„Újabb fontos mérföldkőhöz érkezett a NIS2 kiberbiztonsági irányelv több mint két éve tartó bevezetése. Az érintett szervezeteknek augusztus 31-ig kellett szerződést kötniük valamelyik auditor céggel, és a szerződést szeptember 15-ig elküldeni a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZTFH-hoz). Ennek apropóján beszélgettünk Szemeti Ferenccel, a hatóság kiberbiztonsági igazgatójával az eddigi tapasztalatokról, az auditorok szerepéről és lehetőségeiről, valamint arról, mire kell figyelniük az érintetteknek.
◼︎ NIS2: újabb határidők jártak le
– Mind az auditszerződések megkötésére, mind az auditok végrehajtására adott határidőt meghosszabbította a jogalkotó az idei év első felében; utóbbi véghatárideje 2026. június 30. lett. Miért érezték fontosnak a módosítást, és miért nem került be a tavaly év végén elfogadott kiberbiztonsági törvénybe?
– A legelején szeretném leszögezni, hogy a cselekvő állam részeként az SZTFH célja a biztonságos digitális környezet megteremtése, hozzájárulva ezzel Magyarország és az Európai Unió biztonságához, ellenálló képességének és versenyképességének növeléséhez.
Állandóan nekünk szegezték a kérdést, hogy a nyilvántartásba vett 10 auditorcég képes lesz-e határidőre elvégezni az összes szükséges auditot. Nekem fél évvel ezelőtt is meggyőződésem volt és most is úgy gondolom, hogy képesek lettek volna – amennyiben az auditokat időben egyenletesen szétosztva végezhették volna. És bár minden adott volt, hogy az auditokat már az év első felében megkezdjék az érintettek, sokakban még a szerződéskötés gondolata sem merült fel. Nem egy auditornál láttuk, hogy november-december tájékára már minden kapacitása le lett kötve, de az előtte lévő néhány hónapban viszont nem volt munkájuk.
Ezért javaslatunkra a jogalkotó nemcsak a határidőt hosszabbította meg, hanem azt is belefoglalta a jogszabályba, hogy augusztus 31-ig minden érintettnek szerződést kell kötnie valamelyik auditorcéggel. Erről számos csatornán, például személyre szóló levélben értesítettünk minden érintettet, egyúttal pedig kértük, hogy a szerződést szeptember 15-ig küldjék meg a hatóságnak.
– Az érintettek milyen arányban tettek eleget ennek a követelménynek?
– Most összesítjük az adatokat, ezekből az rajzolódik ki, hogy az augusztus végi határidőig az érintettek mintegy 70 százaléka tett eleget a kötelezettségnek, ugyanakkor a piaci szereplőktől úgy értesültünk, hogy augusztus végén nem álltak le a szerződéskötések, azok száma szeptemberben is kimagasló ütemben emelkedett.
– Az audit a NIS2 megfelelés utolsó állomása, azt meg kell előznie az információs rendszerek felmérésének és osztályba sorolásának, a szükséges kontrollok bevezetésének és az esetleg hiányzó szabályzatok kialakításának. Ezzel kapcsolatban milyen tapasztalataik vannak a piacról?
– Össztársadalmi érdek a magasabb szintű kiberbiztonság. A törvény előírásait nem kötelező teherként szükséges megélni, hiszen általánosságban is fontos, a jogszabály hatálya alá tartozó cégek, szervezetek számára pedig egyenesen elemi érdek a biztonságtudatos működés. Ezáltal ugyanis nagyobb eséllyel előzhetőek meg, illetve háríthatóak el a milliós, vagy akár százmilliós károkozással fenyegető kibertámadások, amelyek közvetve vagy közvetlenül az ügyfélkörre is veszélyt jelenthetnek.
Ezzel együtt meglehetősen vegyes a kép. Ha a már beérkezett és feldolgozott auditjelentésekből indulnék ki, akkor kimondottan rózsás képet festhetnék fel a kötelezett cégek kiberbiztonsági helyzetéről. Közöttük nincs olyan cég, amelyik ne felelt volna meg. Ugyanakkor nem szabad elfelejtenünk, hogy azok végeztették el viszonylag korán az auditot, akiket erre jogszabály – például a DÁP-törvény – kötelez, vagy amúgy is érett információbiztonsági irányítási rendszert üzemeltetnek, van tapasztalatuk az auditokban, így bízhattak abban, hogy meg fognak felelni.
– És mi a helyzet a többi kötelezettel?
– Naivitás lenne azt gondolni, hogy ez a helyzet mindenkire igaz. Nem hivatalos csatornákon egészen rendkívüli helyzetekről is értesülünk. Előfordult, hogy az érintett cég az audit kick-off megbeszélésén döbbent rá, hogy neki különféle szabályzatokkal is rendelkeznie kellene, így ott és akkor kért ehhez sablonokat. De velem is előfordult, hogy egy kérelem kapcsán felhívtam a vállalat hivatalosan kijelölt információbiztonsági felelősét, akinek egyrészt fogalma sem volt arról, hogy ő annál a cégnél IBF-ként van feltüntetve, másrészt nem is rendelkezett semmilyen IT-biztonsági képesítéssel vagy tapasztalattal.
Ez persze a szélsőség, és biztos vagyok benne, hogy az érintettek többsége a jó úton jár. De ha élhetek egy hasonlattal: nem lehet úgy elmenni vizsgázni, hogy nem végeztem el a házi feladatot, nem tanultam, sőt, azt sem tudom, hogy mik lehetnek a kérdések.
– Mit tehet az auditor cég, amikor ennyire felkészületlen vállalattal találkozik? Átlép tanácsadói szerepbe és felkészíti a vállalatot; elvégzi az auditot és „megbuktatja”; vagy azt mondja, hogy majd akkor szóljatok újra, ha már felkészültetek és otthagyja őket?
– A hazai jogszabályok nem tiltják, hogy egyazon szolgáltató végezze el egy szervezet NIS2 felkészítését és auditálását, és vannak is ilyen szolgáltatók. Még ezeknél a vállalatoknál is kínosan ügyelnek arra, hogy a tanácsadók és az auditorok elkülönüljenek egymástól. A két feladat ráadásul nagyon is különbözik, így egyetlen auditortól sem várható el, hogy az általa feltárt hiányosságokat meg is oldja.
Az auditálás módszertanát rendkívül részletesen meghatározta az SZTFH elnökének rendelete, attól az auditorok nem térhetnek el. Az érintetteknek pedig arra is fel kell készülniük, hogy egy audit nem húzódhat a végtelenségig. Az auditor átadja a kérdéssort, megmondja, hogy milyen evidenciákat kell csatolni a válaszokhoz és kitűz egy határidőt. Ha addig nem kap kielégítő választ, akkor annak alapján értékeli az adott kontrollpontot. Természetesen nem minden fekete-fehér, de az auditor akkor jár el helyesen, ha lefolytatja az auditot, a megállapításait megküldi a hatóságnak és átadja az érintett szervezetnek is. Ő ezekből nyilván meríthet olyan információkat, amelyek hasznosak lehetnek egy ilyen esetekben szükségszerű intézkedési terv megalkotásánál és végrehajtásánál.
– Említette, hogy az eddigi auditok végeredménye az lett, hogy minden vizsgált szervezet megfelelt. Tudna arról mesélni, hogy milyen eredményeket értek el az érintettek?
– A megfelelés mértékét az audit eredményeiből képzett SZEKI-index mutatja meg. Ha a százfokú skálán 95 vagy afölötti az index, akkor a szervezet megfelelt. 90 és 95 pont között alacsony kockázattal, 80 és 90 pont között közepes kockázattal, 70 és 80 pont között pedig magas kockázattal felelt meg. Ha a szervezet nem éri el a 70 pontot, akkor kritikus kockázatú és nem felelt meg. Ezekből háromféle kategóriát képzünk: megfelelt (95 pont felett); auditált (70 és 95 pont között); valamint nem felelt meg (70 pont alatt).
Pontos értékeket nem mondanék, de az eddig auditált cégek nagyjából 8-10 százaléka felelt meg; a legmagasabb pontszám 98 volt. A maradék auditált cégnek számít, tehát valamilyen kockázattal megfelelt, „bukott” szervezet pedig, ahogy mondtam is, még nem volt. A pontszámok átlagértéke megközelíti a 80-at, tehát elég jónak mondható, de mint említettem, ezek többsége a nagyobb, felkészültebb cégek közül került ki.
– Mennyire életszerű az, hogy az auditor „talál” még egy-két pontot, hogy az általa vizsgált szervezet átmenjen a vizsgán és megfeleljen a követelményeknek?
– Bármennyire is részletes az audit módszertana és a benyújtandó jegyzőkönyv, mindig lehetnek olyan kontrollpontok, amelyeket többféleképpen is lehet értelmezni. Ebből adódóan nem elképzelhetetlen, hogy az alapból 68-69 pontos eredményt újra átnézve kijöjjön a minimálisan szükséges pontszám. De abban biztos vagyok, hogy a nagy hiányosságokat nem lehet ilyen módon eltüntetni. Ez az auditoroknak sem érdeke, hiszen az ő munkájukat is ellenőrzi a hatóság.
– Ez milyen formában történik, és honnan lesz erre erőforrás, elsősorban emberi erőforrás?
–Az audit eredményét gépi feldolgozásra alkalmas formában kell beküldeni, pontosan azért, hogy minél kevesebb emberi erőforrással, minél hatékonyabban tudjuk elvégezni az ellenőrzéseket. Már a gépi ellenőrzésnél is kibukhatnak inkonzisztenciák, hiányosságok, és arra is lehet majd példa, hogy a helyszínen ellenőrizzük, mennyire felelnek meg az auditban szereplő megállapítások a valóságnak.
– Mi lesz azokkal az érintettekkel, akik esetleg elbuknak az auditon?
– A hatóságnak nem az az elsődleges célja, hogy nagy büntetéseket szabjon ki azokra a cégekre, amelyek nem felelnek meg az előírásoknak. A lehetőségeinkhez képest szeretnénk elismerni és értékelni, hogy az adott szervezet időt és energiát fordított a kiberbiztonsági szintjének javítására, még ha nem is jutott a dolog végére. Mindenképpen a helyes irányba tett lépésként értékeljük, hogy foglalkozik a kérdéssel.
Szigorúbban lépünk fel viszont azokkal szemben, akik kötelezettek lennének, de ilyen vagy olyan okokból nem regisztrálnak a hatóságnál és igyekeznek kibújni a NIS2 követelmények alól, mondván, ezzel ő nem akar foglalkozni, őt nem fenyegeti veszély.
Itt szeretném nagyon határozottan eloszlatni azt a félreértést, hogy a NIS2 csak valami öncélú előírás, amellyel az Unió és a magyar hatóságok sújtják a szegény vállalkozásokat. Azt kellene végre megértenie mindenkinek, hogy ha a vállalat rendszerei megfelelnek bizonyos kiberbiztonsági követelményeknek, akkor az a cég megbízhatóbban, biztonságosabban tud működni. Sajnos számos példát láttunk már arra, hogy egy súlyosabb incidens végleg tönkreteheti a vállalkozást.
Ezért én azt tanácsolnám azoknak a cégeknek, amelyeknél a kiberbiztonságnak nincs múltja, hogy mindenképpen keressenek egy informatikai biztonsági tanácsadót, beszélgessenek el vele, és értelmezzék a követelményeket. Ha valaki laikusként csak a jogszabályokat olvassa el, joggal ijed meg, hiszen a negyedét sem fogja érteni. De ha a szakértő átnézi a rendszereket, folyamatokat, kiderülhet, hogy egy kis erőfeszítéssel megfelelhet a követelményeknek. És ha ez megvan, akkor már az audit sem lesz nehéz.
Arra is figyelni kell, hogy bizonyos nagyon ritka, speciális esetekben az érintettnek nincs a rendelkezésében elektronikus információs rendszer, mégis auditra kötelezett, például ha teljes mértékben kiszervezte informatikáját. Ilyenkor az úgynevezett szervezeti követelményeket, a fizikai biztonságot, az oktatás meglétét kell auditáltatni.
– Melyek lesznek a legfontosabb feladatai a kiberbiztonsági igazgatóságnak az év hátralévő részében?
– Elsősorban az ellenőrzések: kik azok az érintettek, akik nem kötöttek auditorszerződést; kik azok, akik nem regisztráltak; és hát az elvégzett auditokat is ellenőrizzük. Folytatjuk a kiberbiztonsági törvény alapján ránk háruló feladatok elvégzését is. És büszke vagyok arra, hogy hamarosan kiadhatjuk az első kiberbiztonsági tanúsítást is egy IoT-eszközre, egy hazai gyártású napelemes rendszer inverterére. Reményeink szerint a jövőben több más eszközre is kérik a tanúsítást, ami bizonyítja, hogy nemcsak funkcionálisan, hanem a biztonság szempontjából is megfelel a követelményeknek. Bízunk abban, hogy az érintettekkel közösen olyan kiberbiztonsági ökoszisztémát tudunk kialakítani, amely biztonságosabbá és versenyképesebbé teszi a hazai vállalkozásokat. Hatóságunk ebben partner és minden segítséget megad ehhez a munkához.
Mit mondanak az auditorok?
Írásban megkerestük mind a tíz, Magyarországon NIS2-auditra jogosult vállalkozást, hogy ügyfeleik számáról és tapasztalataikról kérdezzük őket. Előbbiről egyikük sem akart nyilatkozni, az utóbbit pedig csak a Mikroháló osztotta meg velünk.
Mint válaszukban írják, az augusztus végi határidő előtt rendkívüli mértékben megugrott a szerződéskötések száma, sokan hagyták az utolsó pillanatra a szerződéskötést. A jelentkezők választhattak, hogy a jövő június végéig terjedő időszakban melyik hónapban szeretnék elvégeztetni az auditot. Nagyon sokan itt is az utolsó hónapokat választották, tehát az egyértelműen érezhető, hogy a kötelezettek jelentős része próbálja tovább húzni az időt.
Olyanok is vannak szép számmal, akik viszont idén szeretnék lebonyolítani az auditot; ennek megfelelően a Mikrohálónál már nem lehet választani szeptember, október, december és 2026 május, június hónapokat auditra. A kapacitások fele/kétharmada már a szabad hónapokban is foglalt.”
Forrás:
Az auditorokon a sor; Schopp Attila; IT Business; 2025. október. 22.
