Hungary: Unified Information Security Standards in the Public Sector

A set of new pieces of legislation introduced unified information security standards into the public sector, which affects private companies offering IT services to the public sector.

New legislation

Pub­lic enti­ties and author­i­ties falling under the scope of the new Hun­gar­i­an Infor­ma­tion Secu­ri­ty Act must inspect their elec­tron­ic infor­ma­tion sys­tems by 1 July 2014 to assess whether those sys­tems meet the secu­ri­ty cri­te­ria laid down by the new act and a min­is­te­r­i­al decree by the Nation­al Devel­op­ment Min­istry (NFM).

The uni­fied infor­ma­tion secu­ri­ty stan­dards in the pub­lic sec­tor were intro­duced by a new act as of 1 July 2013 (Infor­ma­tion Secu­ri­ty Act). The Infor­ma­tion Secu­ri­ty Act applies to most gov­ern­men­tal, admin­is­tra­tive, and munic­i­pal author­i­ties and enti­ties.

The Infor­ma­tion Secu­ri­ty Act intro­duces a new a con­cept of inte­grat­ed and uni­fied pro­tec­tion of elec­tron­ic infor­ma­tion sys­tems (ie, hard­ware and soft­ware nec­es­sary for data and infor­ma­tion man­age­ment) in the pub­lic sec­tor. On the basis of the Infor­ma­tion Secu­ri­ty Act, a new author­i­ty, the Nation­al Elec­tron­ic Infor­ma­tion Secu­ri­ty Author­i­ty (NEISA) was estab­lished and oper­ates under the con­trol of NFM.

Back­ground

As of 2010, a new set of leg­is­la­tion was intro­duced in Hun­gary to imple­ment uni­fied infor­ma­tion secu­ri­ty stan­dards in the pub­lic sec­tor. The sys­tem of uni­fied secu­ri­ty stan­dards is estab­lished on the notion of “nation­al data asset”, intro­duced by a new act on the enhanced pro­tec­tion of data reg­is­ters (eg, com­mer­cial reg­is­ter, land reg­istry, etc.), falling under the cat­e­go­ry of nation­al data asset in 2010. Accord­ing to its legal def­i­n­i­tion, all per­son­al and pub­lic data and infor­ma­tion of pub­lic inter­est man­aged by enti­ties respon­si­ble for pub­lic func­tions qual­i­fy as data falling under the scope of nation­al data asset.

Inte­grat­ed and uni­fied pro­tec­tion

NEISA, being respon­si­ble for the super­vi­sion of the secu­ri­ty of the infor­ma­tion sys­tems, ver­i­fies the find­ings of the respec­tive pub­lic sec­tor enti­ties and ensures that the elec­tron­ic infor­ma­tion sys­tems com­ply with the rel­e­vant secu­ri­ty require­ments. Should a pub­lic enti­ty fail to com­ply with the applic­a­ble secu­ri­ty require­ments, a fine may be imposed by NEISA for pub­lic enti­ties not belong­ing to the cen­tral bud­getary sys­tem. Alter­na­tive­ly, NFM appoints an infor­ma­tion secu­ri­ty offi­cer who is respon­si­ble to take every mea­sure nec­es­sary to com­ply with applic­a­ble infor­ma­tion secu­ri­ty require­ments.

Actu­al secu­ri­ty inci­dents that threat­en the secre­cy, integri­ty, authen­tic­i­ty, or func­tion­al­i­ty of the infor­ma­tion stored in the elec­tron­ic sys­tems of pub­lic sec­tor enti­ties are dealt with by a gov­ern­men­tal inci­dent-han­dling cen­tre.

Effect on private service providers

Unrea­son­able lim­i­ta­tions for pri­vate IT ser­vice providers

Pri­or to the imple­men­ta­tion of the Infor­ma­tion Secu­ri­ty Act, Hun­gary lacked com­pre­hen­sive leg­is­la­tion data secu­ri­ty man­aged by pub­lic enti­ties. There­fore, the intro­duc­tion of the above uni­fied secu­ri­ty stan­dards is more than wel­comed. How­ev­er, the below secu­ri­ty mea­sures may seem to restrict to an unrea­son­able extent the activ­i­ties of pri­vate IT ser­vice providers offer­ing ser­vices to pub­lic sec­tor enti­ties.

• The vast major­i­ty of author­i­ties and pub­lic enti­ties (eg, gov­ern­men­tal offices and min­istries) iden­ti­fied by the Infor­ma­tion Secu­ri­ty Act may man­age infor­ma­tion only on elec­tron­ic infor­ma­tion sys­tems that are locat­ed in Hun­gary. Alter­na­tive­ly, the elec­tron­ic infor­ma­tion sys­tems of these author­i­ties and pub­lic enti­ties may be oper­at­ed in the EU on the basis of (i) a sep­a­rate per­mis­sion issued by the NFM or (ii) an inter­na­tion­al treaty.
• Like­wise, enti­ties appoint­ed as the exclu­sive proces­sors of data stored in nation­al data reg­is­ters (eg, the com­mer­cial reg­is­ter) may man­age pub­lic infor­ma­tion, infor­ma­tion of pub­lic inter­est, and per­son­al data only on elec­tron­ic infor­ma­tion sys­tems locat­ed in Hun­gary. The above alter­na­tive regard­ing EU loca­tions does not apply to these kinds of enti­ties.
• Elec­tron­ic infor­ma­tion sys­tems sup­port­ing the oper­a­tion of assets qual­i­fied by law as nation­al or Euro­pean crit­i­cal infra­struc­ture (irre­spec­tive of whether these assets are pri­vate­ly or pub­licly owned) will also need to be locat­ed in the EU.

Pri­vate IT ser­vice providers that han­dle the data of pub­lic author­i­ties or enti­ties will also fall under the scope of the new leg­is­la­tion. The above require­ments applic­a­ble to the loca­tion of the servers clear­ly restrict the ren­der­ing of sev­er­al IT ser­vices host­ed by servers locat­ed out­side of Hun­gary (eg, cloud-based ser­vices). These mea­sure will like­ly result in sev­er­al com­pa­nies hav­ing to take exten­sive mea­sures to relo­cate the servers, com­put­ers, and oth­er IT devices host­ing ser­vices that they pro­vide to pub­lic author­i­ties and enti­ties. It is also expect­ed that the pen­e­tra­tion of up-to-date IT ser­vices will slow down in the pub­lic sec­tor due to the new­ly intro­duced and exten­sive secu­ri­ty require­ments.

By requiring the IT systems to be located in Hungary for the vast majority of Hungarian authorities and public entities, the activity of private IT service providers may be unreasonably limited, especially for cloud-based services.

Magyarország: Egységesített információbiztonsági szabályok a közszférában

Új jogszabályok egységes információbiztonsági szabályokat vezettek be a közszférában, ami hatással lesz a közszféra számára IT szolgáltatásokat nyújtó magáncégekre.

Új jogszabályok

Az új Infor­má­cióbiz­ton­sá­gi Törvény hatálya alá tar­tozó hatósá­gok és álla­mi szervek köte­le­sek 2014. július 1‑ig felmérni, hogy elek­tron­ikus infor­má­ciós rend­sz­ereik megfelelnek‑e az új törvény­ben, valamint a Nemzeti Fejlesztési Min­isztéri­um (NFM) ren­deletében lefek­tetett biz­ton­sá­gi követelményeknek.

A közszférában irányadó egységesített infor­má­cióbiz­ton­sá­gi követelményeket 2013. július 1‑től vezette be egy új törvény (Infor­má­cióbiz­ton­sá­gi Törvény). Az Infor­má­cióbiz­ton­sá­gi Törvény hatálya kiter­jed a legtöbb kor­mányza­ti, közigaz­gatási valamint önko­r­mányza­ti intézményre és hivatal­ra.

Az Infor­má­cióbiz­ton­sá­gi Törvény az elek­tron­ikus infor­má­ciós rend­sz­erek (azaz az ada­tok és infor­má­ciók kezeléséhez szük­séges hard­verek és szoftverek) inte­grált és egységesített kon­cep­cióját valósít­ja meg a közszférában. Az új törvény alapján egy új hatóság, a Nemzeti Elek­tron­ikus Infor­má­cióbiz­ton­sá­gi Hatóság (NEIH) is létre­jött, ami az NFM irányítása alatt áll.

Hát­tér

2010-től kezdődően több olyan jogsz­abá­ly született, ame­lyek egy egységesített infor­má­cióbiz­ton­sá­gi környezet meg­valósítását célozták. Az egységes biz­ton­sá­gi szabá­lyok a “nemzeti adat­vagy­on” fogalmán ala­pul­nak, amit a nemzeti adat­vagy­on körébe tar­tozó álla­mi nyil­ván­tartá­sok (pl. cégny­il­ván­tartás, ingat­lan-nyil­ván­tartás) foko­zot­tabb védelméről szóló törvény vezetett be 2010-ben. Jogi definí­ció­ja szerint a nemzeti adat­vagy­on körébe tar­tozik min­den olyan közérdekű adat, szemé­lyes adat és közérdek­ből nyil­vános adat, ame­lyet közfe­lada­tot ellátó szervek kezel­nek.

Inte­grált és egységes védelem

A NEIH, mint az infor­má­ciós rend­sz­erek biz­ton­ságát felü­gyelő szerv, ellenőrzi az álla­mi szervek felméré­sei során tett megál­lapítá­sokat és biz­tosít­ja, hogy az elek­tron­ikus infor­má­ciós rend­sz­erek megfelel­jenek az irányadó biz­ton­sá­gi követelményeknek. Amen­ny­iben egy álla­mi szerv nem felel meg a biz­ton­sá­gi követelményeknek, a nem költ­ségvetési szervek ter­hére bírság szab­ható ki a NEIH részéről, míg a költ­ségvetési szervek számára infor­má­cióbiz­ton­sá­gi felü­gyelőt ren­del­het ki az NFM. Az infor­má­cióbiz­ton­sá­gi felü­gyelő köte­les min­den lehet­séges lépést megten­ni a biz­ton­sá­gi szabá­lyok­nak való megfelelés érdekében.

Az álla­mi szervek elek­tron­ikus rend­sz­ereiben tárolt infor­má­ciók bizal­masságát, sértetlen­ségét, hite­lességét vagy funkcional­itását veszé­lyeztető eseményekre egy kor­mányza­ti eseménykezelő központ hiva­tott reagál­ni.

A szolgáltatásnyújtókra gyakorolt hatások

Éssz­erűtlen kor­lá­tozá­sok IT szol­gál­tatá­sokat nyújtó magáncégekre

Az Infor­má­cióbiz­ton­sá­gi Törvény hatály­ba lépését megelőzően Mag­yarorszá­gon nem létezett átfogó szabá­ly­ozás a közszférában kezelt ada­tok biz­ton­ságá­val kapc­so­lat­ban. Ezért a fent írt, egységes biz­ton­sá­gi követelmények bevezetése több, mint kívá­natos volt. Az aláb­bi biz­ton­sá­gi intézkedések vis­zont éssz­erűtlen mérték­ben kor­lá­tozhatják a magánkézben lévő, a közszféra számára IT szol­gál­tatá­sokat nyújtó cégek tevékenységét.

• Az Infor­má­cióbiz­ton­sá­gi Törvény hatálya alá tar­tozó hatósá­gok és álla­mi intézmények dön­tő több­sége (pl. kor­mány­hi­vat­alok és min­isztéri­umok) kizárólag Mag­yarország területén elhe­lyezett elek­tron­ikus infor­má­ciós rend­sz­ereken kezel­het ada­tokat. Az ilyen hatósá­gok és álla­mi szervek infor­má­ciós rend­sz­erei az EU területén belül kizárólag akkor üzemelte­th­etőek, ha (i) erre különál­ló fel­hatal­mazást adott az NFM, vagy (ii) nemzetközi szerződés ezt lehetővé teszi.
• A nemzeti adat­vagy­on körébe tar­tozó álla­mi nyil­ván­tartá­sok (pl. cégny­il­ván­tartás) adat­fel­dol­go­zóiként kijelölt szervek közérdekű ada­tokat, szemé­lyes ada­tokat és közérdek­ből nyil­vános ada­tokat kizárólag Mag­yarország területén elhe­lyezkedő elek­tron­ikus infor­má­ciós rend­sz­ereken kezel­het­nek. A fent írt, az EU területén elhe­lyezkedő rend­sz­erekről szóló kivé­tel nem vonatkozik ezekre a szervezetekre.
• Az euró­pai vagy nemzeti lét­fontosságú rend­sz­erelem­nek nyil­vání­tott infra­struk­túrák (függetlenül attól, hogy azok álla­mi- vagy magán­tu­la­j­don­ban áll­nak) működtetésév­el össze­füg­gő elek­tron­ikus infor­má­ciós rend­sz­erek kizárólag az EU területén helyezhetőek el.

A hatósá­gok vagy álla­mi szervek adatait kezelő, magánkézben lévő IT szol­gál­tatók tehát szin­tén az új szabá­ly­ozás hatálya alá esnek. A fen­ti, a szerverek elhe­lyezkedésév­el kapc­so­latos szabá­lyok nyil­ván­valóan kor­lá­toz­zák a Mag­yarország területén kívül elhe­lyezett szerverek által kiszol­gált IT szol­gál­tatá­sok nyújtását (pl. a fel­hőalapú szol­gál­tatá­sokat). Ezek a szabá­lyok valószínű­leg szá­mos tár­sasá­got arra kénysz­erítenek, hogy átköltöztessék szervereiket, számítógépeiket és egyéb IT eszközeiket, ame­lyeken keresztül hatósá­gok vagy álla­mi intézmények részére nyúj­tanak szol­gál­tatá­sokat. Továb­bi hatásként várható az is, hogy a közszférában lelas­sul a naprakész IT szol­gál­tatá­sok elter­jedése az újon­nan életbe lépő, széles körű biz­ton­sá­gi követelményeknek köszön­hetően.

A hatóságok és állami intézmények döntő többsége köteles az IT rendszereit Magyarország területén elhelyezni. Ezáltal az IT szolgáltatásokat nyújtó magáncégek tevékenysége (különösen a felhőalapú szolgáltatások nyújtása) ésszerűtlenül korlátozódhat.