Kezelt szolgáltatást nyújtó vállalatok (MSP/MSSP) számára készült útmutató, amely bemutatja az NIS2 alapján kirótt kötelezettségeket, a kritikus biztonsági kontrollokat és a gyakorlati implementáció lépéseit. Ez az oldal konkrét segítséget nyújt az Annex I szerinti lényeges szervezetek számára a 2026. október 18-ig tartó átmeneti időszakban.
Az NIS2 szerinti lényeges szervezetnek minősülnek azok a magyar MSP/MSSP vállalatok, amelyek üzleti ügyfeleknek nyújtanak kezelt IT-szolgáltatást vagy kiberbiztonsági szolgáltatást, és tevékenységük eléggé integrálódott kritikus infrastruktúrába vagy legalább 50 alkalmazottjuk van, illetve éves forgalmuk vagy mérlegösszegük meghaladja az 10 millió eurót. A besorolás automatikus, ha az MSP a szakmai szempontok alapján legalább 3 olyan kritikus ágazat ügyféleit szolgálja, mint az energiaszektor, pénzügyi szolgáltatások, vagy egészségügyi ellátás.
Az MSP/MSSP köteles a Remote Monitoring and Management (RMM) és távolsegítségnyújtó platformok biztonságosságát garantálni multi-factor authentication (MFA), végpontról végpontig terjedő titkosítás, illetve hozzáférés-naplózás alkalmazásával. Az egyes ügyfélkörnyezetekhez külön, erős jelszavakon alapuló adminisztrátori hitelesítő adatokat kell fenntartani, továbbá zero-trust hozzáférési modellt kell implementálni, amely minden hozzáférési kísérlet számára követelmény az azonosítás és jogosultság újbóli felülvizsgálatát.
Az MSP/MSSP köteles a saját infrastruktúrájában bekövetkezett olyan biztonságincidenseket bejelenteni az SZTFH-nak (Nemzeti Kibervédelmi Koordinációs Központ), amelyek jelentős hatást gyakorolnak az ügyfelek rendszereire, vagy amely ügyfelek maguk is lényeges szervezetek. A bejelentési kötelezettség 72 óra, és az MSP-nek előzetesen meg kell becsülnie az ügyfél rendszereire gyakorolt hatást, valamint dokumentálnia kell a bejelentés körülményeit és a megtett korrekciós intézkedéseket.
Az MSP/MSSP minden szolgáltatási szerződésben rögzítenie kell az ügyfelre vonatkozó biztonsági követelményeket, beleértve a szokásos biztonsági kontrollokat, incidensbejelentési kötelezettségeket, valamint az alszállítói és partnerek biztonsági feltételeit. A szerződéseknek tartalmazniuk kell adatkezelési, visszakövetési és szubkontraktori audit jogokat, továbbá azt, hogy az ügyfél – szükség esetén – vizsgálatokat végezhet az MSP biztonsági intézkedéseinek megfelelőségét illetően.
Az MSP/MSSP legalább évente egy alkalommal – vagy jelentős infrastruktúra-módosítás után – köteles önálló vagy külső szakértő által végzett penetrációs teszteket és sebezhetőségelemzéseket végrehajtani, különösen az RMM-platformok, a szokásos hozzáférési pontok, valamint az ügyfélkörnyezetek közötti izolációs kontrollok tekintetében. A teszt eredményei alapján azonosított hibákat dokumentálni és rögzíteni kell egy javítási terv keretében, amely kitűz határidőket és felelősöket.
Az MSP/MSSP köteles formális biztonsági kérdőíveket kitöltetni szoftverforgalmazóival, szolgáltatási szállítóival és más kritikus partnerekkel, valamint dokumentáltan nyomon követni ezeknek a harmadik fél szereplőknek a biztonsági pozícióját. Szükség esetén szerződésen keresztül rögzített auditálási jogokat kell gyakorolni, illetve az MSP felelős marad az alszállítók által okozott biztonsági incidensekért, ha az ügyfél rendszerei veszélybe kerülnek.
Az NIS2-ből adódó összes kötelezettség 2026. október 18-tól válik hatályossá. Addig a 2003. évi EK-irányelv (NIS 1) szabályai maradnak érvényesek. Az MSP/MSSP-knek azonban már 2025 során javasolt a felkészülés, hogy határidőre teljesíteni tudják az új követelményeket az átmeneti időszak után.
Az MSP/MSSP akkor köteles bejelenteni az SZTFH-nak, ha az incidens az MSP infrastruktúrájában történt és ügyfélrendszerekre is kihatott, vagy ha az ügyfél maga lényeges szervezet. Az ügyfél szintén köteles saját bejelentésre, de az MSP-nek támogatnia kell az ügyfelet az incidensbejelentési folyamatban és közreadnia az összes szükséges adatot.
Az SZTFH által meghozható határozatok alapján az MSP/MSSP akár 50 millió forint vagy az éves forgalom 10%-ának megfelelő bírság, illetve az üzletmenet korlátozása szabható ki. Az SZTFH ráadásul közzétehet egy listát a nem-megfelelő szervezetekről, amely az üzleti reputáción és ügyfélmegtartáson keresztül jellegzetes költségeket okoz.