Hónapokkal az eredetileg tervezett határidő után megjelent a kiberbiztonsági audit eljárásrendjéről és maximalizált díjáról szóló SZTFH-rendelet - RNW Digital

„Hónapokkal az eredetileg tervezett határidő után megjelent a kiberbiztonsági audit eljárásrendjéről és maximalizált díjáról szóló SZTFH-rendelet, amelyet már nagyon várt az IT-biztonsági szakma és a NIS2-ben érintett vállalkozások is.

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) február első napján kiadott tájékoztatása szerint sikerrel zárultak a Magyar Kereskedelmi és Iparkamarával több körben folytatott szakmai egyeztetések a NIS2 miatt szükséges kiberbiztonsági audit lefolytatásának rendjéről, valamint az eljárás maximalizált díjáról. Ennek eredményeként kiadták és a Magyar Közlöny január 31-i számában meg is jelent a vonatkozó SZTFH rendelet. Emellett az SZTFH kiberbiztonsági felügyeleti díjról szóló rendelete is megjelent a hivatalos értesítőben.

Játék a számokkal
Az auditokra vonatkozó rendelet nem csak a vizsgálati módszertant szabályozza, hanem minta kérdőíveket és nyilvántartásokat is tartalmaz. Ami pedig a díjszabást illeti, az alapdíj (ÁFA nélkül) 1 750 000 forint, amit a cég árbevétele, valamint az audiált rendszerek biztonsági osztálya és száma szerint különféle szorzószámokkal kell megszorozni. Az 1 milliárd forint árbevétel alatti cégek esetében a szorzószám 0,9, ami fokozatosan emelkedik a 40 milliárd forint feletti bevételű cégeknél alkalmazandó 4-ig. Ha a vizsgálandó rendszerek száma 1-5 között van, a második szorzószám 1; 6 és 15 között 2,5; efölött 4. Ami pedig a biztonsági osztályt illeti, az alap biztonsági osztály szorzója megint csak 1; a jelentősé 3, a magasé 5.

Ráadásul a rendelet szövegéből következően ha a szervezetben akár csak egy rendszer is a jelentős vagy magas osztályba tartozik, a teljes díjat a magasabb szorzóval kell számítani. Vagyis ha egy 40 milliárd forint feletti árbevételű cégnek 16-nál több rendszere van (ami egyáltalán nem elképzelhetetlen), és ezek között van legalább egyetlen, amit magas biztonsági osztályba be kell sorolni, akkor a fizetendő díj 1 750 000x4x4x5, ami pontosan 140 millió forint. De még a legkisebb cégnek is legalább több mint másfél millió forintot kell elkülönítenie a NIS2 kiberbiztonsági auditra.

Hamarabb jobb lett volna

A mostani rendeletekre az uniós NIS2 uniós irányelv miatt volt szükség. Ennek értelmében a korábbinál jóval több (a legfrissebb adatok szerint mintegy 3900) hazai vállalkozásnak és szervezetnek kell kiberbiztonsági szabályokat és védelmi kontrollokat életbe léptetni. A követelmények teljesítését és a rendszerek ellenállóképességét független kiberbiztonsági audit lefolytatásával kell igazolni. Most azok a rendeletek jelentek meg a Magyar Közlönyben, amelyek az auditok lefolytatását hivatottak szabályozni.

A hatóság azonban alaposan elkésett a rendelet közzétételével (ahogy néhány korábbiéval is). Az eredeti ütemterv szerint az érintetteknek 2024. december 31-ig szerződést kellett volna kötniük a kijelölt, minősített auditorok valamelyikével. Mivel azonban hiányoztak a most megjelent rendeletek az audit lefolytatásáról és annak legmagasabb díjszabásáról, a vállalatok nem hogy szerződni nem tudtak az auditorokkal, de még az előzetes tárgyalásokat sem kezdhették el igazán.

Most ugyan megnyílt a lehetőség az auditorokkal való szerződésre, abban azonban minden szakmabeli egyetért, hogy a NIS2-ben kijelölt és a tavaly decemberben elfogadott kiberbiztonsági törvényben is megszabott határidőig, azaz 2025. december 31-ig képtelenség lesz lefolytatni az összes auditot. 3900 cégnél, szervezetnél kellene elvégezni a vizsgálatot, és ha ezekből le is számítjuk azokat, ahol nem független auditor vizsgálódik, hanem más hatóság (NBSZ-NKI, MNB, KNBSZ), akkor is több ezer cég informatikai rendszerét kellene átnézni – van ahol akár több tucatot. Mindezt a feladat az SZTFH által regisztrált tíz auditorcégnek kellene megcsinálnia, ami akkor is lehetetlen vállalkozás, ha ők alkalmazhatnak külső partnereket szakértőket – ennyi hozzáértő auditor szakember ugyanis egyszerűen nincs Magyarországon. A tíz cég közül ráadásul csak egy, a Hunguard jogosult a magas biztonsági osztályba sorolt informatikai rendszereket auditálni.”

Forrás:
NIS2: ennyit kell fizetni az auditoroknak; Schopp Attila; IT Business; 2025. február. 1.
Lásd még:
A Szabályozott Tevékenységek Felügyeleti Hatósága elnökének 1/2025. (I. 31.) SZTFH rendelete a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról; Magyar Közlöny; 2025. évi 8. szám; 2025. január 31.; 152-308. o. (PDF)
A Szabályozott Tevékenységek Felügyeleti Hatósága elnökének 2/2025. (I. 31.) SZTFH rendelete a kiberbiztonsági felügyeleti díjról; Magyar Közlöny; 2025. évi 8. szám; 2025. január 31.; 309-312. o. (PDF)