hogy az akkreditációs eljárás ezen követelmények teljesítésének ellenőrzésére is kiterjedt.
9. § (1) A tanúsító hatóság az engedélyezési eljárás során,
a) ha a kérelmező az akkreditálási részletező okiratot nem nyújtja be, úgy azt – a kérelmező adatközlése alapján – közvetlenül beszerzi a nemzeti akkreditáló szervtől,
b) ha az akkreditálási részletező okirat külön nem tartalmazza, hogy a kérelmező megfelel-e a tanúsítási rendszerben foglalt konkrét vagy kiegészítő követelményeknek, úgy az erre irányuló nyilatkozat beszerzése érdekében megkeresi a nemzeti akkreditáló szervet.
(2) A nemzeti akkreditáló szerv a tanúsító hatóság írásbeli megkeresése alapján, a megkeresés kézhezvételétől számított 8 napon belül megküldi a tanúsító hatóság számára a kért adatokat.
(3) A tanúsító hatóság az engedélyt legfeljebb az akkreditált státusz lejártáig terjedő időtartamra adja meg.
(4) A Kibertan.tv. 13. § (4) bekezdése szerinti engedélyezési eljárást újra le kell folytatni, ha a megfelelőségértékelő szervezet az engedély szerinti tevékenységét további megfelelőségértékelési területre vagy más tanúsítási rendszer keretében végzett megfelelőségértékelési területre is ki kívánja terjeszteni.
10. § (1) A tanúsító hatóság az engedélyt visszavonja, ha a megfelelőségértékelő szervezet
a) akkreditált státuszát a nemzeti akkreditáló szerv visszavonja,
b) a 7. § (4) és (5) bekezdése, a 7. § (6) bekezdés a)–d) pontja és a 7. § (7) bekezdés a), b) és d) pontja szerinti követelmények valamelyikének nem felel meg, vagy
c) nem felel meg a tanúsítási rendszerben meghatározott kiegészítő követelményeknek.
(2) Ha a tanúsító hatóság a „magas” megbízhatósági szintű tanúsítványok kiadásának jogkörét a Kibertan.tv. 13. § (4) bekezdés b) pontja alapján átruházta valamely megfelelőségértékelő szervezetre, az átruházást – részben vagy egészben – visszavonja, ha
a) a megfelelőségértékelő szervezet a 7. § (4) és (5) bekezdése, a 7. § (6) bekezdés a)–d) pontja, és a 7. § (7) bekezdés a), b) és d) pontja szerinti valamely követelménynek nem felel meg,
b) a megfelelőségértékelő szervezet – a tanúsító hatóság figyelmeztetése ellenére – nem az e rendeletben és a tanúsítási rendszerben meghatározottak szerint végzi az átruházott feladatokat,
c) a megfelelőségértékelő szervezet a tanúsító hatóság által megállapított határidőben a tanúsító hatóság ismételt figyelmeztetése ellenére sem teszi meg a szükséges intézkedéseket a megállapított hiányosságok orvoslására, vagy
d) a megfelelőségértékelő szervezet függetlensége vagy pártatlansága sérült, és a függetlenség vagy pártatlanság sérelme nem orvosolható, vagy azt a megfelelőségértékelő szervezet a tanúsító hatóság figyelmeztetése ellenére sem orvosolja.
11. § (1) Ha a nemzeti akkreditáló szerv az akkreditált státuszt részlegesen vagy teljeskörűen felfüggeszti, részlegesen vagy teljeskörűen visszavonja, vagy az akkreditált szervezet kérelmére az akkreditált területet szűkíti, erről a tanúsító hatóságot értesíti. A nemzeti akkreditáló szerv a felügyeleti vizsgálat, illetve a rendkívüli felügyeleti vizsgálat eredményéről tájékoztatást küld a tanúsító hatóságnak.
(2) Ha a tanúsító hatóság eljárása során felmerül annak a gyanúja, hogy a megfelelőségértékelő szervezet már nem rendelkezik akkreditálással, a tanúsító hatóság megkeresi a nemzeti akkreditáló szervet az akkreditált státuszra vonatkozó tájékoztatás nyújtása érdekében.
(3) Ha a megfelelőségértékelő szervezet az akkreditált státusz lejárta előtt megküldi az újra-akkreditálási eljárásban kiadott részletező okiratot, a tanúsító hatóság a nyilvántartásban ezt rögzíti.
(4) Az akkreditált státusz lejártát követően megküldött tájékoztatás esetén a Kibertan.tv. 13. § (4) bekezdése szerinti megfelelőségértékelő szervezet tekintetében újra le kell folytatni az engedélyezési eljárást.
(5) A tanúsító hatóság a nyilvántartásban feltünteti azt a tényt, hogy a megfelelőségértékelő szervezet esetében újra-akkreditálásra irányuló eljárás van folyamatban az akkreditálási eljárás befejezéséig.
(6) Ha a nemzeti akkreditáló szerv a megfelelőségértékelő szervezet akkreditált státuszát részlegesen vagy teljeskörűen felfüggeszti,
a) a tanúsító hatóság a nyilvántartásban feltünteti az akkreditált státusz felfüggesztését,
b) a tanúsító hatóság az általa kiadott engedélyt felfüggeszti, és
c) a megfelelőségértékelő szervezet a felfüggesztés időtartama alatt a felfüggesztéssel érintett megfelelőségértékelési területen tevékenységet nem végezhet.
(7) A tanúsító hatóság a megfelelőségértékelő szervezet 14. § (1) bekezdése szerinti valamely feltételnek való meg nem feleléséről, valamint a Kibertan.tv. 15. §-a szerinti intézkedések meghozataláról a tudomásszerzéstől, illetve az intézkedés meghozatalától számított 15 napon belül értesíti a nemzeti akkreditáló szervet.
4. A megfelelőségértékelő szervezetre és a gyártóra vonatkozó közös szabályok
12. § A Kibertan.tv. 14. § (1) bekezdése szerinti adatok tekintetében az adatszolgáltatást a tanúsító hatóság részére a tanúsító hatóság által rendszeresített elektronikus űrlap alkalmazásával kell teljesíteni.
13. § (1) A megfelelőségi önértékelést végző gyártó és a megfelelőségértékelő szervezet a jogutód nélkül történő megszűnését – a megszűnés időpontját megelőző 8 napon belül – köteles bejelenteni a tanúsító hatóság részére.
(2) Ha a tanúsító hatóság hivatalos eljárása során szerez tudomást a jogutód nélkül történő megszűnésről, hivatalból intézkedik a nyilvántartásban szereplő adatok megváltoztatása iránt.
(3) A megfelelőségi önértékelést végző gyártót érintő jogutódlás esetén, ha a jogutód folytatni kívánja a megfelelőségi önértékelés keretében tanúsított IKT-termék gyártását, illetve IKT-szolgáltatás vagy IKT-folyamat nyújtását, visszavonja jogelődje megfelelőségi nyilatkozatát, és új megfelelőségi nyilatkozatot állít ki. A jogutód a jogutódlás bekövetkezésétől számított 8 napon belül a jogerős cégbírósági bejegyző határozatnak és a megfelelőségi nyilatkozat másolatának megküldésével értesíti a tanúsító hatóságot, és kéri a tanúsító hatóságtól a jogutódlás megállapítását, valamint a nyilvántartásba vételi eljárásra vonatkozó szabályok szerint kezdeményezi a jogutódként történő nyilvántartásba vételét.
(4) A megfelelőségértékelő szervezetet érintő jogutódlás esetén, ha a jogutód a megfelelőségértékelési tevékenységet folytatni kívánja, a jogutód az akkreditálási okirat kézhezvételét követő 8 napon belül az akkreditált státuszra vonatkozó részletező okirat másolatának megküldésével értesíti a tanúsító hatóságot, és kéri a tanúsító hatóságtól a jogutódlás megállapítását, valamint a nyilvántartásba vételi eljárásra, illetve az engedélyezési eljárásra vonatkozó szabályok szerint kezdeményezi a nyilvántartásba vételt, illetve az engedélyezése iránti eljárás megindítását.
(5) A megfelelőségi önértékelést végző gyártó és a megfelelőségértékelő szervezet a (3) és (4) bekezdés alkalmazásával névváltozás esetén is köteles értesíteni a tanúsító hatóságot.
(6) Európai kiberbiztonsági tanúsítási rendszer tekintetében megfelelőségértékelési tevékenység végzésére jogosult megfelelőségértékelő szervezet nyilvántartásban szereplő adatait érintő változásról a tanúsító hatóság az adatváltozás nyilvántartásba való bejegyzéséről szóló határozat véglegessé válásától számított 15 napon belül értesíti az Európai Bizottságot (a továbbiakban: Bizottság).
5. A megfelelőségértékelő szervezetek kötelezettségei és tevékenysége
14. § (1) A nyilvántartásba vett megfelelőségértékelő szervezetnek folyamatosan meg kell felelnie a 7. § (4) és (5) bekezdése, a 7. § (6) bekezdés a)–d) pontja és a 7. § (7) bekezdés a), b) és d) pontja szerinti feltételeknek, amit a tanúsító hatóság jogosult ellenőrizni.
(2) A megfelelőségértékelő szervezet a változás beálltát követő 8 napon belül bejelenti a tanúsító hatóságnak, ha
a) a 7. § (4) bekezdése szerinti általános, valamint a 7. § (6) bekezdése szerinti, nyilvántartásba vett megfelelőségértékelési szintre vonatkozó követelmények nem teljesülnek,
b) az értékelési eljárás során igénybe vett vizsgáló laboratórium tekintetében a 7. § (5) bekezdése szerinti általános, valamint a 7. § (7) bekezdése szerinti, nyilvántartásba vett megbízhatósági szintre vonatkozó követelmények nem teljesülnek,
c) csődeljárás, felszámolási eljárás, végelszámolási eljárás vagy kényszertörlési eljárás indult ellene,
d) akkreditált státuszát érintően változás következett be, a változást alátámasztó okirat csatolásával,
e) a Kibertan.tv. 13. § (4) bekezdés b) pontja szerinti engedéllyel rendelkezik és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti, a sérülékenységvizsgálat lefolytatására jogosult gazdálkodó szervezetekről vezetett nyilvántartásból törlésre került.
15. § A megfelelőségértékelő szervezet tanúsítási tevékenysége során 8 napon belül tájékoztatja a tanúsító hatóságot
a) az adott IKT-termékkel, IKT-szolgáltatással, IKT-folyamattal kapcsolatos tanúsítási igényről,
b) a megfelelőségértékelési eljárás megkezdéséről,
c) az általa kiadott tanúsítványokról, azok korlátozásáról, felfüggesztéséről vagy visszavonásáról,
d) arról a tényről, ha a b) pont szerinti eljárás eredményeként tanúsítvány nem került kiállítása, és ennek okáról,
e) az általa kiadott tanúsítvány alapján gyártott IKT-termékkel, illetve nyújtott IKT-szolgáltatással vagy IKT-folyamattal összefüggésben benyújtott panaszról,
f) az általa kiadott tanúsítvány alapján gyártott IKT-termék, illetve nyújtott IKT-szolgáltatás vagy IKT-folyamat kapcsán felmerült sebezhetőségről, valamint
g) azokról a körülményekről, amelyek érintik a 7. § (4) és (5) bekezdése, a 7. § (6) bekezdés a)–d) pontja és a 7. § (7) bekezdés a), b) és d) pontja szerinti feltételek teljesítését.
16. § (1) A megfelelőségértékelő szervezet megfelelőségértékelési tevékenységéről évente jelentést készít (a továbbiakban: éves jelentés), amelyet a tárgyévet követő év március 1. napjáig megküld a tanúsító hatóság részére.
(2) Az éves jelentés tartalmazza
a) megfelelőségértékelési eljárás típusonként az eljárást kérelmező nevét, székhelyét, a szerződések, a vizsgálati, ellenőrzési jegyzőkönyvek, a kiadott tanúsítványok iktatószámát, a megfelelőségértékelés eredményét, valamint – ha vizsgáló laboratórium bevonásra került – annak nevét, az ezekben az adatokban bekövetkezett változásokat,
b) a megfelelőségértékelő szervezet tevékenységével összefüggő, a megfelelőségértékelő szervezethez beérkezett panaszok felsorolását és a panaszok kivizsgálásának eredményét,
c) a nyilvántartásba vett megfelelőségértékelési területtel kapcsolatos képzések, együttműködések felsorolását, azok témájának rövid ismertetését, a megfelelőségértékelő szervezet részéről részt vevők felsorolását,
d) a megfelelőségértékelési területen a szabványosítási tevékenységben, továbbá a kijelölt szervezetek koordináló és ágazati csoportjának tevékenységében való részvételről szóló tájékoztatást, ideértve az adott évben megvalósuló ülések felsorolását, amelyeken a megfelelőségértékelő szervezet képviselője vagy meghatalmazottja útján részt vett,
e) a nyilvántartásba vett megfelelőségértékelési területen – az IKT-termék forgalmazására, illetve az IKT-szolgáltatás vagy IKT-folyamat nyújtására vonatkozó rendelkezések megsértésével összefüggésben – a tanúsító hatóságnak és a nyilvántartásba vett megfelelőségértékelési területen működő más megfelelőségértékelő szervezeteknek küldött tájékoztatások felsorolását, azok iktatószámát, valamint
f) a felfüggesztett, visszavont tanúsítványok iktatószámát, a kérelmező megnevezését, a tanúsítvány tárgyát, a felfüggesztés, visszavonás indokát.
(3) A megfelelőségértékelő szervezet az éves jelentéshez mellékeli
a) a kiadott tanúsítványok másolatát elektronikus formában,
b) a (2) bekezdés b) pontja szerinti meghatalmazott útján való képviselet esetén a meghatalmazás másolatát,
c) vizsgálólaboratóriumok közötti összehasonlításban vagy jártasságvizsgáló programokban való részvétel esetén a részvételt igazoló dokumentumokat.
17. § A megfelelőségértékelő szervezetnek a panaszok és vitás kérdések kezelésére olyan eljárásrenddel kell rendelkeznie, amely alkalmas a panaszok tényszerű feltárására és orvoslására.
6. A hatósági nyilvántartás
18. § (1) A tanúsító hatóság nyilvántartja – a Kibertan.tv. 14. § (1) bekezdésében foglaltakon túl – a következő adatokat:
a) a megfelelőségértékelő szervezet
aa) megnevezését,
ab) adószámát,
ac) cégjegyzékszámát,
ad) székhelyének címét,
ae) a tanúsító hatóság (2) bekezdés szerinti honlapján közzétételre kerülő elektronikus levelezési címét és telefonszámát, továbbá
af) a tanúsító hatósággal történő kapcsolattartásra megjelölt elektronikus levelezési címét és telefonszámát;
b) a gyártó
ba) megnevezését,
bb) adószámát,
bc) cégjegyzékszámát,
bd) székhelyének címét és
be) a tanúsító hatósággal történő kapcsolattartásra megjelölt elektronikus levelezési címét és telefonszámát;
c) a vizsgáló laboratórium
ca) megnevezését,
cb) adószámát,
cc) cégjegyzékszámát és
cd) székhelyének címét.
(2) A tanúsító hatóság a honlapján közzéteszi a nyilvántartásba vett megfelelőségértékelő szervezetek jegyzékét. A tanúsító hatóság által közzétett jegyzék tartalmazza a megfelelőségértékelő szervezet megnevezését, székhelyének címét, elektronikus levelezési címét és telefonszámát, a nyilvántartásba vételi okirat számát, a nyilvántartásba vétel időpontját, lejáratát és azt a tanúsítási rendszert, amelynek keretében a kérelmező a tanúsítási tevékenység végzésére jogosult.
19. § (1) A tanúsító hatóság törli a nyilvántartásból
a) a megfelelőségértékelő szervezetet, ha a tanúsító hatóság az engedélyét visszavonja,
b) a megfelelőségértékelő szervezetet, ha az akkreditált státusza megszűnik,
c) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha az jogutód nélkül megszűnik, valamint
d) a megfelelőségi önértékelést végző gyártót vagy megfelelőségértékelő szervezetet, ha jogutódlásra került sor, és a jogutód a tevékenységet nem folytatja.
(2) Európai kiberbiztonsági tanúsítási rendszer tekintetében megfelelőségértékelési tevékenység végzésére jogosult megfelelőségértékelő szervezet hatósági nyilvántartásból való törléséről a tanúsító hatóság a törlésről szóló határozat véglegessé válásától számított 15 napon belül értesíti a Bizottságot.
7. A tanúsító hatóság ellenőrzési tevékenysége
20. § A piacfelügyeleti eljárás keretében a tanúsító hatóság az IKT-termékekre, IKT-szolgáltatásokra vagy IKT-folyamatokra vonatkozó tanúsítási rendszerben, valamint az uniós és magyar jogszabályokban foglalt követelményeknek való megfelelőséget, valamint a megfelelőség tanúsításának ellenőrzését végzi.
21. § (1) A tanúsító hatóság ellenőrzési jogkörében ellenőrzi
a) a megfelelőségértékelési tevékenységre vonatkozó dokumentációkat és a nyomonkövethetőséget,
b) a jogszabályban, a tanúsítási rendszerben, valamint az engedélyben foglaltak betartását és
c) a panaszok kivizsgálásának megfelelőségét.
(2) A tanúsító hatóság az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat védelmére vonatkozó gyártói intézkedést, amellyel az érintett IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot veszélyeztető fenyegetések kezelhetőek.
(3) A tanúsító hatóság ellenőrzési jogkörében a megfelelőségértékelő szervezetnél ellenőrizheti, hogy
a) a megfelelőségértékelő szervezet nyilvántartásba vételével kapcsolatos követelmények teljesülnek-e,
b) a megfelelőségértékelő szervezet a megfelelőségértékelési területen folytatott tevékenysége során betartja-e a működési és eljárási szabályzatában foglaltakat,
c) az előző ellenőrzés óta a szakmai – személyi és műszaki –, valamint adminisztratív felkészültség terén történt esetleges változás befolyásolja-e a megfelelőségértékelési tevékenység hatékonyságát, és
d) az előző ellenőrzés óta a működési és eljárási szabályzatban történt esetleges változtatások befolyásolják-e a kijelölt szervezet megfelelőségértékelési tevékenység folytatására való alkalmasságát.
22. § (1) A tanúsító hatóság az ellenőrzés elrendeléséről az érintett gyártó vagy megfelelőségértékelő szervezet vezetőjét az ellenőrzés megkezdése előtt legalább 10 nappal értesíti, kivéve, ha az ellenőrzés előzetes bejelentése kedvezőtlenül befolyásolhatja az ellenőrzés eredményét.
(2) A tanúsító hatóság a hatósági ellenőrzésről készített feljegyzés vagy jegyzőkönyv egy példányát az ügyfélnek a helyszínen átadja, vagy azt az ügyfél részére az ellenőrzés befejezésétől számított 20 napon belül megküldi.
(3) Ha a tanúsító hatóság úgy ítéli meg, hogy az előírások megsértése más tagállamot is érint, tájékoztatja a tanúsítási rendszerben foglaltak szerint a Bizottságot, az ENISA-t és a többi tagállamot az ellenőrzés eredményéről és azokról az intézkedésekről, amelyek meghozatalára az érintett szervezetet felszólították, illetve amelyeket a tanúsító hatóság megtett.
8. A hatósági eljárásra vonatkozó általános rendelkezések
23. § A tanúsító hatóság az e rendelet szerinti hatósági eljárások tekintetében elektronikus űrlapot alkalmaz, amelyet a honlapján közzétesz.
24. § (1) A tanúsító hatóság eljárása során a szükséges vizsgálatok elvégzéséhez szakértő vagy az adott területen akkreditált szervezet vagy szakértelemmel rendelkező szervezet (a továbbiakban: szakértő) közreműködését veheti igénybe.
(2) Nem működhet közre a tanúsító hatóság eljárásában olyan szakértő, amely az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat megfelelőségét korábban vizsgálta.
(3) A tanúsító hatóság szakértő bevonásával az IKT-terméket, IKT-szolgáltatást vagy IKT-folyamatot az előírt követelmények teljesítése tekintetében vizsgálat alá vonhatja. A vizsgálatra a gyártó telephelyén, vagy ha az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat jellege ezt indokolja, olyan, a gyártó által megjelölt helyszínen kerülhet sor, ahol az előírt követelmények teljesülése vizsgálható.
9. A megfelelőségi jelölés elhelyezésére vonatkozó rendelkezések
25. § (1) A Kibertan.tv. 10. § (1) bekezdése szerinti megfelelőségi jelölést az érintett IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban jól láthatóan, egyértelműen és maradandóan kell elhelyezni.
(1a) * A Kibertan.tv. szerinti nemzeti megfelelőségi nyilatkozattal vagy nemzeti kiberbiztonsági tanúsítvánnyal rendelkező IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban az 1. melléklet szerinti megfelelőségi jelölést kell elhelyezni. Az adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat jellegétől függően a tanúsító hatóság a Kibertan.tv. 14. § (1) bekezdése szerinti nyilvántartásba vételről szóló határozata határozza meg, hogy az 1. melléklet 1–4. pontja szerinti megfelelőségi jelölés típusok közül mely típus alkalmazandó, azzal, hogy az 1. melléklet határozatban megjelölt pontján belül az egyes alpontokban szereplő változatok közül az alkalmazni kívánt változatot a gyártó választja ki.
(2) Ahol a megfelelőségi jelölés elhelyezése nem értelmezhető, az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat jellege által biztosított lehetőség szerinti formában kell feltüntetni a megfelelőségi jelölést vagy az erre történő utalást.
(3) Megfelelőségi jelölésen túl további jelölés az IKT-terméken, IKT-szolgáltatáson vagy IKT-folyamatban úgy tüntethető fel, hogy az nem rontja a megfelelőségi jelölés láthatóságát és olvashatóságát.
(4) A megfelelőségi jelölést a forgalomba hozatal előtt akkor kell elhelyezni, amikor az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat elkészült. A megfelelőségi jelölést csak a gyártó vagy meghatalmazott képviselője helyezheti el. A megfelelőségi jelölés elhelyezésével vagy elhelyeztetésével a gyártó jelzi, hogy vállalja a felelősséget az IKT-termék, IKT-szolgáltatás vagy IKT-folyamat valamennyi magyar, illetve európai uniós jogszabályban megállapított követelménynek való megfeleléséért, amely a megfelelőségi jelölés alkalmazását előírja.
(5) A megfelelőségi nyilatkozat visszavonása esetén a gyártó haladéktalanul intézkedik a megfelelőségi jelölésnek az érintett – még forgalomba nem hozott – IKT-termékről, valamint az érintett IKT-szolgáltatásról vagy IKT-folyamatról történő eltávolítása iránt.
(6) Ha a tanúsító hatóság azt állapítja meg, hogy a megfelelőségi jelölést a gyártó jogosulatlanul tüntette fel az e rendelet hatálya alá tartozó IKT-terméken, IKT-szolgáltatás során vagy IKT-folyamatban, kötelezi a gyártót, hogy a terméket, illetve a tájékoztatást módosítsa a megfelelőségi jelölésre vonatkozó előírások szerint, és akadályozza meg a további szabálytalanságot a tanúsító hatóság által előírt feltételeknek megfelelően.
(7) Ha a nemmegfelelőség továbbra is fennáll, a tanúsító hatóság felszólítja a gyártót a megfelelőségi jelölés eltávolítására a meg nem feleléssel érintett IKT-termékről, IKT-szolgáltatásról vagy IKT-folyamatról, illetve tájékoztatásról. Ha erre nincs lehetőség, vagy ha a gyártó e kötelezettségének nem tesz eleget, a tanúsító hatóság intézkedhet az adott IKT-termék, IKT-szolgáltatás vagy IKT-folyamat forgalomba hozatalának, nyújtásának korlátozása, megtiltása vagy forgalomból történő kivonása iránt.
10. Záró rendelkezések
26. § Ez a rendelet a kihirdetését követő 8. napon lép hatályba.
27. § Ez a rendelet az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapít meg.
28. § *
1. melléklet a 10/2023. (V. 15.) SZTFH rendelethez *
Megfelelőségi jelölés
1. 25 × 25 mm-es megfelelőségi jelölés
2. 25 × 55 mm-es megfelelőségi jelölés
3. 30 × 100 mm-es megfelelőségi jelölés
4. 40 × 130 mm-es megfelelőségi jelölés