Ez az útmutató EU-s ügyfelekkel rendelkező felhőszolgáltatók (IaaS, PaaS, SaaS) számára készült, akik az Annex I esszenciális entitások közé tartoznak. Megismerkedhet a kritikus infrastruktúra-kezelésből, az incidenszámára, és a megosztott felelősségi modell dokumentálásából eredő konkrét magyarországi követelményekkel.
Magyarországon azon felhőszolgáltatók számára kötelező a NIS2 betartása, amelyek legalább egy kritikus szektort (energia, közlekedés, víz, szennyvíz, egészségügy, digitális infrastruktúra, közigazgatás) szolgálnak ki jelentős EU-s felhasználói bázissal, vagy jelentős számú EU-s vállalat vagy közhatalmi szerv adatait kezelik. Ez jellemzően a jelentős méretű (100+ alkalmazott) vagy piacot uraló felhőszolgáltatókat érinti.
A felhőszolgáltatónak biztosítania kell, hogy a többbérlős környezetben az ügyfelek adatai és szolgáltatásai szigorúan elkülönüljenek logikai és fizikai szinten. Ez magában foglal szegmentációs kontrollokat, titkosítást az adatátvitelben és tárolásban, valamint legalább éves biztonsági auditot az infrastruktúra integrálásáról. A közös felelősségi modell dokumentációjában egyértelműen rögzíteni kell, hogy mely biztonsági kontrollok a szolgáltató, és melyek az ügyfél feladata.
Az incidenszámára keretében a felhőszolgáltatónak azonosítania kell az esszenciális szolgáltatásra hatást gyakorló biztonsági eseményeket, és 24 órán belül értesítenie kell az érintett ügyfeleket. A magyarországi SZTFH-nak pedig az incidenszámára szerint 3 munkanapon belül be kell jelentenie az incidenszámára-függő eseményeket. Ez megköveteli egy NIS2-specifikus incidenttörténetet elkülöníteni az általános biztonsági incidensektől, valamint egy hatástanulságí nyomkövetési rendszert.
A felhőszolgáltatónak legalább SOC 2 Type II tanúsítvánnyal és ISO 27001 szerinti nemzetközi tanúsítvánnyal kell rendelkeznie. Ezek az auditok az Information Security Management System (ISMS) ellenőrzésén keresztül biztosítják, hogy a szervezet a biztonsági kontrollokvét folyamatosan karbantartja és ellenőrzi. Az auditoknak legalább évente meg kell ismételkedniük, és az eredményeket az EU-s ügyfelek számára hozzáférhetővé kell tenni.
Az EU-s ügyfelek adatait Magyarország vagy egy másik EU-tagállam adatközpontjában kell tárolni és feldolgozni. A felhőszolgáltatónak a tényleges adatőrzési helyét nyíltan és szerződésben is rögzítenie kell, és ügyfél-szintű kontrollt kell biztosítania az adatmigráció és helyváltoztatás felett. Harmadik országba (pl. USA) való adattovábbítás csak megfelelő nemzetközi adatvédelmi megállapodásokkal (pl. Standard Contractual Clauses) és az ügyfél kifejezett jóváhagyásával lehetséges.
A felhőszolgáltatónak, mivel hardvergyártókat, adatközpont-üzemeltetőket és egyéb kritikus szállítókat alkalmazhat, formális szállítóláncbiztonsági programot kell fenntartania. Ez magában foglal szállítók biztonsági értékeléseit, szerződéses biztonsági kötelezettségeket és rendszeres felülvizsgálatokat. A szállítók által okozott biztonsági hiányosságokért, ha az a kritikus szolgáltatást érinti, a felhőszolgáltató is felelősséggel tartozik az SZTFH felé.
Az Annex I esszenciális entitások közé tartoznak azok a felhőszolgáltatók, akik kritikus szektorokat (energia, közlekedés, víz, egészségügy stb.) szolgálnak ki vagy jelentős számú EU-s vállalat/közhatalmi szerv adatait kezelik. A SZTFH lista alapján 2024–2025-ben azonosítják a pontos szervezeteket. Az elsődleges kritérium: van-e az ügyfélkörödben EU-s kritikus szektorbeli szervezet vagy rendszerkritikus szám?
A NIS2 24 órás kötelezettség a kritikus szolgáltatást érő biztonsági incidensekre vonatkozik (pl. adatkidolgozás, szolgáltatásmegszakítás az Annex I szektort érintve), amit az SZTFH-nak kell bejelenteni. A 72 órás GDPR-s bejelentés az személyes adatok megsértésére vonatkozik és az adatfelügyelőnek szól. Egy esemény mindkettővel járhat, de ezek eltérő, egymástól függetlenül indított nyomkövetéseket igényelnek.
Az SZTFH akár 10 millió euróig terjedő, vagy az éves globális forgalom 4%-áig terjedő büntetést szabhat ki legalapvetőbb kötelezettségek megsértéséért (pl. incidenszámára hiánya, biztonsági kontrollok hiánya). A magyarországi gyakorlatban ez eddig még nem érvényesült, de 2025–2026 után az EU erősíteni fogja a felügyeletét. Ajánlott már 2024-ben kezdeni az előkészületeket.