Az ügyfélinfrastruktúrát kezelő IT kiszervezési cégekre és rendszerintegrátorokra érvényes az Annex II szerinti fontos entitás osztályozás. Ebben az útmutatóban megismerkedhet a kritikus biztonsági kötelezettségekkel, a szerződéses követelményekkel és az incidensbejelentési szabályokkal, amelyek 2025. október 18-tól kötelezőek.
Az IT kiszervezési cégek, rendszerintegrátorok és IT tanácsadók akkor tekintendők fontos entitásnak, ha magyar vagy EGT-beli kritikus infrastruktúra üzemeltetőknek (energetika, közlekedés, víz, egészségügy stb.) nyújtanak szolgáltatást, vagy ha több mint 50 alkalmazottjuk van és szignifikáns digitális szolgáltatást biztosítanak. A végső besorolást a SZTFH határozza meg.
Biztosítania kell, hogy az ügyfélinfrastruktúrához való távelérés erős hitelesítéssel védett (többtényezős azonosítás, titkosítás). Tilos a közös privilegizált hitelesítési adatok megosztása. Minden táveléréses munkamenetet naplóznia és felügyelnie kell, az összes administrative funkcióhoz egyéni bejelentkezési fiók szükséges.
Minden ügyfélszerződésnek tartalmaznia kell a biztonsági adatkezelési előírásokat, az incidensbeszámolási kötelezettségeket (maximum 24 óra értesítés), az alszerződőkre vonatkozó biztonsági ellenőrzéseket és a naplózási, auditálási jogokat. Az ügyfélnek jogában áll biztonsági értékeléseket végezni, illetve megfelelőséget auditálni.
Amennyiben az Ön infrastruktúrájában, szoftverében vagy szolgáltatásában bekövetkező incidens az ügyfélnek (aki kritikus infrastruktúra kezelő) szolgáltatáskimaradást okoz, akkor Önnek azonnal értesíteni kell az ügyfelet és az SZTFH-t. Ez külön kötelezettség akkor is érvényes, ha az ügyfél nem közvetlenül Ön alá tartozik, de az Ön alszerződőjén keresztül nyújtott szolgáltatás sérül.
Köteles nyilvántartani az összes kritikus alszerződőt (kifejezetten azokat, akik azonosság-hitelesítési, hálózatkezelési vagy adatvédelmi funkciókat látnak el). Rendszeres biztonsági értékeléseket kell végezni ezen alszerződőknél, és biztosítani kell, hogy azok ugyanolyan biztonsági standardot tartanak, mint az Ön vállalata.
Rendelkeznie kell írásos incidensvédelmi tervekkel, amelyek tartalmazzák az értesítési láncokat, a helyreállítási eljárásokat és az ügyfelei értesítésének módját. Az incidenskezelést és helyreállítást évente szimulálnia kell, és az eredményeket dokumentálnia kell.
Rögzíteni kell, hogy az Ön cége maximum 24 órán belül értesíti az ügyfelet minden olyan biztonsági incidensről, amely az ügyfél adatait vagy rendszereit érinti, valamint hogy az ügyfél értesítéseit az SZTFH-nak is továbbítja. Továbbá ki kell jelölnie a 24/7 elérhető incidenskezelési elérhetőséget, és dokumentálnia kell az incidensértesítés menetét.
Legalább félévenként írásos értékelést kell végezni az olyan alszerződőknél, akik identitáshitelesítést, hálózatkezelést vagy személyes adatokat kezelnek. Az értékelésnek tartalmaznia kell az adatvédelmi szabályozottságot, az incidensvédelmi tervet, a hozzáféréskezelési módszereket és az auditálási jogokat. Az értékelés eredményét dokumentálnia és az ügyfélnek hozzáférhetővé kell tennie.
Az SZTFH közigazgatási bírságot szabhat ki: egyéb súlyos megsértések esetén akár 10 millió forint vagy az éves forgalom 2%-áig terjedő bírság lehetséges, kifejezetten súlyos megsértéseknél (például ha nem jelentik az incidenst) akár 50 millió forint vagy az éves forgalom 10%-áig terjedhet. Emellett az SZTFH közzétételi és javítási kötelezettséget is előírhat, illetve a jogosultságokat korlátozhatja.