// KIBERBIZTONSÁGI KISOKOS · 11. MODUL

Ellátási lánc biztonsága — a lánc a leggyengébb láncszemnél szakad

Q: Miért az én felelősségem, ha a beszállítómnál történik a baj?

Mert a kár nálad csapódik le. Ha az IT-szolgáltatódon vagy a könyvelődön keresztül jut be egy támadó a te rendszeredbe vagy adataidhoz, az ügyfeleid, a hatóság és a piac téged kérnek számon — nem a beszállítót. A NIS2 ezért nem engedi a felelősséget kiszervezni: elvárja, hogy a beszállítóid kockázatát is felmérd és kezeld, méghozzá a beszállítók közvetlen kapcsolataira is kiterjedően.

Q: Egy kis cégnek hogyan kérhet számon bármit egy nagy szolgáltatótól?

Nem kell auditot tartanod a Microsoftnál. Az elvárás az arányosság: a nagy, bevett szolgáltatóknál elég a megfelelő tanúsítványaikra és szerződési feltételeikre támaszkodni, és tudatosan kiválasztani őket. Ahol valódi mozgástered van, az a kisebb, közvetlen partnereid (helyi IT-cég, alvállalkozó, freelancer): velük tudsz szerződésben biztonsági elvárásokat és incidens-értesítést kikötni, és náluk tudod a hozzáféréseket szorosan tartani.

Q: Mit írjak bele a szerződésbe egy kritikus beszállítónál?

A leglényegesebb két dolog: minimális biztonsági elvárások (mit kell betartaniuk, pl. hozzáférés-kezelés, mentés, frissítések) és incidens-értesítési kötelezettség (ha náluk biztonsági incidens történik, ami téged érinthet, meghatározott időn belül szóljanak). Hasznos még az alvállalkozóik átláthatósága és a megbízás végi adat- és hozzáférés-visszaadás. A pontos megfogalmazást érdemes jogásszal véglegesíttetni — ez az oldal nem jogi tanácsadás.

C · I · A kb. 7 perc olvasás

A támadás gyakran nem nálad kezdődik, hanem a gyengébb beszállítódon át jön be. A NIS2 ezért nem engedi, hogy a felelősséget kiszervezd: elvárja, hogy a partnereid kockázatát is felmérd és kezeld. Ez a modul megmutatja, hogyan listázod és kategorizálod a beszállítóidat kritikusság szerint, mit köss ki szerződésben, és hogyan tartsd kézben a partner-hozzáféréseket — egy kis cégnél is, túlbonyolítás nélkül.

Hogyan mérd fel? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi az ellátási lánc biztonsága?

Az ellátási lánc biztonsága azt jelenti, hogy nem csak a saját házad táját nézed, hanem azokét is, akik bejárnak hozzád: a beszállítóidat, az IT-szolgáltatódat, a könyvelődet, az alvállalkozóidat. Egy lánc mindig a leggyengébb láncszemnél szakad el — és a támadók pontosan ezt használják ki: ha hozzád nehéz bejutni, megkeresik a gyengébben védett partneredet, és rajta keresztül érkeznek.

Képzeld el a beszállítód kulcsával Erős zárat tettél a bejárati ajtódra, riasztót szereltél, mindent rendben tartasz. De a takarítócégnek, a karbantartónak és a kertésznek adtál egy-egy kulcsot, hogy be tudjanak jönni dolgozni. Ha bármelyikük elveszti a kulcsot, gondatlanul tárolja, vagy lemásoltatja egy rosszindulatú ember, akkor a betörő a te ajtódon sétál be — pedig a te zárad tökéletes volt. A te biztonságod tehát annyit ér, amennyit a leggyengébb partnered biztonsága. Ezért nem mindegy, kinek adsz kulcsot, mire terjed ki, és visszaveszed-e, amikor már nincs rá szükség.

A digitális világban a „kulcs" egy hozzáférés a rendszeredhez: az IT-cég távolról rácsatlakozik a szervereidre, a könyvelő látja a pénzügyi adataidat, a webáruház-üzemeltető hozzáfér a vásárlóid adataihoz. Mindegyik egy-egy láncszem. Ha bármelyiküket feltörik — vagy náluk hanyagul kezelik a hozzáférést —, az a te adataidat és működésedet is veszélybe sodorja. Az ellátási lánc biztonsága arról szól, hogy ezt tudatosan kezeld: tudd, kik a partnereid, melyikük mennyire kritikus, és hogyan tartod kordában, mihez férnek hozzá.

2 · A gyakorlatban

Miért NIS2-szempont?

A NIS2 egyik leghangsúlyosabb újdonsága éppen az ellátási lánc: a szabályozás kifejezetten elvárja, hogy a beszállítóid és partnereid kiberkockázatát is felmérd és kezeld, méghozzá a beszállítók közvetlen kapcsolataira is kiterjedően. A felelősséget nem lehet kiszervezni — a kár nálad csapódik le, így a megelőzés is a te dolgod.

Mi ez?

A beszállítói és partner-kockázat tudatos kezelése: felméred, kik férnek a rendszereidhez és adataidhoz, kategorizálod őket kritikusság szerint, szerződésben rögzíted a biztonsági elvárásokat és az incidens-értesítést, korlátozod és visszavonod a hozzáféréseket. A kimenete egy karbantartott beszállító-nyilvántartás.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás kifejezetten elvárja az ellátási lánc kockázatának kezelését — a beszállítók közvetlen kapcsolataira is kiterjedően. Ez nem pótlólagos extra: a kockázatkezelési intézkedések egyik nevesített eleme. A pontos elvárás a szervezet érintettségétől függ; az értelmezés mindig egyedi.

Hogyan segít?

Ha tudod, ki mihez fér hozzá, és a kritikus partnereknél elvárásokat is kötöttél ki, akkor egy beszállítói incidens nem ér készületlenül: tudod, kit érint, és gyorsan le tudod zárni a hozzáférését. Egyúttal bizonyíthatóvá teszi, hogy felmérted a lánc kockázatát — egy auditnál pontosan ezt kérik majd számon.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan mérd fel a beszállítóid kockázatát? — öt lépés

Nem kell hozzá drága rendszer; egy táblázattal és némi józan ésszel el lehet kezdeni. A lényeg, hogy tudd, kik a partnereid, melyikük mennyire kritikus, és mit vársz el tőlük — és hogy mindezt le is írd.

Beszállítók és partnerek listázása

Nem véded, amiről nem tudsz. Vedd számba, kik férnek hozzá a rendszereidhez, adataidhoz vagy folyamataidhoz: IT-szolgáltató, könyvelő, webáruház-üzemeltető, felhőszolgáltató, alvállalkozók, freelancerek. Mindenki, akinek „kulcsa" van a házadhoz, felkerül a listára.

Kategorizálás kritikusság szerint

Rangsorold a partnereket aszerint, mekkora kárt okozna, ha náluk történik baj: kritikus (leállítaná a működésed vagy érzékeny adataidhoz fér), fontos, alacsony kockázatú. A figyelmedet és az elvárásaidat a kritikus partnerekre fókuszáld — nem mindenkivel kell ugyanúgy bánni.

Szerződéses biztonsági elvárások

A kritikus partnereknél rögzíts szerződésben minimális biztonsági elvárásokat és incidens-értesítési kötelezettséget: mit kell betartaniuk, és mennyi időn belül kell szólniuk, ha náluk olyan incidens történik, ami téged érinthet. A harmadik felek értesítési kötelezettsége nélkül egy beszállítói baj akár hetekig láthatatlan marad neked.

Hozzáférések korlátozása és visszavonása

Adj a partnernek csak annyi hozzáférést, amennyi a munkájához kell (ez a legkisebb jogosultság elve), saját, névre szóló belépéssel — ne közös jelszóval. A megbízás végén a hozzáférést azonnal vond vissza. A nyitva felejtett partner-fiók az egyik leggyakoribb belépő egy támadónak.

Nyilvántartás és rendszeres felülvizsgálat

Vezesd a beszállítóidat egy beszállító-nyilvántartásbanBeszállító-nyilvántartás: élő lista a partnerekről. Soronként egy beszállító, oszlopaiban a kritikussági besorolás, a hozzáférés köre, a szerződéses elvárások és a kapcsolattartó. A Szabályzat-csomag NYV-04 sablonja erre való. —, és vizsgáld felül legalább évente, illetve minden új partner belépésekor vagy egy kilépő partner távozásakor. A lista nem alszik el: a friss, frissen felvett partnerek a legkönnyebben felejtődnek el.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a beszállítói kapcsolatokért és az IT-ért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

A NIS2 jogi alapja — mit ír elő pontosan?

Az ellátási lánc biztonsága a NIS2-irányelv kockázatkezelési intézkedéseinek nevesített eleme: a 21. cikk (2) bekezdése kifejezetten kitér az ellátási lánc biztonságára, ideértve a szervezet és közvetlen beszállítói, szolgáltatói közötti kapcsolatok biztonsági vonatkozásait. A követelmény tehát nem a teljes, többszintű láncra terjed ki korlátlanul, hanem a közvetlen kapcsolatokra koncentrál. A magyar átültetést a 2024. évi LXIX. törvény és a kapcsolódó végrehajtási rendeletek tartalmazzák; a beszállítói kockázatkezelésre vonatkozó konkrét szakaszt itt szándékosan nem idézzük pontosan, mert a hivatkozás mindig az adott szervezet besorolásától és a hatályos szövegtől függ. Az értelmezést egyedileg, naprakész forrásból kell elvégezni.

Beszállítói átvilágítás és bizonyítékok (due diligence)

A kritikus partnereknél az „elvárom" mellé jó, ha bizonyítékot is kérsz. Bevett eszközök: a partner tanúsítványai (pl. ISO/IEC 27001 információbiztonsági irányítási rendszer), egy rövid biztonsági kérdőív (önbevallás a hozzáférés-kezelésről, mentésről, frissítésekről, incidenskezelésről), illetve felhőszolgáltatóknál a megfelelőségi dokumentációjuk áttekintése. Kis cégnél az arányosság a kulcs: egy bevett nagy szolgáltatónál elég a tanúsítványra és a szerződési feltételeire támaszkodni; egy kis, közvetlen alvállalkozónál viszont valódi tárgyalási tered van a biztonsági kikötésekre.

Technikai láncszem-kockázatok: szoftverfüggőségek és frissítés

Az ellátási lánc nem csak emberekből áll: a szoftvereid összetevői is láncszemek. Egy feltört bővítmény, egy elavult könyvtár vagy egy kompromittált frissítés (a hírhedt szoftver-ellátásilánc-támadások) ugyanúgy bejuttathat egy támadót, mint egy hanyag beszállító. A gyakorlati védelem: tartsd nyilván, milyen külső komponensekre (bővítmény, modul, könyvtár) támaszkodsz, csak megbízható forrásból telepíts, és frissíts rendszeresen — kösd ezt össze a frissítéskezeléssel és a kockázatkezeléssel. A beszállító-nyilvántartás (NYV-04) sablonja a Szabályzat-csomagban ehhez is keretet ad.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Beszállító-lista

Van-e leírt listátok arról, kik férnek hozzá a rendszereitekhez és adataitokhoz (IT-cég, könyvelő, üzemeltető, alvállalkozók)? Ha csak fejből tudjátok, akkor még nincs ellátásilánc-kezelés.

2 · Szerződéses elvárás

A kritikus partnereitekkel kötöttetek-e ki biztonsági elvárást és incidens-értesítést? A „bízunk benne, hogy szólnak, ha baj van" nem elvárás — a kötelezettséget le kell írni.

3 · Hozzáférés-visszavonás

Amikor egy partnerrel véget ér a munka, visszavonjátok-e azonnal a hozzáférését? Ha vannak évek óta nyitva felejtett külső fiókok, az kész belépő egy támadónak.

1 · Laikusan

Gyakori tévhit

Tévhit

„A biztonság a szolgáltató dolga — én kiszerveztem, tehát az ő felelőssége."

A feladatot ki lehet szervezni, a felelősséget nem. Ha a beszállítódon keresztül ér támadás, a kár nálad csapódik le: a te adataid szivárognak, a te működésed áll le, és téged kérnek számon az ügyfeleid meg a hatóság. A NIS2 ezért kifejezetten elvárja, hogy a beszállítóid kockázatát is kezeld — a partnerek kiválasztása, a szerződéses elvárások és a hozzáférések kézben tartása mind a te dolgod marad. A kiszervezés a munkát viszi át, a számonkérhetőséget nem.

Gyakori kérdések

GYIK az ellátási lánc biztonságáról

Miért az én felelősségem, ha a beszállítómnál történik a baj?

Mert a kár nálad csapódik le. Ha az IT-szolgáltatódon vagy a könyvelődön keresztül jut be egy támadó a te rendszeredbe vagy adataidhoz, az ügyfeleid, a hatóság és a piac téged kérnek számon — nem a beszállítót. A NIS2 ezért nem engedi a felelősséget kiszervezni: elvárja, hogy a beszállítóid kockázatát is felmérd és kezeld, méghozzá a beszállítók közvetlen kapcsolataira is kiterjedően.

Egy kis cégnek hogyan kérhet számon bármit egy nagy szolgáltatótól?

Nem kell auditot tartanod a Microsoftnál. Az elvárás az arányosság: a nagy, bevett szolgáltatóknál elég a megfelelő tanúsítványaikra és szerződési feltételeikre támaszkodni, és tudatosan kiválasztani őket. Ahol valódi mozgástered van, az a kisebb, közvetlen partnereid (helyi IT-cég, alvállalkozó, freelancer): velük tudsz szerződésben biztonsági elvárásokat és incidens-értesítést kikötni, és náluk tudod a hozzáféréseket szorosan tartani.

Mit jelent a partner-hozzáférés korlátozása a gyakorlatban?

Azt, hogy a külső partner csak addig és csak ahhoz fér hozzá, amíg és amihez tényleg szüksége van. Saját, névre szóló belépés (nem közös jelszó), a feladathoz szabott jogosultság, és a megbízás végén azonnali visszavonás. A leggyakoribb hiba az élő partner-fiók, ami évekkel a projekt után is nyitva maradt — ez kész belépő egy támadónak. Tartsd nyilván, kinek van kívülről hozzáférése, és nézd át rendszeresen.

Mit írjak bele a szerződésbe egy kritikus beszállítónál?

A leglényegesebb két dolog: minimális biztonsági elvárások (mit kell betartaniuk, pl. hozzáférés-kezelés, mentés, frissítések) és incidens-értesítési kötelezettség (ha náluk biztonsági incidens történik, ami téged érinthet, meghatározott időn belül szóljanak). Hasznos még az alvállalkozóik átláthatósága és a megbízás végi adat- és hozzáférés-visszaadás. A pontos megfogalmazást érdemes jogásszal véglegesíttetni — ez az oldal nem jogi tanácsadás.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul Mentés és üzletmenet-folytonosság Következő modul → Emberi tényező — képzés

Következő lépés

Megvan az elv - melyik láncszemetek a leggyengébb?

A beszállító-nyilvántartás felépítése és a szerződéses elvárások szervezeti munka, amit magadnak kell elvégezned — de a technikai láncszemeid egy részét (kitett bejelentkező felületek, hiányzó biztonsági fejlécek, gyenge konfiguráció) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont a lánc gyenge pontjainak felméréséhez.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz