Kiszervezett IT megoldások és kiberbiztonsági felelősség

Mit jelent az IKT szolgáltató?

Az IKT szolgáltató (információs és kommunikációs technológiai szolgáltató) olyan szervezet vagy vállalkozás, amely más szervezetek számára nyújt infokommunikációs rendszerekhez kapcsolódó szolgáltatásokat. Ezek a szolgáltatások magukban foglalják az IKT rendszerek (például számítógépes hálózatok, szerverek, alkalmazások) telepítését, üzemeltetését, karbantartását, valamint az ezekhez kapcsolódó kiberbiztonsági kockázatok kezelését is.

A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról hivatalosan is meghatározza a kihelyezett (irányított) IKT szolgáltató fogalmát, amely szerint az ilyen szolgáltató közvetlenül érinti a megrendelő szervezet elektronikus információs rendszerének biztonságát, így a kiberbiztonsági követelmények rá is kiterjednek.

Milyen szolgáltatásokat nyújt egy IKT szolgáltató?

Az IKT szolgáltatók rendkívül sokféle tevékenységet végezhetnek, attól függően, hogy milyen típusú szervezetet támogatnak. Leggyakoribb feladataik közé tartoznak:

Számítógépes hálózatok tervezése és üzemeltetése: helyi hálózatok (LAN), tűzfalak, VPN-hálózatok kiépítése és működtetése.

Szerverek és adatközpontok kezelése: saját vagy bérelt infrastruktúra biztosítása és karbantartása.

Szoftverek telepítése és karbantartása: operációs rendszerek, üzleti alkalmazások, levelezőrendszerek.

Felhőalapú szolgáltatások nyújtása: pl. Microsoft 365, Google Workspace, AWS vagy egyéb cloud megoldások.

IT rendszerfelügyelet és biztonság: adatmentés, vírusvédelem, jogosultságkezelés, eseménynaplózás, IT-auditok támogatása.

IT kiszervezés (outsourcing): a teljes vállalati informatikai infrastruktúra működtetése külső szolgáltató által.

Miért különösen fontos a kiberbiztonság?

Az IKT szolgáltatók tevékenysége közvetlenül érinti a megbízó szervezetek információs rendszereinek biztonságát. A megbízott fél ugyanis hozzáférhet bizalmas adatokhoz, informatikai rendszerekhez és hálózatokhoz, így bármilyen hiba, hiányosság vagy támadás súlyos következményekkel járhat az érintett szervezet működésére nézve.

Éppen ezért az IKT szolgáltatók – különösen a kihelyezett vagy irányított szolgáltatók – a magyar törvényi szabályozás (2024. évi LXIX. törvény) és az uniós NIS2 irányelv alapján is kiberbiztonsági kötelezettségeknek vannak alávetve. Ez magában foglalja:

• Kockázatalapú biztonsági intézkedések bevezetését,
• Incidenskezelési eljárások kialakítását,
• Auditálhatóságot és naplózást,
• Képzési és tudatosságnövelési kötelezettségeket.

Példák a gyakorlatból

Példa 1: Egy önkormányzat nem tart fenn saját informatikai csapatot, ezért egy külső céggel szerződik, amely biztosítja az ügyviteli rendszer, a belső hálózat és a levelezőszerver működését. Ez a szolgáltató IKT szolgáltatónak minősül, és kiberbiztonsági szempontból kritikus szereplő.

Példa 2: Egy gyártóüzem a termelésirányító rendszert (SCADA) és a hozzá kapcsolódó adatgyűjtő hálózatot egy IT vállalkozásra bízza. A szolgáltató nemcsak technológiai, hanem üzembiztonsági szempontból is kulcsfontosságú – így szintén IKT szolgáltatónak tekinthető.

Az IKT szolgáltatók szerepe a NIS2 és a magyar kiberbiztonsági törvény szempontjából

A NIS2 irányelv és annak magyar megfelelője a kiemelten fontos szereplők közé sorolja az IKT szolgáltatókat, különösen, ha azok kritikus vagy kiemelten fontos ágazatokban tevékenykednek (pl. egészségügy, közlekedés, energia). E szolgáltatók esetében az alábbi követelmények teljesítése kötelező:

• Kockázatfelmérés és kockázatcsökkentő intézkedések kidolgozása
• Technikai és szervezési védelmi intézkedések dokumentálása
• Incidensjelentési kötelezettség a hatóság felé
• Rendszeres önellenőrzés és megfelelés-ellenőrzés

Ezek célja, hogy ne csak a megrendelő szervezet, hanem az egész ellátási lánc biztonságát garantálják.

Vissza a fogalomtárba