Tódor, Rómeó
belföldkülföldgazdaságvideóélettechtudafterenglish
-1°

Menü

Kereső

Belépés

Kiderült, mennyibe fog kerülni a több ezer magyar cégnek kötelező kiberbiztonsági audit

Techtud
Legfontosabb

Kiderült, mennyibe fog kerülni a több ezer magyar cégnek kötelező kiberbiztonsági audit
Nagy László, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnöke beszédet mond a III. Nemzeti Szabályozói Konferencián a Mathias Corvinus Collegium székházában 2024. november 21-én – Fotó: Illyés Tibor / MTI
Bolcsó Dániel
Bolcsó Dániel

489

2024 utolsó hónapjai több ezer magyar cégnél arról szóltak, hogy bebiztosítsák: megfelelnek a kockázatos ágazatokra vonatkozó új uniós szabályozás, a NIS2 kiberbiztonsági követelményeinek. A megfelelés – azaz a kiberfenyegetések elleni nagyobb ellenálló képesség biztosítása – persze mindenkinek saját érdeke, de a NIS2-t a magyar jogrendbe átültető kiberbiztonsági törvény nem bízza ezt a cégek lelkiismeretére. Az érintetteknek hivatalosan október 18. óta már teljesíteniük kell az előírásokat, és az ezt ellenőrző első auditra tavaly december 31-ig kellett volna szerződést kötniük, hogy aztán az auditorok 2025 végéig elvégezzék a munkát. A szerződéseket azonban nem tudták megkötni az érintettek, mert még maguk az auditorok sem tudták, hogy mennyi pénzt is kérhetnek el a kiberbiztonsági auditért. A területért felelős Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ugyanis a szakmai egyeztetések elhúzódása miatt ezt nem tette időben közzé.

Január 31-én viszont megjelent a várva várt rendelet, így februártól beindulhat a NIS2-es auditok piaca, és az idő máris szorít: év végéig kellene több ezer érintett cégnél elvégezni az auditot, miközben a szakma szerint erre egyszerűen nincs elég auditor.

Az SZTFH aznapi közleménye szerint a rendelet azután tudott végül megjelenni a péntek esti Magyar Közlönyben, hogy „sikerrel zárultak a Magyar Kereskedelmi és Iparkamarával több körben folytatott szakmai egyeztetések a kiberbiztonsági audit lefolytatásának rendjéről, valamint az eljárás maximalizált díjáról”. Emellett egy külön SZTFH-rendelet is megjelent a kiberbiztonsági felügyeleti díjról, amelyet minden érintett cég évente köteles megfizetni a hatóságnak.

Nagyobb kockázat, nagyobb szigor

A NIS2-ről, annak jelentőségéről és az arra való felkészülésről tavaly nyáron írtunk részletesen. Az uniós irányelv célja, hogy összehangolt tagállami szabályozással garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, amely azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot kétévente kell majd elvégeztetni, a már működő, tavaly regisztrált cégeknek először 2025-ben.

A cégeknek 2024-ben kellett felmérniük, hogy érintettek-e, és ha igen, melyik – alacsony, jelentős vagy magas – biztonsági osztályba sorolandók, és teljesítik-e az arra előírt követelményeket, vagy mit kell tenniük ahhoz, hogy teljesítsék. Az SZTFH tavaly januártól kezdte el nyilvántartásba venni azokat a szervezeteket, amelyeket érinti a NIS2, nekik június 30-ig kellett regisztrálniuk.

Két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a kiberbiztonsági törvény két kategóriába sorolja:

  • Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, víziközmű, elektronikus hírközlési szolgáltatások (azaz telekommunikációs és internetszolgáltatók), digitális infrastruktúra (felhőszolgáltatók, adatközpontok, doménnyilvántartók stb.), űralapú szolgáltatások.
  • Kockázatos ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók (keresők, közösségi média, doménszolgáltatók), kutatóhelyek.

Az érintett szervezeteknek október 18-tól már alkalmazniuk kell a Rogán Antal kabinetminiszter által jegyzett rendeletben a biztonsági osztályukra meghatározott konkrét védelmi intézkedéseket.

Most már megvan, hogyan kell auditálni

„Az SZTFH most kihirdetett rendelete az audittal kapcsolatos tevékenységeket teljes körűen, az ajánlatkéréstől, a maximális díjazáson keresztül a vizsgálati eredmény benyújtásáig szabályozza, emellett részletes auditori módszertant is tartalmaz, mely az értékelések függetlenségét és kiszámíthatóságát, illetőleg összehasonlíthatóságát hivatott szolgálni” – írja az SZTFH közleménye a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról szóló 1/2025. (I. 31.) SZTFH rendeletről.

Az audit módszertani részleteibe nem mennénk bele, mert ez leginkább a szakmának érdekes, ők viszont már nagyon várták, és az első reakciók alapján úgy hallottuk, részükről rendben is vannak a most megjelent részletszabályok.

Egy tavaly október 18-i beszélgetésen, amelyet a megfelelőségi határidő alkalmából tartottak, Király Anna, az SZTFH információbiztonsági mérnöke azt mondta, az az általános elvük, hogy az auditor feladata nem az lesz, hogy pálcát törjön az auditált cégek felett, amelyek megkapják a „megfelelt” vagy a „nem megfelelt” plecsnit. Ehelyett egy skálán fog történni az értékelés.

„Ezen a skálán meg lesz húzva, mint az iskolában, egy kettes szint, ezt kellene elérni a cégeknek. Az a cél, hogy legalább a kettest ugorjuk meg, hogyha ez megvan, akkor majd szépen lekommunikáljuk az adott szervezettel, hogy mondjuk két év múlva az auditon jó lenne a hármast is elérni, úgyhogy ahhoz egy cselekvési tervre lenne szükség. […] Teljesen világos számunkra is, hogy nem hasonlíthatunk össze egy nagy, ipari rendszerekkel működő, jól automatizált céget egy kicsi céggel, ami egyébként egy darab laptopot használ” – tette hozzá.

Kiderült, mennyibe fog kerülni

Ami „felhasználói oldalról”, azaz az érintett cégek szempontjából érdekesebb, hogy a rendeletből most már azt is lehet tudni, mennyi az auditorok által elkérhető auditori díj.

„Az SZTFH elkötelezett a hazai kis- és középvállalkozások kapcsolódó adminisztratív és anyagi terheinek alacsony szinten tartása és ezzel versenyképességük megőrzése mellett, ezért a rendelet megalkotását megelőzően az auditor által felszámítható díj maximalizálására vonatkozó szabályozás kialakítása során több alkalommal is egyeztetett a Magyar Kereskedelmi és Iparkamarával annak érdekében, hogy a rendelet hatálya alá tartozó cégek kiberbiztonságra fordított költségei mérsékeltek maradjanak” – írta az SZTFH.

Az audit legmagasabb, áfa nélkül számított díjának számítási módját a rendelet 3. melléklete tartalmazza – merthogy természetesen nem arról van szó, hogy egyetlen díj vonatkozik mindenkire, hiszen az érintett cégek méretében, pénzügyi helyzetében is nagy a szórás. A maximális auditdíj kiszámításának módja, hogy egy 1 750 000 forintos alapdíjat kell különféle szorzókkal módosítani az auditálandó cég jellemzői alapján.

Az egy-egy cégtől elkérhető maximum három tényezőtől függ:

  1. A cég előző üzleti évi nettó árbevételétől – egymilliárd forintig 0,9-es szorzóval kell számolni, 40 milliárd felett 4-essel:
Forrás: Magyar Közlöny
Forrás: Magyar Közlöny
  1. A cég elektronikus információs rendszereinek (EIR) számától – ez alapján 1 és 4 között mozog a szorzó:
Forrás: Magyar Közlöny
Forrás: Magyar Közlöny
  1. A cég elektronikus információs rendszereinek biztonsági osztályától: ha mindegyik alap osztályba tartozik, akkor a szorzó 1; ha van köztük legalább egy jelentős osztályba tartozó (és nincs magas osztályba tartozó) akkor 3, ha pedig van köztük legalább egy magas osztályba tartozó, akkor 5.

Ha tehát egy cég árbevétele nem éri el az egymilliárd forintot, elektronikus információs rendszere maximum öt van, és ezek mindegyike alap osztályba tartozik, az auditja meglesz 1 575 000 forint plusz áfából. Ha viszont egy 40 milliárd fölötti árbevétellel rendelkező nagyvállalatnak több mint 16 rendszert kell auditáltatnia, amelyek között magas osztályba tartozó is van, akkor a neki kiszabható auditdíj akár 140 millió forint plusz áfa is lehet.

Azt egyelőre nehéz megmondani, hogy mekkora értékű piacról is lehet szó valójában. Király Anna az októberi beszélgetésen azt mondta, több mint 3800 cég jelentkezett be, de közülük azért nem mindenki érintett valójában, tíz százalék körüli elutasítás várható. Ez alapján nagyságrendileg 3500 céggel lehet számolni. Legalsó hangon, ha minden érintettre a lehető legalacsonyabb díjszabás vonatkozna, akkor is 5,5 milliárdos piacot jelentene a NIS2-es auditálás (plusz áfa), de a gyakorlatban ennél nyilván jóval nagyobb pénz fog itt megmozdulni – és mivel a magas osztályú cégek auditálására csak a Rogán Antalhoz ezer szálon kötődő Hunguard jogosult, a piacot nekik lesz lehetőségük lefölözni.

Cikkünk megjelenése előtt megkérdeztük az SZTFH-t, hogy végül hány érintett szervezetet vettek nyilvántartásba január 1-ig, azaz hány cégnek kell már idén elvégeztetniük az auditot. Arra is rákérdeztünk, hogy az érintett szervezetek közül hányan tartoznak alap, jelentős, illetve magas biztonsági osztályba. Ha érkezik válasz, beszámolunk róla.

Ismerős szereplők vannak, elég auditor nincs

A rendeletek megjelenésének napján szintén frissült az a nyilvántartás, amelyben az SZTFH a NIS2-es auditálásra jogosult auditorok listáját vezeti. Az év végi kilenchez a pénteki frissítéssel egy újabb auditor csatlakozott, így az érintett cégek már tíz auditor közül választhatják ki, kivel kötnek szerződést az első kiberbiztonsági auditra. Közülük azonban hét csak az alap biztonsági osztály auditálását végezheti, kettő jöhet szóba a jelentős osztályra is, míg a magasra kizárólag a Hunguard.

A jelentős osztály auditálására jogosult két cég közül az egyik az a Certop Informatikai Kft., amely a pénzügyi szervezetek tanúsítása terén a Hunguard fő riválisa volt. Tavaly azonban eladták a céget, az új tulajdonos egy Rogán-közeli körökben jól mozgó szereplő. Nem tudjuk, hogy ezzel összefüggésben van-e, de információink szerint a Certop a tulajdonoscsere után laborpartnert is váltott, és már a Hunguard laborjával dolgozik együtt. Ennek azért van jelentősége, mert aki jelentős osztályban akar auditálni, annak együtt kell dolgoznia egy vizsgálólaboratóriummal, méghozzá olyannal, amely megugorja az SZTFH egy korábbi rendelete szerinti jelentős vagy magas megbízhatósági szintet. Három ilyen labor jöhet egyáltalán szóba, ebből egyik a Hunguard laborja, mert nekik cégen belül van ilyenjük.

Mint írtuk, hivatalos szám még nem ismert arról, hogy pontosan hányan is érintettek itthon, de nagyságrendileg 3500 céggel lehet számolni. Tavaly nyári cikkünkben szakértőkkel beszélgetve azt írtuk, nem feltétlenül van elég auditor ahhoz, hogy több ezer céget hirtelen leauditáljon Szakértők szerint jelenleg eleve körülbelül harminc cég jöhet szóba a NIS2-es auditok elvégzésére, és közülük sem mindenki tervez belépni erre a piacra. „Teljesen egyértelmű, hogy ennyi cégre jelen pillanatban nincsen megfelelő mennyiségű szakember” – mondta októberben az SZTFH-s Király Anna is. Azt viszont pozitívumként értékelte, hogy az egyetemek elkezdtek erre reagálni, új képzések indulnak, illetve nő az érdeklődés a meglévő képzések iránt is.

Elsősorban egyébként 2025 lesz a szűk keresztmetszet, nemcsak azért, mert később még felbukkanhatnak a követelményeket teljesítő további auditorok, hanem azért is, mert a továbbiakban már némileg kényelmesebbek lesznek a határidők. A december 20-án megjelent kiberbiztonsági törvény rögzíti, hogyan fog kinézni ezután a kiberbiztonsági auditálás rendje Magyarországon. Eszerint minden érintettnek kétévente kell auditáltatnia, és azoknak a cégeknek, amelyek már tavaly is működtek, így már nyilvántartásba is vette őket a hatóság, az első auditot már 2025-ben el kell végeztetniük. A mostantól regisztráló cégeknek viszont a nyilvántartásba vételük után 120 napjuk lesz szerződni valamelyik auditorral, és magát az első auditot a nyilvántartásba vételük utáni két éven belül kell majd csak elvégeztetniük.

Az SZTFH-nak is kell fizetni

Október 18-tól nemcsak a NIS2 kiberbiztonsági előírásainak kell megfelelniük az érintett cégeknek, de a törvény értelmében a hatóságnak járó felügyeleti díjat is ekkortól kellett volna fizetni. Király Anna azonban már akkor jelezte, hogy ezt valójában nem fogják még elkezdeni behajtani – nem csoda, hiszen még az arról szóló rendelet sem jelent meg egészen mostanáig.

A pénteki Magyar Közlönyben viszont az auditálás részleteiről és díjáról szóló rendelet mellett az éves kiberbiztonsági felügyeleti díjról szóló 2/2025. (I. 31.) SZTFH rendelet is kijött, így most már azt is lehet tudni, hogy ez pontosan mennyi lesz.

A felügyeleti díj is az előző évi nettó árbevételtől függ:

  • ha az érintett cég nettó árbevétele nem éri el a 20 milliárd forintot, annak 0,00015 százalékát kell befizetnie az SZTFH-nak;
  • ha az árbevétele legalább 20 milliárd forint, akkor a felügyeleti díja annak 0,0015 százaléka, de maximum 10 millió forint.

Ha egy cégnek nem volt előző évben árbevétele, akkor az aktuális év addigi árbevételének egész évre vetített mértéke alapján számolják ki a fenti százalékokat. Amelyik cégnél a felügyeleti díj nem érné el az ötezer forintot, annak a hatóság teljesen el is engedi a díjat.

Mindkét pénteki rendelet a kihirdetését követő harmadig napon lép hatályba, tehát hétfőtől már lehet szerződéseket kötni.

A törvény szerint egyébként a kiemelten kockázatos ágazatok szereplőit maximum tízmillió euróra, de legfeljebb az éves árbevételük 2 százalékára büntethetik. A kockázatos ágazatokba tartozóknál ugyanez maximum hétmillió euró vagy az árbevétel 1,4 százaléka. Emellett a vállalat vezetői ezentúl személyes felelősséggel tartoznak majd a kiberbiztonsági követelmények (nem) teljesítéséért.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!
FacebookKövetem!
Legfontosabb
Telex shop
Friss hírek