Penetráció tesztelő cégek, MSSP és SOC szolgáltatók számára készült útmutató az Annex II szerinti fontos entitás besorolás követelményeihez. Megismerheti az ügyfél-adatok biztonságával kapcsolatos konkrét kötelezettségeket, az incidens-bejelentést és a sebezhetőség-kezelést.
Az NIS2 kiberbiztonsági törvény alkalmazandó minden olyan magyar kiberbiztonsági szállítóra, SOC/MSSP szolgáltatóra és penetráció tesztelő cégre, amely legalább 50 alkalmazottal rendelkezik vagy a EU-ban több tagállamban nyújt szolgáltatásokat. Az Annex II szerinti fontos entitások közé tartoznak azok a szállítók, akik legalább 10 000 végfelhasználó vagy 100 közepes vállalkozás számára nyújtanak biztonsági monitorozási vagy vizsgálati szolgáltatásokat. Nem szükséges mikrovállalkozásnak minősülni, de a critikális infrastruktúra szektorbeli ügyfelek kezelése esetén a nagyobb szabályozotti terhelés várható.
MSSP és SOC szolgáltatóként felelős vagy azért, hogy a SIEM rendszereidben tárolt ügyfél-naplóadatok titkosítottak legyenek tárolás és szállítás során. Formalizálnod kell az adatmegőrzési szabályzatot (pl. max. 90 nap szenzitív naplók, 1 év auditálási naplók) és dokumentálnod az adatmegsemmisítés eljárásait. A SOC infrastruktúrára vonatkozó hozzáférés-vezérlést és segmentálást (azaz külön ügyfél-adatok elválasztása) implementálnod kell a kompromittálódás kockázatának csökkentésére.
Ha a szállított SOC vagy SIEM infrastruktúrád támadás áldozata lesz, kötelezően bejelentened az SZTFH-nak (Széchenyi István Egyetem Fejlesztési Programjának Koordinációs Biztostsága helyett az aktuális cybersecurity hatóság) legkésőbb 72 órán belül, és értesítened kell az érintett ügyfeleidet. Az incidens klasszifikációban meg kell különböztetned a szállítói kompromittálódást (magasabb súlyozás) az általános biztonsági eseményektől, mivel ez közvetlenül befolyásolja az ügyfél infrastruktúráját.
Penetráció tesztelő cégként formális felelős nyilvánosságra hozatali (responsible disclosure) folyamatot kell fenntartanod az ügyfelekre vonatkozó biztonsági hiányosságokhoz. Ezt az ügyfél szervezetnél legalább 90 napos szünetet kell biztosítanod a nyilvános közlés előtt, és az SZTFH-nak értesítened kell, ha a sebezhetőség kritikus infrastruktúrát érint. A sebezhetőség-bejelentési csatornákat (CVE, CERT/CC) dokumentálnod és elérhetőnek kell tenned az ügyfelek és a hatóság számára.
Szállítóként felelős vagy azért, hogy az ügyfél penetráció tesztjeinek (PT) végjelentéseit titkosítottan tárold és szállítsd, és hogy az ügyfél végfelhasználók vagy üzletemberek személyes adatait (pl. SSH kulcsok, hitelesítési adatok) ne rögzítsd a végjelentésben. Szerződésben előírva kell lennie az ügyfélnek az adatkezelési korlátoknak, ideértve az adatok törlésének ütemezését (pl. 30 nap után a végjelentés törlése vagy az ügyfél erre irányuló utasítása alapján).
Kötelezően részletezettünk incidenskezelési tervet kell fenntartanod, amely az ügyfél értesítésének sorrend- és időablakát (maximum 24 óra a kezdeti tájékoztatáshoz, ha az incidens ügyfél-adatokat érint) és a titkossági szinteket tartalmazza. Az ügyfél-SLA-kban garantálnod kell a válaszidőt a SOC vagy szállítói biztonsági eseményeknél, és ezt a tervben dokumentálnod kell az SZTFH ellenőrzéséhez.
Igen. Ha saját MSSP vagy SOC infrastruktúrád megtámadják, és ez potenciálisan az ügyfél-naplóadatokra vagy monitorozási képességeidre hatással van, kötelezően bejelentened az SZTFH-nak legkésőbb 72 órán belül az NIS2 Kiberbiztonsági törvény értelmében. Az ügyfeleiddel párhuzamosan közölnöd kell az incidenst, még akkor is, ha az adatkezelés bizonyított megsértése egyenlőre nem történt meg, mert az ügyfél-monitorozás integritása sérült.
Az NIS2 nem határoz meg konkrét megőrzési időszakot, azonban az általános ajánlás 90 nap a szenzitív ügyféladatokra és 1 év az auditálási naplókra az incidensnyomkövetés és számonkérhetőség céljából. A GDPR alapján azonban szükségtelen személyes adatok gyűjtésétől el kell tartanod (pl. jelszavak, felhasználónév), így a naplóadatok anonimizálása vagy pszeudoanonimizálása ajánlott a megőrzési idő csökkentésére.
Az NIS2 Kiberbiztonsági törvény alapján az SZTFH legfeljebb 1-2 millió HUF pénzbírságot, illetve az EU TICOP direktívájában (NIS2 implementáció alapszabálya Magyarországon) a veszélyeztetett szállítók számára szorétően gondolkozva az 5%-10% éves EU-s bevételre vonatkozó szankciók is lehetségesek, ha az incidensbejelentés elmulasztása vagy a szokásos gondosság hiánya megtörtént. A szállítói reputáció és ügyfél-bizalom vesztése azonban a pénzbírságot meghaladó kockázat.