2024 utolsó hónapjaiban számos magyar cégnek kellett felkészülnie az Uniós NIS2 kiberbiztonsági szabályozás magyarországi átültetésére. A szabályozás célja a kritikus infrastruktúrájú ágazatok kiberbiztonságának erősítése. Az érintett cégeknek 2024. október 18-tól kellett teljesíteniük az előírásokat. Az első auditokra 2024. december 31-ig kellett szerződést kötni, a végrehajtás 2025 végéig tartott volna. Az auditori díjak azonban csak 2025. január 31-én kerültek meghatározásra a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kiadott rendeletben, a Magyar Kereskedelmi és Iparkamarával folytatott egyeztetések után.

Az Auditok Kezdődése és a Szakemberhiány

A rendelet megjelenése után, 2025 februárjától kezdődtek a NIS2 auditok. A szakmai vélemények szerint azonban nincs elegendő auditor a több ezer érintett cég auditálásához. Az SZTFH közleménye szerint a rendelet a szakmai egyeztetések lezárulta után jelent meg a Magyar Közlönyben.

A NIS2 Audit: Mit Tartalmaz?

A NIS2 irányelv célja a tagállamok közötti kiberbiztonsági szabályozás harmonizációja. Az audit célja az érintett cégek információs rendszereinek biztonságosságának ellenőrzése. Az audit kétévente ismétlődik. A 2024-ben már működő cégeknek 2025-ben kellett az első auditot elvégeztetniük.

Érintett Cégek Meghatározása

A NIS2 szabályozás az alábbi szempontok alapján határozza meg az érintett szervezeteket:

• Méret: Közép- és nagyvállalatok (50 főnél több alkalmazott vagy 10 millió EUR-nál nagyobb éves árbevétel).
• Tevékenység: Alapvető vagy digitalizáció szempontjából nélkülözhetetlen szolgáltatások nyújtása.

Az érintett cégeknek biztonsági osztályba (alacsony, jelentős, magas) kellett besorolniuk magukat, és a megfelelő védelmi intézkedéseket megtenniük. Az SZTFH 2024 januárjától kezdte el nyilvántartásba venni az érintett szervezeteket, a regisztráció határideje 2024. június 30. volt.

Az Auditori Díj Meghatározása

A rendelet tartalmazza az auditorok által felszámítható maximális díjakat. A maximális díj az alábbi tényezőktől függ:

1. A cég árbevétele
2. Az elektronikus információs rendszerek száma
3. A rendszerek biztonsági osztálya

A minimális díj 1 575 000 Ft + ÁFA, míg a maximális akár 140 000 000 Ft + ÁFA is lehet. Az SZTFH közleménye szerint a díj maximalizálása a kis- és középvállalkozások versenyképességének megőrzése érdekében történt.

A cikk említi, hogy a magas biztonsági osztályú cégek auditálására korlátozott számú cég jogosult. Ez a kijelentés további vizsgálatot igényel az objektív értékeléshez.

Auditorok Száma és Elérhetőség

A cikkben szereplő becslések szerint körülbelül 3500 cégnek kell auditot végeztetnie. A szakértői vélemények szerint azonban nem áll rendelkezésre elegendő auditor a feladat elvégzéséhez. A cikkben említett szám, a rendelkezésre álló auditorok száma, 10, amelyből csak egy képes magas biztonsági osztályú auditot végezni. Az egyetemek azonban új képzéseket indítottak a szakemberhiány enyhítésére.

A Felügyeleti Díj

A kiberbiztonsági felügyeleti díj az előző évi nettó árbevételtől függ. Az ötezer forintot meg nem haladó díjakat a hatóság elengedi.

Büntetések

A NIS2 szabálysértések esetén a büntetések a kockázati kategóriától függenek. Kiemelten kockázatos ágazatokban a büntetés maximum 10 millió euró, vagy az éves árbevétel 2%-a lehet. Kockázatos ágazatokban ez a maximum 7 millió euró, vagy az árbevétel 1,4%-a.

Elemzés és Következtetések

A cikkben tett állítások megfelelnek-e a valóságnak? A cikkben szereplő adatok nagyrészt az SZTFH közleményein és nyilatkozatain alapulnak. A szakértői véleményekre való hivatkozás objektív, de az ezekből levont következtetések részben szubjektívnek tűnnek (pl. a piac nagyságának becslése, a Hunguard piacbefolyásolásának említése). A pontos adatok hiánya miatt nehéz teljes mértékben ellenőrizni a cikk minden állítását. Továbbá hiányzik a konkrét források megjelölése több állításnál (pl. a „Rogán-közeli körökben jól mozgó szereplő” kifejezés).

Milyen konklúzióra lehet következtetni a cikkben leírtakból? A NIS2 szabályozás átültetése Magyarországon komoly kihívásokat jelent a cégek és a hatóság számára egyaránt. A későn megjelent rendelet és a szakemberhiány jelentős nehézségeket okozhat a megfelelőség biztosításában. A díjszabás és a büntetések mértéke jelentős anyagi terhet róhat a vállalkozásokra.

Milyen hatással lehet ez az esemény a magyar közéletre? A NIS2 szabályozás hatása a magyar közéletre a gazdasági szereplők kiberbiztonsági védelmének fokozását jelenti. Az esetleges jogsértések és büntetések hatással lehetnek a vállalkozások működésére és a gazdasági növekedésre. A szakemberhiány pedig hosszú távú kihívásokat jelenthet az informatikai szektor számára.

(Forrás: telex.hu)
(Kép: pexels.com)