Szállítóként vagy nagy építőipari cégként a kritikus infrastruktúra projekteket kezelitek BIM platformok és IoT helyszíni rendszerek segítségével? Ez az útmutató a SZTFH által előírt kötelezettségeket és a gyakorlati végrehajtást járja körül a 2026-os időhatárig.
Az Annex II szerinti fontos entitásnak minősülnek azok a nagylétesítményi építőipari vállalatok, amelyek kritikus infrastruktúra-terveket (energetika, közlekedés, víz, szanitáció) kezelnek BIM rendszereken keresztül, képviselnél több mint 250 fős létszámot vagy éves árbevétele meghaladja az 50 millió EUR-t. Ide tartoznak a projektmenedzsment-szoftvereket üzemeltető mérnöki cégek és nagyobb alvállalkozók, akik helyszíni IoT-eszközöket és biztonsági rendszereket üzemeltetnek.
Kötelező megvalósítani végpontok közötti titkosítást, többfaktoros azonosítást és szerepköralapú hozzáférés-szabályozást a Revit, Navisworks, vagy más BIM felhőalkalmazások környezetében. Az építési tervek, kritikus infrastruktúra-papírok és mérnöki adatok tárolása titkosított, elkülönített adatbázisokban szükséges, és az adatvesztést vagy illetéktelen módosítást detektáló naplózási mechanizmusok nélkülözhetetlenek.
Minden olyan alvállalkozót, aki hozzáfér a BIM platformokhoz, projektvezetési rendszerekhez vagy helyszíni IoT eszközökhöz, biztonsági felmérésnek kell alávetni. Szükséges írásos biztonsági szerződések megkötése, az IT-eszközök inventarizálása és a beszállítói hálózatok elszigetelése a fő projektmentesítő rendszertől (DMZ vagy VPN-szegmentálás).
Az RFID-azonosítók, drótos és vezeték nélküli szenzorok, valamint a beépített biztonsági és fényvédelmi rendszerek nem helyezhetők egységes, nem szegmentált hálózaton. Szükséges dedikált IoT VLAN-ok, firmware-frissítési folyamat, alapértelmezett jelszavak módosítása és a nem szükséges portok letiltása (például Telnet, HTTP). Az érzékelők és eszközök között szükséges kriptográfiai tanúsítvány-alapú azonosítás.
Amennyiben az SZTFH által szabályozott kritikus infrastruktúrához (energetika, vasút, közút, víz) kapcsolódó projektbe adatok szivárognak, vagy a BIM/SCADA rendszerek működésképtelenné válnak, a bejelentés az SZTFH-nak 72 órán belül szükséges. Szükséges incidensmentes közlemény-közzétételre egy erre kijelölt csoport kijelölése és egy nyomozási naplózási rendszer.
Az összes adat-továbbítás HTTPS/TLS 1.2+ vagy magasabb szintű titkosítással szükséges. Az adatok tárolása esetén AES-256 vagy egyenértékű szintű titkosítás javasolt. Az ISO/IEC 27001 információbiztonsági menedzsmentrendszer bevezetése erősen ajánlott, valamint az éves biztonsági rávizsgálatok és szimulált támadási tesztek (penetration testing) szükségesek.
A helyszíni IoT-eszközöket (RFID, szenzorok, biztonsági kamerák) egy dedikált, titkosított VLAN-on kell futtatni, amely elkülönített a irodai és projektirányítási hálózattól. A router és a switch-ek konfigurációjában VLAN-alapú szegmentálás, port-based security és WPA3 (vezeték nélkül) vagy 802.1X (vezetékes) tanúsítványalapú hitelesítés szükséges. Az eszközök közötti kommunikációhoz TLS 1.2+ vagy egyéb kriptográfiai protokollok szükségesek.
Az SZTFH az NIS2-direktívát Magyarországon a kiberbiztonsági törvényen (2025. év vége) keresztül implementálja, a teljes megfelelőségi határidő 2026. október. A nem megfelelő vállalatok 10–40 millió forint közötti bírságokkal számolhatnak, valamint a projektvezetési engedélyeket felfüggesztheti. A 2026. október előtt csak ajánlások vannak, de az előkészületek azonnal szükségesek.