Fontos entitásnak minősülő szoftverszállítók és felhőplatform-üzemeltetők számára végigvezet az SZTFH által előírt kritikus biztonsági intézkedéseken. Megtudhatja, mely konkrét szabályozási kötelezettségeket kell teljesítenie 2026-ig.
Az Európai Unió vállalati kliensei felé szolgáltatást nyújtó B2B SaaS cégek, szoftvercégek és digitális platformok, amelyek az EU-ban legalább 50 millió euró nettó éves bevételt érnek el vagy az EU-n belül legalább 500 alkalmazottat foglalkoztatnak. Különösen ICT-szolgáltatók, felhőszolgáltatók, szoftverkiadók és digitális infrastruktúra-üzemeltetők számára kötelezők az előírások.
Kötelező formális dokumentáció készítése a fejlesztési folyamat minden szakaszáról: tervezés, kódolás, tesztelés és telepítés. Nyomon kell követnie biztonsági szokásait, valamint azt, hogy fejlesztői csapata hogyan integrálja a biztonságértékeléseket az egyes verziófrissítésekben. Ez nem opcionális metodológia — az SZTFH ezt ellenőrzi és részletesen dokumentáltatja.
Szükséges formális sebezhetőségi nyilvánosságtételi politika, amely egyértelműen rögzíti, hogy ügyfelei és külső kutatók hogyan jelenthetnek biztonsági réseket. Kötelezően meg kell határoznia a javítások nyilvánosságtételét megelőző embargó időszakát, valamint SLA-t, amely rögzíti, hogy kritikus sebezhetőségekre hány nap alatt kell javítást biztosítania (jellemzően 14-30 nap). Ennek hiánya az SZTFH által közvetlenül feltárható hiányosság.
Az Ön platformján tárolt ügyféladatok titkosítása, hozzáférés-vezérlése és biztonságos tárolása kötelező. Szükséges 72 órás incidensbeszámolási folyamat az SZTFH felé, valamint az érintett ügyfeleinek is azonnal értesítenie kell a személyes adatok megsértéséről. Ezt nem szervezetiekként, hanem partnerként kell kezelnie — az ügyfelei felelősségei részben Önnél csúsznak ki.
Kötelezően automatizált szoftverfejlesztési folyamatba kell integrálnia az összes nyílt forráskódú függőség (dependency) szkenelését. Azonosítania és nyomon kell követnie az ismert sebezhetőségeket, valamint biztonsági politikát kell felépítenie a harmadik féltől származó integrációkra. Az SZTFH ellenőrzésén megjelenik annak vizsgálata, hogy mely külső komponensekre támaszkodik az Ön szoftvere.
Legalább évi egy alkalommal, de legjobban félévente szakűjabbműveletként behatolástesztet (penetration testing) kell végeztetnie a termelési rendszeren, amely kiterjed az összes új funkcióra is. A legalább évenkénti felülvizsgálat az Ön termelési alkalmazásait, API-kat és ügyfél-interfészeket kell, hogy fedi, beleértve a legutóbbi kiadásokat. Az SZTFH ezt egy külsős, hitelesített szervezet által végzett teszttel kell igazolnia.
Az Európai Unió vállalati ügyfeleire fókuszáló szoftvercégek és platformok, amelyek éves nettó bevétele az EU-ban eléri az 50 millió eurót vagy legalább 500 alkalmazottat foglalkoztatnak. Amennyiben csak EU-n kívüli ügyfeleket szolgál, de EU-n belüli gyárral vagy szervezettel rendelkezik, az SZTFH akkor is joghatósági alá eshet.
Amennyiben a platformján személyes adatok vagy rendszerbiztonság sérülnek, 72 órán belül minden érintett ügyfelét és az SZTFH-t értesítenie kell. Ehhez szükséges incidentvonalód, nyomozási folyamata és dokumentálási sablonja — nem elegendő egy e-mail feltöltése. A késés közvetlen SZTFH-büntetéshez vezethet.
Az SZTFH akár 10 millió eurós vagy az éves globális bevétel 2%-ának megfelelő bírságot is kiszabhat jelentős hiányosságokért (például hiányzó SSDLC dokumentáció vagy sebezhetőségi nyilvánosságtételi politika). Kisebb hiányosságokra 5 millió euró vagy az éves bevétel 1%-a a tipikus szanksció. Ezenkívül az ügyfelei jogot kaptak pert indítani, ha adatainak biztonsága sérül.