Csilla, Noémi
belföldkülföldgazdaságvideóélettechtudafterenglishAdó 1%
14°24°

Menü

Kereső

Belépés

Több ezer magyar céget szorongat egy határidő, de az egész rendszer rengeteg sebből vérzik

Techtud
Legfontosabb

frissítve

Több ezer magyar céget szorongat egy határidő, de az egész rendszer rengeteg sebből vérzik
Illusztráció: Christian Weber / Getty Images
Bolcsó Dániel
Bolcsó Dániel

„Most van az a pillanat, amikor még nem késő behúzni a kéziféket és megnézni, hogy a határidők és a követelmények a jelen környezetben teljesíthetőek-e, illetve mennyire illeszkednek az európai trendekbe, mert még egy országot nem tudok mondani, ahol ennyire szigorú követelményeket fogalmaztak volna meg.”

Ezt az idén bevezetett és év végéig több ezer magyar cégre nézve kötelező kiberbiztonsági auditról mondta a Telexnek Krasznay Csaba kiberbiztonsági szakértő, a Nemzeti Közszolgálati Egyetem docense. Azért kerestük meg több más szakértő mellett őt is, mert az auditorszakmán belül az utóbbi hetekben egyre nagyobb az elégedetlenkedés és az aggodalom azzal kapcsolatban, ahogy a felelős hatóság próbálja a hazai gyakorlatba átültetni a kockázatos ágazatok kiberbiztonságát felturbózni hivatott uniós törekvéseket.

A kritikák szerint a NIS2 nevű irányelv magyar megvalósítása példaszerűen indult, de mostanra ezer sebből vérzik, és a problémák mind összekapcsolódnak: tarthatatlanul szűk a több ezer cég auditálására fennálló év végi határidő; miközben fölöslegesen szigorú a hozzá kiadott módszertan; a munkáért elkérhető díjak viszont olyan alacsonyak, hogy az auditoroknak meg se éri belevágni, mert nem fedezi a költségeiket; ráadásul nincs is elég auditor, aki a munkát elvégezné. Mindez szerintük azért alakulhatott így, mert a területért felelős Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a kiberbiztonsági szakmával egyáltalán nem egyeztetett a részletekről, miközben maga is szakemberhiánnyal küzd.

Az eredmény: hiába kellene több ezer céget az év végéig leauditálni, információink szerint az auditok nagyrészt még el se kezdődtek.

A helyzetet tovább bonyolítja, hogy az érintett cégek helyzete is bizonytalan: úgy tudjuk, körülbelül hatszáz élelmiszeripari cég kapott értesítést arról, hogy mégsem érintett, pedig valójában egyéb tevékenységei miatt továbbra is vonatkozhat rá az auditkötelezettség, csak ezt a hivatalos értesítő után már nem akarja az auditoroknak elhinni, pedig ha érintettsége ellenére kimarad, büntetés várhat rá.

Mindez ráadásul a Digitális Állampolgárság Programba (DÁP) is bekavarhat: az állami digitalizációs programot idén nyártól tervezik megnyitni piaci szereplők előtt, az ő csatlakozásukhoz azonban szintén szükség lehet a NIS2-es auditra, amelyre így esetükben még jóval kevesebb idő jut, és ha ez nem lesz elég, emiatt akár csúszhat is a program nyitása.

Új időszámítás a kiberbiztonságban

A NIS2-ről, annak jelentőségéről és az arra való felkészülésről tavaly nyáron írtunk részletesen. Az uniós irányelv célja, hogy összehangolt tagállami szabályozással garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek része lesz egy kiberbiztonsági audit, amely azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot kétévente kell majd elvégeztetni, a már működő, tavaly regisztrált cégeknek először 2025-ben.

A cégeknek 2024-ben kellett felmérniük, hogy érintettek-e, és ha igen, melyik – alacsony, jelentős vagy magas – biztonsági osztályba sorolandók, és teljesítik-e az arra előírt követelményeket, vagy mit kell tenniük ahhoz, hogy teljesítsék. Az SZTFH tavaly januártól kezdte el nyilvántartásba venni azokat a szervezeteket, amelyeket érinti a NIS2, nekik június 30-ig kellett regisztrálniuk.

Két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a kiberbiztonsági törvény két kategóriába sorolja:

  • Kiemelten kockázatos ágazatok: energetika, közlekedés, egészségügy, vízközmű, elektronikus hírközlési szolgáltatások (azaz telekommunikációs és internetszolgáltatók), digitális infrastruktúra (felhőszolgáltatók, adatközpontok, doménnyilvántartók stb.), űralapú szolgáltatások.
  • Kockázatos ágazatok: postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, különféle gyártási ágazatok, digitális szolgáltatók (keresők, közösségi média, doménszolgáltatók), kutatóhelyek.

Az érintett szervezeteknek október 18-tól már alkalmazniuk kell a Rogán Antal kabinetminiszter által jegyzett rendeletben a biztonsági osztályukra meghatározott konkrét védelmi intézkedéseket. Magára az auditra tavaly december 31-ig kellett volna szerződést kötniük, hogy aztán az auditorok 2025 végéig elvégezzék a munkát. A szerződéseket azonban nem tudták megkötni az érintettek, mert még maguk az auditorok sem tudták, hogy mennyi pénzt is kérhetnek el a kiberbiztonsági auditért. A területért felelős Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ugyanis a szakmai egyeztetések elhúzódása miatt ezt nem tette időben közzé.

A várva várt rendelet végül január 31-én jelent meg, és két kulcsfontosságú eleme van: a részletes módszertan, amely alapján az auditoroknak dolgozniuk kell – és amely alapján az érintett cégeknek meg kell felelniük –, illetve a díjszabás, azaz hogy az auditorok mi alapján számolhatják ki, hogy melyik cégtől maximum mennyi pénzt kérhetnek el az auditért. Ez alapján február elején el lehetett volna kezdeni szerződéseket kötni, de információink szerint ez a piac aggályai miatt még két hónappal később is elég nehézkesen halad.

„Szinte minden auditorcéggel közeli kapcsolatban vagyok, és egyértelműen hallom vissza én is ezt a »jézus mária, nyertünk, most mi lesz?« helyzetet, mert nagyon az utolsó pillanatban jöttek ki a rendeletek és az auditmódszertan, miközben nagyon régóta várta a piac, hogy ez le legyen ütve” – mondta Krasznay Csaba.

Nagy melóért kis pénz

„Több mint háromezer vállalkozás érintett. Őket védi majd az a hatósági ársapka, amelyről a közelmúltban született döntés. […] egyeztettünk a közelmúltban a Magyar Kereskedelmi és Iparkamarával, s rendeletben a lehető legalacsonyabb árat szabtuk meg, amit az auditért legfeljebb el lehet majd kérni” – mondta egy márciusi interjúban Nagy László SZTFH-elnök.

Az auditorok viszont épp azért elégedetlenek, mert szerintük a díjakat olyan alacsony szinten maximálta a hatóság, hogy ennyiért, ilyen kiterjedt módszertannal, ilyen kevés idő alatt nem fogják tudni felelősségteljesen elvégezni a munkát.

A rendelet szerint a maximális auditdíj kiszámításának módja, hogy egy 1 750 000 forintos (plusz áfa) alapdíjat kell különféle szorzókkal módosítani az auditálandó cég jellemzői alapján. Az egy-egy cégtől elkérhető maximum három tényezőtől függ.

  • A cég előző üzleti évi nettó árbevételétől – egymilliárd forintig 0,9-es szorzóval kell számolni, 40 milliárd felett 4-essel:
Forrás: Magyar Közlöny
Forrás: Magyar Közlöny
  • A cég elektronikus információs rendszereinek (EIR) számától – ez alapján 1 és 4 között mozog a szorzó:
Forrás: Magyar Közlöny
Forrás: Magyar Közlöny
  • A cég elektronikus információs rendszereinek biztonsági osztályától: ha mindegyik alap osztályba tartozik, akkor a szorzó 1; ha van köztük legalább egy jelentős osztályba tartozó (és nincs magas osztályba tartozó) akkor 3, ha pedig van köztük legalább egy magas osztályba tartozó, akkor 5.

Ha tehát egy cég árbevétele nem éri el az egymilliárd forintot, elektronikus információs rendszere maximum öt van, és ezek mindegyike alap osztályba tartozik, az auditja meglesz 1 575 000 forint plusz áfából. Ha viszont egy 40 milliárd fölötti árbevétellel rendelkező nagyvállalatnak több mint 16 rendszert kell auditáltatnia, amelyek között magas osztályba tartozó is van, akkor a neki kiszabható auditdíj akár 140 millió forint plusz áfa is lehet.

Arról, hogy pontosan hány cég érintett, nincs nyilvánosan elérhető adat, de nyilatkozatok és becslések alapján három- és ötezer közé tehető a szám, a leggyakrabban emlegetett nagyságrend négyezer körüli. Ezekre az SZTFH által vezetett nyilvántartás szerint jut tíz olyan auditor, amely jogosult a NIS2-es auditálásra. Közülük heten csak az alacsony osztályba tartozó cégeknél végezhetik el a munkát, hárman auditálhatják a jelentős osztályt is, és a háromból egy marad a magas osztályra – ez utóbbi a Rogán Antalhoz ezer szálon kötődő Hunguard, amely ezzel lehetőséget kapott a piac lefölözésére. Az érintett cégek többsége azonban alacsony osztályba tartozik.

„Nincs még auditor, aki akár csak egyetlen auditot megcsinált volna, és gyanítom, hogy mostanában még nem is lesz”

– mondta egy auditorcégnél dolgozó forrásunk még márciusban. Szerinte a kisebb cégeket ennyiért senki nem akarja auditálni, mert egyszerűen nem éri meg. A nekünk nyilatkozók szerint a hatóság a piaccal, az érintett auditorokkal vagy más, kiberbiztonsághoz értőkkel nem is egyeztetett a részletszabályokról, csak a kamarával.

Az általunk megkérdezett szakértők szerint nem önmagában az alacsony díjak jelentik a problémát, hanem az, hogy ezekhez meglehetősen terebélyes módszertan társul, és a kettő nincs egyensúlyban. „A módszertan nagyon belemenős, ami nem lenne baj, mert az volt a cél, hogy ez ne egy »pipa-pipa, gyorsan legyünk túl rajta« audit legyen, hanem a magyar gazdaságban kulcsfontosságú szereplők tényleg legyenek minden oldalról körbenézve. A módszertan maradt, viszont az árak jócskán csökkentek. Nem ez volt a terv, az első koncepció szerint a legolcsóbb audit ötmillió forint körül lett volna” – mondta auditor forrásunk.

A szegmentációval, azaz hogy a kis bevételű cégeknek alacsonyabb lesz a díj, továbbra sincs gond, de az, hogy ötmillió forint helyett másfél lett a küszöb, szerinte már problémás. „Alap osztályban 1400 körüli a megválaszolandó kérdések száma, magasnál a duplája, ez arányaiban nincs köszönőviszonyban a díjkülönbséggel, munka- és kockázatszempontból sem. Ezekkel az alacsony díjakkal teljesen kiiktatták a piaci versenyt. Az oké, hogy nem tudnak elszabadulni az árak, nem lesz százmilliós ajánlat alap osztályban. De azzal, hogy ilyen szűk a sáv, lefelé nem fognak versenyezni a cégek. Volt olyan alap osztályba tartozó cég, amely hat-hét auditortól is kért ajánlatot, három hét alatt három helyről kaptak egyáltalán választ. Vagy ugyanazokat az árakat kapják a cégek, vagy százezer forintos eltérések vannak.”

Magas osztálynál arányosabbak az auditordíjak, de úgy tudjuk, hogy az erre jogosult Hunguardnál sem teljesen elégedettek a helyzettel, egyrészt mert a szerződéskötési hajlandóság náluk is alacsony, mivel mindenkinél nagy a bizonytalanság. Másrészt vegyes portfólióval jönnek az érintett vállalatok, mert olyan senkinél nincs, hogy minden rendszer magas osztályú, van vegyesen minden, ezért az auditornak fel kell készülnie minden osztályból, nem lehet csak a magas osztályra koncentrálni.

A helyzetet tovább bonyolítja, hogy míg az auditorok szerint már így is irreálisan alacsony a díjszabás, az érintett cégek egy részének még ez is túl nagy terhet jelenthet.

„Az érintettek nagyjából hatvan százaléka vidéken van, nagyon nagy részük ráadásul nem is Pest vármegyében, hanem messzebb – mondta Krasznay Csaba, aki saját becslés alapján készített egy térképet a kiberbiztonsági törvény hatálya alá tartozó szervezetekről. (Mivel ebbe nemcsak a NIS2-es audit által érintett cégek tartoznak bele, hanem közigazgatási szervezetek is, az ő számai valamivel magasabbak, de az arányokat jól érzékeltetik.) – Én azt az információt kaptam vidékről, hogy sokan még a mostani árszabást is iszonyatosan magasnak találják. Tehát van egy nagy feszültség aközött, amit a pesti auditorcégek szeretnének, és amit a vidéki érintett cégek egy jelentős része ki tudna gazdálkodni. És ebben benne van az is, hogy miután vannak békési meg zalai szervezetek is, sokszor azt is ki kell fizetnie az auditált cégnek, hogy az auditor három órát utazik oda, meg hármat vissza, tehát nem egészséges ebben az esetben a Budapest-központúság.” Ehhez persze érdemes hozzátenni, hogy a kiberbiztonságba fektetett pénznél jóval nagyobb károkat tud okozni egy-egy esetleges kiberbiztonsági incidens.

Ezzel együtt Krasznay szerint is érthető, hogy az auditorcégek kifogásolják a díjszabást: „A másik oldalon az auditorcégeknek nincs elég auditorjuk, tehát akit be tudnak fogni a piacon, azt meg kell fizetni. Nyilvánvalóan teljesen más szakértelem kell egészségügyhöz meg agráriparhoz, ezek a szakértők se teremnek a fán. Bárhogy is számolom, kéne még körülbelül kétszáz ember, akik ezt csinálják. Ha a díjszabást nem tartják kielégítőnek, akkor miből fogják megfizetni ezt a kétszáz embert?”

Arról már a tavaly nyári cikkünkben is írtunk, hogy nincs elég auditor ahhoz, hogy a több érintett ezer céget hirtelen leauditálják. Szakértők szerint a feltételek alapján eleve körülbelül harminc cég jöhet csak szóba, és közülük nem is mindenki tervez belépni erre a piacra, többen már akkor úgy döntöttek, hogy nem éri meg nekik, amikor a díjszabás még nem is volt ismert.

„Ráadásul van egy olyan feszültség ebben a történetben, hogy mindenkit le kéne auditálni az év végéig – majd igazából jövőre nem történik semmi, hiszen ha idén mindenkit leauditálnak, akkor kit fognak jövőre, ha kétévente kell csak auditálni? Azt gondolom, hogy ez nem lett tökéletesen végiggondolva” – tette hozzá Krasznay.

Tarthatatlanul szűk a határidő

A díjszabás mellett a másik szűk keresztmetszet tehát a határidő, amely kifejezetten 2025-ben okozhat problémát. Nemcsak azért, mert később még felbukkanhatnak a követelményeket teljesítő további auditorok, hanem azért is, mert a továbbiakban már némileg kényelmesebbek lesznek a határidők.

A december 20-án megjelent kiberbiztonsági törvény rögzíti, hogyan fog kinézni ezután a kiberbiztonsági auditálás rendje Magyarországon. Eszerint minden érintettnek kétévente kell auditáltatnia, és azoknak a cégeknek, amelyek már tavaly is működtek, így már nyilvántartásba is vette őket a hatóság, az első auditot már 2025-ben el kell végeztetniük. A mostantól regisztráló cégeknek viszont a nyilvántartásba vételük után 120 napjuk lesz szerződni valamelyik auditorral, és magát az első auditot a nyilvántartásba vételük utáni két éven belül kell majd csak elvégeztetniük.

A nekünk nyilatkozó auditorok szerint ugyan nem szerencsések az alacsony díjak, de ha az első határidőt kitolná fél vagy egy évvel a hatóság, biztonságosabban lehetne a négyezer céget leauditálni. „Ez a szűk határidő azt eredményezheti, hogy gyorsan legyünk túl mindenen – pont, amit el akart kerülni a jogalkotó. Az auditoroknak sem ez a céljuk, de emberórában napok alatt elfogynak ilyen árszabás mellett” – mondta egyikük. Szerinte ha így marad minden, végső soron az érintett cégek ellenállóképessége szenvedhet kárt, mert ha nincs idő és pénz, sietős auditok lehetnek.

Szerinte egy lehetséges kiút épp az lehetne, hogy az auditorok a felkészülést árazzák be úgy, hogy ami az auditba az alacsony díj miatt nem fér bele időben, azt a felkészítésnél csinálják meg, de ez kockázatos, mert a szűkös határidők mellett ennyivel is kevesebb idő marad a többi ügyfél auditálására, így mindez drágább felkészítést és végeredményben még kevesebb auditált ügyfelet jelenthet. „A szűk határidő elviszi a fókuszt a felkészítésről. A cégek jönnek, hogy auditálják őket, mert izgulnak a határidő miatt, de nincsenek még felkészülve.” Ajánlatkérésnél van, akinél be kell jelölni a saját felkészültségi szintet, az átlag 20–40 százalékra becsüli a saját felkészültségét, pedig a felkészülés lenne a fontosabb, mert ha az auditon jönnek ki a hiányosságok, akkor már „sokkal nehezebb visszalapátolni a szart a lóba” – tette hozzá.

Egyáltalán mennyi idő általában egy ilyen audit? Ha minden klappol, akkor az általunk kérdezett auditorok szerint alacsony osztályban két hét kell hozzá. „1,75 millióból nem jön ki az audithoz szükséges emberek óradíja sem ennyi időre, hamar ki fog derülni, hogy öt–hat munkanapnál több a legótvarabb brigádnál se fér bele.” Jelentős és magas osztályban ennél biztosan több időre van szükség, mert ott már behatolástesztelésre és más további vizsgálatokra is szükség van, illetve jellemzően eleve nagyobb szervezetekről van szó. Egyik forrásunk szerint volt olyan nemzetközi IT-cég, amelynél öt hónap után se tudták még lezárni az auditot megelőző felkészülést, de olyan ügyfelük nem is volt, akinél két hónapnál rövidebb idő alatt le tudták volna zárni. Egy nemzetközi cégnél már az hetekbe–hónapokba telhet, amíg megtalálják az embert, aki tud válaszolni bizonyos kérdésekre az audit során.

„Erősen kétlem, hogy 15–20 százaléknál több audit el fog készülni év végéig”

– mondta egy auditor, de még optimistább becslés szerint is ezer fölé tette azoknak a cégeknek a számát, amelyeket nem fog senki leauditálni év végéig. Ők egy dologgal fognak tudni védekezni, ha fel tudják mutatni, hogy bekértek több auditortól árajánlatot, de senki nem vállalta őket – tette hozzá.

A rendeletnek ráadásul van egy olyan érdekessége, hogy aki idéntől regisztrál, annak ugyan két éve lesz az első auditra, de a szerződéskötésre a regisztrációtól számítva csak 120 napja van. Aki viszont már eddig is működött, ezért tavaly regisztrálnia kellett, és még idén auditáltatnia kell, annál nincs ilyen korlátozás a szerződéskötésre. Azaz akár novemberben is dönthet úgy, hogy ideje lenne auditort keresni, amikor már szinte biztosan nem lesz senki, aki elvégzi nála az auditot.

Az időhiány miatt várhatóan az erőforrások is torzulni fognak, például a manuális behatolásvizsgálattól el fog tolódni a hangsúly az automata szoftveres megoldások felé, ami „a semminél jobb, de az ideálistól nagyon messze van” – mondta egy auditor. Több auditorcég most ezerrel fejleszti a saját eszközét, hogy mesterséges intelligenciát is bevetve tudjanak úgy automatizálni bizonyos részfolyamatokat, hogy az ne menjen a minőség rovására, de kicsit gyorsítson a folyamaton. Ezért sem indultak még el az auditok, mert mindenki optimalizál, hogy a lehető legköltséghatékonyabbak legyenek. „A realitás az, hogy teljes humán jelenléttel ezt nem lehet megugrani.”

A büntetési tételeket egyébként a kiberbiztonsági törvény végrehajtásáról szóló kormányrendelet határozza meg: amelyik érintett cég nem végezteti el az auditot határidőn belül, minimum 1 millió, maximum 50 millió forint bírság megfizetésére kötelezhető.

Hatszáz cégnek szóltak, hogy mégse érintett – pedig lehet, hogy de

A NIS2-es auditok körüli bizonytalanság egy jellemző epizódja, hogy információink szerint februárban körülbelül hatszáz érintett élelmiszeripari cég kapott értesítést arról, hogy élelmiszeripari tevékenysége alapján mégsem tekinthető érintettnek.

Ennek a változásnak az oka információink szerint egy jogszabályváltozás. A rövid életű, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023-as törvényt 2024-ben felváltotta az átfogóbb kiberbiztonsági törvény. A 2023-as törvényben az élelmiszeripari ágazatnál még csak annyi szerepelt az érintettek meghatározásánál, hogy „az élelmiszerláncról és hatósági felügyeletéről szóló törvény szerint élelmiszer-vállalkozás”. A tavalyi törvény viszont már kiegészült azzal, hogy olyan élelmiszer-vállalkozás, amely a kereskedelmi törvény szerint „nagykereskedlemi tevékenységgel, ipari termeléssel és feldolgozással foglalkozik” – magyarul csak a nagykereskedő élelmiszercégek maradtak az érintettek között, feltehetően a kisebb cégek tehermentesítése céljából.

Ezenkívül még egy kapcsolódó változás került be az új törvénybe: egy kitétel arról, hogy a Nemzeti Élelmiszerlánc-biztonsági Hivatal (Nébih) minden év február 1-ig tájékoztatja az SZTFH-t, hogy mely szervezetek tartoznak ebbe a körbe. Úgy tudjuk, idén februárban is ez történt: a Nébih küldött egy listát, hogy mely cégek érintettek, az SZTFH pedig minden más, élelmiszeripari céget értesített, hogy e tevékenysége mégsem teszi őt érintetté a kiberbiztonsági auditban. Úgy tudjuk, ez a változás nagyrészt kelet-magyarországi cégekre vonatkozik.

Nagy László, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnöke beszédet mond a III. Nemzeti Szabályozói Konferencián a Mathias Corvinus Collegium székházában 2024. november 21-én – Fotó: Illyés Tibor / MTI
Nagy László, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnöke beszédet mond a III. Nemzeti Szabályozói Konferencián a Mathias Corvinus Collegium székházában 2024. november 21-én – Fotó: Illyés Tibor / MTI

Információink szerint azonban az SZTFH azt nem ellenőrizte, hogy a szóban forgó cégek egyéb tevékenységeik alapján az érintettek közé sorolandók-e, holott e cégek egy jelentős részénél fennállhat olyan bejegyzett tevékenységi kör, amely miatt továbbra is a kiberbiztonsági törvény hatálya alá tartoznak. A cégeknek kiküldött, hozzánk is eljutott határozatban csak annyi szerepel, hogy a Nébih listáján nem szereplő cégeket az SZTFH „törli az érintett szervezetek nyilvántartásából”.

Úgy tudjuk, a probléma az SZTFH előtt is ismert, de egyelőre nem kommunikáltak ezzel kapcsolatban semmit a nyilvánosság vagy a szóban forgó cégek felé. Ez viszont bizalmi problémát idézett elő: a nekünk nyilatkozó egyik auditor szerint ezek után már hiába jelzik az ügyfeleiknek, hogy valójában mégis érintettek lehetnek, azok ezt már nem nagyon akarják elhinni nekik, mert a papírt lobogtatják arról, hogy kikerültek ebből a körből.

Az SZTFH információink szerint a cégekre mutogat, és valóban előfordulhat olyan helyzet, hogy egy cég nem minden érintett tevékenységi körét jelentette be a hatóságnál. A regisztráció során ugyanis minden egyes tevékenységi körnél nyilatkozni kell, hogy az adott cég érintett-e, és előfordulhat, hogy miután egy cég élelmiszeripari tevékenysége miatt érintettként azonosította magát, tovább már nem is ment, hiszen konstatálta, hogy érintett szervezetnek számít.

Mit tehet egy cég, amely élelmiszeripari tevékenysége miatt kiesett, más okból mégis érintett? Bár úgy tudjuk, hogy az SZTFH egyelőre nem tervez büntetni, a hiányosan regisztrált cégek akkor járnak jobban, ha utólag újra regisztrálnak a továbbra is érintett tevékenységi körükkel. A késedelmes regisztráció büntetési tétele ugyanis 50 ezertől 15 millió forintig terjed, míg a regisztráció teljes elmulasztása ennél jelentősebb nagyobb tétel: legalább 1 millió, legfeljebb 150 millió forint. Amelyik cég pedig olyan tevékenység miatt lenne érintett, amelyet valójában már nem is végez, akkor ez jó alkalom törölni ezt a tevékenységi körök közül.

A DÁP nyitása is csúszhat emiatt

Ha a NIS2-es auditok valóban csúsznának, annak lehet egy elsőre váratlannak tűnő következménye is: az állami digitalizáció zászlóshajó projektje, a Digitális Állampolgárság Program (DÁP) is késve érhet el egy régóta beharangozott mérföldkőhöz.

Az online ügyintézés új korszakát ígérő DÁP tavaly ősszel indult el, és a gyakorlatban a Digitális Állampolgár nevű mobilalkalmazás formájában működik. Első körben az ügyfélkapus bejelentkezés modernebb, biztonságosabb alternatívájaként használható, de az ígéretek szerint fokozatosan egyre több felhasználóbarát szolgáltatás lesz majd elérhető benne, például a közelmúltban megérkezett digitális aláírás és a nyárra várható online autóátírás. Az egyik legfontosabb újdonság azonban az lesz, hogy a terv szerint június 1-től piaci szervezetek is csatlakozhatnak a rendszerhez, azaz például telekommunikációs cégek és más szolgáltatók felületein is be lehet majd jelentkezni a DÁP QR-kódos módszerével.

Ehhez azonban azoknak a cégeknek, amelyek csatlakozni kívánnak a DÁP-hoz, és a NIS2-es auditban is érintettek, a csatlakozáshoz be kell mutatniuk az audit eredményét, így még szűkebb a határidejük az auditáltatásra: év vége helyett már május 31-ig át kell esniük rajta. Ha ezt a cikkünkben részletezett problémák miatt nem tudják időben megtenni, és emiatt csúszik a csatlakozásuk, az a DÁP-nak is jelenthet némi reputációs veszteséget – azért csak némit, mert a csatlakozni tervező piaci szereplők között vannak, akik nem a NIS2, hanem más kiberbiztonsági szabályozás hatálya alá tartoznak, például a pénzügyi szervezetek, így várhatóan lesz, akinél június 1-től mindenképpen el lehet majd kezdeni a DÁP-os bejelentkezést, amely állami közműcégeknél már most is használható.

Egy szakértő forrásunk, aki figyelemmel követi a DÁP-os nyitás folyamatát, annyiban árnyalta a szűk határidőt, hogy a csatlakozást tervező szervezeteknek június 1-ig nem a teljes NIS2-es auditjuk eredményét kell tudniuk felmutatni, csak azoknak az elektronikus információs rendszereiknek a részauditját, amelyek szerepet játszanak a DÁP-os csatlakozásban. Ezzel együtt a csúszás szerinte sem kizárható. „Mindenki arra számított, hogy mint minden állami határidő, majd ez is el lesz tolva. Csak ez nincs eltolva” – fogalmazott.

Gombhoz a kabátot

„Ennek az egész szabályozásnak az egyik legnagyobb hibája az, hogy szemben az előző, 2013-as információbiztonsági törvénnyel, amikor hónapokon keresztül volt egyeztetés szakmai szervezetekkel, itt egyszer csak megkapta a szakma a késznek gondolt jogszabálytervezetet októberben, és volt rá nagyjából tíz napja, hogy véleményezze, de nem voltak senkivel személyes konzultációk. Az érintett 3700 szervezettel meg pláne nem. Az SZTFH rengeteget szerepelt a témában, de ezek nem egyeztetések, hanem inkább tájékoztatások voltak” – mondta Krasznay Csaba.

A nekünk nyilatkozó egyik auditor szerint az vezetett a mostani bizonytalan helyzethez, hogy a különféle ellenérdekek miatt addig toldozták-foltozták a NIS2-es auditrendszert, hogy végül az eredmény több sebből vérzik. Pedig jól indult a dolog, a NIS2 nemzeti jogrendbe ültetésében Magyarország élen járt, nálunk született meg először a vonatkozó jogszabály az EU-ban, de aztán a kapcsolódó rendeletek már több hónapos csúszással érkeztek: az auditoroknak úgy kellett volna regisztrálniuk, hogy nem voltak még meg a követelmények, majd úgy szerződniük, hogy azt se tudták, mit és mennyiért kell majd csinálniuk – mondta.

„A gombhoz kezdtük el varrni a kabátot. Amikor stratégiát alkotunk, nem biztos, hogy a legrészletesebb jogszabállyal kellett volna kezdeni” – tette hozzá, utalva arra, hogy miközben az elmúlt két évben egymás után jelentek meg a különféle kiberbiztonsági jogszabályok, Magyarország új kiberbiztonsági stratégiáját csak idén április 1-jén tették közzé.

Az állami kiberbiztonság működését ismerő, szintén névtelenséget kérő forrásunk szerint a problémákat az is fokozta, hogy az SZTFH-nál időközben teljesen kiürült a kiberbiztonsággal foglalkozó szakterület. „Mindenki elment, egy ember jött oda kiberbiztonsági igazgatónak, aki próbálja a tüzet oltani, és próbálják feltölteni az állományt.” Közben a közigazgatási informatika, beleértve a kiberbiztonság szabályozását is, átkerült a Miniszterelnöki Kabinetirodától az Energiaügyi Minisztériumhoz, tehát történt egy átrendeződés. „Sejtem, hogy a kottát még mindig a Kabinetirodában írják, de az államigazgatást ismerve, így, hogy papíron egy másik minisztérium kapott felügyeleti jogot a szakterület felett, azt gondolom, hogy ők is megpróbálnák a saját szemétdombjukat felépíteni a területen, ami behoz egy plusz bizonytalanságot a történetbe” – tette hozzá.

Szerinte ebben az egész sztoriban benne van a magyar közigazgatás fizikai értelemben vett tehetetlensége, amikor egyszer csak elindul egy hógolyó, és a végén lavina lesz belőle. „Miért pont ez a nagyon részletes az auditmódszertan került be a jogszabályba? Azért, mert egyébként nagyjából húsz éve ennek a szabványnak az alapján működik az információ- és kiberbiztonság a magyar közigazgatásban. És egyébként tök jól működik, csak termelőszervezetekhez nem feltétlenül alkalmas. Benne van az is, hogy maga a kiberbiztonsági törvény három különböző törvény összegyúrásából született. Benne van, hogy eközben a közigazgatás emberi erőforrás tekintetében nagyon súlyos állapotban van, nincsenek olyan közigazgatási szakértők, akik ebben a témában mélyen részt tudnának venni, de akik vannak, azok is szét vannak hajtva. És ami a legfájdalmasabb, hogy a közigazgatásnak régóta nincsen bizalma a civil szakmai szervezetekben. Ezért nyomkodták most sokan hiába a vészcsengőt.”

Ebből a kritikusai szerint több szempontból elhibázott szabályozói környezetből most három kiút látszik. Vagy megoldják az auditorok okosban, automatizált eszközök fejlesztésével valahogy lefaragva az audithoz szükséges időt és költségeket, és sikerül megtalálni az egyensúlyt a gyorsaság és a minőség között. Vagy nem sikerül, hanem ledarálják az auditot, hogy minél többen beleférjenek a határidőbe, és elsikkad az eredeti cél. Vagy pedig a hatóság végül mégis meghosszabbítja a határidőt, mint tette azt októberben és decemberben is, mert, mint a hatóság egyik akkori – azóta szintén távozott – munkatársa mondta: „mi is szeretnénk karácsonyozni”.

Újra kéne gondolni

„Az elmúlt hetekben több külföldi hatósággal találkoztam különféle rendezvényeken, nyilván az első kérdés az volt, hogy ők hogy állnak a NIS2-átvételben. Európa fele még sehogy nem áll. Magyarország szabályozásban bőven előtte jár Európának – mondanám, hogy tanulhatnának tőlünk, csakhogy Európa-szerte azt a trendet látjuk, hogy ahelyett, hogy egy ilyen nagyon szigorú auditálási rendszert hoznának létre, egy könnyebben megugorható irányba mennek” – mondta Krasznay Csaba. Ilyen irány lehet az, hogy a piacon már elfogadott tanúsításokat is elfogadnák NIS2-es auditálásnak, de ebben szerinte teljes káosz van jelenleg Európában.

Krasznay szerint Magyarországon a helyzet megoldására két irány van. „Az egyik a határidők meghosszabbítása, a másik az egész rendelet újragondolása. Például lehetőség lenne arra, hogy kicsit fellazítsák a rendeletet, figyelembe véve, hogy amúgy a legtöbb érintett szervezet alap besorolással rendelkezik”, azaz nincs is szüksége és nehezebben is teljesít ilyen szigorú követelményeket. „A másik irányból, hatósági oldalról viszont azt mondják, hogy kell ez a fajta előíró, szigorú rendszer. De amikor valami nem életszerű, akkor célszerű végiggondolni a lehetőségeket, különösen, hogy mint említettem, oké, hogy 2025-ben mindenkit auditálunk, de mit fogunk 2026-ban csinálni?

Tehát adná magát, hogy kitolják a határidőt, a kérdés az, hogy ez mikor, milyen módon tud bekövetkezni, ha bekövetkezik egyáltalán.”

Krasznaynak a teljes újragondolásra is lennének ötletei. Mint mondta, az audit módszertanát egy nagyon specifikus amerikai szabvány alapján alakították ki. „Nyilván az Egyesült Államokban vannak olyan szoftverek, amelyek tudják ezt támogatni, Európában másfelé nem találkoztam ilyennel. Maga a szabvány nagyon jó egyébként, csak amikor felkészületlenül ráöntünk több ezer szervezetre egy ilyen erős módszertant, amikor előzetesen nincsen végigbeszélve, azért az okozhat turbulenciát.”

Ellenpéldaként Belgiumot hozta fel, ahol olyan módszertant dolgoztak ki, amely „inkább azt a megközelítést használja, hogy amelyik szervezetnél eddig nem volt kiberbiztonság, azt hogyan vezessük rá, hogyan építsük fel a kultúrát, és a hatósági gyakorlat is inkább arra próbál meg rámenni, hogy minél többeknél legyenek meg az alapok, amelyekre lehet építeni, és majd utána elérünk valamit. Magyarországon is ez volt az előző információbiztonsági törvénnyel az elmélet, az új jogszabály viszont ráöntött a cégekre egy olyan követelményrendszer, amelyre nem készültek fel.”

De léteznek szerinte olyan kiberbiztonsági szabványok is, amelyek jól be vannak már járatva Európában, és szintén alkalmasabbak lehetnének a jelenlegi helyzetben, például az ISO 27001, amely alapján már ma is sok cég végez a piacon auditot. „Lehet olyan módszertanokat találni, amelyek kompatibilisebbnek tűnnek más európai szabályozási irányokkal, könnyebben megugorhatók, és arra a szakpolitikai célra, amelyet az EU megfogalmazott, alkalmasabbak lehetnek. A részletszabályokat a kormány úgy határozza meg, ahogy akarja” – tette hozzá.

„Az én szakmai véleményem, hogy most kéne megálljt parancsolni ennek az egész folyamatnak, és végiggondolni. Jó ez a rendelet azoknak, akik a legmagasabb osztályban vannak. De az alapnál, tehát a tömegeknél nagyon végig kéne gondolni, hogy nem kéne-e egy másik módszertan alapján menni. Mert a célt és az európai szintű irányt nézve csak nulláról elindulva tudunk valamit elérni.”

Cikkünk megjelenése előtt részletes kérdéssort küldtünk az SZTFH-nak a cikkünk állításaival kapcsolatban. Cikkünk megjelenéséig nem kaptunk választ, ha érkezik érdemi reakció, beszámolunk róla.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!
FacebookKövetem!
Legfontosabb
Telex shop
Friss hírek