Jogszabályváltozások a kritikus infrastruktúra védelemben

A 2020-as év a kritikus infrastruktúra védelemben meghatározó változásokat hozott. A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény (a továbbiakban: Lrtv.) és a végrehajtási rendelete a 65/2013. (III. 8.) Korm. rendelet (a továbbiakban: Vhr.) számos ponton megváltozott, kiegészült, továbbá az ágazati rendeletekben is történtek változások. Jogszabály értelmezés, szakértők tollából.

Forrás: Ludovika egyetemi Kiadó

Forrás: Ludovika egyetemi Kiadó

Az egyik legfontosabb változás a létfontosságú rendszerek és létesítmények üzemeltetőinek szempontjából, hogy újra azonosítási folyamatot kellett elvégezniük, és az azonosítási jelentést megküldeni az ágazati kijelölő hatóság részére. Mind a horizontális kritériumok, mind az ágazati kritériumok változtak. Az azonosítási jelentéshez minta dokumentumot tett közzé a honlapján a Belügyminisztérium, Országos Katasztrófavédelmi Főigazgatóság (a továbbiakban: BM OKF).

A kijelölő határozatban meghatározásra kerül, hogy az üzemeltetői biztonsági tervet milyen határidővel szükséges megküldeni az ágazati kijelölő hatóságnak. Az üzemeltetői biztonsági terv formai és tartalmi követelményeit pontosan meghatározta a Vhr. 2. melléklete. Az üzemeltetői biztonsági terv elkészítésének elősegítése érdekében szintén segédletet biztosít honlapján a BM OKF1.

További meghatározó változás, hogy az üzemeltetői biztonsági tervben eddig is meg kellett határozni a rendkívüli eseményeket, amelyek meghatározó negatív hatással lehetnek a létfontosságú rendszerek és létesítmények üzemeltetésére, azonban ezt a jogszabályalkotó nevesítette is a módosított és az újonnan kiadott ágazati kormányrendeletekben. Pontosan meghatározásra kerültek, hogy adott ágazatban mit kell rendkívüli eseménynek tekinteni és ezen eseményekre vonatkozóan szükséges meghatározni, hogy milyen eljárásrend mentén kezeli ezeket az adott kritikus infrastruktúra üzemeltető. A rendkívüli események bejelentésének elősegítése érdekében szintén mintát tett közzé a honlapján a BM OKF, hogy ezzel is segítse a létfontosságú rendszerek üzemeltetőit a kötelezettségeinek teljesítésében.

Az ágazati kormányrendeletek többsége változáson esett át, azonban az energia ágazatnak egy teljesen új kormányrendelete született, mivel az ágazatot érintő számos változást eszközölt a kritikus infrastruktúra védelemben a jogalkotó. Az energetikai létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 360/2013. (X. 11.) Korm. rendelet hatályát vesztette és az energetikai létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 374/2020. (VII. 30.) Korm. rendelet lépett hatályba, ez lett az új energia ágazati kormányrendelet.

A hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló az Európai Parlament és a Tanács 2016/1148 Irányelve (a továbbiakban: NIS irányelv) szerinti alapvető szolgáltatást nyújtó szereplők kijelölésére a BM OKF és a Nemzetbiztonsági Szakszolgálat jogosult a jogszabályi változásokat követően azon ágazatokban, melyeket a NIS Irányelv nevesít. Eddig a kijelölt létfontosságú rendszerelemek meghatározott ágazatokban (energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúrák, egészségügy, ivóvíz ellátás és -elosztás, digitális infrastruktúra) lévő érintett szervezetei voltak az alapvető szolgáltatást nyújtók, azonban a jogalkotó változtatott ezen eljáráson.

Az Lrtv. a 6/A részben a különleges jogrendben bevezethető rendkívüli intézkedések részleteit is meghatározta, mely rendelkezések a változások előtti jogszabályokban nem kellő részletességgel, vagy egyáltalán nem voltak meghatározva. Ezen előírások segítenek eligazodni a kritikus infrastruktúra területet érintően a napjainkat meghatározó különleges jogrend esetén.

Nagyon fontos, hogy a rendkívüli eseményekre és helyzetekre, valamint azok kezelésére vonatkozóan megfelelően felkészüljenek a létfontosságú rendszerek és létesítmények üzemeltetői. Ehhez szükséges összehangolt, komplex gyakorlatok tartása. Jelenleg a BM OKF az a szervezet, amely kötelezheti az üzemeltetőket ilyen komplex gyakorlat tartására, azonban javasolt minden szervezetnek a rendkívüli események kezelésének megfelelőségét gyakorlattal tesztelni, annak érdekében, hogy az eljárásrendek megfelelősége biztosított legyen, és ne krízishelyzet során kelljen feltárni a hiányosságokat, akár emberéletek elvesztése, vagy meghatározó környezeti katasztrófa, esetleg meghatározó pénzügyi és egyéb károk árán.

Az üzemeltetői biztonsági tervben a kockázatok elemzése elvárás a jogszabály által és a kockázatokkal arányosan kell a különböző védelmi intézkedéseket felépíteni a létfontosságú rendszerek és létesítmények üzemeltetőinek. A kockázatelemzés elvégzéséhez a BM OKF a már említett honlapon egy segédletet tett közzé, amely segít a kockázatok elemzésében. A segédlet táblázat formájában bárki számára elérhető és javasolt a használata, mert az üzemeltetői biztonsági terv tartalmi követelményei kerültek implementálásra a táblázatba, és az eredmények beépíthetők az üzemeltetői biztonsági tervbe.

A kockázati főkategóriák részletezve meghatározzák a kockázatokat eredetük szerinti bontásban (például: meteorológiai-, humán-, technológiai kockázat stb.). A táblázat kitöltéséhez útmutató került kiadásra, mely a táblázattal egy helyen megtalálható a weblapon.

A kockázatok elemzéséhez segítséget nyújt a BM OKF éves jelentése, melynek címe: Jelentés Magyarország nemzeti katasztrófakockázat-értékelésének felülvizsgálatáról – a nemzeti katasztrófakockázat – értékelés releváns összefoglalása. A dokumentumban a kockázatok változása (például meteorológiai) és az előrejelzések is kifejtésre kerülnek. A dokumentum hasznos input lehet a kockázatelemzéshez, amennyiben a különböző ágazati szereplők értékelik a saját ágazatukat jellemző specifikumokat, és ez alapján használják a dokumentumban leírtakat.

A 2020-as esztendőben történt kritikus infrastruktúrákat érintő változások felhasználó barátabbá tették a kötelezettségek teljesítését. Számos sorvezető készült, amely segítséget nyújt a jogszabályi kötelezettségek teljesítésében. A jogszabályi megfelelésen túl azonban további előnyökkel jár, ha adott szervezet használja a közzétett segédleteket. Az ellenálló, biztonságos rendszerelem üzemeltetés kizárólag úgy biztosítható, ha a kockázatok megfelelő módon értékelésre kerülnek, és a kockázatokkal arányosan megfelelő védelmi intézkedések kerülnek implementálásra. A jogalkotó és a releváns hatóságok is ezt a célt igyekeznek elérni, ez azonban csak a kritikus infrastruktúrák tevékeny együttműködésével érhető el.

Baranya Zsolt (Black Cell Magyarország Kft.) és a Holló Ügyvédi Iroda

Forrás: Detektor Security

Hozzászólások