Óriási biznisz lesz, de még be se indult, egy Rogán-közeli cég máris lefölözte
2024. augusztus 1. – 07:35
„Politikailag nyilván nem elegáns ráírni valakire a szabályokat, de mit tudok csinálni? Volt idő, amikor dühöngtem rajta, ma már leszarom, ugrálhatok, de semmi se lesz másképp. De annyi előnye van, hogy legalább kiszorulnak a szerencselovagok, és nem kell majd félnótás, felelőtlen hülyékkel versenyezni”
– mondta egy kiberbiztonsági auditálásokat is végző nagy IT-cég vezetője a Telexnek, és a mondatai jól összefoglalják egy épp kialakulóban lévő piac szabályozásának felemás megítélését a szakmában.
NIS2 – ez a kulcsszó, amely önnek talán nem sokat mond, de több ezer magyar céget húsba vágóan fog érinteni, illetve érintett már az elmúlt évben is, hogy idejében felkészülhessenek rá. Ez egy uniós irányelv, a célja, hogy közös EU-s szabályokkal garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, ami azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot jövő évtől kétévente el kell majd végeztetni. Elvégeztetni pedig azzal lehet, aki megfelel az auditorok iránt támasztott követelményeknek.
Az érintett cégek alacsony, jelentős vagy magas osztályba fognak tartozni aszerint, mennyire veszélyeztetettek. Az illetékes hatóság június végén tette közzé, hogy melyik osztály auditálásához milyen követelményeknek kell megfelelni. A kiberbiztonsági szakma általános egyetértéssel fogadta, hogy nagyobb hangsúly kerül a kiberbiztonságra, és sokan azt is pozitívumnak tartják, hogy az auditálást nem végezheti majd akárki. Azt azonban már sokan rossz szemmel nézik, hogy
a legmagasabb kategóriába tartozó vállalatokat egyetlen cég auditálhatja majd: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard.
Ha ezen a ponton kezd ismerősen csengeni a sztori, az azért lehet, mert tavaly ősszel már írtunk egy hasonlóról: épp egy évvel ezelőtt változtak – már nem először – úgy a jogszabályok, hogy a pénzügyi intézmények kiberbiztonsági tanúsítását 2016 óta uraló Hunguard évekre egyeduralkodó lehessen a piacon.
Valami hasonló körvonalazódik most is, de vannak azért fontos különbségek. Egyrészt itt nagyobb piacról van szó. Másrészt a Hunguard nem egyedüli szereplő lesz, csak éppen a legnagyobb bevételt jelentő kategória auditálását nem fogja tudni senki más elvégezni (és a középsőét sem sokan). Harmadrészt a tavalyi sztoriban szereplő örök második, a Certop, ezúttal valószínűleg nem fog bezavarni, már csak azért sem, mert épp most került egy szintén Rogán-közeli tulajdonos kezébe, és úgy tudjuk, már alakul is az együttműködés a két cég között.
Új uniós kiberbiztonsági rend formálódik
Ahhoz, hogy érthető legyen, ki és hogyan kerülhet helyzetbe a kiberbiztonsági auditálás új piacán, röviden ki kell térnünk arra, hogy egyáltalán milyen piacról is van szó, és mi értelme ennek az egésznek – mert arról, hogy nagyon is sok, nincs vita a szakmában.
Az utóbbi néhány évben az Európai Unió nagy erőkkel dolgozik egy új kiberbiztonsági keretrendszer létrehozásán és bevezetésén, hogy a tagállamok egységes szabályok szerint, összehangoltan és hatékonyabban tudjanak fellépni a kiberfenyegetések ellen. Ehhez a tagállamoknak is lépniük kell, hogy végrehajtsák a 2019-es uniós kiberbiztonsági rendeletet, és megfeleljenek a 2022-es NIS2 irányelvnek.
Magyarország az elsők között kezdte el kialakítani az ehhez szükséges jogszabályi környezetet. A kiberbiztonsági szabályok felett őrködő hatóságként a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelölték ki, tavaly májusban pedig életbe lépett a hazai kiberbiztonsági szabályozás új szentírása, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, azaz ahogy emlegetni szokták, a kibertantörvény.
Ahogy a törvény nevéből is látszik, az épp kiépülő rendszernek két pillére van, a kiberbiztonsági tanúsítás és a kiberbiztonsági felügyelet.
- A tanúsítás lényege, hogy egy adott infokommunikációs termék vagy szolgáltatás, amelyet felhasználók vagy cégek igénybe vesznek, megfelel-e az előírt biztonsági követelményeknek. Ennek az igazolását az SZTFH által felhatalmazott tanúsító vagy megfelelőségértékelő szervezetek végezhetik el – erre példa a pénzügyi szervezetek kiberbiztonsági tanúsítása, amelynek a Hunguard által uralt piacát a tavalyi cikkünkben bemutattuk.
- A felügyelet nem termékeket vagy szolgáltatásokat céloz, hanem azoknak a cégeknek a biztonságát, amelyek kockázatos vagy kiemelten kockázatos ágazatokban működnek. Az érintett szervezetek informatikai rendszereinek biztonságát az SZTFH által felhatalmazott auditorok vizsgálhatják – ez az a piac, amely épp most formálódik, és ahol a jelek szerint szintén a Hunguard kerülhet a legelőnyösebb pozícióba.
Több ezer magyar cégnek kell felkészülnie
A NIS2 tehát azt hivatott elősegíteni, hogy a kockázatos ágazatok szereplői kellőképpen fel legyenek készülve a kiberfenyegetések elleni védekezésre. A NIS a „network and information systems”, azaz a „hálózati és információs rendszerek” kifejezés rövidítése, a 2 pedig arra utal, hogy volt már egy uniós kísérlet a terület szabályozására, azt a 2016-os első változatot tekeri most feljebb az EU.
A NIS2 – illetve az annak nyomán született magyar szabályozás – már hónapok óta munkát ad sok cégnek, mert mindenkinek fel kellett mérnie, hogy érintett-e, és ha igen, teljesíti-e az előírt követelményeket, vagy mit kell tennie ahhoz, hogy teljesítse.
Kikre vonatkozik a NIS2? Két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a törvény két kategóriába sorolja:
- Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, víziközmű, hírközlési szolgáltatások (telekommunikációs és internetszolgáltatók), digitális infrastruktúra (felhőszolgáltatók, adatközpontok, doménnyilvántartók stb.), űralapú szolgáltatások.
- Kockázatos ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók (keresők, közösségi média, doménszolgáltatók), kutatóhelyek.
Mikro- és kisvállalatokra csak akkor vonatkoznak az előírások, ha elektronikus hírközlési szolgáltatóról, bizalmi szolgáltatóról vagy valamilyen doménszolgáltatást nyújtó cégről van szó. (Bár az „elektronikus hírközlési szolgáltató” kifejezésről arra asszociálhat az ember, hogy az online médiacégek is érintettek, valójában nem: a hírközlési szolgáltató jogi értelemben a telekomcégeket, netszolgáltatókat és hasonlókat takarja.)
Milyen követelményeknek kell megfelelniük? Ezt a Miniszterelnöki Kabinetiroda rendelete határozza meg, amely a június 24-i Magyar Közlönyben jelent meg. Ez meghatároz három biztonsági osztályt a szerint, hogy mekkora kárt okozhat az adott szervezetnél egy incidens. Ez alapján minden érintett szervezetnek be kell sorolnia a saját rendszereit alap, jelentős vagy magas biztonsági osztályba, majd az annak az osztálynak megfelelő követelményeket kell teljesítenie.
Hányan érintettek? Erről eltérő becslések vannak. Az SZTFH oldalán elérhető egy korábbi prezentáció, amelyben a 2546-os szám szerepel, de valójában ennél több cégről lehet szó „Mi 2500-3000 körülire becsüljük, lehet, hogy csak kétezer lesz, de az is lehet, hogy négyezer, sőt vannak, akik a nyolcezret sem tartják elképzelhetetlennek” – mondta júniusban Bor Olivér, az SZTFH kiberbiztonsági és kommunikációs szakértője. Az általunk megkérdezett szakértők is öt-hatezres számról beszéltek.
Mikortól lesz mindez aktuális? Részben már az, de most jön még csak a java:
- Idén januártól kezdték el nyilvántartásba venni azokat a szervezeteket, amelyeket érinti a NIS2, nekik június 30-ig kellett regisztrálniuk az SZTFH-nál, azaz addig volt idejük felmérni, érintettek-e, és ha igen, milyen osztályba tartoznak.
- Az érintett szervezeteknek október 18-tól már alkalmazniuk kell a Rogán Antal kabinetminiszter által jegyzett rendeletben a biztonsági osztályukra meghatározott konkrét védelmi intézkedéseket. Innentől felügyeleti díjat is fizetniük kell az SZTFH-nak.
- Legkésőbb december 31-ig szerződniük kell egy nyilvántartásba vett auditorral, amely igazolja, hogy a rendszereik megfelelően biztonságosak-e.
- Az első auditot legkésőbb 2025. december 31-ig kell elvégeztetniük.
(Mindezek a határidők azokra a szervezetekre vonatkoznak, amelyek idén január 1. előtt is működtek, az újabb alapításúaknak a működésük megkezdése után 30 napjuk van bejelentkezni az SZTFH-nál, majd a nyilvántartásba vételük után 120 napon belül szerződniük kell, és a nyilvántartásba vételüktől számítva két évük van az első auditra.)
Mit is csinál majd tulajdonképpen egy auditor? A törvény szerint:
- ellenőrzi, hogy a vizsgált cég teljesíti-e a biztonsági osztályának megfelelő védelmi intézkedéseket;
- ehhez jogosult sérülékenységvizsgálatot, jelentős és magas osztály esetén behatolásvizsgálatot is végezni;
- kriptográfiai megfelelőségvizsgálatot is végez;
- jelentős és magas osztály esetén „a kritikus biztonsági funkciókat végző egyedileg fejlesztett szoftverek biztonsági forráskódvizsgálatát” is elvégezheti.
Mi van, ha valaki nem felel meg? Ebben az esetben az SZTFH bírságot szabhat ki, méghozzá nem is keveset. A kiemelten kockázatos ágazatok szereplőit maximum tízmillió euróra, de legfeljebb az éves árbevételük 2 százalékára büntethetik. A kockázatos ágazatokba tartozóknál ugyanez maximum hétmillió euró vagy az árbevétel 1,4 százaléka. Emellett a vállalat vezetői ezentúl személyes felelősséggel tartoznak majd a kiberbiztonsági követelmények (nem) teljesítéséért.
Megjöttek az új szabályok, helyzetbe került a Hunguard
A Magyar Közlöny június 24-i számában nemcsak az osztályozási szempontokról és a követelményekről szóló rendelet jelent meg, hanem az SZTFH elnökének rendelete is „a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről”.
A rendelet tartalmaz egy sor, a szektorban már ismerős követelményt: hány szakirányú végzettségű szakértőt kell foglalkoztatni; milyen belső szabályzatokkal, technológiákkal kell rendelkezni; melyik biztonsági osztály auditálásához hány munkavállalóra, mennyi referenciára, mekkora felelősségbiztosításra van szükség.
A piac felosztása szempontjából azonban az (5) f) pont a kulcs. Ez kimondja, hogy a magas biztonsági osztályba tartozó szervezeteket csak az auditálhatja, aki „szerepel a Szabályozott Tevékenységek Felügyeleti Hatósága elnökének az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelete szerinti megfelelőségértékelő szervezetek jegyzékén »magas« megbízhatósági szinten”.
Ezt gyorsan fordítsuk is le magyarra, mielőtt elvesznénk az egymásra hivatkozó jogszabályok útvesztőjében: az SZTFH ezzel a ponttal a magas osztály auditálását azokra a cégekre korlátozza, amelyek magas megbízhatóságúként szerepelnek egy tavaly létrehozott listán.
Az egyetlen ilyen cég pedig jelenleg a Hunguard, és egy darabig még biztosan egyedül is marad.
Ha még emlékeznek, a cikk elején szépen szétszálaztuk, mi a különbség a megfelelőségértékelő szervezetek és az auditorok között. A júniusi rendelet épp ezt a kettőt kuszálja össze azzal, hogy a magas osztályú szervezetek auditálását attól teszi függővé, hogy valaki szerepel-e a megfelelőségértékelő szervezetek nyilvántartásában. Ezt a nyilvántartást tavaly májusban hozta létre az SZTFH, és ahogy a tavalyi cikkünkben bemutattuk, már a pénzügyi szervezetek tanúsításához is erre kellett felkerülni, méghozzá szintén magas megbízhatóságú szinttel. Az ehhez szükséges követelményeket valahogy épp úgy sikerült meghatározni, hogy azokat belátható ideig csak a Hunguard tudja megugrani. Idén áprilisban felkerült a listára egy másik cég, a Veritan is, de ők csak alap megbízhatósági szinttel, ami sem a pénzügyi szervezetek tanúsításához, sem a NIS2-es audit magas osztályához nem elég.
A június 24-én megjelent SZTFH-rendelet a kihirdetését követő 31. napon, azaz július 25-én lépett hatályba. Július 24-én az SZTFH el is kezdte vezetni az auditorok nyilvántartását, amely az oldal szerint „a beérkező kérelmek alapján folyamatosan frissül”. Cikkünk írásakor még üres.
Egy régi ismerős
A Hunguard és Rogán Antal kapcsolatát tavalyi cikkünkben már részletesen bemutattuk. A cég nem a NER szülötte, már 1990-ben megalapították, de a jelentősebb eredményei 2010 utániak. A története során a tulajdonosi összetétele sűrűn változott, ma 90 százalékban Csik Balázs, 10 százalékban Lengyel Csaba tulajdonában áll. A cég ügyvezetője Szűcs Ákos Balázs.
Csik és Lengyel Rogán Antalhoz fűződő kapcsolata jól ismert. 2016-ban – épp akkortájt, amikor a Hunguard helyzetbe került a pénzügyi intézmények tanúsítása terén – írta meg a Népszabadság, hogy Rogán a kabinetminiszterség mellett feltaláló is: egy digitális aláírási eljárás közös kidolgozása fűződik hármuk nevéhez. A technológia felhasználási joga a MobilSign Kft.-hez került, amely korábban Csik és Lengyel tulajdonában állt, ma egyedüli tulajdonosa és ügyvezetője Csik. A szabadalmi hivatal nyilvántartása szerint az „Eljárások elektronikus állomány digitális aláírására, valamint autentikálási eljárás” című szabadalmat feltalálóként hárman jegyzik, de jogosultként már csak Rogán és Csik szerepel. Rogán 2021-ben 408 millió, 2022-ben 288 millió, 2023-ban 204 millió forintot kapott a találmánya után a MobilSigntól, 2017 óta összesen 1,3 milliárdot.
A Hunguardban Csik 2011 decemberében jelent meg tulajdonosként, Lengyel 2015 májusában csatlakozott hozzá. 2016 januárjától a magyarországi pénzügyi intézmények rendszereit átvizsgáló cégben egy máltai vállalat, a Javelin Investments Ltd. lett a többségi tulajdonos. A Javelin mögött bonyolult máltai–ciprusi cégháló állt, amelynek egyik láncszeme a Panama-iratokban is feltűnt, de a végső tulajdonos kiléte ismeretlen volt, és ezt a nemzetbiztonsági szolgálatokat akkoriban felügyelő Pintér Sándor belügyminiszter sem látta indokoltnak nyilvánosságra hozni. (Ezeket ma már Rogán Antal felügyeli.) Mindez egyébként akkoriban történt, amikor a kormány épp törvénymódosítással harcolt az offshore-lovagok ellen. Csik és Lengyel végül 2017 májusában vette újra nevére a céget.
Amíg a Hunguard többségi tulajdonosa volt, a Javelin magyarországi kézbesítési megbízottja a cégadatbázis szerint az a Karafiát Ügyvédi Iroda volt, amely a Hunguard jogi képviseletét is ellátta, emellett Rogán polgármestersége alatt az V. kerületi önkormányzatnak, Rogán minisztersége alatt pedig a Miniszterelnöki Kabinetirodának is dolgozott. Azt azóta sem tudni biztosan, hogy akkoriban ki állt a máltai cég mögött, de egy pénzmosás elleni uniós direktívának hála a későbbi tulajdonosnak már utána lehet nézni: 2018-tól a Rogán Antal jobbkezeként megismert ügyvédé, Kertész Balázsé volt a cég.
Egyébként nem a pénzügyi szektor tanúsítása volt az első alkalom, hogy a jogszabályi feltételek a Hunguardnak kedveztek. Csik Balázs 2011 decemberében került be a cégbe, alig fél évvel ezután úgy módosították a nyerőgépszerverek tanúsításáról még 2011 szeptemberében elfogadott törvényt, hogy a feltételeknek csak a Hunguard felelt meg (aztán egy huszárvágással az egész, kaszinón kívüli nyerőgépbizniszt elkaszálta a kormány).
2014-ben is lezajlott egy hasonló történet. Akkor a közműcégek számlázási rendszerére írt elő kötelező tanúsítást a kormány, és a feltételeknek csak a Hunguard felelt meg, majd amikor más cégek is megpróbálkoztak, érkezett egy módosítás, így egy ideig szinte csak a Hunguarddal tudták elvégeztetni a tanúsítást a közműcégek. Ezek a dátumok a Hunguard pénzügyi eredményeinek meg-megugrásában is tetten érhetők:
Tavalyi cikkünk nyomán az Országgyűlésben is téma volt a pénzügyi tanúsítási piac szabályainak rendre a Hunguardot helyzetbe hozó változása. Polt Péter legfőbb ügyész egy erre vonatkozó kérdést feljelentésként értékelt, de a Nemzeti Nyomozó Iroda ezt bűncselekmény hiányában elutasította (ahogy az ilyen ügyekben Polt feljelentéseivel gyakran teszi). Rogán Antal éves bizottsági meghallgatásán is előkerült az ügy, de a kabinetminiszter tanítani való kommunikációs manőverezéssel kerülte ki az érdemi válaszadást.
Kerestük a Hunguardot, hogy váratlanul érte-e őket, hogy egyelőre egyedül ők lesznek jogosultak a magas biztonsági osztályú érintett szervezetek auditálására, vagy készültek erre a helyzetre. Válaszukban azt írták, „a HUNGUARD Kft. mindig a legmagasabb szakmai standardok szerint végzi a munkáját. Mindig nyomon követjük az uniós szabályok változását és ehhez igazítjuk vizsgálati módszereinket. Laborunk megfelel a legmagasabb szintű követelményeknek is. Az uniós NIS2 szabályozás nem csak itthon, hanem az egész EU-ban kihívások elé állítja a cégeket, hisz a kibervédelmi intézkedésekre így jóval nagyobb hangsúlyt kell fordítani, de a mai kiber-incidensekkel terhelt korszakban ez nem annyira meglepő. A HUNGUARD figyelemmel kísérte az uniós és hazai szabályozást, és készült az annak való megfelelésre. Szakmai tudásunkkal pedig igyekszünk a hazai szereplőket segíteni az uniós előírásoknak való megfelelés érdekében.”
A laborok lesznek a szűk keresztmetszet
A NIS2-es auditorok piaca eleve nem ígérkezik túl népesnek, mert azt már a kibertantörvény kikötötte, hogy ilyesmit csak az a cég végezhet, amely szerepel az Alkotmányvédelmi Hivatal (AH) nyilvántartásában, és ezzel jogosult sérülékenységvizsgálat lefolytatására. Az AH listája nem nyilvános, de úgy tudjuk, nagyságrendileg harminc cég szerepelhet rajta. Ez tehát a legbővebb merítés: eleve csak az a cég jöhet szóba, amely ezt a belépő feltételt kipipálja. A júniusi rendelet feltételei tovább szűkítik a kört, tehát már az alap osztályban is várhatóan ennél kevesebben végezhetik majd az auditot.
Aki feljebb is mozgolódna, és megcélozza a jelentős szintet, annak további két feltételnek kell megfelelnie (amellett, hogy minden alapfeltételből – munkavállalóból, referenciából, felelősségbiztosításból – eggyel nagyobbat kell teljesítenie). Az egyik szintén egy nemzetbiztonsági feltétel: a megelőző hét évből legalább ötben rendelkeznie kell a Nemzeti Biztonsági Felügyelet által kiállított telephelybiztonsági tanúsítvánnyal. A másik és leginkább érdekes feltétel megint a tanúsításról szóló tavalyi SZTFH-rendeletre hivatkozik. E szerint aki jelentős osztályban akar auditálni, annak együtt kell dolgoznia egy vizsgálólaboratóriummal, méghozzá olyannal, amely megugorja az SZTFH tanúsítási rendelete szerinti jelentős vagy magas megbízhatósági szintet.
Ennek is van egy sor feltétele, amelyekbe most nem is bonyolódunk bele. Külön a laborokról az SZTFH nem vezet nyilvános listát, de azt a vizsgálólaboroknak szükséges akkreditációk alapján tudni lehet, hogy három labor jöhet egyáltalán szóba: a Valilab, az Alverad, illetve a Hunguard laborja, mert egyedüli szereplőként a Hunguardnak cégen belül van ilyenje, amely értelemszerűen teljesít is minden követelményt.
Kerestük a másik két labort is, hogy megfelelnek-e a követelményeknek, és ha nem, terveznek-e megfelelni a december 31-i NIS2-es szerződéskötési határidőig. A Valilab válasza szerint a jelentős osztályhoz szükséges követelményeket teljesítik, így arra kérni is fogják a nyilvántartásba vételüket. A magas osztály elérését a cég „nem tervezi a közeljövőben”. Az Alveradtól nem kaptunk választ, de piaci forrásból úgy tudjuk, ők egyelőre a jelentős osztállyal sem terveznek.
A piac tehát úgy fog kinézni, hogy nagyjából három tucat cég jöhet szóba, de nagy részük csak az alap biztonsági osztályban mozoghat majd; a magas osztályt kibérelte magának a Hunguard; a köztes jelentős osztályban pedig a laborok jelentik a szűk keresztmetszetet. A Valilab partnere a Veritan, tehát ők várhatóan tudnak majd auditálni a jelentős szinten is. Rajtuk kívül biztosra vehető még a saját labort működtető Hunguard.
Szóba jöhet még a Certop Informatikai Kft. is, amely a pénzügyi szervezetek tanúsítása terén a Hunguard fő riválisa volt. Nemrég azonban eladták a céget, az új tulajdonos egy Rogán-közeli körökben jól mozgó szereplő. Nem tudjuk, hogy ezzel összefüggésben van-e, de információink szerint a Certop laborpartnert váltott, és ezentúl a Hunguard laborjával fog együtt dolgozni.
A rogáni gravitáció vonzásában
A pénzügyi szervezetek tanúsításában a Hunguard a jó ütemben változó jogszabályoknak köszönhetően rendre előnybe tudott kerülni a Certoppal szemben: nem sokkal azután, hogy a Certop is teljesítette az addig érvényes követelményeket, egy-egy módosítás hatására mindig újra egyedül maradt a Hunguard. Érdekes fejlemény ebben a macska-egér játékban, hogy június végén nem csak a NIS2-es részletszabályok jelentek meg, a Certopnak is új tulajdonosa lett.
A 2009-ben alapított cég tulajdonosa 2014-től egészen idén tavaszig a DEFIN Kft. volt, márciusban a DEFIN tulajdonosai és üzlettársaik a nevükre vették a céget, hogy aztán három hónappal később, június 14-én meg is váljanak tőle: azóta a Certop százszázalékos tulajdonosa Szabad Tamás, aki elsősorban a Rogán Antal által felügyelt nagy állami keretszerződések kedvezményezettjeinek számító p2m-cégek tulajdonosaként ismert.
A Rogán-minisztérium alá tartozó Nemzeti Kommunikációs Hivatal (NKOH) leginkább a kormányzati kommunikáció központosított megrendelőjeként szokott a hírekbe kerülni, a sajtóban jól dokumentált, hogyan vándorolnak keretszerződéseken keresztül állami százmilliárdok a kormányzati kommunikáció kedvenc ügynökségeihez, a Balásy Gyula-féle New Land Mediához és Lounge Designhoz. A 2014-ben felállított NKOH azonban más területeken is központi megrendelőként költi az állami pénzt. Ilyen terület a rendezvényszervezés, ahol szintén Balásy-cégek (Lounge Event, korábbi nevén Moonlight Event) a rendszeres befutók, és ilyen a szervezetfejlesztés is.
Utóbbi területen két kisebb cég, a p2m Consulting Kft. és a p2m Informatika Kft. számít visszatérő szereplőnek. Az első közbeszerzési keretszerződésüket 2020 végén nyerték el 30 milliárd forint értékben. Akkor két ajánlat érkezett, a másik formai okokból érvénytelen lett, így az NKOH meg is állapította a p2m-cégek által benyújtott, egyetlen érvényes ajánlatról, hogy ár-értékben az a legjobb. Ezután jelentősen meg is ugrott mindkét cég árbevétele és adózott eredménye. 2023-ban újabb, 25 milliárdos keretszerződést nyert el a két p2m-cég.
A p2m Consulting ezt megelőzően már állami kommunikációs megbízásokban is feltűnt Balásy-cégek alvállalkozójaként, például a kormányzati plakátkampányokban vagy a pápalátogatás megszervezésében, de országimázst is építettek már, és dolgoztak az MCC-nek is. A p2m Informatika a Felcsút SE adatvédelmi tisztviselője, és tőlük rendelte meg a 2023-as budapesti atlétikai vb hatástanulmányát a világbajnokságot szervező állami cég.
A p2m Informatika egyedüli tulajdonosa Szabad Tamás, a p2m Consultingé ugyanő és Patonai Ágnes, akivel mindkét cégben közösen ügyvezetők. Szabad 2004-ben beltagként alapítója volt a Lounge Consulting Bt.-nek, amelynek 2011-ben Balásy Gyula lett a beltagja, Szabad pedig előbb egy évre Balásyné Katona Helgával közösen volt kültag, majd 2012-ben teljesen kiszállt. (A céget 2022-ben megszüntették, és létrejött helyette az azonos nevű, a közbeszerzésekből ismert kft.)
További kapcsolat Szabad és Balásy között a Hydra Ops Kft. A 2018-ban alapított kiberbiztonsági és vagyonvédelmi cég egyik tulajdonosa egészen 2024 tavaszáig a p2m Informatika, egyik ügyvezetője pedig Szabad volt. Áprilisban vette meg a Visual Europe Zrt., amelynek a tulajdonosa a New Land Media, azaz végső soron Balásy Gyula.
Balásyn túl is találni NER-es kapcsolódást. Szabad Tamás 2017 és 2019 között a Dreamboat Kft. nevű ingatlanos cég ügyvezetője is volt, és 2022 óta ő az egyedüli tulajdonos is, de előtte 2016-tól 2022-ig társtulajdonos volt mellette a COMINO Invest Kft. nevű vagyonkezelő. Ennek tulajdonosa akkor és most is Hall Krisztián, akiről már 2022-ben azt írta a Válasz Online: „Hall mára a NER üzletfelhajtójaként rendszeresítette magát”, részt vett az MCC, Tiborcz István, Garancsi István, a Habony Árpád–Tombor András-kör körüli üzletekben, és Rogán Antal grúz–izraeli barátja, Shabtai Michaeli köreivel is volt közös biznisze.
A Certop a tulajdonosváltással új ügyvezetőt is kapott, ő egy bizonyos Keszthelyi Dániel, aki egyéni vállalkozóként feltűnt már a p2m-cégek alvállalkozójaként állami szervezetfejlesztői közbeszerzésben.
Érdekes lesz figyelni, hogy az új tulajdonosi viszonyok mellett is jönnek-e majd néhány évente olyan jogszabályi változások, amelyek újra és újra hátrányba hozzák a Certopot a Hunguarddal szemben a pénzügyi tanúsítási piacon. Információink szerint a cégnek megszűnt a kapcsolata eddigi laborpartnerével, az Alveraddal, és ezentúl a Hunguard laborjával fog együttműködni.
A Certop inkább tanúsítócégként ismert, és egy, a piacot ismerő forrásunk szerint a NIS2-es auditban várhatóan nem lesz kulcsszereplő, de más forrásból úgy értesültünk, hogy erre a piacra is tervezi a belépést. Kerestük a Certopot, hogy az auditori terveikről és a Hunguard laborjával való együttműködésről érdeklődjünk, de cikkünk megjelenéséig tőlük sem kaptunk választ. A Hunguardnál is érdeklődtünk, hogy vannak-e más auditor partnereik, amelyek a Hunguard laborjával fognak részt venni a NIS2-es auditálásban, de erre a kérdésünkre nem reagáltak.
Legalább tudok menni az alap kategóriára
„Szerintem az érintettek olyan hetven százalékát alap osztályba fogják sorolni, és úgy tudom, a hatóság meglátása is ez. Nyilván van egy véleményem a szabályozásról, de ez van. Legalább tudok menni az alap kategóriára – mondta az auditálást is végző IT-cég már idézett vezetője.
– Biztos jobb lett volna azt mondani, hogy abból a harminc cégből bárki auditálhasson, mert jut mindenkinek bőséggel. De ha szívemre teszem a kezem, azt mondom, hogy még ez is százszor jobb, mintha azt mondanák, hogy jöhet tücsök-bogár, akik minősíthetetlen munkát csinálnak, de lenyomják vele az árakat, és ócska, olcsó szolgáltatásokkal kell versenyezni – tette hozzá.
– Hogy a Hunguard hogy oldja meg, fingom nincs. Biztos alvállalkoztatni fognak, de azt megint csak azokból tudnak, akik fent vannak a listán. Őszintén szólva, magas vagy jelentős szinten nekem tökéletesen megfelel, ha másé a felelősség, én meg alvállalkozóként megcsinálok egy részfeladatot.”
Beszéltünk olyan cég munkatársával is, ahol adott az elvi lehetőség, hogy belátható időn belül teljesítsék a Hunguardra szabott feltételeket, de nem tervezik ezt meglépni. „Látok benne szakmai kockázatot is, meg mérlegeltük is a dolgokat, és szerintem nem nekünk találták ki.” A jelentős szintet még többen is képesek lehetnek megugrani. „Itt a magas szint a kérdés, de az meg mindenki másnak magas. Bizonyos szintig lehet teljesíteni, föntebb meg nem.”
Nem biztos, hogy lesz elég auditor
Az IT-cég vezetője szerint nem is a Hunguard helyzetbe hozása a legnagyobb gond. „Sokkal nagyobb probléma, hogy nem lesz elég auditor. Lesz legalább három-négyezer cég, ami beregisztrál, de felmehet öt-hatezerre is a számuk. Én is túl fogom foglalni magam tíz százalékkal, mint a fapadosok, aztán majd lesz valahogy? Szerintem legalább ezerötszáz cégnek nem lesz gazdája, de lehet, hogy kétezernek.”
A tavalyi ITBN kiberbiztonsági konferencián Magas Bianka, a NER-kedvenc 4iG IT-biztonsági tanácsadója egy kerekasztal-beszélgetésen azt mondta, a NIS2 miatt nagyot fog ugrani az auditorok létszáma, szerinte harminc-negyven cég lehet alkalmas – ezt a számot akkor némi derültség fogadta a közönségben, mert a szakmában gyakoribb vélekedés, hogy túl kevés auditor lesz túl sok munkára.
„Az AH nyilvántartásában szereplő harminc cégből szerintem alsó hangon tizenöt meg se tudja próbálni. Tudok egy csomó céget, ami rajta van az AH-s jegyzéken, és azt mondta, esze ágában sincsen auditálni, neki teljesen jó lesz a felkészítés is. Nyilván lesznek, akik majd most folyamodnak az AH-jegyzékre kerülésért, de szerintem olyan nagyon nagy számban nem lesz ilyen sem, mert dinnyeárusokból és orosznyelv-tanárokból átvitézlett NIS2-szakértők erre úgysem tudnak felkerülni” – mondta az IT-cég vezetője.
A Hunguardnál arról is érdeklődtünk, hogy ők hogy látják, lesz-e elég auditor a piac lefedésére, illetve a magas osztály egyedüli auditoraként ki fogják-e tudni elégíteni a keresletet, és terveznek-e alvállalkozókat bevonni ehhez, de a fent idézett válaszuknál konkrétabban erre nem reagáltak.
Mennyi pénzről is lehet szó?
Azt, hogy az audit mennyibe fog kerülni, még nem tudjuk, erről a kibertantörvény október 18-án életbe lépő változata annyit ír: „A kiberbiztonsági audit lefolytatásának rendjét, és az audit – általános forgalmi adó nélkül számított – legmagasabb díját az SZTFH elnöke rendeletben határozza meg.” Ilyen rendelet azonban cikkünk írásakor még nem jelent meg. Megkérdeztük az SZTFH-t, hogy mikor várható ennek a kiadása, de a válaszukban csak annyit írtak, hogy a közeljövőben lesz egy ilyen rendelet. Annyi biztos, hogy az auditot minden érintett szervezetnek kétévente el kell végeztetnie.
Némi támpontot jelenthet a pénzügyi szervezetek tanúsítása, amelynél az adott cég mérlegfőösszege alapján határozták meg a legmagasabb elkérhető díjat: 10 milliárd forintig 5 millió a maximum, 10 és 1000 milliárd között 25, felette 60 millió. Egy, a piacot ismerő forrásunk szerint lehet, hogy a NIS2 esetében máshogy számol majd a hatóság, de nagyságrendileg hasonló összegekre lehet számítani. Ez alapján, a konzervatívnak számító háromezer érintett szervezettel számolva, és figyelembe véve, hogy nagy részük az alap osztályba fog tartozni, minimum húszmilliárdosra becsüli a NIS2-es auditpiac várható értékét.
Emellett az érintett szervezetek az SZTFH-nak is kötelesek éves kiberbiztonsági felügyeleti díjat fizetni, ennek a mértékét az októberben élesedő törvényváltozat már tartalmazza: a megelőző üzleti év nettó árbevételének legfeljebb 0,015 százaléka, de legfeljebb tízmillió forint. A felügyeleti díjat október 18-tól kell fizetni.
Van, aki sorvadástól tart, más tisztulást remél
„Nagy megdöbbenéssel követem az eseményeket – mondta egy nagy tanácsadócég kötelékében dolgozó IT-auditor. – Az egész területnek a piacra és az életünkre gyakorolt hatását érdemes vizsgálni: a NIS2 auditálási kötelezettsége miatt sok cég nem fog más, eddig megrendelt szolgáltatást kérni nem Hunguard-cégektől, és a Hunguard a maga harminc főjével nem fog tudni minőségi auditokat végezni ezeknél a cégeknél. Az eredmény: nem csak a külügy hálózatában lesznek bent, és nem csak az oroszok – tette hozzá.
– Az IT-biztonsági szakemberek tudása szempontjából Magyarország kifejezetten kiemelkedőnek számít, a piac ismételt és mesterkélt átrendezésével érdekesen fog alakulni a hazánkban aktív IT-biztonsági szakemberek színvonala: vagy beépülnek a Hunguard alá, vagy elmennek külföldre, vagy elmennek kapálni.”
Az IT-cégvezető optimistábban látja a helyzetet, szerinte a NIS2-nek mindenképp nagy pozitívuma, hogy tisztulást hozhat a piacon. „Most tényleg olyan alja brigádok árulják magukat, hogy szégyellem magam, amikor a Google találati listáján egy oldalra kerülünk. Egy nagy hozadéka ennek az egésznek, hogy a Lófaszjóska Kft.-k ki fognak esni a szórásból.” Ő is arra számít, hogy mivel a NIS2 miatt kétévente úgyis kötelező lesz az audit, azon kívül kevésbé fognak a cégek sérülékenységvizsgálatokat végeztetni, de ő ezt pozitívumnak tartja, mert „annyi kókler mozog az IT-piacon, hogy az kimondhatatlan”.
Nem aggódott a NIS2-ben tanácsadóként érintett 4iG munkatársa sem azon a bizonyos kerekasztal-beszélgetésen, amikor – megint csak a közönség derültségét kiváltó őszinteséggel – azt mondta, a NIS2-vel kibővül az érintett szervezetek köre, és „ez nekünk mint tanácsadónak nagyon jó, mert a jövőben is lesz munkánk”.
„Ha az összes kategóriára a Hunguard lenne az egyedüli auditor, na az nem lenne szép – mondta az IT-cégvezér. – Így is kicsit csámpás a dolog, de legalább a kóklerek kimaradtak. A Hunguardban egyébként szakmailag jó káderek vannak, ezt is hozzá kell tenni. Ha választanom kell, hogy bárki bármit csinálhasson, vagy legalább kizárják a kóklereket, ha ez az ára, akkor inkább így legyen. A Hunguardnál meg legyenek vele boldogok.”