A szokásos felelősségkizárás:

A bejegyzés írója kiemelt figyelmet fordít a jogszabályoknak való megfelelésre, de cégünk egy informatikai biztonsági tanácsadó cég és nem jogi iroda. Ezért az alábbi szövegben található bármely információ, észrevétel, megjegyzés vagy vélemény elsősorban informatikai, technikai, esetleg szabályozási jellegű és az üzleti folyamatok javítását célozza. Ugyanakkor ezek semmilyen formában nem minősülnek sem adótanácsadásnak, sem számviteli-, sem jogi tanácsnak vagy véleménynek! Ilyenekre a bejegyzés írója nem hitelesített és nem is jogosult.

A napokban jelent meg az SZTFH 1/2025-ös rendelet a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról, valamint a 2/2025-ös SZTFH rendelet a kiberbiztonsági felügyeleti díjról.

Mivel az 1/2025-ös rendelet írja le az auditori és a hatósági ellenőrzések metodikáját, így ez igen fontos „iránymutatás” a kibertörvény (2024. évi LXIX. trv.), illetve a kapcsolódó végrehajtási rendelet (7/2024. MK rendelet) alkalmazásához.

Az alábbiakban megpróbáljuk dióhéjban (in nuce) összefoglalni az első benyomásainkat.

Pozitív:

• A rendeletben szereplő audit metodika igen részletes, alapos és korrekt. Természetesen lehet másként is auditálni, bizonyítékokat gyűjteni, felmérni egy-egy szervezetet, de az 1/2025-ös egy kodifikált, hatósági rendelet, ami teljes mértékben használható, nagyon is megfelel a kiberbiztonsági törvény céljainak.

Kérdéses:

• Erőforrás: bár időközben a hatóság több céget engedett az auditori körbe, de pont a fenti igen jó és részletes audit metodika miatt erősen kétséges, hogy 2025 december végéig ezek a cégek az érintett szervezeteket a fenti metodika alapján korrektül le tudják ellenőrizni.
• Automatizálás: jelenleg is vannak auditálást támogató szoftverek, mind belső fejlesztésűek, mind „dobozosak”. A CAAT és a CAATT elég régi fogalmak ebben a szakmában… Ezek természetesen segíteni fognak a munkában, de ha a rendelet azt írja elő, hogy „kötelezően alkalmazandó interjú”, vagy „kötelezően alkalmazandó teszt”, akkor azt annak megfelelően kell elvégezni. Azaz például, mivel az SZTFH rendelet auditori módszertani leírása megkülönbözteti az interjút és a személyes interjút, a helyszíni és a távoli interjút (5. melléklet, 1.2.2 pont), így ott pl. lehet a „felhőben” feltett kérdésekre/kérdőívekre online is válaszolni.
• Az audit alanyok jellemzően nem annyira szeretik, ha külsősök (akár auditorok) saját munkájukat megkönnyítendő, saját (audit) szoftvereket telepítenének a cégek rendszereire. Tehát ez jellemzően kézimunka lesz. Nagyjából 3800-4000 szervezetnél…
• Az audit egyik lényeges eleme, hogy bármilyen metodika esetén az auditor tapasztalata és professzionalizmusa erősen befolyásolja az audit menetét. Tehát például az interjúztatás során egy-egy kérdésre adott válasz esetén mennyire lesz alapos az ellenőrzés, milyen mértékig megy tovább azon a kontrollponton. Mennyire akarja az auditor gyorsan és hatékonyan lezárni a kérdőívet/ügyfelet, vagy mennyire tartja fontosnak a megbízó valós érdekét, alaposabban feltárni a hiányosságot, segíteni a kiberbiztonság valódi fejlesztését.

Hogy néz ki a folyamat a gyakorlatban?

Például az incidenskezelés esetében.

A kibertörvény (2024. évi LXIX. trv) annyit mond, hogy (70. § (1)) „Kiberbiztonsági incidens bekövetkezése esetén a szervezet intézkedik az érintett kiberbiztonsági incidens kezelése érdekében.”

A kapcsolódó rendelet (7/2024. MK rendelet) már egy picit részletesebb. A 2. melléklet (Védelmi intézkedések katalógusa) 9.pontja (Biztonsági események kezelése) 38 pontban részletezi a különböző biztonsági osztályba sorolt rendszerekre vonatkozó kontrollokat. Ennek 9.9 pontja a „Biztonsági események kezelése”, amely szerint a szervezet „biztonsági eseménykezelési képességet alakít ki”, „összehangolja a biztonsági eseménykezelési tevékenységeket az üzletmenet-folytonossági tervezési tevékenységekkel”, „beépíti a folyamatos biztonsági eseménykezelési tevékenységekből származó tanulságokat a biztonsági eseménykezelési eljárásokba, képzésbe és tesztelésbe”, és „biztosítja, hogy a biztonsági eseménykezelési tevékenységek összehasonlíthatók és kiszámíthatók legyenek a szervezeten belül”.

A fenti feladatokat az 1/2025 SZTFH rendelet 6. mellékletében felsorolt „a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek” 207. pontja szerint

• szervezeti szinten kell ellenőrizni (tehát nem elektronikus információs rendszer - EIR szinten),
• kötelező az interjúztatáson erre rákérdezni,
• kötelező erre vonatkozó tesztet is alkalmazni a tényleges és az elvárt működés összehasonlítására (ez lehet akár automatizált is),
• ez egy „biztosító” típusú ellenőrzés, és
• „az értékelésből nem kizárható”.

A rendelet 7. melléklete segít a „követelménycsoportok értékelése” tekintetében is. A biztonsági események kezelése esetében ezek az alábbiak:

• az események kezelésére az eseménykezelési tervvel összhangban lévő eseménykezelési képességek kerültek kialakításra
• az eseménykezelési képesség az eseményekre való felkészülést is magában foglalja
• az eseménykezelési képesség magában foglalja az események észlelését és elemzését
• az eseménykezelési képesség magában foglalja az események elszigetelését
• az eseménykezelési képesség magában foglalja az események felszámolását
• az eseménykezelési képesség magában foglalja a helyreállítást
• az eseménykezelési tevékenységeket összehangolták az üzletmenet-folytonossági tervezési tevékenységekkel
• a folyamatban lévő eseménykezelési tevékenységekből levont tanulságokat beépítik az eseménykezelési eljárásokba, a képzésbe és a tesztelésbe
• a beépített tanulságokból eredő változtatásokat annak megfelelően hajtják végre
• az eseménykezelési tevékenységek összehasonlíthatóak és kiszámíthatóak az egész szervezeten belül.

Költségek

Az auditra való felkészülés természetesen egy külön történet, az tényleg minden cégnél más és más, minden szervezet más „érettségi szinten” van, máshonnan indul, más (esetleges) hiányosságokat kell pótolnia.

A kiberbiztonsági audit legmagasabb díját viszont a rendelet 3. melléklete tartalmazza. Ebben meghatároztak egy alap „szorzószámot”, ez nettó 1 750 000 forint, valamint három változó szorzószámot, ami alapján az audit díjat kell kalkulálni. Ezek a paraméterek a szervezet előző üzleti évi nettó árbevétele, a szervezet elektronikus információs rendszereinek (EIR) darabszáma, valamint a szervezet elektronikus információs rendszereinek biztonsági osztálya.

Néhány példa:

• „Alfa” cég:
  • előző üzleti évi nettó árbevétele 250 millió Ft           szorzószám: 0,9
  • egyetlen rendszere esik a törvény hatálya alá,         szorzószám: 1
  • ezt a rendszert „alap” biztonsági osztályba sorolták szorzószám: 1

A fentiek alapján az „Alfa” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 0,9*1*1*1.750.000Ft = 1.575.000,- Ft

• „Béta” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft            szorzószám: 3
  • hat rendszere esik a törvény hatálya alá,                       szorzószám: 2,5
  • van egy „magas” biztonsági osztályba sorolt rendszere szorzószám: 5

A fentiek alapján a „Béta” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*2,5*5*1.750.000Ft = 65.625.000,- Ft

• „Gamma” cég:
  • előző üzleti évi nettó árbevétele 27.5 milliárd Ft               szorzószám: 3
  • öt rendszere esik a törvény hatálya alá,                           szorzószám: 1
  • van egy „jelentős” biztonsági osztályba sorolt rendszere szorzószám: 3

A fentiek alapján a „Gamma” cég kiberbiztonsági auditálásnak – általános forgalmi adó nélkül számított – legmagasabb díja = 3*1*3*1.750.000Ft = 15.750.000,- Ft

Összegezve: ismételten azt javasoljuk minden érintettnek, hogy vegyék nagyon komolyan a felkészülést, adott esetben igen sok munkával járhat, sok időt és erőforrást igényel, és nincs rá sem sok idő, sem sok valódi szakember.

www.nuce.hu