Bank- és hiteljog, Biztosítási jog, Tőkepiac • Felügyelet • 2016. június 15.
Egy friss jogszabály módosítás, a 157/2016. (VI. 13.) Korm. rendelet alapján
(a továbbiakban: „intézmény”) az informatikai rendszerüket a megfelelő feltételeket teljesítő és a Magyar Nemzeti Bank (a továbbiakban: „MNB”) nyilvántartásában szereplő tanúsító szervezettel (a továbbiakban: „tanúsító szervezet”) kell megvizsgáltatniuk és a megfelelőséget tanúsíttatniuk.
A jogszabály módosítás 2016. július 1-jével lép hatályba. Az első informatikai megfelelőségi tanúsítvány beszerzése érdekében az intézménynek a tanúsító szervezetek jegyzékének az MNB honlapján való közzétételét követő 60 napon belül (szövetkezeti hitelintézetnek 2018. január 31. napjáig) egy tanúsító szervezettel megbízási jogviszonyt kell létrehoznia és a tanúsítási eljárást 2017. március 31. napjáig le kell majd zárnia.
A módosítás részletei az alábbiak:
Az intézményekre vonatkozó jogszabályok előírják, hogy tevékenységük végzésére csak olyan informatikai rendszer felhasználásával kerülhet sor, amely
Az intézménynek ennek érdekében adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését. E követelményeknek való megfelelést külső szakértő, a tanúsító szervezet által kiadott, az informatikai rendszerre vonatkozó tanúsítással kell igazolni.
A tanúsító szervezet az MNB által vezetett nyilvántartásba vételét követően kezdheti meg a tanúsító tevékenységét. A nyilvántartásba vétel feltételei, hogy a tanúsító szervezet
Az intézménynek a tanúsítási eljárás lefolytatására az MNB által vezetett tanúsító szervezetek jegyzékében szereplő tanúsító szervezet részére kell megbízást adnia. A megbízás vonatkozhat több tanúsítási eljárás lefolytatására vagy tanúsítási eljárások folyamatos végzésére is.
A kiállított tanúsítványok érvényességi ideje 1 év. Ezt követően az intézménynek legkésőbb a tanúsítvány érvényességi idejének lejártát megelőző 6 hónappal korábban kötelessége megbízást adni a tanúsító szervezet részére a tanúsítvány megújítása iránti eljárás lefolytatására.
A tanúsító szervezet a tanúsítási eljárást olyan időpontban köteles megkezdeni, hogy a tanúsítási eljárás az intézmény tanúsítványának érvényességi ideje alatt lefolytatható legyen, beleértve az új tanúsítvány kiadását is.
A tanúsító szervezetnek a tanúsítási eljárás során az alábbi követelményeknek való megfelelést kell megvizsgálnia és szakértői jelentésében minősítenie: az informatikai rendszer megfelel a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, mivel
Az informatikai rendszerrel kapcsolatos követelmény, hogy az zárt, teljes körű, folytonos és kockázatokkal arányos védelmet biztosít a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából, az alábbi értelmezések mellett:
a) teljes körű védelem: az informatikai rendszer valamennyi elemére kiterjedő védelem;
b) folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem;
c) kockázatokkal arányos védelem: az informatikai rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével azzal, hogy a védelem fenti általános elvárásai mellett az informatikai rendszer működtetésének teljes életciklusában folyamatosan teljesülnek az alábbiak:
ca) a jogosult általános (emberek és program entitások) és privilegizált (speciális jogokkal felruházott) felhasználók – így különösen a rendszergazdák – kizárólag a szigorúan szabályozott szerepkörüknek megfelelően férhetnek a védendő információkhoz és az azokat kezelő informatikai rendszer elemeihez, kezdeményezhetnek aktivitásokat, valamint kizárólag meghatározott privilegizált felhasználók adhatnak szabályozott szerepkörüknek megfelelően és ellenőrzött módon hozzáférési jogosultságokat;
cb) az informatikai rendszer megfelelő műszaki és eljárásrendi megoldásokkal nyomon követi a védendő információk minden változtatását, melyek biztosítják, hogy még a jogosult általános és privilegizált felhasználók sem tudják törölni vagy módosítani a naplót vagy egyéb nyomon követést biztosító információkat;
cc) az informatikai rendszer összes külső interfésze szabályozott és kontrollált;
cd) a szabályozások és eljárások garantálják az informatikai rendszer biztonsági szintjének folyamatos fenntartását, a szoftverek frissítését, üzemeltetését.
A tanúsító szervezet a vizsgálatának megkezdésekor kockázatelemzést készít, és ennek során meghatározza a kritikus üzleti funkciókat megvalósító rendszereket. A tanúsító szervezet a vizsgálatot kizárólag a kockázatelemzés során meghatározott informatikai rendszerek tekintetében végzi el.
Amennyiben a tanúsító szervezet a vizsgált intézmény informatikai rendszerének kockázatokkal arányos védelmét biztosító eszközrendszerében hibát vagy hiányosságot észlel, a hiba vagy hiányosság pontos meghatározását tartalmazó jegyzőkönyvet ad át a vizsgált intézmény részére, melynek kijavítására megfelelő határidőt biztosít. A vizsgált intézmény a jegyzőkönyvben foglaltak szerint készített tevékenységi terve alapján a hiba kijavítását vagy a hiányosság pótlását a tanúsító szervezet által megjelölt határidőn belül elvégzi. A tanúsító szervezet a hiba kijavítását vagy a hiányosság pótlását a megadott határidő leteltét követően ellenőrzi és ennek eredményétől függően dönt annak elfogadásáról vagy a tevékenységi terv elvégzéséhez szükséges határidő meghosszabbításáról.
A tanúsító szervezet a tanúsítvány kiadásával egyidejűleg átadja a vizsgált intézmény részére a tanúsítás alátámasztásához szükséges dokumentációt.
Amennyiben a tanúsító szervezet által vizsgált informatikai rendszerre kiadott korábbi tanúsítvány érvényességi ideje az új tanúsítvány kiadása előtt járna le, a meglévő tanúsítvány érvényességi ideje az új tanúsítvány kiadásáig a tanúsító szervezet döntése alapján meghosszabbítható.
Amennyiben a tanúsítvány érvényességi ideje azért jár le, mert az intézmény az új tanúsítvány kiadása iránti tanúsítási eljárás lefolytatására a tanúsító szervezetnek nem vagy késedelmesen ad megbízást, az MNB az intézménnyel szemben a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 75. §-ában foglalt intézkedéseket alkalmazhatja.
Az ügyfelek számát az intézmény aktív ügyfeleinek előző naptári évre számított éves átlaga adja. Amennyiben az intézmény az előző naptári évben nem működött, az ügyfelek számát az intézmény aktív ügyfeleinek tárgyévre számított éves átlaga adja.
A tanúsító szervezet a tanúsítás során legfeljebb 25% mértékig jogosult alvállalkozót igénybe venni.
A tanúsító szervezet a tanúsítási tevékenységének ellátása körében okozott kár megtérítéséért a Polgári Törvénykönyvről szóló törvény kártérítési felelősségre vonatkozó általános szabályai szerinti felelősséggel tartozik.
Az MNB vezeti a tanúsító szervezetek jegyzékét. A jegyzékbe történő felvétel a tanúsító szervezet kérelmére történik, amennyiben a tanúsító szervezet megfelel a fenti feltételeknek és a törlésére a jegyzékbe vételre irányuló kérelmének benyújtását megelőző 2 éven belül nem került sor. A jegyzékbe vételre irányuló eljárásban az ügyintézési határidő 30 nap, amely határidő indokolt esetben egy alkalommal, legfeljebb 30 nappal meghosszabbítható. Ha az tanúsító szervezet az eljárás lefolytatása iránti kérelmet hiányosan nyújtotta be, az MNB a kérelmezőt 30 napon belül hiánypótlásra hívja fel. A jegyzékbe vételre irányuló eljárásra egyebekben a közigazgatási hatósági eljárás általános szabályairól szóló törvény rendelkezéseit a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvényben meghatározott eltérésekkel kell alkalmazni. A tanúsító szervezet a jegyzékbe vételét követő évtől kezdődően évente, az adott naptári év július 1-jéig köteles nyilatkozattal igazolni, hogy a jegyzékbe vételi eljárásban igazolt feltételeknek változatlanul megfelel.
Vissza a hírekhez
A pénzügyi ágazati törvények változásai az év végén - Szervezet és működés
A pénzügyi ágazati törvények változásai az év végén - Ügyfelek védelme
A pénzügyi ágazati törvények változásai az év végén - A Bszt. módosítása – enyhülő működési szabályok, szigorodó szankciók
A pénzügyi ágazati törvények változásai az év végén - Engedélyezés és felügyelet
Honlapunk sütiket használ annak érdekében, hogy személyre szabott módon tudjuk megjeleníteni Önnek a tartalmakat. Kérjük, olvassa el Süti Kezelési Tájékoztatónkat, amelyben további információkat olvashat a sütikről és azok kezeléséről. Beállításait módosíthatja ezen a linken vagy saját böngészőjének beállításaiban.
Ezek a sütik szükségesek a weboldal futtatásához, és nem kapcsolhatók ki. Az ilyen sütik csak olyan műveletekre vonatkoznak, mint például a nyelv, az adatvédelmi preferenciák. Beállíthatja a böngészőjét, hogy blokkolja ezeket a sütiket, de webhelyünk esetleg nem megfelelően fog működik.
A Süti Adatkezelési Tájékoztatót megismertem és hozzájárulok ahhoz, hogy a Gárdos Mosonyi Tomori Ügyvédi Iroda, mint adatkezelő a Google Analytics sütikkel kapcsolatban az IP címemet statisztikai célból kezelje. Tudomásul veszem, hogy a hozzájárulásomat bármikor visszavonhatom.