Év végén lejárt egy fontos határidő, de a hatóság nem büntet, mert saját maga se tartotta be

Több ezer magyar cégnek kellett tavaly felkészülnie arra, hogy megfeleljen a kockázatos ágazatokra vonatkozó új uniós szabályozás, a NIS2 kiberbiztonsági követelményeinek. Hivatalosan október 18. óta már teljesíteniük kell az előírásokat, és az ezt ellenőrző első auditra december 31-ig kellett volna szerződést kötniük, hogy aztán az auditor 2025 folyamán elvégezze a munkát. Hiába azonban a törvényi előírás, a szerződéseket nem tudták megkötni az érintettek, mert még maguk az auditorok sem tudják, hogy mennyi pénzt is kérhetnek el a kiberbiztonsági auditért. A területért felelős Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ugyanis a mai napig nem tette közzé az ezt meghatározni hivatott rendeletet.

„A kiberbiztonsági audit lefolytatásának rendjéről, valamint a kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díjáról jelenleg még szakmai egyeztetések zajlanak a Magyar Kereskedelmi és Iparkamarával, ezért a vonatkozó SZTFH rendelet kihirdetésére az idei évben nem fog sor kerülni” – írta december 27-i közleményében a hatóság.

„Az SZTFH rendelet kihirdetése hiányában azonban az érintett vállalkozásokat nem éri hátrány a fenti határidő – önhibájukon kívüli – elmulasztása miatt, a hatóság esetükben szankciót nem alkalmaz”

– tették hozzá. Az érintett vállalkozások tehát időt nyertek. Arról egyelőre nincs hír, hogy az audit lefolytatására vonatkozó, 2025 végi határidő is tolódik-e, de a csúszás miatt ez is indokolt lehet majd, hiszen eleve kérdéses, hogy lesz-e elég auditor arra, hogy időben elvégezzék a munkát minden érintett cégnél.

Nagyobb kockázat, szigorúbb előírások

A NIS2-ről, annak jelentőségéről és az arra való felkészülésről itt írtunk részletesen. Az uniós irányelv célja, hogy összehangolt tagállami szabályozással garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, amely azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot kétévente kell majd elvégeztetni, a már működő, tavaly regisztrált cégeknek először 2025-ben.

A cégeknek 2024-ben kellett felmérniük, hogy érintettek-e, és ha igen, melyik – alacsony, jelentős vagy magas – biztonsági osztályba sorolandók, és teljesítik-e az arra előírt követelményeket, vagy mit kell tenniük ahhoz, hogy teljesítsék. Az SZTFH tavaly januártól kezdte el nyilvántartásba venni azokat a szervezeteket, amelyeket érinti a NIS2, nekik június 30-ig kellett regisztrálniuk.

Két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a törvény két kategóriába sorolja:

• Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, víziközmű, elektronikus hírközlési szolgáltatások (azaz telekommunikációs és internetszolgáltatók), digitális infrastruktúra (felhőszolgáltatók, adatközpontok, doménnyilvántartók stb.), űralapú szolgáltatások.
• Kockázatos ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók (keresők, közösségi média, doménszolgáltatók), kutatóhelyek.

Az érintett szervezeteknek október 18-tól már alkalmazniuk kell a Rogán Antal kabinetminiszter által jegyzett rendeletben a biztonsági osztályukra meghatározott konkrét védelmi intézkedéseket.

Mindenkinek nyugi

A sok törvényileg előírt határidő ellenére SZTFH már eddig is nyugalomra intette az érintetteket, részben azért is, mert maga a hatóság sem siette el a kapcsolódó intézkedései meghozatalát. Egy tavaly október 18-i beszélgetésen, amelyet a megfelelőségi határidő alkalmából tartottak, Király Anna, az SZTFH információbiztonsági mérnöke például maga is elismerte, hogy a sok utolsó pillanatos regisztráció miatt a határidőre nem is kapta meg mindenki a határozatot arról, hogy a jelentkezése alapján besorolták-e valamelyik biztonsági osztályba.

Október 18. elvileg azért is vízválasztó volt, mert onnantól kellett volna az érintetteknek felügyeleti díjat fizetniük az SZTFH-nak – de Király Anna már akkor jelezte, hogy ezt valójában nem fogják még elkezdeni behajtani. Király szerint a pontos díjat akkorra még nem is határozták meg, a törvény szerint elvileg az legfeljebb az árbevétel tizenöt ezreléke lehet, de ennél kevesebb lesz, „csomó cégnek el is fogjuk engedni”. Mint mondta, 2024-ben már nem is tervezték bekérni a díjat, mert „mi is szeretnénk karácsonyozni”, és amíg még részletszabály nincs, addig „mindenkinek nyugi”, szólni fognak minden fórumon – tette hozzá.

Ezek a részletszabályok azok, amik továbbra sem jelentek még meg, így egyelőre nem tudni, mekkora összegű díjat kérhetnek majd el az auditorok; ahogy azt sem, hogy pontosan hogyan kell majd lefolytatniuk az auditot. Király Anna szerint az az általános elvük, hogy az auditor feladata nem az lesz, hogy pálcát törjön az auditált cégek felett, amelyek megkapják a „megfelelt” vagy a „nem megfelelt” plecsnit. Ehelyett egy skálán fog történni az értékelés. „Ezen a skálán meg lesz húzva, mint az iskolában, egy kettes szint, ezt kellene elérni a cégeknek. Az a cél, hogy legalább a kettest ugorjuk meg, hogyha ez megvan, akkor majd szépen lekommunikáljuk az adott szervezettel, hogy mondjuk két év múlva az auditon jó lenne a hármast is elérni, úgyhogy ahhoz egy cselekvési tervre lenne szükség. […] Teljesen világos számunkra is, hogy nem hasonlíthatunk össze egy nagy, ipari rendszerekkel működő, jól automatizált céget egy kicsi céggel, ami egyébként egy darab laptopot használ” – tette hozzá.

Új törvény, régi határidő

Ami viszont nagyon is megjelent már tavaly, december 20-án, az a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról. Ez az az új törvény, amely egységes keretbe foglalja és frissíti a kiberbiztonságra vonatkozó összes hazai szabályozást, így az auditra vonatkozó általános szabályokat is (hatályon kívül helyezve ezzel a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvényt, amely 2023 óta a terület legfontosabb jogszabálya volt).

Az új törvény rögzíti, hogyan fog kinézni ezután a kiberbiztonsági auditálás rendje Magyarországon. Eszerint

• minden érintettnek kétévente kell auditáltatnia [16. § (1)];
• a mostantól regisztráló cégeknek a nyilvántartásba vételük után 120 napjuk lesz szerződni valamelyik auditorral [16. § (2) a)];
• és magát az első auditot a nyilvántartásba vételük utáni két éven belül kell majd elvégeztetniük [16. § (2) b)], azaz ráérősebb lesz a dolguk;
• azoknak a cégeknek viszont, amelyek már tavaly is működtek, így tavaly regisztrálniuk kellett, és nyilvántartásba is vette őket a hatóság, továbbra is szűkebb határidőt kell betartaniuk: az első auditot már 2025-ben el kell végeztetniük [89. § (2)].

Kérdés, hogy lesz-e elég auditor

Hivatalos szám még nem ismert arról, hogy pontosan hányan is érintettek itthon. Király szerint több mint 3800 cég jelentkezett be, de közülük azért nem mindenki érintett valójában, tíz százalék körüli elutasítás várható.

Tavaly nyári cikkünkben szakértőkkel beszélgetve azt írtuk, nem feltétlenül van elég auditor ahhoz, hogy több ezer céget hirtelen leauditáljon. „Teljesen egyértelmű, hogy ennyi cégre jelen pillanatban nincsen megfelelő mennyiségű szakember” – mondta októberben Király Anna is. Azt viszont pozitívumként értékelte, hogy az egyetemek elkezdtek erre reagálni, új képzések indulnak, illetve nő az érdeklődés a meglévő képzések iránt is.

Szakértők szerint jelenleg eleve körülbelül harminc cég jöhet szóba a NIS2-es auditok elvégzésére, és közülük sem mindenki tervez belépni erre a piacra. A dolgot az is bonyolítja, hogy ezt a piacot (is) már eleve lefölözte a Rogán Antalhoz ezer szálon kötődő Hunguard Kft.: az auditorokra vonatkozó szabályozás értelmében a legmagasabb biztonsági osztályba tartozó cégek auditálására jelenleg és még belátható ideig csak ez a cég jogosult.

A munka elvégzésére jogosult auditorok nyilvántartását az SZTFH folyamatosan frissíti, legutóbb december 16-án frissült. Jelenleg kilenc cég található rajta, ebből hatan csak az alap biztonsági osztály auditálására jogosultak, ketten a jelentős osztályéra is, a magas osztályt pedig a papírforma szerint viszi a Hunguard. Egyébként a jelentős osztály két auditora közül az egyik az a Certop, amely egy másik piacon a Hunguard egyetlen riválisa volt, amíg az újabb és újabb jogszabálymódosítások rendre hátrányba nem hozták. A céget azonban tavaly nyáron eladták, az új tulajdonos egy Rogán-közeli körökben jól mozgó szereplő.

Így, hogy a részletszabályok csúszása miatt az első, 2025-ös auditkörre nem köttettek még meg a szerződések, elvileg az auditorok listája is bővülhet még. Várhatóan azonban nagyságrendileg így is el fog maradni attól a harminc-negyvenes számtól, amelyről még a 2023-as ITBN kiberbiztonsági konferencián beszélt a NER-kedvenc 4iG egy IT-biztonsági tanácsadója, már akkor is némi derültséget kiváltva ezzel a szakmai közönségből.

A törvény szerint egyébként a kiemelten kockázatos ágazatok szereplőit maximum tízmillió euróra, de legfeljebb az éves árbevételük 2 százalékára büntethetik. A kockázatos ágazatokba tartozóknál ugyanez maximum hétmillió euró vagy az árbevétel 1,4 százaléka. Emellett a vállalat vezetői ezentúl személyes felelősséggel tartoznak majd a kiberbiztonsági követelmények (nem) teljesítéséért.

Király Anna októberben azt mondta, biztos benne, hogy szükség lesz még a szabályozás finomhangolására, ezért az érintett cégek türelmét és visszajelzéseit várják.