A 2013. évi L. törvény előírásai
Az önkormányzatok számára is, hogy az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell:
a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és
rendelkezésre állása, valamint
b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása
zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
6. § Az elektronikus információs rendszernek az 5. §-ban meghatározott feltételeknek megfelelő védelme körében
a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell
meghatároznia, amelyek támogatják:
a) a megelőzést és a korai figyelmeztetést,
b) az észlelést,
c) a reagálást,
d) a biztonsági események kezelését.
A 2013. évi L. törvény hatálya kiterjed
a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével,
b) a Köztársasági Elnöki Hivatalra,
c) az Országgyűlés Hivatalára,
d) az Alkotmánybíróság Hivatalára,
e) az Országos Bírósági Hivatalra és a bíróságokra,
f) az ügyészségekre,
g) az Alapvető Jogok Biztosának Hivatalára,
h) az Állami Számvevőszékre,
i) a Magyar Nemzeti Bankra,
j) a fővárosi és megyei kormányhivatalokra,
k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,
l) a Magyar Honvédségre.
A törvény teljes szövege itt olvasható.
Figyelem!
A törvény 2015. július 16-án módosította az Országgyűlés. A módosítások összefoglalását a információbiztonsági blogunkon olvashatja:
A 2013. évi L. törvény által előírt konkrét feladatokról és határidőkről a következőkben olvashat:
1. Ki kell nevezni a szervezet elektronikus információs rendszereinek biztonságáért felelős személyt.
Határidő: a törvény hatályba lépését követően azonnal.
Magyarázat: A törvény alapján felsőfokú végzettséggel és szakképzettséggel rendelkező személy nevezhető ki, a vhr-ek alapján szerződéses viszony keretein belül a feladat ellátható.
2. Be kell jelenteni a Hatóságnak az 1-es pontban kinevezett személy adatait.
Határidő: 2013. augusztus 31.
Magyarázat: A törvény hatályba lépését követő 60 napon belül meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezet elektronikus információs rendszereinek biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét és a végzettségét igazoló okiratokat.
3. Be kell jelenteni a Hatóságnak a szervezet adatait.
Határidő: 2013. augusztus 31.
Magyarázat: A törvény hatályba lépését követő 60 napon belül meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezetnek a szervezet azonosításához szükséges adatokat.
4. Meg kell küldeni a Hatóságnak a szervezet Informatikai Biztonsági Szabályzatát.
Határidő: 2013. szeptember 30.
Magyarázat: A törvény hatályba lépését követő 90 napon belül meg kell küldeni nyilvántartásba vétel céljából a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezet Informatikai Biztonsági Szabályzatát.
5. A szervezet biztonsági szintbe sorolása
Határidő: Az törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.
6. A szervezet biztonsági szintjének megfelelő informatikai biztonsági irányítási rendszer kialakítására cselekvési terv készítése.
Határidő: Az 5-ös pontban leírt feladat elvégzése után 90 nap.
Magyarázat: A törvény által előírt szervezeti szintű biztonsági besorolást követően, ha a szervezet – a vhr-ekben részletezett – a törvényben meghatározott biztonsági szintet nem éri el, akkor 90 napon belül cselekvési tervet kell készítenie az előírt biztonsági szint elérésére.
A törvény alapján a szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Ennek keretében a magasabb biztonsági szint elérésére – minden egyes szintet érintően, a következő magasabb szintre lépéshez – két év áll rendelkezésére.
7. El kell végezni a szervezet elektronikus információs rendszereiben kezelt adatok biztonsági osztályba sorolását.
Határidő: Az törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.
8. Cselekvési terv készítése az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelően az adott biztonsági szint eléréséhez.
Határidő: Az 5-ös pontban leírt feladat elvégzése után 90 nap.
Magyarázat: A szervezet az adott elektronikus információs rendszere biztonsági osztályba sorolását követően megvizsgálja, hogy a rendszer melyik biztonsági szintet éri el és ha hiányosságokat tapasztal, akkor 90 napon belül cselekvési tervet készít.
A védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt alapul véve, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére.