Idén tovább szigorodtak a kiberbiztonsági előírások, amelyek az auditok lefolytatását és a felügyeleti díjak számítását érintik. A vállalatok számára kötelező díjak részben árbevétel alapúak, de jelentős részük a használt rendszerek számától, a társaság életében betöltött jelentőségétől és az általuk kezelt adatoktól függ.
Az új rendeletek értelmében minden érintett szervezet évente - a nettó árbevételtől függő - kiberbiztonsági felügyeleti díjat köteles fizetni a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) számára, amelynek maximális mértéke 10 millió forint. A kiberbiztonsági auditot az idei évtől kezdődően kétévente kötelező elkészíteni, illetve megújítani. Az audit díja egyrészt a vállalat előző üzleti évi nettó árbevételétől, másrészt a vállalatnál működő elektronikus információs rendszerek (EIR) számától és besorolásától függ.
Optimalizálási lehetőségek
A legkedvezőbb díjakkal azok a vállalatok számolhatnak, amelyeknek legfeljebb 1 milliárd forint volt az árbevételük, továbbá maximum 5, úgynevezett "alap" biztonsági osztályú EIR-t üzemeltetnek. Esetükben az audit díja 1.575.000 forint kétévente, a felügyeleti díj 150.000 forint évente. A legnagyobb terhet azoknak a szervezeteknek kell viselniük, amelyek árbevétele meghaladta a 40 milliárd forintot, és 16 vagy több EIR-t üzemeltetnek, köztük "magas" biztonsági osztályú rendszerekkel. Számukra a kétévenkénti audit díja elérheti akár a 140 millió forintot, az éves felügyeleti díj pedig a 10 millió forintot.
Mivel az árbevételt tekinthetjük adottnak (bár ennek csökkentésére is vannak megoldások, például bizonyos tevékenységek más vállalategységbe történő átcsoportosítása), a költségek leszorítása alapvetően az EIR-ek számának csökkentésével, illetve azok alacsonyabb biztonsági osztályba sorolásával érhető el. De vajon milyen optimalizálási lehetőségekkel lehet ezt elérni? - Egy vagy akár több lépésben is el lehet jutni oda, hogy a vállalat alacsonyabb szorzószámmal kalkulálhasson. Alapkövetelmény azonban, hogy minden lépés megalapozott szakmai döntéseken alapuljon - hangsúlyozza Kóczé Péter, a NIS2-tanácsadással is foglalkozó Grant Thornton digitális üzletágának vezetője.
Az egyik optimalizálási lehetőség az EIR-ek csoportosítása. A rendszereket érdemes úgy szervezni, hogy azok lehetőleg maximum 5 vagy 15 elemű halmazokba kerüljenek, így elkerülhető a magasabb szorzószám alkalmazása. A csoportosítás során bármilyen életszerű logika alkalmazható. Kialakítható például egy "Irodai környezet" EIR, amely az irodai munkakörnyezetben használt összes szoftvert, hardvert és üzleti folyamatot lefedi. Egy másik csoportba kerülhetnek például a gyártásban használt rendszerek. Nem célszerű olyan szoftvereket csoportosítani egyetlen EIR-be, amelyek együttesen jelentős mennyiségű személyes adatot tartalmaznak, vagy amelyek együttes kiesése olyan mértékű közvetlen vagy közvetett kárt okozhat a vállalatnak, ami miatt már nem választható az "alap" biztonsági osztály. A legoptimálisabb esetben egyetlen EIR-t sem kell a "magas" vagy a "jelentős" védelmi osztályba sorolni.
- Teljesen saját infrastruktúra üzemeltetése helyett érdemes lehet megfontolni a felhőalapú szolgáltatások vagy bérleti konstrukciók igénybevételét is, és ezeket egy külön EIR-be sorolni. Ebben a hibrid konstrukcióban az üzleti folyamatok és funkciók kiszolgálása megoszlik a helyben telepített szoftverek és a felhőben elérhető szoftver-szolgáltatások között. Ezzel könnyebben elérheti a társaság, hogy az összes, házon belül üzemeltetett EIR az "alap" biztonsági osztályban maradhasson. Ráadásul a kiszervezett szolgáltatások esetében a hozzájuk tartozó védelmi intézkedések is könnyebben kialakíthatóak, hiszen azok egy részéért már nem a vállalat, hanem a kiszervezett szolgáltatást nyújtó partner felel - fogalmaz Kóczé Péter.
Sürget az idő
A kiberbiztonsági törvény értelmében az érintett vállalatoknak a hatósági regisztrációt követően 120 napon belül kell szerződést kötniük egy kiválasztott NIS2 auditorral. Ez - a törvény január eleji hatályba lépését alapul véve - április végi határidőt jelöl ki azon vállalatok számára, amelyek ezt a regisztrációt már tavaly megtették. Az auditorok jellemzően már a megkeresés első lépésében igényt tartanak a vállalat védelmi osztályba sorolt EIR listájára, hiszen ennek az információnak a birtokában tudják az ajánlatukat elkészíteni.
- A vállalatok - a kiberbiztonsági törvény részleteinek ismeretétől függően - saját maguk is elkészíthetik EIR listájukat, vagy annak optimalizálásához külső szakértő segítségét is igénybe vehetik. Egyik ügyfelünknél, az optimalizálási módszereket alkalmazva, az eredetileg kalkulált 47 millió forintos költséget 15 millió forintra sikerült csökkenteni - mutat rá a Grant Thornton digitális üzletágának vezetője.
Bonyolult, komplex jogszabály
Az audit során derül ki, hogy a cég helyesen állapította-e meg az elektronikus információs rendszerek számát, valamint a szoftverek, hardverek és hálózatok biztonsági besorolását. Ha az auditor valami rendellenességet talál, felszólítja a céget a korrekcióra. - Mivel az egész folyamat csak most indul, gyakorlati példák még nem állnak rendelkezésre. Várható azonban, hogy ha többszöri felszólításra sem oldódnak meg a problémák, a cégre szankciókat szabnak ki. Végeredményben a vállalat első számú vezetőjének a felelőssége, hogy a szervezet helyesen állítsa össze és sorolja védelmi osztályba a használt IT rendszereket - hívja fel a figyelmet Kóczé Péter.
Nyilvánvaló, hogy a kiberbiztonsági törvény részleteinek ismerete, valamint az EIR-ek számának meghatározása és biztonsági besorolása nem a felsővezetők dolga. A feladatot a vállalat információbiztonsági felelőse hivatott elvégezni. - A NIS2 irányelv alapján megszületett korábbi Kibertan törvény viszonylag egyszerű olvasmány volt. A NIS2 hatálya alá tartozó társaságok könnyebben boldogulhattak vele. Az új törvény azonban rendkívül komplex. Ennek oka, hogy a Kibertan törvény nem csupán a NIS2-vel érintett cégeket, hanem a kritikus infrastruktúrát üzemeltető egyéb szervezeteket és államigazgatási szereplőket, állami cégeket is lefedi. Ennek következtében egy százhúsz oldalas, jogi formulákkal teletűzdelt szöveg született, amit nagyon nehéz értelmezni és feldolgozni. Elképzelhető, hogy aki a régi törvénnyel jól boldogult, annak az újba beletörik a bicskája. De természetesen mindenki maga döntheti el, hogy egyedül birkózik meg a feladattal, vagy tanácsadó segítségét kéri - osztja meg gondolatait Kóczé Péter.
Szorzószámok
Szorzószámok az EIR-ek száma szerint: 1-5 EIR esetén a szorzószám 1; 6-15 EIR esetén a szorzószám 2,5; 16 vagy több EIR esetén a szorzószám 4.
Szorzószámok az EIR-ek biztonsági besorolása szerint: ha minden EIR "alap" biztonsági osztályú, a szorzószám 1; ha bármely EIR "jelentős" biztonsági osztályú, a szorzószám 3; ha bármely EIR "magas" biztonsági osztályú, a szorzószám 5.
Az "alap" biztonsági osztály kritériumai
A biztonsági osztályba soroláskor az alábbi kiberbiztonsági paramétereket kell figyelembe vennie minden auditra kötelezett vállalatnak:
- Sérülhet-e nagy mennyiségű személyes adat az EIR-t ért káresemény során?
- Sérülhet-e nagy mennyiségű érzékeny (üzleti) adat vagy sérülhet-e jelentős számú funkció az EIR-t ért káresemény során?
- Sérülhet-e a nemzeti adatvagyon az EIR-t ért káresemény során?
- Történhet-e személyi sérülés az EIR-t ért káresemény során?
- Egy EIR-t érintő káresemény eredményezhet-e súlyos bizalomvesztést a társaságra nézve?
- Egy EIR-t érintő káresemény eredményezheti-e azt, hogy jogszabályi elvárások sérülnek, és akár felelősségre vonásra kerülhet sor?
- Az EIR-t ért káresemény során sérülhet-e egy kritikus infrastruktúra elérhetősége?
- Az EIR-t ért káresemény során keletkező közvetlen és közvetett anyagi kár meghaladhatja-e a társaság éves költségvetésének vagy nettó árbevételének 1 százalékát?
Csak akkor lehet egy EIR-t az "alap" biztonsági osztályba sorolni, ha a fenti kérdések mindegyikére egyértelmű NEM a válasz.
