Új időszámítás: mától több ezer magyar cégnek kell komolyabban vennie a kiberbiztonságát

Magyar cégek ezrei is hónapok óta készülnek arra, hogy megfeleljenek a kockázatos ágazatokra vonatkozó új uniós szabályozás, a NIS2 kiberbiztonsági követelményeinek. Ez a folyamat október 18-án új mérföldkőhöz érkezett: az érintetteknek hivatalosan ettől a naptól kell megfelelniük az előírásoknak, és alkalmazniuk a részükre előírt védelmi intézkedéseket. A hatóság azonban nyugalomra int és türelmet kér – egyrészt mert még ők maguk sem tettek közzé minden részletszabályt, másrészt mert kezdetben engedékenységet ígérnek.

A NIS2-ről, annak jelentőségéről és az arra való felkészülésről itt írtunk részletesen. Az uniós irányelv célja, hogy összehangolt tagállami szabályozással garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, amely azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot kétévente kell majd elvégeztetni, először 2025-ben.

Magyarország a tagállamok közül az elsők között kezdte el kialakítani a NIS2 irányelvnek megfelelő jogszabályi környezetet. A kiberbiztonsági szabályok felett őrködő hatóságként a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelölték ki, tavaly májusban pedig életbe lépett a hazai kiberbiztonsági szabályozás új szentírása, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény, azaz ahogy emlegetni szokták, a kibertantörvény.

Ez már hónapok óta munkát ad sok cégnek, mert mindenkinek fel kellett mérnie, hogy érintett-e, és ha igen, melyik biztonsági osztályba sorolandó, és teljesíti-e az arra előírt követelményeket, vagy mit kell tennie ahhoz, hogy teljesítse. Az SZTFH idén januártól kezdte el nyilvántartásba venni azokat a szervezeteket, amelyeket érinti a NIS2, nekik június 30-ig kellett regisztrálniuk.

Két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a törvény két kategóriába sorolja:

• Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, víziközmű, elektronikus hírközlési szolgáltatások (azaz telekommunikációs és internetszolgáltatók), digitális infrastruktúra (felhőszolgáltatók, adatközpontok, doménnyilvántartók stb.), űralapú szolgáltatások.
• Kockázatos ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók (keresők, közösségi média, doménszolgáltatók), kutatóhelyek.

Az érintett szervezeteknek október 18-tól már alkalmazniuk kell a Rogán Antal kabinetminiszter által jegyzett rendeletben a biztonsági osztályukra meghatározott konkrét védelmi intézkedéseket.

Idén még nem kell fizetni

A jeles nap alkalmából az ipari informatikai megoldásokat kínáló Com-Forth Kft. szervezett egy online beszélgetést, a NIS2 körüli felhajtásra jellemző módon „Végítélet napja?” címmel. Itt Király Anna, az SZTFH információbiztonsági mérnöke több fontos részletet is elárult arról, hol tart és merre halad ez az egész történet.

Hivatalos szám még nem ismert arról, hogy pontosan hányan is érintettek itthon. Király szerint több mint 3800 cég jelentkezett be, de közülük azért nem mindenki érintett valójában, tíz százalék körüli elutasítás várható. A beszélgetést online követő nézők közül többek is jelezték, hogy még nem mindenki kapott visszajelzést a hatóságtól, hogy besorolták-e. Király szerint valóban van még ebben elmaradás, elsősorban azok felé, akik az utolsó pillanatokban jelentkeztek. „Igyekeztünk október 18-ig kiszórni az összes bírálatot” – mondta, hozzátéve, hogy még 17-én is 190 határozat ment ki, végül olyan 95 százalékot sikerült kiküldeniük a határidőre, de szerinte a jövő hét végére meglesznek minddel. De a szabályok már arra is vonatkoznak, aki még nem kapta ezt meg – tette hozzá.

Király Anna szerint amelyik cég érintett, mégsem jelentkezett a határidőig, még most is jobban teszi, ha maga jelentkezik, mert a késedelmes bejelentkezés bírsága minimum 50 ezer forint, de ha a hatóság veszi észre a mulasztást, akkor már rendes bírságra számíthat, amelynek az összege jóval magasabb lehet – bár Király hozzátette, hogy az uniós irányelv által megengedett bírságtételt a magyar törvény 150 millió forintban maximalizálta. A törvény szerint egyébként a kiemelten kockázatos ágazatok szereplőit maximum tízmillió euróra, de legfeljebb az éves árbevételük 2 százalékára büntethetik. A kockázatos ágazatokba tartozóknál ugyanez maximum hétmillió euró vagy az árbevétel 1,4 százaléka. Emellett a vállalat vezetői ezentúl személyes felelősséggel tartoznak majd a kiberbiztonsági követelmények (nem) teljesítéséért.

Október 18. elvileg azért is vízválasztó, mert innentől kellene az érintetteknek felügyeleti díjat fizetniük az SZTFH-nak – azért csak elvileg, mert Király Anna szerint ezt valójában nem fogják most elkezdeni behajtani. Király szerint a pontos díjat még nem is határozták meg, a törvény szerint elvileg az legfeljebb az árbevétel tizenöt ezreléke lehet, de ennél kevesebb lesz, „csomó cégnek el is fogjuk engedni”.

Király szerint idén még nem fogják bekérni a díjat, „mi is szeretnénk karácsonyozni”, amíg még részletszabály nincs, addig „mindenkinek nyugi”, szólni fognak minden fórumon.

A hatóság szakértője biztos benne, hogy szükség lesz még a szabályozás finomhangolására, ezért az érintett cégek türelmét és visszajelzéseit várják.

A beszélgetésen részt vett Kocsis Tamás, az Alverad Technology Focus Kft. kiberbiztonsági szakértője is, aki szerint a NIS2 valóban nagy teher, de pont azért ekkora, mert az állam eddig nem kényszerítette ki a megfelelő szintű kiberbiztonságot. Ezért a szakma üdvözli az új szabályozást, ha nem is feltétlenül a pontos megvalósítási módot, de azt mindenképp, hogy végre kellően hangsúlyos lesz ez a terület – mondta.

Nem lesz elég auditor

Ahogy korábbi cikkünkben szakértőkkel beszélgetve mi is írtuk, nem feltétlenül van elég szakértő ahhoz, hogy több ezer céget hirtelen leauditáljon. „Teljesen egyértelmű, hogy ennyi cégre jelen pillanatban nincsen megfelelő mennyiségű szakember” – mondta Király Anna is. Azt viszont pozitívumként értékelte, hogy az egyetemek elkezdtek erre reagálni, új képzések indulnak, illetve nő az érdeklődés a meglévő képzések iránt is.

A kétévente elvégzendő audit célja az lesz, hogy az auditor ellenőrizze, hogy a vizsgált cég teljesíti-e a biztonsági osztályának megfelelő védelmi intézkedéseket. Az érintetteknek legkésőbb idén december 31-ig szerződniük kell egy nyilvántartásba vett auditorral, amely igazolja, hogy a rendszereik megfelelően biztonságosak-e. Az első auditot legkésőbb 2025. december 31-ig kell elvégeztetniük.

Szakértők szerint jelenleg eleve körülbelül harminc cég jöhet szóba a NIS2-es auditok elvégzésére, és közülük sem mindenki tervez belépni erre a piacra. A dolgot az is bonyolítja, hogy ezt a piacot (is) már eleve lefölözte a Rogán Antalhoz ezer szálon kötődő Hunguard Kft: az auditorokra vonatkozó szabályozás értelmében a legmagasabb biztonsági osztályba tartozó cégek auditálására jelenleg és még belátható ideig csak ez a cég jogosult.

A munka elvégzésére jogosult auditorok nyilvántartását az SZTFH már közzétette és folyamatosan frissíti, jelenleg hat cég található rajta: hárman csak az alap biztonsági osztály auditálására jogosultak, ketten a jelentős osztályéra is, a magas osztályt pedig a papírforma szerint viszi a Hunguard. Mivel legkésőbb december 31-ig kell leszerződniük az érintetteknek a jövő évi auditra, ennyi idő van még felkerülni a listára.

Király Anna azt mondta, hogy bár a pontos módszertani szabályozás még nem jelent meg az auditáláshoz, az az általános elvük, hogy az auditor feladata nem az lesz, hogy pálcát törjön az auditált cégek felett, amelyek megkapják a „megfelelt” vagy a „nem megfelelt” plecsnit. Ehelyett egy skálán fog történni az értékelés.

„Ezen a skálán meg lesz húzva, mint az iskolában, egy kettes szint, ezt kellene elérni a cégeknek. Az a cél, hogy legalább a kettest ugorjuk meg, hogyha ez megvan, akkor majd szépen lekommunikáljuk az adott szervezettel, hogy mondjuk két év múlva az auditon jó lenne a hármast is elérni, úgyhogy ahhoz egy cselekvési tervre lenne szükség.”

Terjednek a szakmában mindenféle százalékok, hogy mi is lesz a gyakorlatban ez a bizonyos kettes szint, de Király szerint erről nem érdemes így beszélni, mert ez bonyolultabb, súlyozva lesznek a követelmények, nem minden védelmi pont fog ugyanannyit érni, képlettel fognak dolgozni az auditorok.

„Teljesen világos számunkra is, hogy nem hasonlíthatunk össze egy nagy, ipari rendszerekkel működő, jól automatizált céget egy kicsi céggel, ami egyébként egy darab laptopot használ. Teljesen más lesz a felkészültségi szint és az erőforrások, amiket az adott cég rá tud erre fordítani. Úgyhogy ezt majd egyedileg fogjuk tudni kezelni. A kettes lesz a cél, ha az megvan, akkor utána majd szépen fokozatosan elkezdünk irányított fejlődést indukálni az adott szektorokban” – tette hozzá.