AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ KÖZLEMÉNYEK

15.5.2020

Az Európai Unió Hivatalos Lapja

C 167/1

A BIZOTTSÁG KÖZLEMÉNYE

Iránymutatások a dohánytermékek uniós nyomonkövethetőségi rendszerével összefüggésben a 2014/40/EU irányelv 15. cikke (8) bekezdésének megfelelően benyújtandó éves ellenőrzési jelentésekről

(EGT-vonatkozású szöveg)

(2020/C 167/01)

FELELŐSSÉGKIZÁRÓ NYILATKOZAT: E dokumentum célja, hogy iránymutatást nyújtson az engedéllyel rendelkező könyvvizsgálók számára az ellenőrzés hatóköréről és az éves ellenőrzési jelentés benyújtásának eljárásáról. Jogilag nem kötelező erejű, de ajánlásokat tartalmazó általános iránymutatásokat tartalmaz, és a bevált gyakorlatokat tükrözi. Ezek az iránymutatások nem érintik a nemzeti szabályokat.

1. Bevezetés

A 2014/40/EU európai parlamenti és tanácsi irányelv (1) 15. cikke a dohánytermékek uniós szintű nyomonkövethetőségi rendszerének létrehozásáról rendelkezik a tiltott kereskedelem problémájának kezelése érdekében. A rendszer 2019. május 20-án kezdte meg működését.

E rendszer részeként a 2014/40/EU irányelv 15. cikkének (8) bekezdése előírja a tagállamok számára annak biztosítását, hogy a dohánytermékek gyártói és importőrei adattárolási szerződést kössenek egy független harmadik féllel („harmadik fél szolgáltató”) az egyes gyártók és importőrök dohánytermékekre vonatkozó adatainak tárolására szolgáló adattároló rendszer („elsődleges adattár”) létrehozása céljából.

A nyomonkövethetőségi rendszer független működésének biztosítása érdekében a 2014/40/EU irányelv 15. cikkének (8) bekezdése előírja, hogy külső ellenőrnek kell ellenőriznie az elsődleges adattár és annak harmadik fél szolgáltatója tevékenységeit. Az ellenőrt a dohánytermék gyártója ajánlja és fizeti, és a Bizottságnak jóvá kell hagynia. A külső ellenőrnek éves jelentést kell benyújtania az illetékes nemzeti hatóságoknak és a Bizottságnak, amelyben különösen a hozzáféréssel kapcsolatos szabálytalanságokat értékeli.

E dokumentum célja, hogy iránymutatást nyújtson az engedéllyel rendelkező könyvvizsgálók számára az ellenőrzés hatóköréről és az éves ellenőrzési jelentés benyújtásának eljárásáról. A nyomonkövethetőségi rendszer – többek között az elsődleges adattárak – létrehozására és működtetésére vonatkozó műszaki követelményeket meghatározó (EU) 2018/574 bizottsági végrehajtási rendelettel (2), valamint a dohánytermékek nyomonkövethetőségi rendszerének részeként megkötendő adattárolási szerződések kulcsfontosságú elemeit meghatározó (EU) 2018/573 felhatalmazáson alapuló bizottsági rendelettel (3) összefüggésben kell értelmezni.

Ez a dokumentum az engedéllyel rendelkező könyvvizsgálók támogatására szolgál, nem kötelező erejű iránymutatásokat tartalmaz, és nem hoz létre új jogi kötelezettségeket. Amennyiben ezen iránymutatások értelmezik a jogszabályokat, a Bizottság álláspontja nem sértheti az irányelvre vonatkozóan az Európai Unió Bírósága által esetlegesen kiadott egyéb értelmezést.

2. Az ellenőrzések általános háttere

A gyártó által szerződtetett minden elsődleges adattárat éves ellenőrzési folyamatnak kell alávetni. Amennyiben ugyanazon harmadik fél szolgáltató két vagy több elsődleges adattárat működtet, ezeket külön ellenőrzéseknek kell alávetni, és minden egyes adattár tekintetében külön ellenőrzési jelentést kell benyújtani.

Ellenőrzést kell végezni az elsődleges adattár és a kapcsolódó szolgáltatások vonatkozásában, beleértve annak értékelését, hogy az adott harmadik fél szolgáltató és adott esetben alvállalkozói megfelelnek-e a 2014/40/EU irányelvben, az (EU) 2018/574 végrehajtási rendeletben és az (EU) 2018/573 felhatalmazáson alapuló rendeletben meghatározott vonatkozó jogszabályi követelményeknek.

Minden gyártónak vagy importőrnek értesítenie kell a Bizottságot az elsődleges adattára ellenőrzésének elvégzésére javasolt könyvvizsgálóról és a megfelelő harmadik fél szolgáltatóról. A Bizottságnak valamennyi javasolt ellenőrt jóvá kell hagynia.

3. Az ellenőrzések hatóköre

Alkalmazási kör és célkitűzés

Ellenőrzési jelentéseket kell benyújtani annak érdekében, hogy tájékoztassák az illetékes nemzeti hatóságokat és a Bizottságot az ellenőrök megállapításairól, különös tekintettel az elsődleges adattárakban tárolt adatokhoz való hozzáféréssel kapcsolatos szabálytalanságokra.

Az ellenőrzési jelentéseknek külön fejezeteket kell szentelniük az alábbiakban vázolt hat terület mindegyikének. Az egyes fejezeteknek az adott terület ellenőrzési pontjaival kell foglalkozniuk, a mellékletben található ellenőrzőlista szerint.

Az ellenőrzéseket ennek az ellenőrzőlistának megfelelően kell elvégezni, amely az információbiztonsági irányítási rendszerekről szóló ISO/IEC 27001:2013 szabvánnyal (4) összhangban meghatározza a szükséges területeket és ellenőrzési pontokat. E célból az ellenőröknek figyelembe kell venniük, hogy az (EU) 2018/573 felhatalmazáson alapuló bizottsági rendelet 10. cikke szerint az elsődleges adattárak működésével összefüggésben előnyben részesített információbiztonsági irányítási szabvány az ISO/IEC 27001: 2013.

Terület	Célkitűzések
Szervezeti és fizikai biztonság	A szervezeten belüli információbiztonsági irányítási keret létrehozása. Annak biztosítása, hogy a munkavállalók és a vállalkozók megértsék felelősségi köreiket, és megfeleljenek azoknak a szerepeknek, amelyeket el kell látniuk. A szervezethez való jogosulatlan fizikai hozzáférés, a szervezetnek való károkozás vagy a beavatkozás megakadályozása, beleértve az információtárolási és információfeldolgozó létesítményeket is. Az eszközök elvesztésének, megrongálódásának, eltulajdonításának vagy veszélyeztetésének, valamint a szervezet működése megszakadásának megelőzése.
Üzemeltetési biztonság	Az információfeldolgozó létesítmények helyes és biztonságos működésének biztosítása. Adatvesztés elleni védelem. Események rögzítése és bizonyítékok gyűjtése. Az operációs rendszerek integritásának biztosítása. A technikai sebezhetőségek kihasználásának megelőzése.
A hozzáférés ellenőrzése (felhasználók és alkalmazások)	Az információkhoz és az információfeldolgozó létesítményekhez való hozzáférés korlátozása. Az engedélyezett felhasználói hozzáférés biztosítása, valamint a rendszerekhez és szolgáltatásokhoz való jogosulatlan hozzáférés megakadályozása. A felhasználók felelőssé tétele hitelesítési adataik védelméért. A rendszerekhez és alkalmazásokhoz való jogosulatlan hozzáférés megakadályozása. Az információbiztonságnak az információs rendszerek fejlesztési életciklusán belül történő kialakításának és végrehajtásának biztosítása.
Kommunikációs biztonság	A kriptográfia megfelelő és hatékony használatának biztosítása az információk bizalmas jellegének, hitelességének és/vagy integritásának védelme érdekében. Az információk védelmének biztosítása a hálózatokban és az azokat támogató információfeldolgozó létesítményekben. A szervezeten belül és a külső felek számára továbbított információk biztonságának fenntartása.
Üzletmenet-folytonosság	Az információbiztonsági incidensek kezelésére vonatkozó következetes és hatékony megközelítés biztosítása, beleértve a biztonsági eseményekkel és gyengeségekkel kapcsolatos kommunikációt is. Az információbiztonság-folytonosság beágyazása a szervezet üzletmenetfolytonosság-menedzsment rendszerébe. Az információfeldolgozó létesítmények rendelkezésre állásának biztosítása. Az információbiztonsággal kapcsolatos jogi, törvényi, rendeleti vagy szerződéses kötelezettségek, valamint a biztonsági követelmények megsértésének elkerülése.
Az eszközök és az adatok integritása	A szervezeti eszközök azonosítása és a megfelelő védelmi feladatok meghatározása. Az információk megfelelő szintű védelmének biztosítása. Az adathordozón tárolt információk jogosulatlan nyilvánosságra hozatalának, módosításának, eltávolításának vagy megsemmisítésének megakadályozása.

Következtetések és ajánlások

Az ellenőrzés következtetéseit az ellenőrzőlistán felsorolt minden egyes ellenőrzési pontra vonatkozóan meg kell adni.

Az ellenőrzési jelentésnek csak a meg nem feleléssel vagy más azonosított kockázatokkal kapcsolatos megállapításokat kell kiemelnie és részleteznie. A megállapításokat megfelelő ajánlásoknak kell kísérniük, amelyek meghatározzák az ellenőrzés során feltárt problémák és hiányosságok megszüntetéséhez szükséges intézkedéseket.

4. Eljárási szempontok

Gyakoriság

Az ellenőröknek évente kell benyújtaniuk ellenőrzési jelentéseiket. Mivel a nyomonkövethetőségi rendszer 2019. május 20-án kezdte meg működését, az ellenőröket felkérjük, hogy a nyomonkövethetőségi rendszer első működési évére (azaz 2019. május 20-tól 2020. május 19-ig tartó időszakra) vonatkozó első éves ellenőrzési jelentésüket 2020. november 30-ig nyújtsák be. Az ellenőröket felkérjük továbbá, hogy az ezt követő működési évekre vonatkozó éves jelentéseiket minden naptári év októberének végéig nyújtsák be.

Az ellenőrzést követő intézkedések

Amennyiben utánkövetésre kerül sor annak értékelése céljából, hogy az érintett harmadik fél szolgáltató megfelelően végrehajtotta-e az éves ellenőrzési jelentés ajánlásait, az ellenőrt felkérjük, hogy amennyiben lehetséges, az éves ellenőrzési jelentés benyújtásától számított három hónapon belül nyújtsa be az eredményeket a Bizottságnak és az illetékes nemzeti hatóságoknak.

5. Az ellenőrzési jelentések eljárási szempontjai

A könyvvizsgálókra vonatkozó információk

A könyvvizsgálói jelentés bevezetésében fel kell tüntetni a könyvvizsgáló(k) és adott esetben a kapcsolódó könyvvizsgáló cég(ek) nevét.

Formátum

Az ellenőrzési jelentést elektronikus formátumban kell benyújtani (kereshető, nem védett PDF formátumban).

Az ellenőröket felkérjük, hogy amennyiben lehetséges, az éves jelentéseket angol nyelven nyújtsák be a Bizottságnak.

Benyújtási eljárás

Az éves ellenőrzési jelentést és a jelentés nyomon követését elektronikus úton kell benyújtani a következő címre SANTE-TT-SW@ec.europa.eu, a tárgymezőben következők feltüntetésével: „[Év]. évi ellenőrzési jelentés [Utánkövetés a [év]. évi ellenőrzési jelentéshez] – [a szerződő gyártó neve] – [az ellenőrzött harmadik fél szolgáltató neve]”

Átláthatóság

A dohánytermékek nyomonkövethetőségi rendszere általános átláthatóságának és elszámoltathatóságának előmozdítása érdekében a Bizottság felkéri a gyártókat, hogy önkéntes alapon állapodjanak meg ellenőreikkel arról, hogy ellenőrzési jelentésük nyilvános változatát is benyújtják a Bizottságnak, a személyes és üzleti szempontból érzékeny adatok kizárásával.

Az ellenőrzési jelentések ilyen nyilvános változatait a Bizottság közzéteszi az erre a célra létrehozott honlapján.

(1) Az Európai Parlament és a Tanács 2014/40/EU irányelve (2014. április 3.) a tagállamoknak a dohánytermékek és kapcsolódó termékek gyártására, kiszerelésére és értékesítésére vonatkozó törvényi, rendeleti és közigazgatási rendelkezései közelítéséről és a 2001/37/EK irányelv hatályon kívül helyezéséről (HL L 127., 2014.4.29., 1. o.).

(2) A Bizottság (EU) 2018/574 végrehajtási rendelete (2017. december 15.) a dohánytermékek nyomonkövethetőségi rendszerének létrehozására és működtetésére vonatkozó műszaki előírásokról (HL L 96., 2018.4.16., 7. o.).

(3) A Bizottság (EU) 2018/573 felhatalmazáson alapuló rendelete (2017. december 15.) a dohánytermékek nyomonkövethetőségi rendszerének részeként megkötendő adattárolási szerződések kulcsfontosságú elemeiről (HL L 96., 2018.4.16., 1. o.).

(4) ISO/IEC 27001:2013. Információtechnológia – Biztonságtechnika –Iinformációbiztonsági irányítási rendszerek – Követelmények Az ISO/IEC 27001:2013 szabványban meghatározott követelmények általánosak, és típusuktól, méretüktől és jellegüktől függetlenül minden szervezetre alkalmazandók.

MELLÉKLET

Ellenőrzőlista az elsődleges adattárak ellenőrzéséhez

Terület

Ellenőrzési pontok (1)

Szabályozási iránymutatás

Bizonyítékokra vonatkozó iránymutatás

Szervezeti és fizikai biztonság

A.6. Az információbiztonság szervezete

—	A.6.1. Belső szervezet

—	A.6.2. Mobil eszközök és távmunka

A.7. Humánerőforrás-biztonság

—	A7.1. Alkalmazás előtt

—	A7.2. Alkalmazás alatt

—	A7.3. Az alkalmazás megszűnése vagy változtatása

A.11. Fizikai és környezeti biztonság

—	A.11.1. Biztonsági területek

—	A.11.2. Berendezések

Az A.6. és az A.11. ponttal kapcsolatban:

Az adattárat fizikailag az EU területén kell elhelyezni. Az adatok nem tárolhatók harmadik országban, illetve nem továbbíthatók harmadik országba. (A 2014/40/EU irányelv 15. cikkének (8) bekezdése)

Az adattárat olyan védelmi eljárásokkal és rendszerekkel kell védeni, amelyek biztosítják, hogy az adattárakhoz való hozzáférés csak a tagállamok illetékes hatóságai, a Bizottság és a külső könyvvizsgálók számára legyen engedélyezett.

Az A.7. ponttal kapcsolatban:

Az adattár szolgáltatójának, valamint adott esetben az alvállalkozóinak függetlennek kell lennie és feladatait pártatlanul kell ellátnia. A jogi függetlenségre, a pénzügyi függetlenségre és az összeférhetetlenség hiányára vonatkozó követelmények alkalmazandók. (Az (EU) 2018/574 végrehajtási rendelet 35. cikke)

A szervezet szervezeti ábrája, a kulcsfontosságú személyzet által aláírt munkaköri leírások, az adott munkakör szempontjából releváns elvégzett tanfolyamok.

A kinevezések listája (információbiztonsági főtisztviselő, adatvédelmi tisztviselő stb.), valamint a biztonsági szerepkörökkel kapcsolatos felelősségi körök és feladatok leírása.

A személyzet képzésen való részvételének bizonyítéka (pl. elfogadott meghívás, a képzés időpontja és napirendje, aláírt részvételi lista a tudatosságnövelő munkaértekezleten stb.).

A humánerőforrás-biztonságra vonatkozó szabályzatok/eljárások rendszeres felülvizsgálata és frissítése (az eljárások végrehajtásának nyilvántartása).

Fizikai biztonsági intézkedések alapvető végrehajtása és a környezet ellenőrzése, például ajtó- és szekrényzárak, betörésjelzők, tűzjelzők, tűzoltó készülékek, zártláncú televíziók stb.

A személyzet engedélyezett hozzáféréssel és meghatalmazással rendelkező tagjainak listája.

A fizikai biztonsági intézkedésekre és a környezet ellenőrzésére vonatkozó dokumentált szabályzat, beleértve a releváns létesítmények és rendszerek leírását.

Az adminisztrátori célokra használt hardverforrások részletes leltára.

Üzembiztonság

A.12. Üzemeltetési biztonság

—	A.12.1. Üzemeltetési eljárások és felelősségek

—	A.12.3. Biztonsági mentés

—	A.12.4. Naplózás és monitoring

—	A.12.5. Az operációs rendszer kontrollja

—	A.12.6. A technikai sebezhetőség kezelése

Az A.12.3. ponttal kapcsolatban:

Az adattár minden alkotóeleme és szolgáltatása tekintetében megfelelő biztonsági mechanizmusoknak kell rendelkezésre állniuk. (Az (EU) 2018/574 végrehajtási rendelet 25. cikke (1) bekezdésének i) pontja)

Az A.12.4. ponttal kapcsolatban:

Az adattárnak teljes ellenőrzési nyomvonalat kell tartalmaznia a tárolt adatokat érintő valamennyi műveletről és az e műveleteket végző felhasználókról, beleértve e műveletek jellegét és a felhasználói hozzáférési előzményeket is. (Az (EU) 2018/574 végrehajtási rendelet 25. cikke (1) bekezdésének m) pontja)

Az eseményekkel és a naplózással kapcsolatos bizonyítékokra vonatkozó iránymutatások:

—	bejelentkezési és kiléptetési kísérletek (mind sikeres, mind sikertelen kísérletek)

—	adatbázisszerver újraindításai

—	rendszeradminisztrátori jogosultságokkal rendelkező felhasználók által kiadott parancsok

—	az integritás megsértésének kísérlete (ha a módosított vagy bevitt adatok nem egyeznek meg egy referencia-, egyedi vagy ellenőrző korlátozással)

—	műveletek kiválasztása, beszúrása, frissítése és törlése

—	tárolt eljárás-végrehajtások

—	adatbázishoz vagy táblázathoz való hozzáférésre tett sikertelen kísérletek (sikertelen engedélyezés)

—	a rendszerkatalógus-táblázatok változásai

A felső vezetés által megfelelően dokumentált és jóváhagyott karbantartási biztonsági eljárás.

Világosan meghatározott minimális biztonsági karbantartási folyamat.

A harmadik felekkel kötött valamennyi szerződés jegyzéke (2).

Kifejezett biztonsági követelmények az informatikai termékeket, informatikai szolgáltatásokat, kiszervezett üzleti folyamatokat, ügyfélszolgálatokat stb. szállító harmadik felekkel kötött szerződésekben.

Dokumentált biztonsági szabályzat a harmadik felekkel kötött szerződések esetében

Dokumentált megjegyzések vagy változások e szabályzat naplózásában.

Érvényben lévő és fenntartott beszállítói kockázatértékelési/kezelési szabályzat és/vagy eljárás.

A harmadik felekkel fennálló kapcsolatok dokumentált módosítása vagy megszüntetése.

A kapcsolódó tudatosságnövelő és képzési gyakorlatokról szóló jelentések.

A biztonsági események észlelésére és elemzésére szolgáló rendszerek, eszközök és eljárások.

Dokumentált eseményfelderítési és -elemzési szabályzat, amely foglalkozik a céllal, a hatókörrel, a szerepekkel és a felelősségi körökkel, valamint az összes kapcsolódó szervezet, köztük az ügyfelek közötti koordinációval.

A múltbeli biztonsági események felderítésével és eszkalációjával kapcsolatos jelentések.

A biztonsági események felderítésére vonatkozó szabályzat, valamint a kapcsolódó eljárások és rendszerek naprakész dokumentációja.

A felderített és eszkalált főbb múltbeli események jegyzéke, beleértve az összes kapcsolódó információt (ok, hatás, a megtett intézkedések sorrendje).

A múltban végzett kiberbiztonsági gyakorlatok bizonyítékai, beleértve azok elvégzésének időpontját is.

A hozzáférés ellenőrzése (felhasználók és alkalmazások)

A.9. Hozzáférés-ellenőrzés

—	A.9.1. A hozzáférés-ellenőrzés üzleti követelményei

—	A.9.2. Felhasználói hozzáférés kezelése

—	A.9.3. Felhasználók felelőssége

—	A.9.4. Rendszer- és alkalmazás-hozzáférési ellenőrzés

A.14. Információs rendszerek beszerzése, fejlesztése és karbantartása

—	A.14.2. A fejlesztési és támogatási eljárások biztonsága

Az A.9. ponttal kapcsolatban:

Az adattároló rendszerekhez és az azokban tárolt adatokhoz való hozzáférést a tagállamokra, az Európai Bizottságra és a jóváhagyott külső ellenőrökre kell korlátozni. (A 2014/40/EU irányelv 15. cikkének (8) bekezdése; az (EU) 2018/574 végrehajtási rendelet 25. cikke (1) bekezdésének j) pontja)

Hozzáférés-ellenőrzési szabályzat, beleértve a szerepek, csoportok, hozzáférési jogok, az információs rendszerekhez való hozzáférési jog megadására és visszavonására vonatkozó eljárások leírását.

A már nem használt fiókok rövid idő elteltével történő törlésére vonatkozó szabály meghatározása.

Hozzáférés-ellenőrzéssel kapcsolatos mátrixok (pl. a feladatok elkülönítésére szolgáló ellenőrzési mátrix, távoli hozzáférés ellenőrzése stb.).

A hozzáférés-ellenőrzési szabályzatok/eljárások tartalmaznak a hozzáférési jogosultsággal foglalkozó részt.

A belépés-ellenőrzési szabályzat tartalmazza a vonatkozó erőforrásokhoz és/vagy folyamatokhoz való hozzáférési jogosultságok feltérképezésének nyilvántartását.

Testre szabott és dokumentált adminisztrátori fiókok, amelyek az érintett személyzet számára különleges hozzáférési jogokat biztosítanak.

Az adminisztrátori fiókok eljárásainak dokumentált kezelése.

Az adminisztrátorok fióktevékenységének naplói rendelkezésre állnak.

Az adminisztrátori információs rendszerek az infrastruktúra többi részétől elszigetelten és elkülönülten működnek a fokozott reziliencia érdekében.

A kompatibilitás biztosításához szükséges, hivatalosan dokumentált szoftverkövetelmények.

Kommunikációs biztonság

A.10. Kriptográfia

—	A.10.1. Kriptográfiai ellenőrzések

A.13. Kommunikációs biztonság

—	A.13.1. A hálózatbiztonság kezelése

—	A.13.2. Információtovábbítás

Az A.13. ponttal kapcsolatban:

Az elsődleges adattárak és a másodlagos adattár és az útvonalválasztó közötti adatcserének a másodlagos adattár szolgáltatója által meghatározott műszaki előírásoknak megfelelően kell történnie. (Az (EU) 2018/574 végrehajtási rendelet 28. cikkének (1) bekezdése)

Minden elektronikus kommunikációt biztonságos eszközökkel kell végrehajtani. Az alkalmazandó biztonsági protokolloknak és kapcsolódási szabályoknak szabadon felhasználható, nyílt szabványokra kell épülniük. (Az (EU) 2018/574 végrehajtási rendelet 36. cikkének (1) bekezdése)

Megfelelő kriptográfiai eljárások megléte.

A (privát)kulcs(ok) titkosságát védő biztosítékok megléte.

A rendszer konfigurációjára vonatkozó szabályzat és/vagy eljárás megléte és fenntartása.

Rendszerkonfigurációs táblázatok.

A rendszerkonfiguráció felülvizsgálati ciklusainak menetrendje és terve.

A kritikus információs rendszerek dokumentált múltbeli gyakorlatai/tesztjei.

A biztonsági konfiguráció felülvizsgálatának menetrendje és terve.

A hálózat, a rendszer és az adatok elkülönítésének végrehajtására vonatkozó dokumentáció.

A kritikus hálózati és információs rendszerek nyomonkövetési jelentései.

A nyomonkövetési eljárások dokumentált szabályzata, beleértve a nyomon követésre vonatkozó minimumkövetelményeket.

A nyomonkövetési rendszerek meglévő eszközeinek igazolása.

Üzletmenet-folytonosság

A.16. Az információbiztonsági incidensek kezelése

—	A.16.1. Az információbiztonsági incidensek és fejlesztések kezelése

A.17. Az üzletmenet-folytonosság információbiztonsági szempontjai

—	A.17. Az üzletmenet-folytonosság információbiztonsági szempontjai

—	A.17.1. Az információbiztonság folytonossága

—	A.17.2. Redundancia

A.18. Megfelelés

—	A.18.1. Megfelelés a jogi és szerződéses követelményeknek

Az A.17 ponttal kapcsolatban:

Minden adattároló rendszernek biztosítania kell az összes elem és szolgáltatás folyamatos rendelkezésre állását legalább havi 99,5 %-os üzemidővel. (Az (EU) 2018/574 végrehajtási rendelet 25. cikke (1) bekezdésének i) pontja)

Az adathordozhatóságot az alkalmazandó közös adatszótárral összhangban kell biztosítani. (Az (EU) 2018/574 végrehajtási rendelet 36. cikkének (2) bekezdése)

A szolgáltatónak rendelkeznie kell egy alkalmazandó kilépési tervvel. (Az (EU) 2018/573 felhatalmazáson alapuló rendelet 19. cikke)

Az A.18.1. ponttal kapcsolatban:

Az adatkezelési tevékenységeknek meg kell felelniük az (EU) 2016/679 rendeletnek (általános adatvédelmi rendelet) és az elsődleges adattár és a másodlagos adattár szolgáltatója között létrejött adatkezelési megállapodásnak.

Hivatalosan dokumentált szolgáltatásfolytonossági stratégia, beleértve a kulcsfontosságú szolgáltatások és folyamatok helyreállítási idejére vonatkozó célkitűzéseket.

A kritikus rendszerekre vonatkozó készenléti tervek, beleértve az általános fenyegetésekre vonatkozó egyértelmű lépéseket és eljárásokat, az aktiválást kiváltó tényezőket, a lépéseket és a helyreállítási időre vonatkozó célkitűzéseket.

Az egyes képzési tevékenységek nyilvántartása, valamint a végrehajtásukat követő jelentések.

A katasztrófák (pl. földrengés, áradás, tűz) kezelésére szolgáló intézkedések, például a más régiókban található feladatátvételi helyek, a kritikus adatok biztonsági mentése, amelyet távoli (az adatokat gyűjtő és feldolgozó adatközpont helyétől földrajzilag elkülönülő) helyen kell elvégezni, megfelelő távolságban ahhoz, hogy a fő telephelyen bekövetkező katasztrófa okozta károk elkerülhetők legyenek stb.

A katasztrófa-helyreállítási képességek telepítésére vonatkozó, hivatalosan dokumentált szabályzat/eljárások, beleértve a szolgáltatásokat esetlegesen érintő természeti és/vagy súlyos katasztrófák listáját, valamint a – vagy belsőleg rendelkezésre álló, vagy harmadik fél által biztosított – katasztrófa-helyreállítási képességek listáját.

A katasztrófa-helyreállítási műveletekben részt vevő személyzet egyéni képzési tevékenységeinek nyilvántartása.

Az eszközök és az adatok integritása

A.8. Vagyontárgyak kezelése

—	A.8.1. Felelősség a vagyontárgyakért

—	A.8.2. Információ-osztályozás

—	A.8.3. Adathordozók kezelése

Az A.8.1. ponttal kapcsolatban:

Az adatbázisokkal és adattárakkal kapcsolatos eszközökre vonatkozik (i.e. adatbáziskezelő rendszer, adatbázis-objektumok, adatbázisszerver).

Az A.8.2. ponttal kapcsolatban:

Nagyon érzékeny jelleg. Az adatok üzleti szempontból érzékeny információkat tartalmaznak. Az adatokat a nemzeti és uniós hatóságok által végzett vizsgálatokhoz használják fel.

Dokumentált eszközkezelési szabályzat/eljárások, ideértve a szabályzat hatálya alá tartozó szerepeket, felelősségi köröket, eszközöket és konfigurációkat.

A központilag kezelt kritikus eszközök és kritikus rendszerkonfigurációk listájának kezelése és karbantartása.

A szoftver/hardver eszközkezelést hivatalosan dokumentálják és karbantartják.

Naprakész eszközkezelési szabályzat/eljárások, felülvizsgálatok észrevételei és/vagy változások naplózása.

(1) Az ellenőrzési pontok számozása megfelel az ISO/IEC 27001:2013 szabvány szerinti számozásnak. Eltérések esetén az ebben a dokumentumban használt számozásra kell hivatkozni.

(2) A harmadik fél olyan független szervezet, amely részt vesz egy szolgáltatás működtetésében, de nem a fő szervezet, és kisebb érdekeltséggel rendelkezik a szolgáltatás nyújtásában pl. felfelé irányuló (szolgáltató, eladó) vagy lefelé irányuló (forgalmazó, viszonteladó) szervezet.

AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ TÁJÉKOZTATÁSOK

		ISSN 1977-0979
Az Európai Unió Hivatalos Lapja		C 167

Magyar nyelvű kiadás	Tájékoztatások és közlemények	63. évfolyam 2020. május 15.

Tartalom		Oldal
	II Közlemények
	AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ KÖZLEMÉNYEK
	Európai Bizottság
2020/C 167/01	A bizottság közleménye Iránymutatások a dohánytermékek uniós nyomonkövethetőségi rendszerével összefüggésben a 2014/40/EU irányelv 15. cikke (8) bekezdésének megfelelően benyújtandó éves ellenőrzési jelentésekről ( 1 )	1
2020/C 167/02	Bejelentett összefonódás engedélyezése (Ügyszám M.9763 — Bidvest Group/PHS Group) ( 1 )	10
2020/C 167/03	Bejelentett összefonódás engedélyezése (Ügyszám M.9794 – Renault/Ferrovial/Car Sharing Mobility Services) ( 1 )	11
2020/C 167/04	Bejelentett összefonódás engedélyezése (Ügyszám M.9772 – Helvetia/CASER) ( 1 )	12
2020/C 167/05	Összefonódás bejelentésének visszavonása (Ügyszám: M.9097 – Boeing/Embraer) ( 1 )	13

	IV Tájékoztatások
	AZ EURÓPAI UNIÓ INTÉZMÉNYEITŐL, SZERVEITŐL, HIVATALAITÓL ÉS ÜGYNÖKSÉGEITŐL SZÁRMAZÓ TÁJÉKOZTATÁSOK
	Európai Bizottság
2020/C 167/06	Euroátváltási árfolyamok — 2020. május 14.	14
2020/C 167/07	A pénzforgalomba szánt euroérmék új nemzeti előlapja	15
	A TAGÁLLAMOKTÓL SZÁRMAZÓ TÁJÉKOZTATÁSOK
2020/C 167/08	Az 5. cikk (2) bekezdése alapján benyújtandó információk Európai Területi Társulás (ETT) létrehozása (Az Európai Parlament és a Tanács 2006. július 5-i 1082/2006/EK rendelete [ HL L 210., 2006.7.31., 19. o. ])	16

	V Hirdetmények
	A VERSENYPOLITIKA VÉGREHAJTÁSÁRA VONATKOZÓ ELJÁRÁSOK
	Európai Bizottság
2020/C 167/09	Összefonódás előzetes bejelentése (Ügyszám M.9730 – FCA/PSA) ( 1 )	18
2020/C 167/10	Összefonódás előzetes bejelentése (Ügyszám M.9743 – Atresmedia/Telefónica/JV) ( 1 )	20

	Pénznem	Átváltási árfolyam
USD	USA dollár	1,0792
JPY	Japán yen	115,48
DKK	Dán korona	7,4573
GBP	Angol font	0,88495
SEK	Svéd korona	10,6418
CHF	Svájci frank	1,0512
ISK	Izlandi korona	158,30
NOK	Norvég korona	11,0598
BGN	Bulgár leva	1,9558
CZK	Cseh korona	27,571
HUF	Magyar forint	354,66
PLN	Lengyel zloty	4,5666
RON	Román lej	4,8375
TRY	Török líra	7,5159
AUD	Ausztrál dollár	1,6805
CAD	Kanadai dollár	1,5224
HKD	Hongkongi dollár	8,3647
NZD	Új-zélandi dollár	1,8068
SGD	Szingapúri dollár	1,5374
KRW	Dél-Koreai won	1 329,17
ZAR	Dél-Afrikai rand	20,1637
CNY	Kínai renminbi	7,6655
HRK	Horvát kuna	7,5730
IDR	Indonéz rúpia	16 134,80
MYR	Maláj ringgit	4,6843
PHP	Fülöp-szigeteki peso	54,591
RUB	Orosz rubel	80,0145
THB	Thaiföldi baht	34,675
BRL	Brazil real	6,3925
MXN	Mexikói peso	26,2470
INR	Indiai rúpia	81,5920


	(1) EGT-vonatkozású szöveg.