2022-ben és 2023-ban Magyarország az élen járt a NIS2 irányelv implementálásában. Az indulás jól sikerült. Gyors jogszabályalkotás történt, Magyarországnak elsőként volt elfogadott új kiberbiztonsági törvénye (ex-Kibertantv.), ami a NIS2-höz kapcsolódott, a hatósági tájékoztatás dübörgött..
Az első nagy probléma csak ez után jött, ami az érintett cégek 2024 év eleji regisztrációjával kezdődött. Az előzetes becslések szerint 2500-3000 cégnek kellett volna regisztrálnia a megadott határidőre (2024. június 30.), a valóságban azonban ez a folyamat nagyon nehezen indult be. Eleinte csak pár száz cég kérelmezte nyilvántartásba vételét. A regisztráció önbevallás alapú volt, ami rengeteg bizonytalanságot eredményezett. A cégek egyszerűen nem tudták eldönteni, hogy rájuk vonatkozik-e a szabályozás vagy sem, illetve várták a további jogszabályokat.
Az audit fejnehéz problémahalmaz
Ezt követte 2024 nyara, majd ősze, amikor minden érintett tűkön ülve várta az auditálási eljárást szabályozó rendeletet, amely végül jelentős csúszással, 2025 februárjában jelent meg. A gyakorlatban ez azt eredményezte, hogy a cégek – és az auditorok – majdnem évet vesztegeltek „átmeneti” állapotban, hiszen nem tudták, milyen kritériumoknak kell megfelelniük. Az auditálás így nem indulhatott el időben, pedig az új kiberbiztonsági jogszabály (Magyarország kiberbiztonságáról) 2025. január 1-én hatályba lépett.
A tavaly megjelent auditorokra vonatkozó SZTFH rendeletnek csupán egy maroknyi cég felel meg. Mindössze 10 regisztrált auditor van jelenleg Magyarországon, miközben több ezer cégnek (nagyjából 3500-4000 cégnek) kellene auditot végeztetnie.
Bárhogy is számolunk, az eltolódott arányok egyszerűen lehetetlenné teszik azt, hogy 2025 végéig minden cég megfelelhessen az előírásoknak vagy legalább eljusson az auditig. Továbbá a DÁP kötelezettek, önkéntesek május 31-ei határideje még égetőbbé teszi a kérdést, hiszen ezen cégeknek eddig az időpontig kell abszolválni a NIS2 feltételeket, így a kiberbiztonsági auditot is.
Megbukni jelenleg jobban megéri
További problémát jelent, hogy az auditálási díjak irreális szinteken lettek meghatározva, még akkor is, ha sávosak.
Egy „alapszintű” audit díja mindössze átlagosan 1,5-3 millió forint, miközben maga az eljárás akár hónapokat venne igénybe, rendkívül bonyolult az előírt módszertan, komoly szakértelmet igényel, és jelentős költségekkel jár az auditorok számára is. (A módszertan összetettsége alapesetben nem jelentene gondot, hisz a magasabb elvárások, talán magasabb érettségi szintet is jelenthetnének.)
De hogy néz ki ez szorzókra és árbevételre lebontva? Az alap biztonsági osztályba sorolt, 1-5 EIR-el rendelkező, egymilliárd forint árbevétel alatti cégek esetében az audit díja mindössze 1,5 millió forint, mivel az alapdíjra itt egy 0,9-es , az EIR számaira pedig 1-es szorzó érvényes.
Az egymilliárd és ötmilliárd forint közötti éves árbevételű cégek esetén az audit díja egymillió-kilencszázhuszonötezerforint, az 1.1-szeres szorzó miatt (szintén 1-5, alap biztonsági osztályú EIR-el számolva). De például a tízmilliárd forint feletti cégeknél az audit díja már 2,5-szeres. A negyvemilliárd felettieké 4-szeres szorzóval került meghatározásra, ami jelentősen magasabb költséget jelent, főleg ha egy cég 5-nél több EIR-t azonosít önmagánál (az EIR-ek darabszámával nem éri meg trükközni, mert az audit során az auditor ezeket is ellenőrzi)
A nagyobb cégeknél (például 40 milliárd felett) az audit díjak akár 140 millió forintig is terjedhetnek. Ennyi lehet a legdrágább audit díj (magas biztonsági osztályú, 16 vagy annál több EIR esetén).
A rendszer legfőbb problémája, hogy az alacsonyabb árbevételű, kevés EIR-el rendelkező cégeknél az audit díja túl alacsony, míg a nagyobb cégeknél jelentős összegekbe kerül az eljárás. Gyakorlatilag két végletet lehet megállapítani.
A tapasztalatok szerint egyes cégek, felismerve az alacsony auditálási díjakat, egyszerűen a „megbukásra játszanak”. Inkább kifizetik a minimális auditdíjat, majd a szankciókra várva további haladékot nyernek. Jelenleg még nem teljesen egyértelműek a bírságok és szankciók (bár az audit elmulasztásáért akár 50 millió forint bírság is járhat) sem az auditokhoz kapcsolódóan. Így sok cég azt reméli, hogy később kell majd csak valóban megfelelniük, ami akár áttolódhat a 2026-os költségvetés terhére.
“Azt azért fontos leszögezni, hogy továbbra sem érdemes a megúszásra játszani, sokkal inkább a tisztességes felkészülésre szükséges helyezni a hangsúlyt. Ez az érintett cégek érdeke is, akkor is, ha adott esetben nehéz ezt a tényt beismerni.”
Élelmiszeripari regisztrációs anomáliák
A másik legnagyobb problémát az okozta, hogy az élelmiszeripari cégek tömegesen kaptak olyan törlő határozatokat a hatóságtól, amelyek szerint mégsem érintettek a NIS2 hazai szabályozásában, és nem tartoznak a Kibertv. hatálya alá. A gond az, hogy a határozatok elkészítésekor nem vették figyelembe, hogy egy cég különböző tevékenységeket is folytathat, amely a NIS2 hatálya alá esik. Ez azt jelenti, hogy több száz cég akár tévesen hiheti azt, hogy nem kell auditot végeztetnie és nem tartozik a jogszabály hatálya alá.
A teljes képhez hozzátartozik, hogy ezek a cégek valószínűleg nem kellő körültekintéssel jártak el az önbevallásos nyilvántartásba vételi kérelemkor. Így csak az élelmiszer ágazatot jelölték meg, mint a NIS2 tekintetében érintett ágazatot. A vonatkozó hatóság pedig a regisztráció befogadásakor csupán az önbevallás jogszerűségét vizsgálta. Azt nem, hogy egyéb ágazatok, tevékenységek miatt érintett lehet-e az adott cég. Ez a jövőben további anomáliákat okozhat, főleg az esetleges szankciók kiszabásakor.
Hogyan tovább?
A jelenlegi helyzet fenntarthatatlan. A hatóságnak sokkal nagyobb transzparenciára lenne szüksége, valamint a szakmával folytatott valódi párbeszédre. Emellett elengedhetetlen a felkészült és nyilvántartásba vett auditorok számának bővítése, vagy a határidő meghosszabbítása, hogy az auditálás ne csak egy pipa legyen egy Excel-táblában, hanem valódi kiberbiztonsági védelmet nyújthasson a cégeknek. További fontos megállapítás, hogy az auditra való felkészülést nem lehet megúszni, még most sem késő elkezdeni.
Fontos: Ez a cikk a szerző véleményét tükrözi, és célja, hogy rávilágítson a jelenlegi auditálási rendszer problémáira. Bár a NIS2 célja a kiberbiztonság megerősítése, a jelenlegi magyarországi helyzet sok kérdést vet fel azzal kapcsolatban, hogy a szabályozás valóban eléri-e célját. Egy biztos: az idő szorít, és az érintetteknek mihamarabb megoldást kell találniuk, mielőtt az auditálás teljesen kezelhetetlenné válik.
(Kép: flickr, needpix)
