A NIS2 bő két éve minden hónapban az üzleti közbeszéd részévé válik, hol a hatálybalépést övező kérdések, hol a későn megjelenő jogszabályi keretek, hol pedig az audit különös elképzelései kapcsán. Az idei év első felét egyértelműen az audit körüli kérdések uralják, míg a felkészülési tapasztalatokról kevesebbet hallani, pedig azok is szolgálnak tanulságokkal. Zala Mihállyal, az E&Y partnerével, a kibervédelmi üzletág vezetőjével az elméleti dilemmák helyett a gyakorlati megoldásokról beszélgettünk, amelyek sokszor pont az ellentétes irányba mutatnak, mint amit a jogalkotó elvárt.
A NIS2 2022. december 27-én jelent meg az EU Hivatalos Lapjában, majd 2023. január 16-án lépett életbe, az irányelvet pedig az EU-tagállamoknak 2024. október 17-ig kellett átültetniük a saját jogrendjükbe. Magyarország meglehetősen elöl járt az irányelv implementálásában, a problémák a gyakorlati megvalósításnál kezdődtek.
A NIS2 hatálya alá eső érintetteknek 2024. június 30-ig – nyilvántartásba vétel céljából – jelentkezniük kellett az SZTFH-nál, majd a következő lépésként december 31-ig le kellett (volna) szerződniük egy auditorcéggel. A folyamat során több probléma is akadt, egyrészről sokan tévesen azonosították magukat vagy bizonyos tevékenységi köreiket (vagy pont nem azonosították érintettként magukat), másrészről az auditálás és felkészülés kapcsán is számos komoly probléma ütötte fel a fejét, amelyekre még mindig nincs teljes körű megoldás a jogalkotó részéről.
Felkészítési nehézségek
Zala Mihály
„Magyarországon közel négyezer cég tartozik a NIS2 hatálya alá. A kezdeti időszakban az érintett szervezetek többsége egyáltalán nem volt felkészült, ezt kihasználva pedig gyorsan megjelentek azok a »szakértők«, akik gyakran mélyebb tudás vagy auditált tapasztalat nélkül kezdték el a cégek felkészítését. A felkészítések jellemzően rendkívül alacsony áron indultak, mivel a piaci szereplők abban bíztak, hogy hosszabb távon majd auditálással vagy tanácsadással kompenzálhatják a kezdeti ráfordításaikat. Ez azonban több esetben nem következett be. Ellenben a felkészítés minősége is hagyott kívánni valót maga után, amiért az érintett cég fizette meg, akár az »újrafelkészítés« árát”
– osztotta meg tapasztalatait Zala Mihály.
A cégek között is jelentős különbségek mutatkoztak. A nemzetközi hátterű vállalatoknak jellemzően volt valamilyen csoportos IT-szabályozásuk, azonban ezek többnyire nem feleltek meg a magyar hatósági elvárásoknak. A hazai tulajdonú cégeknél viszont sok esetben még alapvető szabályzatok, adatkezelési protokollok vagy információbiztonsági irányelvek sem léteztek – gyakran pusztán „szokásjog” alapján kezelték a digitális erőforrásokat.
Iparági különbségek: a szabályozottság skálája
A felkészültség iparági bontásban is erős különbségeket mutat. A legnagyobb elmaradás az élelmiszeripari, az agrár- és termelővállalatok körében tapasztalható.
„Az ilyen cégeknek gyakran évtizedes az informatikai infrastruktúrájuk. Ráadásul sok esetben ismeretlen számukra, hogy az eszközeik – például a felhőben futó rendszerrel működtett fejőgépek – valójában információs rendszereknek minősülnek. Utóbbi nem is olyan régen jött szembe egy felkésztés során. Az információbiztonság fogalma ezeknél a cégeknél jellemzően legfeljebb az általános higiéniai szabályozásokra korlátozódik”
– tette hozzá Zala Mihály.
Ezzel szemben az autóipari beszállítók, a gyógyszeripari, az egészségügyi vállalatok, valamint a pénzintézetek már évek óta működnek szigorú auditálási és szabályozási környezetben. Az ISO 27001, a DORA, vagy éppen a TISAX alapú ellenőrzések miatt náluk jóval tudatosabb megfelelési struktúra alakult ki. Az energetikai cégek szintén a jobban teljesítő iparágak közé sorolhatók.
Az iparágankénti felkészültséget az alábbi táblázat szemlélteti:
Iparági felkészültség (1–5 skálán):
Iparág
Felkészültségi szint
Pénzügyi szektor
5
Gyógyszeripar, egészségügy
4
Autóipari beszállítók
4
Gépgyártás
3
Közlekedés, fuvarozás
2
Élelmiszeripar, mezőgazdaság
1
A regisztrációs kiskapuk és magyar fifika
Számos magyar vállalat próbálta minimalizálni a kötelezettségeket azzal, hogy kizárólag egy tevékenységi kör alapján regisztrált, vagy éppen kivezette a tevékenységi köréből azt, amelyik miatt érintettnek vélte magát a szabályozásban. Ez azonban sok esetben nem volt tartható, mivel a cégek gyakran többféle TEÁOR szerinti tevékenységet is végeznek, például ahol hulladékgazdálkodással foglalkoznak, ott sok esetben vegyipari tevékenység is van (vagy fordítva), ahol gyártási tevékenység van, ott sokszor megjelenik a hulladékgazdálkodás is.
„Amikor a kiskereskedelmi élelmiszerláncokat kivették a szabályozás alól, több száz cég automatikusan »lemondta« a regisztrációját, azonban az ellenőrzések során várhatóan ki fog derülni, hogy közülük sokan más kötelezett tevékenységet is végeznek. Az adatbázisok (pl. NÉBIH, MEKH) és a szakhatóságok által vezetett nyilvántartások alapján ezek a cégek előbb-utóbb látókörbe kerülnek, és nem zárható ki, hogy büntetőintézkedésekre is sor kerül”
– fogalmazta meg aggályait Zala Mihály. Hozzátette, hogy persze vannak olyan érintettek is, amelyek nem szánt szándékkal, egyszerűen rosszul vagy nem regisztrálták bizonyos tevékenységi köreiket. Itt fontos megemlíteni azt, hogy az érintett vállalatoknak az SZTFH-hoz való nyilvántartásba vételi kérelem beadásakor minden olyan tevékenységet meg kell jelölni, ami miatt a törvény hatálya alá tartoznak, nem csupán egyet vagy a főtevékenységet. De sok vállalat még azzal sincs feltétlenül tisztában, hogy mely tevékenység miatt érintett, vagy hogy pontosan milyen TEÁOR-számai vannak. Így fordulhat elő, hogy számos cég meglepődik azon, amikor kiderül, hogy ők bizony IKT-szolgáltatásokat nyújtóknak is minősülnek – tette hozzá az EY partnere.
Az auditálás valósága: elvárás vs. realitás
Az egyik legnagyobb konfliktusforrás a NIS2-megfelelés során az auditálás kérdése. Az alap biztonsági osztályba sorolt, 1–5 EIR-rel rendelkező, egymilliárd forint árbevétel alatti cégek esetében az audit díja mindössze 1,5 millió forint, mivel az alapdíjra itt egy 0,9-es, az EIR-számaira pedig 1-es szorzó érvényes.
Ezzel szemben az auditorcégek több ízben jelezték, hogy az auditokra vonatkozó masszív módszertan – amely akár 1400 kérdésre és több száz oldalnyi dokumentációra épül – nem kivitelezhető ezen az áron, különösen nem 2-3 hét alatt. Mindemellett az audit díja noha sávosan változik, a több milliárd forintos árbevételű cégek esetén nem emelkedik annyival. Egyszerűen nem válik az árbevétel-arányossá, a szorzók emelkedése nem logikus.
Az audit díja noha sávosan változik, a több milliárd forintos árbevételű cégek esetén egyszerűen nem válik az árbevétel-arányossá, a szorzók emelkedése nem logikus
Az egy- és ötmilliárd forint közötti éves árbevételű cégek esetén az audit díja 1,925 ezer forint az 1,1-szeres szorzó miatt (szintén 1–5 alapbiztonsági osztályú EIR-rel számolva). De például a tízmilliárd forint feletti cégeknél az audit díja már 2,5-szeres. A negyvenmilliárd felettieké 4-szeres szorzót kap, ami jelentősen magasabb költséget jelent, főleg ha egy cég ötnél több EIR-t azonosít önmagánál. Márpedig a vállalatok többsége arra törekszik, hogy öt EIR-nél húzza meg a határt.
A nagyobb cégeknél (például 40 milliárd felett) az auditdíjak a 140 millió forintig is terjedhetnek. Ennyi lehet a legdrágább auditdíj (magas biztonsági osztályú, 16 vagy annál több EIR esetén).
„Mindez azt eredményezi, hogy sem az ügyfelek, sem az auditorok nincsenek megfelelő motivációs helyzetben. A nagyvállalatok auditálása és egy néhány fős kis cég megfelelőségi vizsgálata hasonló eljárási mélységet kíván, miközben a cégek mérete és komplexitása között sokszor százszoros az eltérés. A módszertan nem biztosít differenciálást, így a kisebb vállalkozások komoly hátrányba kerülhetnek, hiszen nem minden auditor vállalja el azt a mennyiségű munkát az alacsonyabb díjazás fejében”
– mondta Zala Mihály.
Az idén december 31-re ugyanakkor már meg kell lennie az első auditnak. A törvényi előírás teljesítését nemcsak a financiális terhek, hanem az akkreditált auditorok alacsony száma is nehezíti. A tavaly megjelent, az auditorokra vonatkozó SZTFH-rendeletnek csupán maroknyi cég felel meg. Mindössze 10 regisztrált auditor van jelenleg Magyarországon, miközben nagyjából 3500-4000 vállalatnak kellene auditot végeztetnie.
Automatizáció és digitalizáció: az egyetlen járható út
Ezért a legtöbb auditorcég olyan megoldásokat keres, amelyek automatizálják az auditfolyamat egyes lépéseit. Kérdőíves rendszerek, közös platformok, dokumentumfeltöltő felületek és mesterségesintelligencia-alapú értékelési eszközök kerültek a középpontba. Mindezek annak érdekében, hogy csökkenthető legyen a humánerőforrás-igény, valamint lerövidíthető legyen az auditciklus.
„A hatóság célja nem az, hogy egyből bírságtételeket rójon ki, ezt eddig is láthattuk. Fontos látni, hogy a NIS2 nemcsak egy újabb adminisztrációs teher, hanem egy lehetőség arra, hogy a vállalatok az információbiztonságukat stratégiai szintre emeljék – ha hajlandók tenni érte”
– zárta Zala Mihály.
A legfontosabb tanulságok
A megfelelés nem elkerülhető. A TEÁOR-trükközések csak ideiglenes mentsvárak, a szakhatóságok előbb-utóbb azonosítani fogják a kötelezetteket.
Az audit több mint kérdéssor. Komoly előkészület, szervezeti együttműködés és átgondolt dokumentáció szükséges hozzá.
A digitalizáció kulcsfontosságú. Automatizált eszközök nélkül a megfelelés és auditálás nem tartható fenn fenntartható módon.
