Újabb felügyeleti díjat kaptak a nyakukba a magyarok: komoly bírságra számíthat, aki nem fizeti be

A Pénzcentrum korábban megírta, hogy a 2024-ben életbe lépett NIS2 irányelv a becslések szerint Magyarországon 2500, ám partnereikkel, beszállítókkal együtt összesen akár 4000 vállalatot is érinthet. Az EU-s direktíva az 50 főnél több alkalmazottat foglalkoztató, vagy 10 millió euró nettó árbevételt meghaladó, kockázatos, vagy kiemelten kockázatos ágazatokban tevékenykedő vállalatokra, valamint közvetve azok beszállítóira vonatkozik.

A Pénzcentrum megkeresésére a Deloitte szakértői közölték: bármily meglepő, a teljesítendő elvárásokban nincs különbség kockázatos és kiemelten kockázatos iparágak között. (Az érintett iparágakat lásd a cikk alján – a szerk.)

Hányan teljesíthették a júniusi határidőt?

Amennyiben egy szervezetre vonatkozik a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (a szakmában csak kibertantörvény), akkor 2024. június 30-ig nyilvántartásba kellett vetetnie magát az SZTFH-nál, amit cégkapun keresztül is egyszerűen megtehetett. A Deloitte szakértői rámutattak: a Szabályozott Tevékenységek Felügyeleti Hatóságának tájékoztatása alapján 3500 szervezet regisztrált és nevezett meg információbiztonsági felelőst a június 30-ai határidőig, s bár biztosan akadnak olyanok, akik elmulasztották a regisztrációt, az érintett szervezetek túlnyomó többsége eleget tett a törvényi elvárásnak. Maga a regisztráció gyakorlatban egy online formanyomtatvány kitöltését jelentette, pár alapvető adat megadásával.

Javasolt az utólagos regisztráció, hiszen ennek elmulasztása esetén akár 150 millió forint bírságot is kiszabhat a hatóság.

A felügyeleti díjnál engedékeny lesz a hatóság

Noha hivatalosan október 18.-a volt a felügyeleti díj megfizetésének határideje, ennek részletei jelenleg még nem is ismertek. Sem a pontos összeget nem tudni (a törvény meghatároz egy elméleti maximumot, de iparági hírek szerint az első évben ettől kevesebb lesz), sem az operatív részleteket (hogyan és hova kell fizetni) – emelték ki a Deloitte szakértői.

A Pénzcentrum információi szerint a téma kapcsán a Com-Forth Kft. szervezett egy online beszélgetést, ahol Király Anna, az SZTFH kiberbiztonsági szakértője jelezte, pontos felügyeleti díjról még nem született döntés, a jogszabály rendelkezései szerint legfeljebb az árbevétel tizenöt ezreléke lehet, ám a jelenlegi elképzelések szerint ennél kisebb számokkal kalkulálhatunk, sőt, idén már nem is várható a díj bekérése.

A megfelelő védelmi intézkedések bevezetésének határideje szintén október 18. A Deloitte szakértői a Pénzcentrumnak kifejtették: a szervezeteknek a biztonsági osztályba sorolás követelményeiről szóló 7/2024 MK-rendeletben foglalt kontrolloknak kell megfelelniük, ennek második számú melléklete tartalmazza az elvárásokat. Utóbbiak száma a biztonsági osztály szerint változik, létezik alap, jelentős, vagy magas osztály, a szervezeteknek ebbe kell sorolniuk elektronikus információs rendszereiket.

A védelmi intézkedések listája lényegében a NIST 800-53-as információbiztonsági szabvány átvétele, így a szakma számára nagy újdonságot nem tartalmaz. Ám annak, aki még nem foglalkozott információbiztonsággal, nehezen teljesíthető és erőforrás igényesek lehetnek az elvárások. Vajon hányan mérik fel saját folyamataikat és tesznek lépéseket a védelmi intézkedések megvalósítására? Meg becsülni sem lehet, a Deloitte ebből a szempontból nem reprezentatív mintával találkozik, mert a törvényi elvárásokat komolyan vevők jutnak el hozzájuk.

Az audit kérdései

2024. december 31-ig a NIS2 érintett szervezetnek szerződést kell kötni a kiválasztott, regisztrált auditorral. Ennek menetét pontosan nem tudni, mert itt is várni kell egy részletszabályra. Nagy meglepetésre nem kell számítani, várhatóan olyan lesz, mint bármilyen más audit: meggyőzően be kell tudni bizonyítani az auditor számára, hogy a szervezet megfelelően üzemelteti a biztonsági osztályba sorolás követelményeiről szóló MK-rendeletben leírt kontrollokat.

Ennek bizonyítására dokumentációkat, folyamatleírásokat, technikai beállításokat, konfigurációkat fog elkérni az auditor, és problémákat beleírja az audit riportba. Jó tanács, főként azoknak, akik még nem foglalkoztak mélységében a területtel, minél hamarabb mérjék fel jelenlegi helyzetüket és kezeljék a legnagyobb feladatokat, kockázatokat.

A kiválasztott auditornak (újabb dátum!) 2025. december 31-ig le kell folytatnia az első kiberbiztonsági auditot, ezt követően az auditot kétévente kötelező megismételni. A feladatokkal nem érdemes várni a határidők végéig, az auditor lista véges, elfogyhatnak a szabad kapacitások – húzták alá a Deloitte szakértői, akik arra is felhívták a figyelmet, hogy egy zsarolóvírus támadás hetekre, hónapokra leállíthat egy vállalatot, egy jól irányzott adathalász támadással súlyos anyagi veszteséget lehet okozni, nem beszélve a reputációs károkról.

Kockázatos iparágak

• Postai és futárszolgálatok
• Élelmiszer előállítása, feldolgozása és forgalmazása
• Hulladékfeldolgozás
• Vegyszerek előállítása és forgalmazása
• Gyártás (orvostechnikai eszközök, számítógép, elektronikai, optikai termékek, villamos berendezések, gépjárművek és egyéb szállítóeszközök, cement-, mész-, gipszgyártás)
• Digitális szolgáltatók
• Kutatás

Kiemelten kockázatos ágazatok

• Energia
• Közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
• Egészségügy
• Ivóvíz / szennyvíz ellátás
• Hírközlés szolgáltatás
• Digitális infrastruktúra
• Kihelyezett IT szolgáltatások
• Űripari vállalatok