„Június végén, július elején gyors egymásutánban több dolog is történt a NIS2 háza táján Magyarországon: megjelentek rég várt részletszabályok és lejárt a regisztrációs határidő. Most már nincs több kibúvó, az érintetteknek neki kell állniuk a felkészülésnek. Az így kialakult helyzetről, a szervezetek előtt álló további lépésekről és kötelezettségekről Bor Olivért, az SZTFH kommunikációs szakértőjét kérdeztük.
– Milyen hatása volt annak, hogy a határidő lejárta előtt egy héttel jelent meg a piac által már nagyon várt rendelet a biztonsági osztályba sorolásról és a bevezetendő kontrollokról?
– Az tudható – vagy legalábbis sejthető – volt, hogy az érintett vállalatok nem kis hányada kivár a jelentkezéssel a rendelet megjelenéséig, mégis meglepett bennünket az a roham, amit június utolsó hetében tapasztaltunk: ekkor naponta több száz nyilvántartási jelentkezés érkezett. Összességében meghaladja korábbi becsléseinket a regisztrációs kérelmek száma, hiszen átléptük a 3500-as határt is. Ebből valamennyi lejön még, mert többen biztosra akartak menni, és duplán vagy akár triplán is beadták a jelentkezést. Ezek kiszűrését követően tud majd csak előállni a regisztrációs kérelmek tényleges száma.
– Mi történik most ezekkel a kérelmekkel?
– Lényeges, hogy a nyilvántartásba vétel nem automatikus, azt a Hatóság megvizsgálja, majd az SZTFH elnökének a nevében határozatot ad ki róla. A határozat lehet befogadó, vagyis a kérelmező a NIS2 és a Kibertantv. szempontjából érintett szervezetnek minősül, és meg kell felelnie az előírt követelményeknek. A második lehetőség, hogy a határozat hiánypótlásra szólítja fel a szervezetet, pontosítást, további információkat kérünk be. Végül a harmadik lehetőség az elutasítás, vagyis a Hatóság megállapítja, hogy a kérelmező szervezet nem tartozik a jogszabály hatálya alá.
A már említett rendelet megjelenése előtt az SZTFH-nak 8 napja volt a határozat meghozatalára. Azóta viszont 60 napra nőtt a határidő, vagyis közel két hónap áll rendelkezésre a határozat meghozatalára.
– A 60 nap kicsit hosszúnak tűnik, hiszen az valamikor augusztus végén jár le, és onnantól kezdve alig másfél hónap van a következő fontos határidőig, azaz október 18-ig, amikorra be kell (be kellene) vezetniük az érintetteknek az előírt biztonsági kontrollokat. Lehet ilyen sokáig bizonytalanságban tartani a jelentkezőket, akik addig nem lehetnek biztosak abban, hogy tényleg a törvény hatálya alá tartoznak?
– Azt azért ne felejtsük el, hogy a cégeknek január 1-től június 30-ig egy teljes fél évük volt benyújtani a nyilvántartásba vételi kérelmet. Ebbe bőven belefért az is, hogy ha házon belül nem tudnak dönteni, akkor külső segítséget vegyenek igénybe. Itt egyébként nem is annyira technikai-informatikai tudásra, hanem pénzügyi-jogi szakértelemre volt szükség a döntéshez. Ha egy közepes vagy nagyobb cégnél az informatikai, a jogi, a pénzügyi és esetleg a compliance vezető összedugta volna a fejét akár a könyvelővel, akkor nagy eséllyel el tudták volna dönteni, hogy érintettek-e vagy sem. Mi, hatóságként is számos segédanyagot, közösségi médiás bejegyzést készítettünk és publikáltunk a témában, nem beszélve az olyan fontos tájékoztató eszközökről, mint az országos roadshow, amit kétszer is lebonyolítottunk. Ha ezek után valaki tényleg az utolsó pillanatra hagyta a regisztrációt, akkor számolnia kell azzal, hogy a határozat is hosszabb idő alatt születik meg. Azt viszont semmiképpen nem tanácsolnám, hogy úgy várják meg a határozatot, hogy semmit nem tesznek a magasabb kiberbiztonsági érettségi szint elérése érdekében – ha már beadták a kérelmet, keressenek most tanácsadót, kezdjék meg a felkészülést is, mert tényleg rövid lehet a határidő.
És távol álljon tőlem, hogy ujjal mutogassak másokra, de a legtöbb uniós tagországban még egyáltalán nem születtek meg a szükséges részletszabályok, pedig az október 18-i határidő minden EU-s érintettre vonatkozik. Vagyis a magyar jogszabályalkotók által biztosított fél éves időszak az önazonosításra és a regisztrációra kimondottan nagyvonalúnak tekinthető. Itt fontos megjegyezni még, hogy hazánk elsőként kezdte meg a NIS2 nemzeti jogrendbe történő átültetést, amellyel pont az volt a jogalkotó célja, hogy a vállalatoknak is elegendő időt hagyjon a felkészülésre és megfelelésre.
– Az utolsó héten sebtében beadott kérelmek között több van, amelyik kiegészítésre szorul?
– Nem tudnám pontosan megmondani, mert ilyen jellegű statisztikát nem vezetünk. Az viszont kimondottan érdekes, hogy szép számmal kapunk kérelmeket olyan vállalkozásoktól, amelyek egyértelműen nem tartoznak a NIS2 hatálya alá, mégis szeretnék, hogy vonatkozzanak rájuk az előírások. A jogszabályok kötnek minket, ezeket a kérelmeket el kell utasítanunk, de senkit semmi nem gátol abban, hogy elvégezze mindazokat a feladatokat, amelyeket az érintetteknek a jogszabály előír, beleértve a kontrollok, rendszerek auditálását is. Ez akár követendő példa is lehet.
– Minek tudható be ez a fajta túlbuzgóság?
– Elég nagy nyilvánosságot kapott a szakmai közvéleményben a NIS2, amihez az SZTFH is hozzájárult az országjáró tájékoztató kampányával és szakértőinek rendszeres konferenciaszerepléseivel, például az ITBUSINESS rendezvényein, de akár említhetném az intenzív médiakampányt is, amit a hatóságunk folytatott le. Talán tényleg egyre többen kezdik megérteni, hogy miért fontos foglalkozni a kiberbiztonsággal, és a felkészültségüket hivatalos dokumentumokkal is igyekeznek alátámasztani.
– Beszéljük a másik végletről, azokról a szervezetekről, amelyek nem jelentkeztek időben. Ők mire számítsanak?
– Ezt egész pontosan lehet tudni. Július 8-án megjelent a 186/2024-es számú Kormányrendelet, ami módosítja a kiberbiztonsági bírságokról szóló 305/2023-as Kormányrendeletet. Ez a módosítás már egészen pontosan tartalmazza azon érintettekre kiszabható bírságok mértékét, akik nem teljesítik a nyilvántartásba vételre vonatkozó adatszolgáltatási kötelezettséget, vagy határidőn túl abszolválják azt. Kisebb bírsággal kell szembenéznie annak, aki magától, de késve adja be a regisztrációs kérelmet és nagyobbal annak, akiről a hatóság állapítja meg, hogy nem tett eleget regisztrációs kötelezettségének. Utóbbi esetben a büntetés maximális tétele 150 millió forint (vagy előző évi költségvetési bevételi előirányzatának legfeljebb 2 százaléka), de már régóta kommunikáljuk, hogy itt GDPR-szintű bírságokkal kell szembenézni.
Fontos még, hogy az SZTFH-nak egyéb szankciós intézkedések is a rendelkezésére állnak, és azokat is következetesen alkalmazni fogjuk. A Kibertantv. vonatkozó része idén október 18-án lép majd hatályba, és ez meghatározza az SZTFH szankciós jogosultságát, ami a bírságok mellet lehet még figyelmeztetés, határidő tűzése, vagy akár eltiltás is.
(A teljes képhez hozzátartozik, hogy a bírságokat részletező rendelet hatályba lépésének ideje is október 18. Vagyis ha egy érintett szervezet addig beadja nyilvántartásba vételi kérelmét, nagy valószínűséggel nem kell büntetést fizetnie vagy csak a késedelemre vonatkozó, alacsonyabb tétellel kell számolnia – a szerk.)
– Milyen visszajelzések érkeztek a piacról az SZTFH-hoz a június végén megjelent két rendeletről?
– Némiképp vegyesek, de alapvetően pozitívak. Mindenki nagyon várta őket, és örültek, hogy végre megjelentek, noha már hónapok óta nyilvánosak voltak, végigmentek a társadalmi egyeztetés folyamatán. A korábbi és a végleges verzió között ráadásul csak minimális eltérések vannak, tehát ha valaki az előzetes verzió alapján kezdte meg a felkészülést, nem vesztegette az erőforrásait.
Azt nem is titkoltuk mi sem és a jogalkotó sem, hogy szigorú szabályokra kell számítani, néhol szigorúbb követelményrendszert vezetünk be, mint ami az eredeti NIS2-ben szerepelt. A cél ugyanis egyértelműen az, hogy az érintett vállalatok, és rajtuk keresztül a teljes magyar gazdaság, a kritikus ágazatban működő szervezetek, valamint a társadalom magasabb kiberbiztonsági szintet érjen el. A mostani keretrendszer biztosítani tudja a kellő szintű kiberbiztonságot, de ehhez kellenek az érintett vállalatok is.
– Mi a helyzet az auditori minősítésekkel? Annak részletszabályai is csak június végén jelentek meg; látszik már a fokozott érdeklődés?
– A rendelet csak a megjelenését követő 30. napon, tehát július végén lép hatályba, onnantól kérvényezhetik a cégek, hogy auditori nyilvántartásba vegye őket az SZTFH. Ennek ellenére látszik a mozgolódás ezen a piacon is, de itt is érvényes az, hogy számos feltételt előre lehetett tudni. Ilyen például, hogy be kell kerülni az Alkotmányvédelmi Hivatalnál vezetett nyilvántartásba a sérülékenységvizsgálatra jogosult cégek közé; ennek viszont előfeltétele a telep helybiztonsági tanúsítvány megléte. Tehát ha valaki auditor akart lenni, ezeket a lépéseket már elindíthatta.
Amint még mindig nem lehet tudni, mert csak egy közeljövőben megjelenő SZTFH-rendelet fogja szabályozni, az az auditori díjtételek kérdése. Hogy úgy mondjam, hatósági ársapka lesz a szolgáltatáson, meghatározzuk a legmagasabb díjtételeket. Így aztán nem fordulhat elő, hogy az auditor az ügyfél fizetőképessége alapján szabja meg az árat.”
Forrás:
NIS2: a nyár sem lesz uborkaszezon; Schopp Attila; IT Business; 2024. július 12.