(1) A szervezet vezetője az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.
(2) Az 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezetek esetében az (1) bekezdés szerinti megállapodás kötelező tartalmi elemeit kormányrendelet tartalmazza. Megállapodás megkötése esetén is meg kell jelölni azt a természetes személyt, aki az elektronikus információs rendszer biztonságáért felelős személy feladatait ellátja.
(3) Az elektronikus információs rendszer biztonságáért felelős személy feladatait csak olyan személy végezheti, aki
- cselekvőképes, büntetlen előéletű és
- az 1. § (1) bekezdés a)–c) és f) pontja szerinti szervezet, a Kszetv. alapján kritikus szervezetként kijelölt szervezet, valamint a Vbö. alapján az ország védelme és biztonsága szempontjából jelentős szervezetként kijelölt szervezet esetében rendelkezik a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt végzettséggel, valamint rendelkezik
- a 75. § (1) bekezdése szerinti nemzeti koordinációs központ által – az informatikáért felelős miniszter rendeletében foglaltak szerint – közzétett szakképzettséggel, akkreditált nemzetközi képzettséggel (a továbbiakban együtt: szakképzettség), vagy
- az informatikáért felelős miniszter rendeletében meghatározott szakterületen szerzett szakmai tapasztalattal.
(4) Elektronikus információs rendszer biztonságáért felelős személyként – az (5) bekezdésben foglalt kivétellel – nem jelölhető ki vagy bízható meg a szervezet gazdasági vezetői feladatait ellátó személy vagy az a személy, aki a szervezeten belül informatikai üzemeltetéssel, informatikai fejlesztéssel kapcsolatos munkakört lát el, illetve ilyen személy közvetlen alárendeltségébe tartozik.
(5) A (4) bekezdést nem kell alkalmazni a következő szervezetek vonatkozásában:
- az 1. § (1) bekezdés a)–c) pontja szerinti fontos szervezetek,
- az 1. § (1) bekezdés d) és e) pontja szerinti szervezetek.
(6) A szervezet vezetője biztosítja, hogy az elektronikus információs rendszer biztonságáért felelős személy
- valamennyi, az elektronikus információs rendszerek védelmét érintő döntés előkészítésében részt vegyen;
- rendelkezésére álljanak az elektronikus információs rendszer védelmének biztosításához szükséges feltételek, jogosultságok, információk, humán- és anyagi erőforrások;
- hozzáférjen mindazon rendszerekhez, adatokhoz és információkhoz, amelyek az általa ellátandó feladatok végrehajtásához szükségesek és
- ha a szervezeten belül került kijelölésre, a szakmai ismereteinek fenntartásához szükséges, az informatikáért felelős miniszter rendeletében meghatározott továbbképzéseken részt vegyen.
(7) Az elektronikus információs rendszer biztonságáért felelős személyt feladata ellátásával kapcsolatosan tudomására jutott adatok és információk tekintetében titoktartási kötelezettség terheli. A titoktartási kötelezettség alól a szervezet vezetője adhat felmentést.
(8) Az elektronikus információs rendszer biztonságáért felelős személy részt vesz az informatikáért felelős miniszter rendeletében meghatározott továbbképzésen.
(9) Az elektronikus információs rendszer biztonságáért felelős személy jogosult a szervezet elektronikus információbiztonsági kötelezettségeinek, feladatainak teljesítésében közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban tájékoztatást kérni. Ennek keretében jogosult megismerni a követelményeknek való megfelelőség alátámasztásához szükséges közreműködői tevékenységgel kapcsolatos adatot, valamint az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot.
(10) Indokolt esetben a szervezet kijelölhet vagy megbízhat az elektronikus információs rendszer biztonságáért felelős személy helyettesítésére jogosult személyt, aki az elektronikus információs rendszer biztonságáért felelős személy tartós távolléte vagy akadályoztatása esetén ellátja az elektronikus információs rendszer biztonságáért felelős személy feladatait. Az elektronikus információs rendszer biztonságáért felelős személy és helyettese között a feladatok és felelősség megosztásáról a szervezet vezetője rendelkezik. A helyettesre az elektronikus információs rendszer biztonságáért felelős személyre vonatkozó rendelkezéseket kell alkalmazni.
.svg)
.svg)
.svg)
.svg)
.svg)
