Az év végén egy lényeges határidő járt le, azonban a hatóság nem szabott ki büntetést, mivel ő maga sem tartotta be a szabályokat.

Szalai Zoltán, a Mathias Corvinus Collegium (MCC) főigazgatója, Nagy László, a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) elnöke, valamint Gerlaki Bence, a gazdaságfejlesztési stratégiákért és befektetésekért felelős helyettes államtitkár részt vettek a III. Nemzeti Szabályozói Konferencián, melynek helyszíne az MCC impozáns székháza volt. Az esemény időpontja 2024. november 21. - Fotó: Illyés Tibor / MTI.

Tavaly több ezer magyar vállalkozásnak kellett felkészülnie az új uniós kiberbiztonsági szabályozás, a NIS2 követelményeinek teljesítésére, amely a kockázatos ágazatokra vonatkozik. A törvény értelmében október 18-tól már kötelezően be kellett tartaniuk az előírásokat, és az első auditálásra vonatkozó szerződéseket december 31-ig kellett volna megkötniük, hogy az auditor 2025 folyamán elvégezhesse a szükséges ellenőrzést. Azonban a helyzet nem ilyen egyszerű: az érintett cégek nem tudták megkötni a szerződéseket, mert még a szakértők sem tudják, milyen díjazásra számíthatnak a kiberbiztonsági auditért. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) eddig nem tette közzé azt a rendeletet, amely a díjak megállapítására vonatkozó irányelveket tartalmazná.

"A kiberbiztonsági audit lefolytatásának rendjéről, valamint a kiberbiztonsági audit - általános forgalmi adó nélkül számított - legmagasabb díjáról jelenleg még szakmai egyeztetések zajlanak a Magyar Kereskedelmi és Iparkamarával, ezért a vonatozó SZTFH rendelet kihirdetésére az idei évben nem fog sor kerülni" - írta december 27-i közleményében a hatóság.

"Az SZTFH rendelet kihirdetése hiányában azonban az érintett vállalkozásokat nem éri hátrány a fenti határidő - önhibájukon kívüli - elmulasztása miatt, a hatóság esetükben szankciót nem alkalmaz"

- tették hozzá. Az érintett vállalkozások számára tehát egy kis időbeli lélegzetvétel nyílt. Jelenleg még nem áll rendelkezésre információ arról, hogy a 2025 végére kitűzött audit lefolytatására vonatkozó határidő is késlekedni fog-e, de a csúszás következtében ez indokolt lehet. Kérdéses ugyanis, hogy elegendő számú auditor áll-e majd rendelkezésre ahhoz, hogy minden érintett cég esetében időben el tudják végezni a szükséges ellenőrzéseket.

A NIS2 irányelvről, annak jelentőségéről és a felkészülés szükségességéről részletesen írtunk korábban. Az uniós szabályozás célja, hogy a tagállamok közötti harmonizációval biztosítsa a legfontosabb szektorok szereplőinek kiberbiztonságát a folyamatosan növekvő kiberfenyegetések világában. Az irányelv keretein belül kiberbiztonsági auditokat vezetnek be, amelyek igazolják, hogy az érintett vállalatok rendszerei megfelelően védettek. Ezeket az auditokat kétévente kell elvégezni, és a már tavaly regisztrált cégek számára az első alkalom 2025-re esik.

A vállalatoknak 2024 folyamán fel kellett mérniük, hogy érintettek-e a NIS2 irányelv által, és ha igen, milyen mértékű biztonsági osztályba – alacsony, jelentős vagy magas – sorolhatók. Fontos volt, hogy megállapítsák, megfelelnek-e az előírt követelményeknek, illetve mit szükséges tenniük ahhoz, hogy megfeleljenek ezeknek. Az SZTFH tavaly január óta folyamatosan nyilvántartásba veszi azokat a szervezeteket, akiket érint a NIS2, és nekik június 30-ig kellett regisztrálniuk a rendszerbe.

Két fontos tényező áll a fókuszban: a vállalatok mérete és tevékenységi köre. Alapvetően azok a közép- és nagyvállalatok tartoznak a szabályozás hatálya alá, amelyek legalább ötven alkalmazottat foglalkoztatnak, vagy éves árbevételük meghaladja a tízmillió eurót. E cégek olyan alapvető vagy a digitalizáció szempontjából elengedhetetlen szolgáltatásokat kínálnak, amelyek jelentős hatással bírnak. A jogszabály két fő kategóriába osztja ezeket a vállalatokat:

Az érintett szervezetek számára október 18-tól kötelezővé válik a Rogán Antal kabinetminiszter által aláírt rendeletben rögzített, biztonsági osztályukhoz kapcsolódó specifikus védelmi intézkedések alkalmazása.

A számos jogszabály által előírt határidő ellenére az SZTFH eddig is a nyugalom megőrzésére ösztönözte az érintetteket. Ennek egyik oka, hogy a hatóság sem sietett el a szükséges intézkedések meghozatalát. Egy tavaly október 18-án tartott megbeszélésen, amely a megfelelőségi határidő köré épült, Király Anna, az SZTFH információbiztonsági mérnöke is rámutatott, hogy a sok késlekedő regisztráció következtében nem mindenki kapta meg időben a határozatát arról, hogy a jelentkezése alapján besorolták-e valamelyik biztonsági osztályba.

Október 18. egy jelentős mérföldkő volt, hiszen ekkorra várták, hogy az érintetteknek felügyeleti díjat kellene fizetniük az SZTFH-nak. Király Anna azonban már akkor kifejezte, hogy a díj behajtása nem fog azonnal elindulni. Elmondása szerint a pontos összeg még nem került meghatározásra, és a törvény értelmében ennek maximum az árbevétel tizenöt ezreléke lehet, de várhatóan ennél alacsonyabb díjat fognak alkalmazni. "Számos cég esetében el fogjuk engedni a díjat" - tette hozzá. Király azt is megjegyezte, hogy 2024-re nem tervezik a díj bekérését, mivel "mi is szeretnénk ünnepelni a karácsonyt", és amíg a részletes szabályozás nem készül el, addig "mindenki nyugodjon meg", folyamatosan tájékoztatni fogják a közvéleményt.

A következő részletszabályok még nem kerültek nyilvánosságra, ezért jelenleg nem ismert, hogy az auditorok mekkora díjat fognak kérni, és az audit folyamatának pontos menetét sem tudni. Király Anna hangsúlyozta, hogy az auditorok feladata nem az, hogy szankcionálják az auditált vállalatokat, amelyek a "megfelelt" vagy "nem megfelelt" minősítést kapják. Ehelyett az értékelés egy skálán fog zajlani. "Ezen a skálán lesz egy minimumszint, amelyet el kell érni, hasonlóan az iskolai értékeléshez. A cél az, hogy a cégek legalább a kettest teljesítsék. Ha ez sikerül, akkor két év múlva a következő audit során érdemes lenne a hármas szintet megcélozni, amihez egy cselekvési terv kidolgozása szükséges. [...] Fontos számunkra, hogy ne hasonlítsunk össze egy jól automatizált, nagy ipari vállalatot egy kis céggel, amely csupán egy laptopot használ" - tette hozzá.

Ami viszont valóban kiemelkedő eseményként jelent meg tavaly, december 20-án, az a 2024. évi LXIX. törvény, amely a Magyarország kiberbiztonságára vonatkozik. Ez az új jogszabály egységes keretet biztosít, frissítve és korszerűsítve a kiberbiztonságra vonatkozó összes hazai jogi előírást. Ennek részeként a törvény új alapokra helyezi az auditra vonatkozó általános szabályokat is, megszüntetve ezzel a kiberbiztonsági tanúsításról és felügyeletről szóló, 2023 óta érvényben lévő jelentős jogszabályt.

Az új jogszabály meghatározza, milyen keretek között zajlik majd a kiberbiztonsági auditálás Magyarországon a jövőben. Ennek értelmében

Jelenleg nincsenek hivatalos adatok arról, hányan érintettek a helyzetben itthon. Király megjegyzése szerint több mint 3800 vállalkozás regisztrált, azonban közöttük nem mindenki tartozik valóban a körbe. A szakértők körülbelül tízszázalékos elutasítással számolnak.

Tavaly nyáron publikált cikkünkben szakértők véleménye alapján azt állapítottuk meg, hogy jelenleg nem áll rendelkezésre elegendő auditor ahhoz, hogy hirtelen több ezer vállalatot átvizsgáljanak. "Teljesen nyilvánvaló, hogy ennyi céget nem tudunk megfelelő számú szakemberrel auditálni" - emelte ki Király Anna októberben. Pozitívumként értékelte ugyanakkor, hogy az egyetemek reagálnak a helyzetre: új képzések indulnak, és a már létező programok iránti érdeklődés is növekszik.

Szakértők véleménye szerint jelenleg körülbelül harminc cég lehet esélyes a NIS2-es auditok lebonyolítására, azonban nem mindenki tervez belépni ebbe a szegmensbe. A helyzetet tovább bonyolítja, hogy ezt a piacot már jelentős mértékben dominálja a Rogán Antalhoz szoros szálakkal kötődő Hunguard Kft. Az auditorokra vonatkozó szabályozás értelmében ugyanis a legmagasabb biztonsági osztályba tartozó cégek auditálására jelenleg és a közeljövőben egyedül ez a vállalat jogosult.

A munka elvégzésére jogosult auditorok nyilvántartását az SZTFH folyamatosan aktualizálja, legutóbb december 16-án történt frissítés. Jelenleg kilenc cég szerepel a listán, amelyek közül hat kizárólag az alap biztonsági osztály auditálására jogosult, míg ketten a jelentős osztály auditálására is felhatalmazást kaptak. A magas osztályt pedig a papírformának megfelelően a Hunguard látja el. Érdekesség, hogy a jelentős osztályhoz tartozó két auditor közül az egyik a Certop, amely korábban a Hunguard egyedüli riválisa volt egy másik piacon, azonban az újabb jogszabályváltozások következtében folyamatosan hátrányos helyzetbe került. A Certopot tavaly nyáron eladták, az új tulajdonos pedig egy Rogán-közeli körökben aktív szereplő.

A részletszabályok csúszása következtében az első, 2025-ös auditkörre még nem születtek meg a szerződések, ami azt jelenti, hogy az auditorok listája még bővülhet. Ugyanakkor várható, hogy a végső szám jelentősen elmarad attól a harminc-negyvenes tartománytól, amelyről a 2023-as ITBN kiberbiztonsági konferencián a NER-kedvenc 4iG egy IT-biztonsági tanácsadója beszélt. E megjegyzése már akkor is némi derültséget váltott ki a szakmai közönség soraiból.

A jogszabály értelmében a kiemelten kockázatos iparágak szereplői legfeljebb tízmillió euróig terjedő vagy az éves bevételük 2%-ának megfelelő bírsággal sújthatók. A kockázatos kategóriába sorolt vállalatok esetében ez a maximális összeg hétmillió euróra, vagy az árbevétel 1,4%-ára csökken. Továbbá, a jövőben a cégek vezetői személyes felelősséggel tartoznak a kiberbiztonsági előírások betartásáért vagy megszegéséért.

Király Anna októberben kifejezte meggyőződését, hogy a szabályozás további finomítására még szükség lesz. Ennek kapcsán az érintett vállalatok türelmét és észrevételeit szívesen fogadják.