Teljesen átszabja a kiberbiztonsági auditok piacát egy friss rendelet. Eddig egyetlen auditorcég volt jogosult arra, hogy a legveszélyeztetettebb vállalatok rendszereinek biztonságos működését auditálja, és a következő kategóriába tartozó cégek esetében is csak néhány további szereplő jöhetett szóba. A Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) elnöke a hétfő este közzétett, 6/2026. (VI. 8.) számú rendeletével azonban eltörölte azokat a feltételeket, amelyek a jellemzően NER-es kötődésű auditorok előnyét biztosították. Az új szabályozás egyenlő – könnyített – feltételeket teremt a piac szereplőinek, amivel Rogán Antal- és Mészáros Lőrinc-közeli cégek kiváltságos helyzete szűnik meg.
A változtatást egy szombati Facebook-bejegyzésében már Tanács Zoltán tudományos és technológiai miniszter is előrevetítette. „Az elmúlt években, ahogyan sok más területen is, itt is jelentős versenykorlátozást alakított ki a politika, ami növeli a vállalkozások költségeit és szinte lehetetlenné teszi a megfelelést, mert egyszerűen nincs elég auditori kapacitás a piacon. [...] Néhány szereplőnél jelentős piaci koncentráció figyelhető meg különösen a magas és kiemelt kategóriákban, az tény. Jelenleg például magas kategóriában csak a Hunguard tud auditot végrehajtani, pedig nyilván más is képes lenne rá. [...] Az volt a kérésünk a hivatal felé, hogy bővítsék az auditot elvégezni képes cégek körét, hosszabbítsák meg a megrendeléshez szükséges határidőt, tegyék rugalmasabbá a teljesítés feltételeit. És lehetőleg ne szankcionáljanak, hanem segítsék a megfelelést. […] A tervezett módosítás célja, hogy egyszerűbbé és gyorsabbá tegye az auditorválasztást, valamint rugalmasabbá tegye az auditok megszervezését” – írta a miniszter.
Jókor jó helyen
A kiberbiztonsági auditot a NIS2 nevű európai uniós irányelv írja elő a kockázatos ágazatokban működő cégeknek. A NIS2-ről, annak jelentőségéről és a kiberauditok hazai szabályozásáról 2024-ben írtunk részletesen. Az irányelv célja, hogy összehangolt tagállami szabályozással garantálja az érintett vállalatok kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része az audit, amely azt hivatott igazolni, hogy a rendszereik biztonságosan működnek.
Ezt az auditot kétévente kell majd elvégeztetni. Az első kört eredetileg minden érintettnek le kellett volna tudnia 2025 végéig, de mint az év tavaszán bemutattuk, komoly problémák adódtak az auditok lebonyolításával, és már akkor látszott, hogy túl szűkös lesz a határidő. Ezt nem sokkal később az SZTFH mint illetékes hatóság is belátta, ezért fél év haladékot adott a több ezer érintett cégnek: az első kiberauditok határidejét idén június 30-ra tolták ki.
Az érintett cégek alacsony, jelentős vagy magas osztályba vannak sorolva aszerint, hogy mennyire veszélyeztetettek. Az auditálásukra azok az auditorok jogosultak, amelyek felkerültek az SZTFH auditor-nyilvántartásába, de más-más feltételeket kellett teljesíteniük ahhoz, hogy a különféle osztályú cégeket auditálhassák.
A nyilvántartásban jelenleg tíz auditor található, de közülük csak egyetlen olyan van, amelyik a legnagyobb bevételt jelentő magas osztály auditálására is jogosult: ez a Rogán Antal korábbi kabinetminiszterhez ezer szálon kötődő Hunguard. A jelentős osztályt pedig a Hunguardon kívül egészen a közelmúltig csak két további cég auditálhatta, és mind a kettő épp a NIS2-es kiberaudit-piac felállítása környékén került NER-közeli kézbe: az azóta Vantasec névre átkeresztelt Certop Informatikai Kft. és a KÜRT.
Rogán feltalálótársai rendre helyzetbe kerültek
A Hunguard hosszú évek óta profitált a mindig épp jókor és jó irányba változó jogszabályokból: 2023-as cikkünkben bemutattuk, hogy egy másik területet, a pénzügyi intézmények kiberbiztonsági tanúsítását annak köszönhetően uralják már 2016 óta, hogy amikor épp vetélytársat kaptak volna, mindig pont úgy változott a szabályozás, hogy újra csak ők feleljenek meg neki. A NIS2-nél is hasonló történt: az auditorokra vonatkozó követelményeket úgy alakították ki, hogy a Hunguard gyakorlatilag kisajátította a magas osztályba tartozó cégek auditálását.
A cég nem a NER szülötte, már 1990-ben megalapították, de a jelentősebb eredményei 2010 utániak. A története során a tulajdonosi összetétele sűrűn változott, ma 90 százalékban Csik Balázs, 10 százalékban Lengyel Csaba tulajdonában áll. A cég ügyvezetője Szűcs Ákos Balázs.
Csik és Lengyel Rogán Antalhoz fűződő kapcsolata jól ismert. 2016-ban – épp akkortájt, amikor a Hunguard helyzetbe került a pénzügyi intézmények tanúsítása terén – írta meg a Népszabadság, hogy Rogán a kabinetminiszterség mellett feltaláló is lett: egy digitális aláírási eljárás közös kidolgozása fűződik hármuk nevéhez. A technológia felhasználási joga a MobilSign Kft.-hez került, amely korábban Csik és Lengyel tulajdonában állt, ma egyedüli tulajdonosa és ügyvezetője Csik. A szabadalmi hivatal nyilvántartása szerint az „Eljárások elektronikus állomány digitális aláírására, valamint autentikálási eljárás” című szabadalmat feltalálóként hárman jegyzik, de jogosultként már csak Rogán és Csik szerepel. Rogán 2021-ben 408 millió, 2022-ben 288 millió, 2023-ban 204 millió, 2024-ben 456 millió, 2025-ben pedig 300 millió forintot kapott a találmánya után a MobilSigntól, 2017 óta összesen több mint 2 milliárdot.
A Hunguardban Csik 2011 decemberében jelent meg tulajdonosként, Lengyel 2015 májusában csatlakozott hozzá. 2016 januárjától a magyarországi pénzügyi intézmények rendszereit átvizsgáló cégben egy máltai vállalat, a Javelin Investments Ltd. lett a többségi tulajdonos. A Javelin mögött bonyolult máltai–ciprusi cégháló állt, amelynek egyik láncszeme a Panama-iratokban is feltűnt, de a végső tulajdonos kiléte ismeretlen volt, és ezt a polgári nemzetbiztonsági szolgálatokat akkoriban felügyelő Pintér Sándor belügyminiszter sem látta indokoltnak nyilvánosságra hozni. (Ezek később Rogán Antal felügyelete alá kerültek.) Mindez egyébként akkoriban történt, amikor a kormány épp törvénymódosítással harcolt az offshore-lovagok ellen. Csik és Lengyel végül 2017 májusában vette újra nevére a céget.
Amíg a Hunguard többségi tulajdonosa volt, a Javelin magyarországi kézbesítési megbízottja a cégadatbázis szerint az a Karafiát Ügyvédi Iroda volt, amely a Hunguard jogi képviseletét is ellátta, emellett Rogán polgármestersége alatt az V. kerületi önkormányzatnak, Rogán minisztersége alatt pedig a Miniszterelnöki Kabinetirodának is dolgozott. Azt azóta sem tudni biztosan, hogy akkoriban ki állt a máltai cég mögött, de egy pénzmosás elleni uniós direktívának hála a későbbi tulajdonosnak már utána lehet nézni: 2018-tól a Rogán Antal jobbkezeként megismert ügyvédé, Kertész Balázsé volt a cég.
Egyébként nem a pénzügyi szektor tanúsítása volt az első alkalom, hogy a jogszabályi feltételek a Hunguardnak kedveztek. Csik Balázs 2011 decemberében került be a cégbe, alig fél évvel ezután úgy módosították a nyerőgépszerverek tanúsításáról még 2011 szeptemberében elfogadott törvényt, hogy a feltételeknek csak a Hunguard felelt meg (aztán egy huszárvágással az egész, kaszinón kívüli nyerőgépbizniszt elkaszálta a kormány).
2014-ben is lezajlott egy hasonló történet. Akkor a közműcégek számlázási rendszerére írt elő kötelező tanúsítást a kormány, és a feltételeknek csak a Hunguard felelt meg, majd amikor más cégek is megpróbálkoztak, érkezett egy módosítás, így egy ideig szinte kizárólag a Hunguarddal tudták elvégeztetni a tanúsítást a közműcégek. Ezek a dátumok a Hunguard pénzügyi eredményeinek meg-megugrásában is tetten érhetők.
A Hunguard nagy riválisa is NER-közelben kötött ki
A Vantasecnek tavaly októbertől ez a neve, előtte Certop Informatikai Kft.-ként működött, és a pénzügyi szervezetek tanúsítása terén a Hunguard fő riválisa volt – ez volt a cég, amely a jól időzített jogszabályváltozások miatt újra és újra kiszorult erről a piacról. 2024 júniusában azonban eladták a céget, az új tulajdonos pedig az a Szabad Tamás, aki elsősorban a minisztersége idején Rogán Antal által felügyelt nagy állami keretszerződések kedvezményezettjeinek számító p2m-cégek tulajdonosaként ismert.
A Rogán-féle Miniszterelnöki Kabinetiroda alá tartozott a Nemzeti Kommunikációs Hivatal (NKOH), amely leginkább a kormányzati kommunikáció központosított megrendelőjeként került a hírekbe, a sajtóban jól dokumentált, hogy a NER éveiben hogyan vándoroltak keretszerződéseken keresztül állami százmilliárdok a kormányzati kommunikáció kedvenc ügynökségeihez, a Balásy Gyula-féle New Land Mediához és Lounge Designhoz, szépen kitömve a Fidesz udvari plakátgyárosát. A 2014-ben felállított NKOH azonban más területeken is központi megrendelőként költötte az állami pénzt. Ilyen terület volt a rendezvényszervezés, ahol szintén Balásy-cégek (a Lounge Event, korábbi nevén Moonlight Event) a rendszeres befutók, és ilyen a szervezetfejlesztés is.
Utóbbi területen két kisebb cég, a p2m Consulting Kft. és a p2m Informatika Kft. számított visszatérő szereplőnek. Az első közbeszerzési keretszerződésüket 2020 végén nyerték el 30 milliárd forint értékben. Akkor két ajánlat érkezett, a másik formai okokból érvénytelen lett, így az NKOH meg is állapította a p2m-cégek által benyújtott, egyetlen érvényes ajánlatról, hogy ár-érték arányban az a legjobb. Ezután jelentősen meg is ugrott mindkét cég árbevétele és adózott eredménye. 2023-ban újabb, 25 milliárdos keretszerződést nyert el a két p2m-cég.
A p2m Consulting ezt megelőzően már állami kommunikációs megbízásokban is feltűnt Balásy-cégek alvállalkozójaként, például a kormányzati plakátkampányokban vagy a pápalátogatás megszervezésében, de országimázst is építettek már, és dolgoztak az MCC-nek is. A p2m Informatika volt korábban a Felcsút SE adatvédelmi tisztviselője, és tőlük rendelte meg a 2023-as budapesti atlétikai vb hatástanulmányát a világbajnokságot szervező állami cég.
A p2m Informatika egyedüli tulajdonosa Szabad Tamás, a p2m Consultingé is ő és Patonai Ágnes, akivel mindkét cégben közösen ügyvezetők. Szabad 2004-ben beltagként alapítója volt a Lounge Consulting Bt.-nek, amelynek 2011-ben Balásy Gyula lett a beltagja, Szabad pedig előbb egy évre Balásyné Katona Helgával közösen volt kültag, majd 2012-ben kiszállt. (A céget 2022-ben megszüntették, és létrejött helyette az azonos nevű, a közbeszerzésekből ismert kft.)
További kapcsolat Szabad és Balásy között a Hydra Ops Kft. A 2018-ban alapított kiberbiztonsági és vagyonvédelmi cég egyik tulajdonosa egészen 2024 tavaszáig a p2m Informatika, egyik ügyvezetője pedig Szabad volt. Áprilisban vette meg a Visual Europe Zrt., amelynek a tulajdonosa a New Land Media, azaz végső soron Balásy Gyula.
Balásyn túl is találni NER-es kapcsolódást. Szabad Tamás 2017 és 2019 között a Dreamboat Kft. nevű ingatlanos cég ügyvezetője is volt, és 2022 óta ő az egyedüli tulajdonos is, de előtte 2016-tól 2022-ig társtulajdonos volt mellette a COMINO Invest Kft. nevű vagyonkezelő. Ennek tulajdonosa akkor és most is Hall Krisztián, akiről már 2022-ben azt írta a Válasz Online: „Hall mára a NER üzletfelhajtójaként rendszeresítette magát”, részt vett az MCC, Tiborcz István, Garancsi István, a Habony Árpád–Tombor András-kör körüli üzletekben, és Rogán Antal grúz–izraeli barátja, Shabtai Michaeli köreivel is volt közös biznisze.
A Certop/Vantasec ügyvezetője 2025 februárjától Sperczel Dániel, aki 2017-ig a Magyar Turisztikai Ügynökség marketingkommunikációs irodavezetője, majd 2024 májusáig a Lounge Design ügyfélkapcsolati igazgatója volt.
Mészáros Lőrinc is megjelent az auditok körül
A KÜRT jól ismert név az informatikai piacon, mai formájában 1998-ban alapították, de a jogelődjét már 1989-ben létrehozták a Kürti testvérek, Sándor és János. Elsősorban az adatmentési eljárásukról híresek, amely 2014-ben a hungarikumok listájára is felkerült.
A Kürti család 2024 júliusában kiszállt a cégből, ekkor a PRIME PEAK Magántőkealap szerzett benne többségi tulajdont. Az alapot nem sokkal korábban, 2024. március 13-án vették nyilvántartásba. A kisebbségi tulajdonos a cégben korábban is jelen lévő és azt jelenleg is vezérigazgatóként vezető Kmetty József maradt. A PRIME PEAK a Mészáros Lőrinc ügyvédjeként ismert Kertész József Tamás tulajdonában álló PRIMEFUND Befektetési Alapkezelő Zrt. kezelésében álló magántőkealap-hálózat tagja, amelyek közül néhányat már hivatalosan is a nevére vett Mészáros Lőrinc.
Az auditorok nyilvántartása idén május 20-án frissült utoljára. Egészen addig csak a fenti három cég volt rajta mint a jelentős osztály auditálására jogosult szereplő, de akkor negyedikként egy újabb cég, a Valilab neve mellé is felkerült a jelentős osztály.
A Valilab egyedüli tulajdonosa Balázs István. Ő 1990-ben a Hunguard egyik alapítója volt, és egészen 2015-ig, Lengyel Csaba beszállásáig a cég egyik tulajdonosa maradt. 2011-től többek között a másik mai tulajdonos, Csik Balázs mellett, tehát még a fellendülés első éveiben is jelen volt. Aztán 2019-ben beszállt az auditorok nyilvántartásában (alap osztályra jogosultként) szintén szereplő Veritanba, amelynek a tulajdonosaival 2020-ben közösen alapították meg a Valilabot. 2021-ben Balázs István kiszállt a Veritanból, annak alapítói pedig a Valilabból, tehát a két cég függetlenedett egymástól, de azóta is dolgoznak együtt (a Valilab nyújt kiberbiztonsági laborszolgáltatást a Veritannak).
Jó évet zártak
Azt nehéz pontosan megmondani, hogy mekkora értékű piacról van szó. Ha nagyságrendileg 3500 érintett céggel számolunk, és minden érintettre a lehető legalacsonyabb díjszabás vonatkozna, akkor is legalsó hangon 5,5 milliárdos piacot jelentene a NIS2-es auditálás (plusz áfa), de a gyakorlatban ennél jóval több pénzről lehet szó. Egy, a piacot ismerő forrásunk korábban minimum húszmilliárdosra becsülte az értékét.
Az mindenesetre már látszik a június elején közzétett beszámolókból, hogy a Hunguard tavaly rekordévet zárt: az értékesítés nettó árbevétele 2,44 milliárd forint volt, amely jóval magasabb, mint amit korábban bármikor elért a cég, és majdnem egymilliárddal több, mint az eddigi rekordnak számító 2018-as bevétel. Ennek megfelelően a cég adózott eredménye is több mint duplájára nőtt: a 2024-es 494 millió forint után tavaly 1,09 milliárdos profitot termelt, amely szintén jelentősen magasabb az eddigi rekordot jelentő 2015-ös 781 milliónál, és több, mint az előző három év nyeresége összesen. A tulajdonosok arról döntöttek, hogy gyakorlatilag a teljes nyereséget ki is veszik a cégből osztalékként:
Bár a VantaSec jóval kisebb cég, arányaiban ők is kiugró eredménnyel zárták az új tulajdonos első teljes évét: a 2024-es 61,9 millió után tavaly 450 milliós nettó árbevételt értek el, ami több mint hétszeres növekedés. A cég adózott eredménye 132,4 milliárd forint lett, ami szintén figyelemre méltó javulás ahhoz képest, hogy 2024-et még 34,8 milliós veszteséggel zárták, de a korábbi évek nyereségéhez képest is egy bő nagyságrendnyi gyarapodás.
A KÜRT cikkünk megjelenéséig nem tette közzé a 2025-ös beszámolóját.
Kiegyenlítődött a pálya, több lett az idő
Az új rendelettel életbe lépő változtatás nem azt jelenti, hogy ezentúl bárki végezhet kiberbiztonsági auditot. Ehhez továbbra is fel kell kerülni az auditorok nyilvántartásába, amihez teljesíteni kell bizonyos feltételeket, így az auditorokat továbbra is szűri a szabályozás. A különféle osztályok auditálásához viszont már nem lesznek olyan pluszfeltételek, amelyeket a piac nagy része nem tudott vagy akart megugrani.
Ennek egy nekünk nyilatkozó auditor szerint lehet versenyerősítő és ezzel az auditdíjakat lenyomó hatása a magasabb osztályokban. Az alacsony osztályban nem, mert ott az auditorok már eddig is azt jelezték, hogy olyan alacsonynak tartják a maximum elkérhető díjat, hogy abból nehéz kihozni egy alapos auditot – még ha más források szerint az érintett kisebb cégeknek így is megterhelő lehet ez a költség –, így ennél az osztálynál várhatóan továbbra is elkérik majd a maximumot az auditorok. A jelentős és különösen a magas osztálynál viszont már nagyobb tér marad a piaci versenyre, feltéve, ha nem eleve néhány vagy egyetlen cég jogosult ennek az auditálására, mint eddig.
Korábban az is szűk keresztmetszetet jelentett, hogy az SZTFH nem tette közzé időben az auditálás módszertani részleteit, tehát hogy az auditoroknak pontosan hogyan kell elvégezniük a munkát. Ezt végül csak több hónapos csúszással, tavaly február elején adták ki, és szakmai kritikák szerint eleve túl szigorú is volt ez a módszertan, így az auditoroknak feszített tempót kellett diktálniuk. Mostanra viszont a nekünk nyilatkozó auditor szerint már kellőképpen beállt a módszertan és az egész folyamat, így gyorsabban haladnak az auditok, a halasztással és a piac kiegyenlítésével együtt tehát szerinte már tartható lesz a tempó.
Bár az első auditok fél évvel kitolt határideje idén június 30., az ezekre vonatkozó szerződéseket már tavaly augusztus 31-ig meg kellett kötni, így ebben a körben már feltehetően kevéssé várható a piac újraosztása, bár úgy tudjuk, lehetnek még nagyobb számban olyan cégek, amelyek továbbra sem regisztrálták magukat érintettként, noha elvileg rájuk is vonatkozna az auditkötelezettség. Erre Tanács Zoltán is utalt, szombati bejegyzésében 1300 olyan cégről írt, amely „az elmúlt pár hétben értesültek arról, hogy egyáltalán megfelelési kötelezettségük van”.
Érett ez a változtatás, de lenne még teendő
„Régóta benne van már a levegőben egy ilyen módosítás, mert az auditori szakma nem volt kibékülve azokkal a követelményekkel, amiket a jelentős és a magas szintre meghatároztak” – mondta a Telexnek Krasznay Csaba kiberbiztonsági szakértő, a BME CrySyS Lab docense. Krasznay már egy éve, az akkori cikkünkben is az elsők között beszélt névvel arról, hogy – mint most összegezte – „ezt az egész szabályozást ebben a formában nem lett volna szabad elfogadni”.
Most, hogy a piac túl van nagyjából az auditok felén, szerinte továbbra is az látszódik, hogy „a követelmények túlzottak, az auditorok le vannak terhelve, az auditálandók drágának tartják az auditot, az auditorok úgy látják, hogy költséghatékonyság szempontjából egyáltalán nem éri meg ezt az egészet csinálni. A nagyobb falatok a jelentős és a magas osztályúak lennének, amikből sokkal kevesebb van, ezekért viszont nem alakult ki piaci verseny. Nagyon kevés az auditor, nagyon sok az auditálandó, nagyon rossz a rendszer, és valóban, ezen most valamennyire lehet enyhíteni azzal, hogy a jelentős és a magas piacot is megnyitják.”
Krasznay ugyanakkor azt is hozzátette, hogy bár a lépés érthető, szakmailag azért nem ezt tartja az ideális első lépésnek. „Az egyik legkomolyabb szakmai hiányosság, hogy az SZTFH nyilvántartásában lévő tíz auditorcégből összesen öt van akkreditálva. Az akkreditálás egy folyamatos, független átvizsgálás, amit egy külső hatóság, a Nemzeti Akkreditáló Hatóság végez, ez egyfajta minőségbiztosítást jelent. A másik öt auditor viszont nincs akkreditálva, őket elméletben az SZTFH ellenőrzi, de nekem nincs olyan információm, hogy ez az ellenőrzés ugyanolyan mély és alapos lenne. Ezért nem gondolom azt, hogy mindenkit ráengedni a jelentős és a magas osztályra a lehető legszerencsésebb, előbb talán azt kéne rendezni, hogy ezeknek az auditorcégeknek milyen folyamatos, mély ellenőrzésük lehet, és ezt a miniszter úr szavaiból nem láttam még kiviláglani” – utalt Tanács Zoltán szombati bejegyzésére.
„Most a piacon vannak olyan auditorok, amiknek megvan az akkreditáltságuk, meg tudnák ezt az egészet csinálni, de nincsenek benne a nyilvántartásban, mert nincsenek meg az előírt nemzetbiztonsági előfeltételeik – ezzel lehetne tágítani és sokkal jobban szétosztani az alappiacot. A másik oldalról viszont jelenleg azok az auditorok, amiknek nemzetbiztonsági oldalról megvannak a követelmények, azok pedig úgy vannak bent, hogy az a fajta minőségbiztosítási követelmény, amit az akkreditáció jelent, nincs meg. Fontos, hogy ez nem azt jelenti, hogy nem dolgoznak minőségi módon, csak az a plusz kontroll nincsen rajtuk, ami olyan cégeknél megvan, amik viszont a NIS2-es auditpiacon most nincsenek bent. Nagyon furcsa helyzet állt ezzel elő” – tette hozzá Krasznay, aki szerint ideális esetben a felsőbb osztályok megnyitásával a kötelező akkreditáció is együtt járna.
Az SZTFH az új rendelettel mindenesetre nagy lépést tett az egyenlő versenyfeltételek megteremtése felé a NIS2-es auditok piacán. Az eddigiekhez hasonló viszonyok uralkodnak a pénzügyi intézmények kiberbiztonsági tanúsítása terén is, ahol továbbra is a Hunguard az egyedüli szereplő. Ennek a területnek a felügyelete a Magyar Nemzeti Bankhoz tartozik, de a 2023-as módosításokkal, amelyek bebetonozták a Hunguard pozícióját, egyúttal az SZTFH kezébe adták a piac kulcsait, így ezen a téren is ők tudnának lépni, ha meglenne ehhez az akarat.
