13. §: Az elektronikus információs rendszer fejlesztése, továbbfejlesztése

(2) Elektronikus információs rendszer fejlesztése esetén a szervezet az információbiztonsági követelmények teljesülésének biztosítása és az elektronikus információs rendszer működésének nemzeti kiberbiztonsági hatóság általi jóváhagyása érdekében a kormányrendeletben meghatározottak szerint jár el.

(3) A fejlesztés során az elektronikus információs rendszer tervezési életciklusában végre kell hajtani – ahol az adatosztályozási kötelezettséget e törvény előírja – a rendszerben kezelni tervezett adatok osztályozását és az elektronikus információs rendszer biztonsági osztályba sorolását, amelyet a kormányrendeletben meghatározott módon a nemzeti kiberbiztonsági hatóságnak jóváhagyásra be kell nyújtani

1. belső fejlesztés esetén az erőforrások allokációját megelőzően,
2. külső fejlesztés esetén az arra irányuló szerződés megkötését megelőzően – a közbeszerzésekre vonatkozó jogszabályi rendelkezéseket is figyelembe véve – olyan módon, hogy az információbiztonsági követelmények az elektronikus információs rendszer fejlesztésére irányuló szerződésbe rögzítésre kerüljenek.

(4) A szervezet rögzíti a fejlesztésre irányuló szerződésben a nemzeti kiberbiztonsági hatóság által jóváhagyott osztályba soroláshoz kapcsolódó követelményeket és a fejlesztés során intézkedik azok megvalósulása iránt a fejlesztést végző szervezet felé.

(5) A fejlesztést a nemzeti kiberbiztonsági hatóság által jóváhagyott, a biztonsági osztály vonatkozásában az informatikáért felelős miniszter rendeletében meghatározott védelmi követelményeknek megfelelően kell végrehajtani.

(6) Ha a fejlesztés során olyan körülmény jut a szervezet tudomására, amely befolyásolja az érintett elektronikus információs rendszer biztonságát, akkor a (2)–(4) bekezdésben meghatározott feladatokat ismételten el kell végezni.

(8) Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer továbbfejlesztése során a megállapított biztonsági osztályhoz tartozó követelményeket a rendszer használatbavételéig teljesíteni kell.

(9) A szervezet vezetőjének az elektronikus információs rendszer használatba vételére, további használatára irányuló, a 6. § (3) bekezdés 12. pontja szerinti döntése abban az esetben hozható meg, ha a nemzeti kiberbiztonsági hatóság által jóváhagyott biztonsági osztályba sorolásból következő követelmények a (8) bekezdés szerinti módon teljesültek.

(10) A 6. § (3) bekezdés 12. pontja szerinti döntéssel egyidejűleg gondoskodni kell az elektronikus információs rendszer kormányrendeletben meghatározott adatainak nemzeti kiberbiztonsági hatósághoz történő bejelentéséről.

(11) Központi rendszer fejlesztése esetén – az (1)–(10) bekezdésben foglaltakon túlmenően – az elektronikus információs rendszer felett rendelkezési jogosultsággal bíró szervezet köteles első alkalommal a tervezés fázisában és azt követően minden mérföldkő elérésekor tájékoztatni a nemzeti kiberbiztonsági hatóságot a központi rendszer biztonságát érintő kérdések vonatkozásában.

A jelen alcím rendelkezéseit az 1. § (1) bekezdés f) pontja szerinti szervezet honvédelmi célú elektronikus információs rendszerei fejlesztésére is alkalmazni kell. (13/A. §)