A NIS2 európai uniós irányelv alapjaiban alakítja át a kockázatos ágazatokban működő szervezetek kiberbiztonsági kötelezettségeit. Az új szabályozás célja, hogy egységes keretrendszerben erősítse a tagállamok ellenálló képességét az egyre összetettebb és gyakoribb kibertámadásokkal szemben. Ennek egyik legfontosabb eleme a rendszeres kiberbiztonsági audit, amelynek feladata annak igazolása, hogy az érintett vállalatok informatikai rendszerei megfelelnek az előírt biztonsági követelményeknek.
A vállalatokat - a rendelkezésükben lévő elektronikus információs rendszereik alapján - eltérő biztonsági kategóriákba sorolták, az auditok lefolytatására pedig kizárólag az SZTFH nyilvántartásában szereplő auditorok jogosultak. Az első auditok teljesítésének határideje eredetileg 2025 végére esett volna, azonban már az előkészítés során láthatóvá vált, hogy a rendelkezésre álló kapacitások nem elegendők a több ezer érintett szervezet időbeni kiszolgálására. Az illetékes hatóság végül fél évvel meghosszabbította a határidőt, így az első kiberauditokat 2026. június 30-ig kell elvégeztetni.
Zala Mihály az EY Magyarország kiberbiztonsági és technológiai tanácsadásának vezető partnere, egyben az egyik legtapasztaltabb NIS2 auditor Magyarországon. Az elmúlt másfél évben számtalan hazai és nemzetközi céget vezetett végig a megfelelési folyamaton. A június 30-i határidő közeledtével arról kérdeztük, hogy valójában hol tart a magyar piac, mit tanult az első auditciklusból - és milyen kihívásokat tartogat még a jövő.
Computertrends: Közeledik a június 30-i határidő. Mennyire reális, hogy az érintett vállalatok addig teljesítsék az első NIS2-auditokat?
Zala Mihály: Magyarországon nem éri el a 3000 azon vállalatok száma, akik regisztrálták, miközben idén júniusig mindössze tíz auditor szerepelt az SZTFH nyilvántartásában. Egyszerű számítással 250-280 audit jutott egy-egy auditorra, bár mi ennél kevesebbet vállaltunk, hiszen elsősorban meglévő ügyfeleinkre és partnereinkre fókuszáltunk, hogy számukra a munkát a tőlünk elvárt magas szakmai színvonalon tudjuk elvégezni. Egyébiránt megjelent az auditorokhoz kapcsolódó SZTFH rendelet módosítása, melynek értelmében az SZTFH által nyilvántartásba vett auditorok egyaránt alap, jelentős és magas biztonsági osztályba sorolt elektronikus információs rendszerek auditálására is jogosultak, kivétel nélkül.
A számok első ránézésre komoly kihívásnak tűnhetnek, ugyanakkor az elmúlt hónapok tapasztalatai alapján azt látjuk, hogy az auditfolyamatok egyre gördülékenyebbek, a rendszer összességében működőképes. Mindazonáltal, még nem látni a teljes képet. Feltételezhetően lesz egy kisebb kör, amely néhány hónapos csúszással teljesíti az auditkötelezettségét, emellett több olyan vállalatról tudunk, amely tevékenysége alapján kötelezett lenne, mégsem regisztrált. Ennek oka lehet téves jogértelmezés, de akár tudatos halogatás is. A hatóság várhatóan fokozatosan azonosítani fogja ezeket a szervezeteket.
Közeleg a kiberbiztonsági audit határideje: a megfelelés alapvető üzleti érdeke a cégeknek >>>
Computertrends: Mi okozta a legnagyobb nehézséget a felkészülés során?
Zala Mihály: Három nagy kategóriát különítenék el. Az első a nemzetközi cégek csoportja, ahol a központi szabályozás jelentette a legnagyobb kihívást. Egy amerikai vagy nyugat-európai központ számára sokszor nehéz megmagyarázni, hogy a magyar szabályozás milyen pluszkövetelményeket támaszt. Más a helyzet Belgiumban, Németországban, Olaszországban, és más Magyarországon. A mi szabályozásunk az NIST 800-53-on alapul, ami véleményem szerint egy kiváló keretrendszer, de ezt megmagyarázni egy amerikainak vagy egy németnek - miközben akár 2000 kérdésre kell evidenciát csatolni - komoly kihívás. Ahol az ügyfélnek két-három hét állt rendelkezésre az összes válasz összegyűjtésére, ott igencsak problémák adódtak.
A második kategória a hazai közép- és nagyvállalatok. Nagy részüknél most szembesültek azzal, hogy számos folyamatukon változtatni kell. Sok esetben gyakran az alapvető szabályozások hiánya jelentett problémát. Kiderült, hogy nemcsak a szabályzat hiányzik, hanem a dokumentáció és az eljárásrend is. Ilyenkor támogatni kell a cégeket a saját szabályozói rendszerük felépítésében is - ez viszont az audit előtt elvégzendő feladat, nem az audit része.
A harmadik, legnehezebb eset a kisebb, például élelmiszeripari és termelő vállalatoké. Ők sok esetben nincsenek berendezkedve arra, hogy az ipari rendszereiket, a PLC-ket szétválasszák az irodai informatikától, a wifi-hálózattól. Az ipari irányítástechnika és az irodai IT egybemosódik - ez komoly sebezhetőség, amit nem lehet egy kérdőívvel orvosolni.
Ráadásul a jelenlegi díjszabás erősen korlátozott. Ez hosszú távon az auditok minőségére is hatással lehet, hiszen senki sem tud korlátlan erőforrást fordítani olyan projektekre, amelyek gazdaságilag nem fenntarthatók. Valószínűleg ezen a területen is szükség lesz a szabályozás felülvizsgálatára.
NIS2 kiberbiztonsági irányelv: segítünk, hogy cége meg tudjon felelni az új előírásoknak >>>
Computertrends: Mennyire volt egyenletes a felkészítők munkájának minősége?
Zala Mihály: Nagyon eltérő tapasztalataink voltak. Találkoztunk kifejezetten magas színvonalú, minden részletre kiterjedő felkészítésekkel, amelyek jelentősen megkönnyítették az auditfolyamatot. Ugyanakkor olyan esetekkel is szembesültünk, amikor a korábban elkészült felkészítő anyagokat gyakorlatilag újra kellett dolgozni, mert nem feleltek meg az elvárásoknak.
Ez azért is érzékeny kérdés, mert a gyakorlatban gyakran előfordul, hogy a felkészítő és az auditor között kialakul egyfajta együttműködés: a felkészítő átadja az ügyfelet az auditornak, ami mindkét fél számára kiszámíthatóbbá teheti a folyamatot. Ugyanakkor, ha a felkészítés nem megfelelő minőségű, annak következményeit végső soron az audit során kell kezelni.
A saját tapasztalataink alapján nálunk eddig egyetlen ügyfél sem bukott meg az auditon, bár természetesen nem zárható ki, hogy a piacon máshol előfordultak sikertelen vizsgálatok is. Ehhez ugyanakkor hozzátartozik, hogy mi jellemzően nagyobb, nemzetközi háttérrel rendelkező, általában felkészültebb szervezetekkel dolgoztunk együtt.
Computertrends: Gyakran felmerül a kérdés: a NIS2 valódi biztonsági előrelépést jelent, vagy csak újabb adminisztratív teher?
Zala Mihály: Kétségtelen, hogy a rendszer compliance-jellegű, hiszen felelősségi köröket, szabályozásokat és dokumentációs követelményeket ír elő. Ugyanakkor azt látjuk, hogy különösen a KKV-k esetében valódi fejlődést eredményez. Elavult, legacy és end of life rendszereket cserélnek le, tudatosabban kezelik a kockázatokat, és felkészülnek olyan incidensekre, amelyek korábban akár a teljes működésüket veszélybe sodorhatták volna.
Computertrends: Találkoztak olyan esetekkel, amikor a felkészültség hiánya súlyos következményekkel járt?
Zala Mihály: Több olyan vállalatról tudunk, amelyeket az audit alatt ért kibertámadás. Ezek nem pusztán kellemetlenségek voltak: az egyik esetben az egész üzletmenetet elvitte a támadás. Olyan céggel is találkoztam, amellyel részletesen elbeszélgettünk a helyzetről, hamarosan kiderült, hogy nem regisztráltak, de még csak nem is tettek semmit a felkészülés érdekében - és aztán jött a támadás. Ezek a valódi érvek a megfelelés mellett - nem a bírság, hanem az üzletfolytonosság. Mindez jól mutatja, hogy a kiberbiztonság már nem pusztán informatikai kérdés, hanem üzleti kockázatkezelési feladat.
Computertrends: Mennyire volt egyértelmű az auditorok számára a követelményrendszer?
Zala Mihály: A szabályozás alapvetően világos, ugyanakkor rendkívül részletes. Az induláskor minden szereplőnek időre volt szüksége, hogy kialakítsa saját módszertanát. Mára ezen a nehézségen nagyrészt túl vagyunk, de biztosan lesznek olyan pontok, amelyeket a tapasztalatok alapján érdemes lesz még tovább egyszerűsíteni vagy pontosítani.
Computertrends: Milyen technológiai elvárásokat kellene erősíteni a szabályozásban?
Zala Mihály: Jelenleg egyedül a magas biztonsági osztályban kötelező a penetrációs teszt. Én ezt nagyon helyesnek tartom, de érdemes lenne több szinten is előírni, méretarányosan. Ha összehasonlítjuk a DORA-val, ott például már a belépő szinten kötelező a Security Operations Center, amelynek feladata a kártékony forgalom szűrése. Ez egy komoly technológiai elvárás. A NIS2 ebből a szempontból enyhébb - inkább szabályozási, mint műszaki alapú. Szerintem előbb-utóbb jönni fog egy finomítás, amely erőteljesebb technológiai megfelelési követelményeket is beépít a rendszerbe.
Computertrends: Az auditorok megpihenhetnek majd nyártól?
Zala Mihály: Az auditorok számára a munka várhatóan a nyári időszakban sem lassul érdemben. A hatósági felszólítás nyomán auditkötelezetté váló vállalatok ügyei vélhetően még az év végéig is feladatot adnak a piacnak. Ezt követően pedig megkezdődnek az újabb auditciklusok, hiszen a korábban elvégzett vizsgálatokat meghatározott időközönként meg kell ismételni. Ideális esetben ez a terhelés egyenletesebben oszlana el az időben, mivel hosszú távon nem fenntartható, hogy az auditorok egyik évben rendkívüli kapacitáshiánnyal küzdjenek, míg a következőben jelentősen visszaessen a munkamennyiség. Ebben a szempontból a hatósági felszólítások nyomán belépő új ügyfelek bizonyos mértékig kiegyensúlyozhatják a ciklikusságot.
Computertrends: Mit üzenne azoknak a vállalatoknak, amelyek még mindig úgy érzik, hogy a NIS2 csak egy kötelező adminisztratív feladat?
Zala Mihály: Ha egy szervezetet ransomware-támadás ér, abból ritkán lehet veszteség nélkül kijönni. A váltságdíj kifizetése nem jelent biztos megoldást, ráadásul növelheti annak kockázatát, hogy a vállalat később ismét célponttá váljon. Ha pedig nincs megfelelő mentési stratégia és incidenskezelési terv, az adatvesztés vagy az üzletmenet megszakadása komoly károkat okozhat. A kiberbiztonság ezért nem adminisztratív kötelezettség, hanem a működés alapvető feltétele. A megfelelő védelem olyan, mint a biztonsági öv az autóban: nem szünteti meg teljesen a kockázatot, de jelentősen mérsékli a következményeket.
Computertrends: Milyen szankcióra számíthat, aki kimarad?
Zala Mihály: A regisztráció, vagyis a nyilvántartásba vétel elmulasztása akár 150 millió forintos bírságot vonhat maga után. Az auditorral való szerződéskötés elmulasztásáért 15 millió forint kiszabható, az audit tényleges elvégzésének hiányáért pedig szintén 150 millió. Ezen felül az SZTFH bizonyos esetekben az érintett cég vezetőségét is eltilthatja a tevékenységtől, és saját költségen informatikai biztonsági felelőst rendelhet ki. Szóval nem aprópénzről van szó.
Computertrends: Mit vár a következő évektől?
Zala Mihály: A mostani, első auditciklus lezárása után a hatóság és az auditorok is számos tapasztalatot fognak összegezni. Úgy gondolom, hogy a következő időszak legfontosabb feladata a módszertan és a szabályozási környezet finomhangolása lesz. Az első auditciklus számos gyakorlati tapasztalatot hozott, amelyekre érdemes építeni. Irdatlan nagy adatmennyiségről van szó, nem véletlen kell gépi olvasásra alkalmas formátumban benyújtani az auditriportokat, hogy még könnyebb legyen statisztikákat, tematikus elemzéseket készíteni. A hatóság már most is elemzi a már kész auditokat - jó esetben ez talán 10 százalék lehet. Fontos kérdés viszont, hogy hogyan tudják ellenőrizni egy audit valódiságát és minőségét, ami szintén tetemes időbe fog kerülni.
Mindazonáltal, az SZTFH rendkívül széles körű felügyeleti feladatot lát el, azonban az energiaszektortól kezdve a különböző kritikus infrastruktúrákig olyan sokszínű területeket kell átlátnia, hogy hosszú távon az ágazati hatóságok aktívabb szerepvállalására is szükség lehet.
Összességében azonban kifejezetten pozitív fejleménynek tartom, hogy létrejött ez a rendszer. Nyolc-tíz évvel ezelőtt még az is nehezen volt elképzelhető, hogy ilyen átfogó kiberbiztonsági követelményrendszer működjön Magyarországon. Ehhez képest jelentős előrelépés történt. Természetesen vannak még fejlesztendő területek, de meggyőződésem, hogy a tapasztalatok beépítésével és a szükséges korrekciók elvégzésével a rendszer hosszú távon hatékonyan és kiszámíthatóan fog működni.
Zala Mihály az EY Magyarország technológiai és kiberbiztonsági partnere. Az EY az SZTFH által nyilvántartásba vett, NIS2 kiberbiztonsági audit elvégzésére jogosult auditor szervezet, amelynek csapata több mint 60 felkészítési projektet és több mint 100 auditot tudhat maga mögött.
