Az év elején lépett hatályba az új kiberbiztonsági törvény, amely az Európai Unió által kiadott NIS2 irányelv rendelkezéseit is magában foglalja. Több ezer magyar cégnek kellett megkezdenie tavaly a felkészülést, hogy megfeleljen az új szabályozás követelményeinek. A folyamat részeként 2024. december 31-ig kellett volna szerződést kötniük az első ellenőrző auditra, amire azonban hatósági rendelet hiányában eddig nem kerülhetett sor. A rendelet végül január 31-én jelent meg a Magyar Közlönyben, így most jött el az idő a következő lépés megtételére.
Miről szól a NIS2 irányelv?
Röviden fogalmazva a kiberbiztonsági ellenállóképesség növeléséről. Hosszabban kifejtve: a 2023 elején hatályba lépett NIS2 (Network and Information Systems Directive 2) legfőbb célja, hogy egységes keretben, közös uniós szabályokkal erősítse meg a tagállamok és az érintett szervezetek felkészültségét az egyre szaporodó kiberfenyegetések elleni védekezésben. A digitális infrastruktúra védelmében az eddigi szabályozáshoz képest szigorúbb követelményeket ír elő a kockázatkezelési intézkedésekre és a jelentéstételi kötelezettségre, emellett fokozott hatósági ellenőrzést vezet be.
Az új szabályozás fontos részét képezi egy kiberbiztonsági audit, amelyet az érintett szervezeteknek kétévente kell elvégeztetniük. Ez igazolja, hogy informatikai rendszereik biztonságosan működnek és ellenállóak a kiberfenyegetésekkel szemben.
Kiket érint a NIS2 irányelv?
A NIS2 érintettség megállapításakor egy összetett szempontrendszert kell megvizsgálni.
A Nemzeti Kibervédelmi Intézet (NKI) és a területért felelős Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) közös tájékoztatója szerint azokat a szervezeteket vagy cégeket érinti, érintheti az új szabályozás, amelyek
- az állami és önkormányzati szervek elektronikus információbiztonságról szóló 2013. évi L. törvény hatálya alá tartoznak (államigazgatási szereplők vagy helyi önkormányzatok);
- kritikus állami infrastruktúrát működtetnek (európai vagy nemzeti létfontosságú rendszerelemeket vagy létfontosságú tevékenységben közreműködő elektronikus információs rendszereket);
- többségi állami befolyás alatt működnek (állami vállalatok)
- a honvédelmi érdekhez kapcsolódó tevékenységet folytató gazdasági társaságként működnek.
Ha a fenti kategóriák egyikébe sem sorolható az adott szervezet, akkor a tevékenység oldaláról is górcső alá kell venni a kérdést. Fő szabály szerint azok a szervezetek vagy vállalatok tartoznak a NIS2 irányelv hatálya alá, amelyek a digitalizáció tekintetében alapvető és nélkülözhetetlen szolgáltatásokat nyújtanak. A törvény kockázat szerint két kategóriába osztva sorolja fel azokat az ágazatokat, ahol mindenképpen mérlegelni kell az érintettséget:
- Kiemelten kockázatos ágazatok: energia, közlekedés, egészségügy, ivóvíz- és szennyvíz ellátás, hírközlés (pl. telekommunikációs és internetszolgáltatók), digitális infrastruktúra (pl. felhőszolgáltatók, adatközpontok, domainszolgáltatók), kihelyezett IT szolgáltatások, űripari vállalatok.
- Kockázatos ágazatok: postai és futárszolgálatok, élelmiszeripar, hulladékfeldolgozás, vegyipar, gyártási ágazatok, digitális szolgáltatók, kutatás.
Ha a fenti két szempont alapján felmerül az érintettség, a méretet és árbevételt kell megvizsgálni. Ez alapján az 50 fő feletti dolgozói létszámmal működő vagy a 10 millió eurónál nagyobb árbevételt elérő cégek és szervezetek az érintettek.
Fontos hangsúlyozni, hogy a kiberbiztonsági törvény szerint méretüktől függetlenül az alábbi szervezetek NIS2 kötelezettség alá esnek:
- elektronikus hírközlési szolgáltatók,
- bizalmi szolgáltatók,
- DNS-szolgáltatók,
- legfelső szintű doménnév-nyilvántartók vagy
- doménnév-regisztrációt végző szolgáltatók.
Kötelezettségek és határidők
A magyar cégeknek 2024 folyamán kellett felmérniük, hogy az új kiberbiztonsági szabályok mennyiben vonatkoznak rájuk. Az SZTFH 2024 januárjától kezdte nyilvántartásba venni azokat a szervezeteket, amelyeket érint a NIS2 irányelv. A regisztrációs határidő e tekintetben 2024. június 30. volt.
A következő fontos mérföldkövet 2024. október 18. jelentette. Hivatalosan ugyanis az érintett szervezeteknek eddig az időpontig kellett teljesíteniük az előírásokat. Másként fogalmazva: ettől az időponttól kell alkalmazniuk a NIS2 irányelv által előírt biztonsági intézkedéseket. Az ezt ellenőrző első kiberbiztonsági audit kapcsán 2024. december 31-ig kellett volna szerződést kötni az auditor cégekkel. A törvényi előírás szerint ezt az első auditot 2025. december 31-ig van lehetőség elvégezni.
Nagyon hiányzott az SZTFH rendelet
Hiába azonban az egyértelmű előírás, az érintettek a megadott határidőig nem tudták megkötni a szerződéseket, mert ehhez hiányzott a kiberbiztonsági audit eljárásrendjének részleteit és maximalizált díjait tartalmazó hatósági rendelet. Az SZTFH a késlekedést a téma kapcsán a Magyar Kereskedelmi és Iparkamarával folytatott egyeztetések elhúzódásával indokolta. Az erről kiadott hivatalos tájékoztatóban a hatóság egyben azt is egyértelművé tette, hogy az érintett vállalkozásokat nem éri hátrány a határidő elmulasztása miatt, és nem alkalmaznak velük szemben szankciókat.
A rendeletet – a kiberbiztonsági felügyeleti díjról szóló rendelettel együtt – végül a 2025. január 31-én megjelent Magyar Közlönyben hirdették ki. Fontos megjegyezni, hogy a kiberbiztonsági felügyeleti díjat az érintett szervezetek évente kötelesek megfizetni a hatóságnak.
A kiberbiztonsági audit díjszabása
Az auditorok által elkérhető auditori díj kapcsán általánosságban elmondható, hogy annak mértéke függ az adott cég / szervezet árbevételétől, az általa működtetett elektronikus információs rendszerek (EIR) számától, illetve azok biztonsági osztályától. Az auditdíj kiszámításának alapját egy 1 750 000 forintos alapdíj képezi. Ezt kell az árbevétel, az információs rendszerek száma és biztonsági besorolása függvényében különböző szorzószámokkal módosítani, hogy megkapjuk az auditor által kiszabható maximális nettó díjat. A fizetendő auditdíj ebből következően 1,5 millió forinttól egészen a 140 millió forintos tételig terjedhet (plusz áfa).
A számítás módját és a szorzószámok táblázatát a rendelet 3. számú melléklete tartalmazza.
Már nincs jogszabályi akadálya az auditor kiválasztásának
Becslések szerint Magyarországon 3 és 4 ezer között lehet azoknak a cégeknek és szervezeteknek a száma, amelyeket érint a NIS2 irányelv alkalmazása. Az SZTFH-tól származó információk szerint eddig több mint 3800 regisztráció érkezett a hatósághoz, de ezek egy részénél elutasítás várható.
A munka elvégzésére jogosult auditor cégek nyilvántartását az SZTFH folyamatosan frissíti, az utolsó frissítésre legutóbb épp a rendelet megjelenése napján került sor. A listán jelenleg 10 cég található. Közülük heten csak az alap biztonsági osztályba besorolt szervezetek auditálására jogosultak, és csak egy olyan nyilvántartásba vett auditor van jelenleg Magyarországon, amely a magas biztonsági osztály auditját is elvégezheti.
A fentiekből következik, hogy bár a jogszabályi akadályok elhárultak, az auditori szerződések megkötését a szolgáltatóoldali kapacitáshiány továbbra is hátráltathatja.
A NIS2 irányelv kapcsán nyújtott Andersen szolgáltatások
Az Andersen tanácsadói készséggel állnak ügyfeleink rendelkezésére a NIS2 irányelv kapcsán
- az érintettség vizsgálatában,
- a regisztrációs folyamat kapcsán felmerülő problémák megoldásában;
- a kiberbiztonsági auditra való felkészítésben (partnerünk, az NTC Kft. közreműködésével).