A legtöbb cégnél lezajlott határidőre a kiberbiztonsági audit, de sokan még azt se tudják, hogy érintettek

Állítsd be a Telexet megbízható forrásnak!

Több ezer hazai cég életében fontos határidőt jelentett június 30.: az érintetteknek eddig kellett elvégeztetniük az első kiberbiztonsági auditot a NIS2 nevű uniós irányelv nyomán itthon is bevezetett szabályozás értelmében, amely fokozottabb kiberbiztonsági követelményeket ír elő a kockázatos ágazatokban működő cégeknek.

„A Hatósághoz beérkezett adatok alapján az érintett szervezetek túlnyomó többsége határidőben teljesítette kötelezettségét, az eddig feldolgozott auditjelentések pedig azt mutatják, hogy a szervezetek jelentős része sikeresen megfelelt az előírásoknak” – írta pénteki közleményében a kiberbiztonságért is felelős felügyeleti szerv, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH).

A közlemény szerint az SZTFH nyilvántartásában szereplő 2520 érintett szervezetből 2132 időben teljesítette auditkötelezettségét. Az eddig feldolgozott 1511 auditjelentés alapján a túlnyomó többségük sikeresen teljesítette a követelményeket, és közülük 170 szervezet a legmagasabb minősítést jelentő „elhanyagolható kockázattal megfelelt” besorolást érte el.

„Mindemellett sajnálatos módon jelentős számú szervezet a bejelentkezési kötelezettségének sem tett eleget”

– tette hozzá az SZTFH.

Ezeket a szervezeteket a hatóság közhiteles nyilvántartások adatait felhasználva nyilvántartásba vételi kérelem előterjesztésére szólította fel. Ha a hatósági ellenőrzés során derül fény arra, hogy egy cég elmulasztotta a bejelentkezési kötelezettségét, illetve nem végeztette el az auditot, figyelmeztetésben részesíthető, de legfeljebb 150 millió forintig akár bírság is kiszabható rá.

Rögös út vezetett idáig

A NIS2-ről, annak jelentőségéről és a kiberauditok hazai szabályozásáról 2024-ben írtunk részletesen. Az irányelv célja, hogy összehangolt tagállami szabályozással garantálja az érintett vállalatok kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része az audit, amely azt hivatott igazolni, hogy a rendszereik biztonságosan működnek.

Ezt az auditot kétévente kell majd elvégeztetni. Az első kört eredetileg minden érintettnek le kellett volna tudnia 2025 végéig, de mint az év tavaszán bemutattuk, komoly problémák adódtak az auditok lebonyolításával, és már akkor látszott, hogy túl szűkös lesz a határidő. Ezt nem sokkal később az SZTFH mint illetékes hatóság is belátta, ezért fél év haladékot adott a több ezer érintett cégnek: az első kiberauditok határidejét idén június 30-ra tolták ki.

Az érintett cégek alacsony, jelentős vagy magas osztályba vannak sorolva aszerint, hogy mennyire veszélyeztetettek. Az auditálásukra azok az auditorok jogosultak, amelyek felkerültek az SZTFH auditor-nyilvántartásába, de más-más feltételeket kellett teljesíteniük ahhoz, hogy a különféle osztályú cégeket auditálhassák. Az előző kormány idején a szabályozást úgy alakították ki, hogy NER-közeli cégek kerültek kiemelt helyzetbe a piacon.

Június elején az új kormány egy rendelettel megszüntette ezt a kivételezett helyzetet. Addig egyetlen auditorcég volt jogosult arra, hogy a legveszélyeztetettebb vállalatok rendszereinek biztonságos működését auditálja, és a következő kategóriába tartozó cégek esetében is csak néhány további szereplő jöhetett szóba. Az SZTFH elnökének új rendelete viszont eltörölte azokat a feltételeket, amelyek a jellemzően NER-es kötődésű auditorok előnyét biztosították. Az új szabályozás egyenlő – könnyített – feltételeket teremtett a piac szereplőinek.

Bár a szakértők jellemzően üdvözölték a változtatást, továbbra is lenne még teendő a kiberbiztonsági auditok piacán. „A követelmények túlzottak, az auditorok le vannak terhelve, az auditálandók drágának tartják az auditot, az auditorok úgy látják, hogy költséghatékonyság szempontjából egyáltalán nem éri meg ezt az egészet csinálni” – mondta június eleji cikkünkben Krasznay Csaba kiberbiztonsági szakértő, a BME CrySyS Lab docense. Szerinte a legnagyobb probléma, hogy az SZTFH auditor-nyilvántartásában szereplő cégek fele nincs akkreditálva.

Kedvenceink
Partnereinktől
Állítsd be a Telexet megbízható forrásnak!
Kövess minket Facebookon is!