Ausgelagerte IT-Lösungen und Verantwortung für Cybersicherheit

Was ist ein IKT-Dienstleister?

Ein IKT-Dienstleister (Informations- und Kommunikationstechnologie-Dienstleister) ist ein Unternehmen oder eine Organisation, die anderen Organisationen Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie anbietet. Dazu gehören die Installation, der Betrieb und die Wartung von IKT-Systemen (z. B. Computernetzwerke, Server, Anwendungen) sowie das Management von damit verbundenen Cyberrisiken.

Das ungarische Cybersicherheitsgesetz von 2024 (Gesetz Nr. LXIX/2024) definiert offiziell den Begriff des ausgelagerten (gesteuerten) IKT-Dienstleisters. Solche Dienstleister beeinflussen direkt die Sicherheit der elektronischen Informationssysteme des Auftraggebers und unterliegen daher ebenfalls den Anforderungen der Cybersicherheit.

Welche Leistungen erbringt ein IKT-Dienstleister?

IKT-Dienstleister bieten eine breite Palette von Leistungen an, abhängig von der Art und Größe der unterstützten Organisation. Zu den häufigsten Tätigkeiten gehören:

Planung und Betrieb von Computernetzwerken: Aufbau und Betrieb von LANs, Firewalls, VPNs

Server- und Rechenzentrumsmanagement: Bereitstellung und Wartung eigener oder gemieteter Infrastrukturen

Installation und Wartung von Software: Betriebssysteme, Business-Anwendungen, E-Mail-Systeme

Cloud-Dienste: z. B. Microsoft 365, Google Workspace, AWS oder andere Cloud-Lösungen

IT-Überwachung und Sicherheit: Datensicherung, Virenschutz, Rechteverwaltung, Ereignisprotokollierung, Unterstützung bei IT-Audits

IT-Outsourcing: vollständiger IT-Betrieb durch externe Dienstleister

Warum ist Cybersicherheit besonders wichtig?

IKT-Dienstleister haben Zugriff auf sensible Daten und Systeme ihrer Kunden. Fehler, Nachlässigkeit oder Cyberangriffe können schwerwiegende Auswirkungen auf den Geschäftsbetrieb haben. Daher unterliegen ausgelagerte IKT-Dienstleister gemäß dem ungarischen Cybersicherheitsgesetz (Gesetz Nr. LXIX/2024) und der EU-Richtlinie NIS2 besonderen Verpflichtungen. Diese beinhalten:

• Einführung risikobasierter Sicherheitsmaßnahmen
• Entwicklung von Prozessen zur Vorfallbehandlung
• Sicherstellung von Auditierbarkeit und Protokollierung
• Schulungen und Sensibilisierung von Mitarbeitenden

Praxisbeispiele

Beispiel 1: Eine Gemeinde unterhält kein eigenes IT-Team und beauftragt daher ein externes Unternehmen mit dem Betrieb des Verwaltungsprogramms, des internen Netzwerks und des E-Mail-Servers. Dieser Dienstleister gilt als IKT-Dienstleister und ist sicherheitskritisch.

Beispiel 2: Ein Produktionsbetrieb überträgt den Betrieb seines SCADA-Systems und des zugehörigen Datennetzwerks an einen IT-Dienstleister. Dieser ist nicht nur technologisch, sondern auch betrieblich unverzichtbar – und fällt damit eindeutig unter den Begriff IKT-Dienstleister.

Die Rolle von IKT-Dienstleistern gemäß NIS2 und ungarischem Cybersicherheitsgesetz

Die NIS2-Richtlinie sowie das entsprechende ungarische Gesetz zählen IKT-Dienstleister – insbesondere in kritischen oder wichtigen Sektoren wie Gesundheitswesen, Verkehr oder Energie – zu besonders relevanten Akteuren. Diese Dienstleister sind verpflichtet:

• Risikoanalysen durchzuführen und Risikominderungsmaßnahmen umzusetzen
• Technische und organisatorische Sicherheitsmaßnahmen zu dokumentieren
• Sicherheitsvorfälle den Behörden zu melden
• Regelmäßige Selbstbewertungen und Compliance-Kontrollen durchzuführen

Ziel ist es, nicht nur die Sicherheit der Kundenorganisation, sondern der gesamten Lieferkette zu gewährleisten.

Weiter zum Glossar