A 718/2021. (XII. 20.) Korm. rendelet alapján, a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok ellátására, tanúsító hatóságként, a Katonai Nemzetbiztonsági Szolgálat (tanúsító hatóságként) lett kijelölve.
A tanúsító hatóság tanúsításfelügyeleti tevékenységet kizárólag valamely európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában végez. A tanúsító hatóság hatásköre a Magyarországon letelepedett gyártó, illetve megfelelőségértékelő szervezet tevékenységére terjed ki.
A tanúsító hatóság tanúsításfelügyeleti tevékenysége keretében végzi a megfelelőségi önértékelést végző szervezetek nyilvántartásba vételét, a megfelelőségértékelő szervezetek nyilvántartásba vételét, a megfelelőségértékelő szervezetek engedélyezését, a piacfelügyeleti hatósági feladatokat és az eseménykezelő központ bevonásával a hadiipari IKT-termékkel, hadiipari IKT-szolgáltatással vagy hadiipari IKT-folyamattal kapcsolatosan bejelentett sebezhetőséggel összefüggő feladatokat.
A gyártó a tanúsítási rendszerben foglaltak szerint, ennek hiányában negyedévente vizsgálja, hogy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelel-e a tanúsítási rendszer szerinti követelményeknek, nem megfelelés esetén kiigazító intézkedéseket tesz.
Ha a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat a gyártó által megtett kiigazító intézkedések eredményeképpen sem felel meg a tanúsítási rendszer szerinti egyes követelményeknek, a gyártó az általa kiadott uniós megfelelőségi nyilatkozatot visszavonja, és erről a visszavonást követő 8 napon belül tájékoztatja az Európai Uniós Kiberbiztonsági Ügynökséget (a továbbiakban: ENISA), a tanúsító hatóságot és a forgalmazót, valamint a visszavonásról szóló tájékoztatást tesz közzé a honlapján.
Az uniós megfelelőségi nyilatkozat visszavonása esetén a gyártó haladéktalanul köteles intézkedni az érintett hadiipari IKT-termékről, hadiipari IKT-szolgáltatásról vagy hadiipari IKT-folyamatról a megfelelőségi jelölés eltávolítása iránt.
A kiberbiztonsági tanúsítás önkéntes, kivéve, ha uniós vagy hazai jogszabály eltérően rendelkezik. Ha valamely hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tekintetében uniós vagy hazai jogszabály kötelezővé teszi a kiberbiztonsági tanúsítást, az adott hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tanúsítás hiányában – a kötelezővé tétel napját követően vagy az uniós, illetve hazai jogszabályban meghatározott határidőt követően – nem hozható forgalomba, illetve nem nyújtható.
A piacfelügyeleti eljárás keretében a tanúsító hatóság a hadiipari IKT-termékekre, hadiipari IKT-szolgáltatásokra vagy hadiipari IKT-folyamatokra vonatkozó tanúsítási rendszerben, az uniós és magyar jogszabályokban foglalt
követelményeknek való megfelelőséget, valamint a megfelelőség tanúsításának ellenőrzését végzi. A tanúsító hatóság a piacfelügyeleti ellenőrzést a tanúsítási rendszerben foglaltak szerint végzi.
A tanúsító hatóság ellenőrzési jogkörében ellenőrzi a vonatkozó nyilvántartásokat, dokumentációkat és a nyomonkövethetőséget, a jogszabályban, a tanúsítási rendszerben, valamint az engedélyben foglaltak betartását és a panaszok kivizsgálásának megfelelőségét.
A tanúsító hatóság a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat és az azokban kezelt adatok biztonsága érdekében jogosult ellenőrizni minden olyan, a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat védelmére vonatkozó intézkedést, amellyel az érintett hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot veszélyeztető fenyegetések kezelhetőek.
A tanúsító hatóság ellenőrzési jogkörében a megfelelőségértékelő szervezetnél ellenőrzi, hogy a megfelelőségértékelő szervezet a megfelelőségértékelési területen folytatott tevékenysége során betartja-e a működési és eljárási szabályzatában foglaltakat, az előző ellenőrzés óta a szakmai – személyi és műszaki –, valamint adminisztratív felkészültség terén történt esetleges változás befolyásolja-e a megfelelőségértékelési tevékenység hatékonyságát, és
az előző ellenőrzés óta a működési és eljárási szabályzatban történt esetleges változtatások befolyásolják-e a kijelölt szervezet megfelelőségértékelési tevékenység folytatására való alkalmasságát.
Ha a tanúsító hatóság úgy ítéli meg, hogy az előírások megsértése más tagállamot is érint, tájékoztatja a tanúsítási rendszerben foglaltak szerint a Bizottságot, az ENISA-t és a többi tagállamot az ellenőrzés eredményeiről és azokról az intézkedésekről, amelyek meghozatalára az érintett szervezetet felszólították, illetve amelyeket a tanúsító hatóság megtett.
A tanúsító hatóság az ellenőrzés eredményeként a feltárt jogsértés súlyával arányosan, a jogsértésben rejlő kockázat mértékének és jellegének figyelembevételével – a termékek piacfelügyeletéről szóló törvényben foglaltakon túl – a következő jogkövetkezményeket alkalmazhatja:
– kötelezheti a gyártót az uniós megfelelőségi nyilatkozat módosítására vagy visszavonására,
– a megfelelőségértékelő szervezet tanúsítványkibocsátási jogát részben vagy teljeskörűen felfüggesztheti vagy visszavonhatja,
– a megfelelőségértékelő szervezetet törölheti a nyilvántartásból,
– az engedélyköteles tevékenység végzésére vonatkozó engedélyt módosíthatja, visszavonhatja,
– az érintett hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában elrendelheti a tanúsításra utaló kifejezés, jelölés használatával történő forgalmazás, nyújtás, reklámozás korlátozását vagy megtiltását,
– az érintett hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat vonatkozásában elrendelheti a megfelelőségi jelölés eltávolíttatását.
A tanúsító hatóság eljárása során a szükséges vizsgálatok elvégzéséhez szakértő vagy az adott területen akkreditált szervezet vagy szakértelemmel rendelkező szervezet (szakértő) közreműködését veheti igénybe, vagy elrendelheti azok igénybevételét a megfelelőség igazolásához. A tanúsító hatóság megbízására nem járhat el olyan szakértő, amely a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat megfelelőségét korábban vizsgálta, vagy a hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat fejlesztésében, kialakításában közreműködött.
A tanúsító hatóság szakértő bevonásával vagy a saját laboratóriumában, vagy, amennyiben a vizsgálat alá vont hadiipari IKT-termék, hadiipari IKT-szolgáltatás vagy hadiipari IKT-folyamat tulajdonságai ezt nem teszik lehetővé a gyártó vagy az üzemeltető telephelyén a hadiipari IKT-terméket, hadiipari IKT-szolgáltatást vagy hadiipari IKT-folyamatot az előírt követelmények teljesítése tekintetében vizsgálat alá vonhatja.
Ha a tanúsító hatóság az üzleti titok körébe tartozó információkhoz jut hozzá, gondoskodik ezen információk védelméről. Az üzleti titok nem akadályozhatja azt, hogy a piacfelügyeletre irányuló tevékenységek hatékonyságának biztosítása szempontjából jelentős információkat a tanúsító hatóságok egymás, valamint a vizsgáló és tanúsító intézmények a tanúsító hatóság tudomására hozzák. A megfelelőségértékelő szervezet az előző évben végzett megfelelőségértékelési tevékenységéről jelentést készít (éves jelentés), amelyet megküld a tanúsító hatóság részére.
A tanúsított hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban a tanúsítottság tényének jelzése érdekében a tanúsítási rendszer által előírt formátumban megfelelőségi jelölést kell elhelyezni. A megfelelőségi jelölést jól láthatóan, egyértelműen és maradandóan kell elhelyezni.
Tilos a hadiipari IKT-terméken, hadiipari IKT-szolgáltatás során vagy hadiipari IKT-folyamatban az olyan jelölés használata, amely hasonlít a megfelelőségi jelölés jelentésére vagy formájára, és így harmadik felet megtéveszthet. Minden egyéb jelölés, amely nem rontja a megfelelőségi jelölés láthatóságát és olvashatóságát, feltüntethető a hadiipari IKT-terméken, hadiipari IKT-szolgáltatáson vagy hadiipari IKT-folyamatban.
A gyártó – a hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően – haladéktalanul bejelenti a megfelelőségértékelő szervezet részére az általa gyártott termék, nyújtott szolgáltatás vagy folyamat vonatkozásában feltárt sebezhetőséget. A tanúsító hatóság a bejelentésről értesíti az eseménykezelő központot, és az adott hadiipari IKT-termékre, hadiipari IKT-szolgáltatásra vagy hadiipari IKT-folyamatra vonatkozó tanúsítási rendszerben foglalt eljárásrendnek megfelelően jár el.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
