NIS2 Megfelelőség

NIS2 Ellátási Lánc Biztonsága: Szállítói Szerződések és Kockázatkezelés

A NIS2 direktíva 21(2)(d) cikke kötelezi a cégeket arra, hogy minden közvetlen szállítójukkal szerződésben rögzítsék a biztonsági követelményeket. Ez a felelősség gyakran meglepetésként érinti a vállalatokat — a szoftverforgalmazóktól a felhőszolgáltatókon át a karbantartó cégekig.

Letöltés: Szállítói Ellenőrzőlista →

Mi is az a NIS2 21(2)(d)? Szállítói Szerződések Követelménye

A NIS2 direktíva 21(2)(d) cikke teljes körűen szabályozza az ellátási lánc biztonságát. Értelmezése szerint minden szervezetnek – függetlenül az iparágtól – szerződésben meg kell követelnie a szállítóitól bizonyos biztonsági standardok betartását.

Ez nem egy ajánlás, hanem kötelező jogi követelmény. A szerződéseknek tartalmazniuk kell:

Biztonsági standardok és keretrendszerek (ISO 27001, CIS Controls)
Incidens bejelentési kötelezettség (legfeljebb 30 nap)
Audit és ellenőrzési jogok
Adat- és rendszerkezelési előírások
Alkalmassá tétel (szubkontraktál) kezelése

A magyarországi szervezetek számára a Nemzeti Kibervédelmi Intézet (NKI) is útmutatást nyújt a megfelelőségről.

Ki Számít 'Szállítónak' a NIS2 Szerint?

Sok vállalatnak az az első meglepetése, hogy mennyire tág a szállító fogalma. Nem csak az IT-szállítók számítanak.

Szállítók a NIS2 értelmezésében:

Szoftverforgalmazók – CRM, ERP, számlázási szoftver
Felhőszolgáltatók – AWS, Azure, Google Cloud, valamint magyar privátfelhő-szolgáltatók
IT-kiszervezés – helpdesk, szerver-üzemeltetés, biztonsági monitorozás
Közüzemi szolgáltatások – internet-szolgáltatók, elektromosság (SCADA-rendszerek esetén)
Fizikai biztonság – vagyonőrség, takarítócég szerverek helyén
Telekomszolgáltatók – telefonközpont, VOIP-rendszer
Biztonsági cégek – tűzfal-kezelés, pentesting

A kulcskérdés: akinek bármilyen hozzáférése van az Ön kritikus rendszerihez vagy adataihoz, az szállító.

Szállítói Szerződések: Mit Kell Tartalmazniuk?

A NIS2 nem ír elő pontos szerződési szövegeket, de világos biztonsági követelmények vannak:

Biztonsági standardok: Kerüljenek rögzítésre konkrét nemzetközi standardok (ISO 27001, SOC 2, CIS Controls), valamint a szállító saját biztonsági politikája.
Incidens-bejelentés: A szállító köteles 30 napon belül bejelenteni az Ön szervezetét érintő biztonsági incidenst.
Audit és ellenőrzés: Az Ön szervezetének joga van biztonsági auditokat végezni vagy külső céggel végeztetni.
Adat- és rendszerkezelés: A szállító az Ön adatait kizárólag szerződésben meghatározott céllal és időszakra kezelheti.
Szubkontraktáció: Ha a szállító maga is más szállítókat alkalmaz, azokat ugyanilyen biztonsági követelmények alá kell vonni.

A gyakorlatban: álljon fel egy szabványosított szállítói szerződés-melléklet, amelyet minden szállítónak aláírnia kell.

Szállítók Értékelése: Kérdőívek vs. Biztonsági Értékelési Platformok

Két fő megközelítés létezik:

1. Kérdőív-alapú értékelés – Saját vagy ipari kérdőíveket (pl. CAIQ – Consensus Assessments Initiative Questionnaire) küld a szállítónak, aki kitölt és visszaküld. Előnye: olcsó, rugalmas. Hátránya: az válaszok gyakran megbízhatatlanok, és nem valós idejű monitoring.

2. Biztonsági értékelési platformok – Olyan rendszerek, mint a SecurityScorecard, BitSight vagy UpGuard folyamatosan figyelik a szállítók kockázati profilját nyílt forráson, DNS-rekordokon, kimutatott sebezhetőségeken és más jelekneken alapulva.

Ajánlás: kombináljuk a kettőt. Kezdjen kérdőívvel (költség-hatékony), majd integrálja a SecurityScorecard-szerű platformokat a kritikus szállítók folyamatos monitorozásához. Az Reglyze típusú ISMS-eszközök beépített szállítói kezelési modullal rendelkeznek.

Szállítói Biztonsági Program: 30 Napos Implementáció

1–5. nap: Szállító-felderítés – Készítsen listát minden közvetlen szállítóról (szoftver, felhő, kiszervezés, fizikai biztonság). Tüntesse fel az adatkezelést és a rendszerhozzáférés fokát.

6–10. nap: Szerződés-audit – Ellenőrizze, hogy a jelenlegi szerződésekben vannak-e biztonsági és incidens-bejelentési záradékok. Ahol nincsenek, készítsen standardosított melléklet-szöveget.

11–20. nap: Szállítói értékelés – Összeállíthat egy kérdőívet (vagy használjon CAIQ-ot), és küldje meg a szállítóknak. Párhuzamosan regisztráljon egy értékelési platformot (SecurityScorecard ingyenes próba) a kritikus szállítók számára.

21–30. nap: Szerződések frissítése és monitoring beállítása – Az első körös értékelések alapján frissítse az összes szállítói szerződést. Állítson be negyedéves felülvizsgálatot és incidens-bejelentési folyamatot.

Szállítói Biztonsági Platformok: SecurityScorecard Gyakorlata

A SecurityScorecard olyan egy valós idejű szállítói kockázati szcéna. Automatikusan figyeli a szállító biztonsági helyzetét anélkül, hogy kitöltött kérdőívekre kellene várni.

Hogyan működik:

Nyílt forráson végez kereséseket (publikált adatszivárgások, DNS-biztonsági problémák)
Sebezhetőség-adatbázisokhoz kapcsolódik (CVE-k, Shodan)
TLS-tanúsítványok és e-mail biztonsági protokollok ellenőrzése
0–100 közötti pontszámot ad az egyes szállítóknak
Valós idejű riasztásokat küld, ha a pontszám romlani kezd

Magyarország számára releváns: a BitSight és UpGuard hasonló funkciót nyújtanak. Az Reglyze ISMS-szoftver pedig integrálható e platformokkal a teljes szállítói ökoszisztéma kezeléséhez.

10 Kérdés, Amit Minden Szállítónak Fel Kell Tenni

✓ Van-e érvényes ISO 27001 vagy SOC 2 tanúsítványod, és ha igen, mikor jár le?
✓ Hogyan jelentsz bejelent biztonsági incidenst, és mekkora az átlagos válaszidő?
✓ Engedélyezed-e a biztonsági auditokat és penetrációs teszteket az Ön rendszerén?
✓ Milyen szubkontraktorokat használsz, és hogyan ellenőrzöd azok biztonságát?
✓ Hol tárolod az Ön adatait (szerver-helyek, régió), és mi az adattörlési politika?
✓ Van-e biztonsági incidens az elmúlt 2 évben? Ha igen, ezt hogyan kezelted?
✓ Milyen titkosítást és hozzáférés-ellenőrzést alkalmazol az Ön adatain?
✓ Kik férhetnek hozzá az Ön adataihoz (munkatársak, szubkontraktorok, kormány)?
✓ Van-e üzletmenet-folytonossági és katasztrófa-helyreállítási terv?
✓ Hogyan értesítesz, ha a szállítás-támogató vagy egy szállító biztonsága veszélybe kerül?

GYIK: NIS2 Szállítói Biztonsági Követelmények

A szállító az Ön szervezete felé közvetlenül szerződéses kötelezettséggel rendelkezik. Az alvállalkozó a szállító saját szállítója. A NIS2 szerint azonban mindkettőt azonos biztonsági követelmények alá kell vonni — az Ön szervezete közvetlen szerződésben köteles az alvállalkozókat is biztonsági feltételekhez kötni.

Nem feltétlenül. Az ISO 27001 erős garancia, de a NIS2 nem teszi kötelezővé. Ehelyett a szállítónak dokumentálnia kell a biztonsági gyakorlatait — legyen az belső szabályozás, SOC 2, vagy más bevált keretrendszer. A kritikus szállítók (felhő, szoftver) esetén azonban nagyon ajánlott.

A NIS2 egyedi adattartást nem ír elő, de a magyar adatvédelmi és üzleti gyakorlat alapján javasolt legalább 3 év dokumentáció megőrzése. Az audit-jelentések, incidens-bejelentések és szerződések legalább erre az időszakra maradjanak meg.

Ez kemény helyzetbe hozza Önöket. A gyakorlatban: tárgyaljanak a szállítóval, mutassák meg a NIS2 követelményeket, és ajánljanak fel alternatívát (például harmadik féltől végzett auditok). Ha a szállító megtagadja, értékelni kell a kockázatot és dönteni a folytatásról vagy a szállító cseréről.

Ezek nem kötelezőek, de nagyon hasznosak. Objektív, valós idejű adatot nyújtanak a szállítók kockázati profilját illetően. A NIS2 célja a kockázatok csökkentése — a SecurityScorecard és hasonló eszközök (BitSight, UpGuard) segítenek abban, hogy azonosítsa a gyenge pontokat és cselekedjen gyorsan.

Indítsa El Szállítói Biztonsági Programját Ma

A NIS2 szállítói követelményei szigorúak, de végrehajthatóak. Töltse le az ingyenes szállítói ellenőrzőlistát, és kezdje meg a szállító-felderítést még ma. Napi 30 perc alatt beindíthatja a programot.

Letöltés: Szállítói Biztonsági Ellenőrzőlista