Iparbiztonság


Tájékoztató az iparbiztonsági ellenőrzés folyamatáról és a telephely biztonsági tanúsítvány kiadásának feltételeiről:

A minősített adat védelméről szóló 2009. évi CLV. törvény (a továbbiakban: Mavtv.), és a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III.26.) Korm. rendelet, illetve az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Korm. rendelet 2010. április elsejei hatályba lépése a Nemzeti Biztonsági Felügyelet (a továbbiakban: Felügyelet) tevékenységi körében és működésében egyaránt változásokat eredményezett, mely érinti az iparbiztonsági ellenőrzés eljárásrendjét is.

A Mavtv. egységesen határozza meg a nemzeti és a NATO, illetve az EU minősített adatok kezelésének rendjét. Ennek megfelelően, amennyiben a gazdálkodó szervezet rendelkezik nemzeti minősített adatok kezelésére jogosító telephely biztonsági tanúsítvánnyal (a továbbiakban: TBT) – tehát a cégellenőrzése és az érintett személyek nemzetbiztonsági ellenőrzése megtörtént, valamint adatkezelési engedéllyel, illetve rendszerengedéllyel rendelkezik – és megteremtette a NATO, illetve az EU minősített adatok kezelésének személyi, adminisztratív és elektronikus biztonsági feltételeit is, akkor részére kiadható a NATO, illetve az EU TBT is.

Tehát azon gazdálkodó szervezeteknek, melyeknek egy NATO vagy EU tender miatt NATO vagy EU TBT-re van szükségük, elsődlegesen a nemzeti TBT-t kell megszerezniük. A nemzeti TBT megszerzését követően az azonos szintű NATO, illetve EU TBT kiadása már csak minimális idő-, és energia- befektetést igénylő adminisztratív folyamat, így ha konkrét NATO illetve EU projektben történő részvételre kerül sor, a megfelelő TBT gyorsan kiállítható.

A nemzeti TBT visszavonásig érvényes. Az érvényesség fenntartása érdekében a cégeknek eleget kell tenniük az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Korm. rendelet 7.§-ában meghatározott feltételeknek, kiemelt figyelemmel a minden év június 30-ig beküldendő aktualizált Cég-adatlapra.

A TBT-k új rendszere teljesen független a Honvédelmi Minisztérium hatáskörébe tartozó „NATO Beszállításra Alkalmas” címtől. Sem a nemzeti, sem a NATO TBT megszerzésének nem előfeltétele a „NATO Beszállításra Alkalmas” cím birtoklása. Ugyanakkor javasoljuk, hogy a NATO minősített adatokat érintő projektekben részt vevő gazdálkodó szervezetek vegyék figyelembe, hogy az adott projekt minősítési szintjének megfelelő TBT-n túl továbbra is szükségük lesz a „NATO Beszállításra Alkalmas” címre, tekintettel arra, hogy a NATO 2261. számú szabályzatában előírt igazolást az adott cég szakmai-gazdasági megfelelőségéről a Honvédelmi Minisztérium e cím birtokában tudja kiállítani.

A 2010. április 1-ig kiadott NATO TBT-k a rajtuk megjelölt időpontig érvényesek maradnak, de az új jogi szabályozás keretein belül csak NATO minősített tendereken történő részvételre jogosítják fel a céget, nemzeti minősített tendereken történő részvételre nem. A NATO TBT-t birtokló cégek közül azok, amelyek NATO minősített adat kezelésére vonatkozó adatkezelési engedéllyel nem rendelkeznek, továbbra is csak alvállalkozóként indulhatnak NATO minősített tendereken.

A nemzeti TBT-t a gazdálkodó szervezet úgy szerezheti meg, hogy kitölti a honlapról letölthető Cég-adatlapot, csatolja a kérelem benyújtását megelőző két teljes gazdasági év mérlegét és eredmény-kimutatását, és a szándékát jelző kísérőlevéllel együtt postai úton eljuttatja a Felügyeletnek. Ezt követően megkezdődik a cég iparbiztonsági ellenőrzése. Az iparbiztonsági ellenőrzés folyamatának megkezdésével egy időben a Felügyelet a gazdálkodó szervezetet levélben tájékoztatja az ellenőrzés lebonyolítása érdekében teendő további lépésekről.

Nemzeti TBT-t csak az a gazdálkodó szervezet kaphat, mely rendelkezik legalább „Bizalmas!” szintű adatkezelési engedéllyel, és legalább „Korlátozott terjesztésű!” szintű rendszerengedéllyel. Ez minimálisan egy „Bizalmas!” szintű Nyilvántartót (biztonsági területet) és egy a Nyilvántartóban elhelyezett, a Felügyelet által akkreditált, legalább „Korlátozott terjesztésű!” szintű minősített adatok kezelésére alkalmas számítógépet jelent.

A rendszerengedély megszerzésének kötelezővé tételével azon érintett személyek köre is bővült, akiknek a nemzetbiztonsági ellenőrzését a személyi biztonsági tanúsítvány kiadásához el kell végezni. Így a tulajdonosokon, az operatív vezetőkön, a biztonsági vezetőn, a titkos ügykezelőn és a titkos ügykezelő helyettesén kívül a rendszerbiztonsági felügyelő és a rendszeradminisztrátor esetében is kezdeményezni kell a nemzetbiztonsági ellenőrzést. Az érintett személyeknek a Felügyelet elrendelő levelének kézhezvételétől számított 30 napon belül ki kell tölteniük a nemzetbiztonsági kérdőívet, és azt postai úton kell eljuttatniuk a Felügyelet címére.

Egy munkavállaló több tisztséget is betölthet. Így a biztonsági vezető lehet egyúttal rendszerbiztonsági felügyelő, illetve a titkos ügykezelő vagy helyettese lehet rendszeradminisztrátor is. A biztonsági vezető azonban nem dolgozhat titkos ügykezelőként, miként a rendszerbiztonsági felügyelő sem lehet egyúttal rendszeradminisztrátor.

A törvényi szabályozásnak megfelelően biztonsági vezetőt kell kinevezni. A kinevezéshez a Felügyelet elnökének egyetértése szükséges. Gazdálkodó szervezeteknek nem kell külön formalevélben kérni a biztonsági vezető kinevezésével történő egyetértést; ehhez a Cég-adatlapban található kérelem aláírása elegendő.

A biztonsági terület kialakítását megelőzően a gazdálkodó szervezetnek az általa kialakítani tervezett biztonsági területről alaprajzot és egyszerűsített biztonságtechnikai rendszertervet tartalmazó helyszínrajzot kell küldeni a Felügyeletre. Utóbbi egy mérnöki igényesség nélkül készült helyszínrajz, melyen a fizikai biztonsági és elektronikus behatolás jelző rendszer elemeit tüntetik fel. A gazdálkodó szervezet a Felügyelet által küldött jóváhagyás kézhezvételétől számított 180 napon belül alakítja ki a biztonsági területet és a minősített számítógépes rendszert. A biztonsági terület, illetve a számítógépes rendszer akkreditálását a Felügyelet munkatársai a helyszínen végzik el. Sikeres akkreditáció esetén a Felügyelet kiadja az adatkezelési engedélyt, illetve rendszerengedélyt. A cégellenőrzés befejezése után, a személyi biztonsági tanúsítványok, valamint az adatkezelési engedély és a rendszerengedély kiadását követően kerülhet sor a TBT kiadására.

TBT csak „Bizalmas!” vagy annál magasabb minősítési szintű projektben történő részvételhez szükséges. „Korlátozott terjesztésű!” minősítési szintű adat gazdálkodó szervezetnek történő átadását a Mavtv. alapján a minősített adatot kezelő szerv vezetője akkor engedélyezheti, ha a gazdálkodó szervezet a „Korlátozott terjesztésű!” minősítési szintű adatra előírt személyi, fizikai, adminisztratív és elektronikus biztonsági feltételeknek megfelel. A személyi, fizikai és adminisztratív biztonság tekintetében a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III.26.) Korm. rendelet az irányadó. Vagyis „Korlátozott terjesztésű!” projektben történő részvétel esetén a jogszabályokban foglalt személyi, fizikai és adminisztratív biztonsági előírásoknak teljesülni kell, de nincs szükség sem TBT-re, sem személyi biztonsági tanúsítványokra, sem a Felügyelet által kiadott adatkezelési engedélyre.

Fontos, hogy bár a „Korlátozott terjesztésű!” minősítési szintű projektben történő részvételhez a gazdálkodó szervezetnek nincs szüksége TBT-re és adatkezelési engedélyre, az ilyen projekt keretében kapott „Korlátozott terjesztésű!” minősítési szintű adatok számítógépen történő feldolgozásához meg kell szereznie a rendszerengedélyt. Ilyen esetben a „Korlátozott terjesztésű!” minősítési szintű rendszer akkreditációja és a rendszerengedély megszerzése érdekében a gazdálkodó szervezet a Felügyelet elektronikus biztonsággal foglalkozó szakembereihez fordulhat.