Elektronikus aláírásokra és megbízható szolgáltatásokra vonatkozó műszaki auditszabályzat kiadása: A biztonság garantálása és a bizalom erősítése a digitális térben

A Körlevél fontos jogi alapot biztosít a műszaki auditfolyamatok szabványosításához, biztosítva, hogy az elektronikus aláírásokat biztosító és használó rendszerek és szervezetek megfeleljenek a műszaki szabványoknak és az információbiztonságnak, hozzájárulva az emberek, a vállalkozások és a vezetői szervek digitális tranzakciós környezetbe vetett bizalmának erősítéséhez.

A szabályozások szerint ez a Körlevél azokra a szervezetekre és magánszemélyekre vonatkozik, akik részt vesznek az információs rendszerek, a biztonságos elektronikus aláírási szolgáltatások nyújtására szolgáló folyamatok, a biztonságos elektronikus aláírási tanúsítványok, a digitális aláírások, a digitális aláírási tanúsítványok és más megbízható szolgáltatások műszaki audit tevékenységeiben, vagy azokkal kapcsolatban állnak.

Különösen azokat az ügynökségeket és szervezeteket ösztönzik, amelyek biztonságos elektronikus aláírásokat hoznak létre és használnak, hogy proaktívan végezzenek műszaki auditokat rendszereik és szolgáltatásnyújtási folyamataik megfelelőségének és biztonságosságának önértékelése érdekében. Ez egy fontos lépés, amely a kiberbiztonsági kockázatok proaktív megelőzésének szellemét mutatja, ahelyett, hogy csak a jogsértések bekövetkeztekor kezelnék az incidenseket.

A megbízható szolgáltatóknak kétévente műszaki auditokat kell végezniük annak biztosítása érdekében, hogy a szolgáltatásnyújtási rendszerek és folyamatok biztonságos és stabil állapotban legyenek, és megfeleljenek a nemzeti szabványok szerinti műszaki követelményeknek.

A Körlevél szerint a műszaki audit értékelésének alapja az elektronikus aláírásokra, elektronikus tanúsítványokra és bizalmi szolgáltatásokra vonatkozó műszaki előírásokban, műszaki szabványokban és műszaki követelményekben meghatározott, az információs rendszerekre és a szolgáltatásnyújtási folyamatokra vonatkozó konkrét követelmények.

A műszaki audit tevékenységeit két fő szakaszban végzik: az információk és dokumentumok értékelése a tervezési folyamat során, valamint a tényleges értékelés az auditált szervezetnél. Minden tartalomnak objektívnek, átláthatónak, a korábban elfogadott tervvel és hatókörrel összhangban kell lennie.

Az audit maximális időtartama 6 hónap, és szükség esetén legfeljebb 45 nappal meghosszabbítható a korrekciós intézkedések elvégzése érdekében. A befejezést követően, az értékelés eredményei és a korrekciós intézkedések (ha vannak ilyenek) alapján az auditáló szervezet mérlegeli egy tanúsítvány és egy műszaki auditjelentés kiadását az auditált szervezet számára. Ha a követelmények nem teljesülnek, az auditáló szervezetnek írásban értesítenie kell, megjelölve az okokat és csatolva a műszaki auditjelentést.

A Körlevél részletezi a Műszaki Audit Jelentés kötelező tartalmát is, beleértve: az auditra vonatkozó általános információkat, a megvalósítás idejét, az értékelési módszert, az információbiztonsági kockázatelemzés eredményeit, a rendszer tesztelésének eredményeit, a műszaki ajánlásokat és a tanúsítási döntések alapját.

A megbízható szolgáltatóknak műszaki auditjelentéseket kell küldeniük a Tudományos és Technológiai Minisztériumnak a Nemzeti Elektronikus Hitelesítési Központon (NEAC) keresztül, amely az államigazgatási munka szintetizálásáért, ellenőrzéséért és kiszolgálásáért felelős központi pont.

A rendszeres jelentéstétel nemcsak a megbízható szolgáltatók működési állapotának felmérésében segít, hanem egységes adatbázist hoz létre a politikai döntéshozatalhoz és a kockázatkezeléshez, valamint támogatja az állami szerveket a nemzeti digitális tranzakciós infrastruktúra minőségének és biztonságának javításában.

A Körlevél kimondja, hogy a műszaki audit szervezetek felelősek jogaik és kötelezettségeik gyakorlásáért a műszaki szabványokról és előírásokról szóló jogszabályok rendelkezéseivel összhangban; biztosítják a függetlenséget, az objektivitást és a műszaki audit eljárások teljes körű betartását a termék- és áruminőségre, valamint a hálózati információbiztonságra vonatkozó előírásokkal összhangban.

A Tudományos és Technológiai Minisztérium alá tartozó Nemzeti Szabványügyi, Metrológiai és Minőségügyi Bizottság a központi szerv, amely fogadja és értékeli a műszaki audit szervezetek kijelöléséhez szükséges regisztrációs dokumentációkat, és benyújtja azokat a Tudományos és Technológiai Miniszterhez, hogy az döntést hozzon a minősített szervezetek kijelöléséről a szabványokról és a minőségről szóló törvénynek megfelelően.

Eközben a Nemzeti Elektronikus Hitelesítési Központ felelős az ellenőrzött szervezetektől származó műszaki ellenőrzési jelentések fogadásáért és szintetizálásáért, és rendszeresen jelentést tesz a tudományos és technológiai miniszternek a megbízható szolgáltatások nyújtásának állami irányítása érdekében.

Az elektronikus aláírások és a megbízható szolgáltatások műszaki auditjáról szóló körlevél kiadása fontos lépésnek tekinthető az információbiztonsággal, az elektronikus hitelesítéssel és a digitális átalakulással kapcsolatos nemzeti jogi folyosó kiteljesítésében.

A Körlevél hozzájárul a független értékelési rendszer szabványosításához, a kockázatkezelés megerősítéséhez, a technológiai autonómia javításához, valamint a felhasználók digitális bizalmának megteremtéséhez az elektronikus adatok tranzakciói, aláírása és cseréje során.

A körlevél 2026. január 1-jén lép hatályba, ami új lépést jelent a műszaki menedzsmentben, valamint a nemzeti elektronikus aláírási infrastruktúra biztonságának és megbízhatóságának biztosításában a biztonságos, átlátható és fenntarthatóan fejlett digitális kormányzat, digitális gazdaság és digitális társadalom kiépítése felé.