A NIS2 és főleg a kibertörvény megjelenése óta elég sok beszélgetésen találkozunk, elég sok „észrevétellel”. Az alábbiakban a leggyakoribb kérdések, érvek közül nézünk végig néhányat. Csak dióhéjban (in nuce).

„Biztos, hogy a kibertörvény ránk is vonatkozik?”

Ez talán a leggyakrabb felvetés, és sok helyen felmerül. Minden (hatósági) segítség ellenére, nem mindig egyszerű eldönteni a kérdést. Ráadásul a felkészüléssel járó ráfordítások mind az erőforrások mind a költségek tekintetében, valamint az auditok várható költségei nagyon alapos megfontolást igényelnek.

Azt azért el lehet mondani, hogy ha már egyáltalán felmerült ez a kérdés, akkor könnyen lehet, hogy valóban a törvény hatálya alá tartozunk…

Természetesen az is opció, hogy a NIS2 keretrendszerét, kontrolljait mindenképpen érdemes használni a szervezetek informatikai fejlesztéseiben, akkor is, ha a jogszabály nem vonatkozik valakire. Legfeljebb nem annyira szűkös határidővel kell mindent megvalósítani, és főleg nem kötelező auditáltatni…

„Van ISO minősítésünk, mi rendben vagyunk, felkészültünk.”

Ez így ebben a formában nem teljesen igaz. Az természetesen igen sokat segít, ha valakinek van ISO minősítése, akár például az információbiztonságra vonatkozó ISO 27001-es. Egyrészt ez azt jelenti, hogy a szervezet gondolkodásába, folyamataiba már beivódott a szabálykövetés, a pontos dokumentálás, a megfelelések/auditok rendszere. Ráadásul ilyenkor az informatika is feltehetően jól szabályozott keretek között működik. Ugyanakkor a NIS2 irányelv (EU 2022/2555 irányelve az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről,…) 21. cikkében („A kiberbiztonsági kockázatkezelési intézkedések”) jelzi ezek használhatóságát: „Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, valamint a végrehajtás költségeit,…”. Ráadásul az irányelv preambulumának 79. pontja nevesíti is az ISO 27000-et.

Az ISO önkéntes, és a NIS2 kötelezően alkalmazandó jellege mellett vannak természetesen egyéb különbségek, eltérések, nem is kevés. Csak néhány példa erejéig: az ISO rendszerhez képest a NIS2, illetve a hazai kibertörvény rendelkezései jóval konkrétabbak, pontosabb feladatokat, kontrollokat írnak elő, konkrét szektorokat, iparágakat neveznek meg kötelezettként, pontos incidens-bejelentési határidőket határoznak meg, hangsúlyosan kitérnek a beszállítókra is, hatósági ellenőrzéseket és szankciókat tesznek lehetővé, vagy például rendszeres kockázatértékelést írnak elő.

Mindenesetre az ISO, vagy más szabvány igen jó alapot jelent a felkészülés indításához, feltehetően jóval kevesebb munkát igényel majd a NIS2-re való felkészülés, mint egy ilyen meglévő rendszer nélkül.

„Nincs még hatósági metodika az elektronikus információs rendszerek biztonsági osztályba sorolására. Addig nem tudunk semmit sem elkezdeni…”

Egyrészt azért elég sok mindent el lehet kezdeni a biztonsági osztályba sorolás nélkül is, hogy mást ne mondjunk egy kockázatelemzést is el lehetne végezni. Az sem kis feladat… Másrészt a biztonsági osztályba sorolás hatósági metodikájáról a jogszabály (7/2024. MK rendelet, 1. melléklet, 2.1.2. pont) azt mondja, hogy „Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet a szervezet vezetője hagy jóvá, hatáselemzés alapján kell elvégezni. Az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóság ajánlásként hatáselemzési módszertanokat ad ki. Ha a szervezet saját hatáselemzési módszertannal nem rendelkezik, az így kiadott ajánlást köteles használni.” Tehát: HA a szervezet rendelkezik saját hatáselemzési módszertannal, akkor nyugodtan elkezdheti a biztonsági osztályba sorolást.

„Nekünk csak egy elektronikus információs rendszerünk van, és az is „alap” biztonsági osztály…”

Ezek a kérdések ugye az audit díjának megállapításánál elég komoly árkülönbségeket jelenthetnek. 1/2025. SZTFH rendelet, 3. melléklet: „A kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díja az 1.1., 1.2. és az 1.3. pont szerinti szorzószámok, valamint 1 750 000 forint szorzataként előálló összeg.”

• 1: A szervezet előző üzleti évi nettó árbevétele
• 2: A szervezet elektronikus információs rendszereinek (EIR) darabszáma
• 3: A szervezet elektronikus információs rendszereinek biztonsági osztálya

Azaz, ha például a szervezet előző üzleti évi nettó árbevétele 11 milliárd Ft, akkor ez adott, mérleg leadva, ezzel nem tud a szervezet mit kezdeni (ez esetben a 11 mlrd Ft-hoz tartozó szorzószám a 2,5).

Amivel próbálkoznak a szervezetek, az az EIR-ek darabszáma. A leggyakoribb az „itt minden egy rendszerben fut”. Ezzel az a gond, hogy ezt esetleg majd az auditor másként látja… Ez mondjuk még a kisebbik probléma, mert öt darab EIR-ig a szorzószám egyes, azaz mindegy, hogy egy vagy akár öt EIR-ünk van, a szorzószám egyes. Hat és tizenöt EIR között már pl. 2,5, 16 EIR felett 4 a szorzószám.

Vagy a biztonsági osztályba sorolás. „Nálunk nincsenek annyira fontos EIR-ek, mi mindent (azt az egyet…) „alap” biztonsági osztályba soroltunk.” Mert hogy az „alap” biztonsági osztály szorzószáma egyes. Ezzel ugyanaz a gond, mint az előbb. Az auditornak esetleg más lesz a véleménye. Ráadásul ezt a besorolást érintett hatóság is vizsgálni fogja! 418/2024. évi Kormányrendelet 30.§ szerint: „Az elektronikus információs rendszerek biztonsági osztályba sorolásának vizsgálata a nemzeti kiberbiztonsági hatóságnak megküldött információk alapján, jogszabályban meghatározott szempontok szerint történik.” „A nemzeti kiberbiztonsági hatóság a szervezet által megállapított biztonsági osztályt felülbírálhatja és indokolással magasabb biztonsági osztályba sorolást is megállapíthat.”

Az SZTFH rendelet szerint: „ha a szervezet valamennyi elektronikus információs rendszerének biztonsági osztálya „alap” biztonsági osztály, a szorzószám 1.Ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „jelentős” biztonsági osztály, a szorzószám 3, ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „magas” biztonsági osztály, a szorzószám 5.”

Tehát mennyi lehet az SZTFH rendelet szerint a kiberbiztonsági audit legmagasabb díja a fenti példa-árbevétellel számolva?

• A számunkra kedvező matek esetén: 1.750.000 x 2,5 x 1 x 1 = 4.375.000,-Ft+ÁFA
• A valósághoz közelebbi állapot esetén (pl. 6db EIR, amiből egy „jelentős”) 1.750.000 x 2,5 x2,5 x 3 = 32.812.500,-Ft+ÁFA.

Hát… Valóban nem mindegy…

A szervezetek döntéshozóinak mások a prioritásai.

Ez is természetes, és jogos. Akikre a kibertörvény NIS2 része vonatkozik, azok elég nagy szervezetek, a vezetőik abból a pozícióból gondolkodnak már hosszú évek óta. Azaz: „mi nem egy két fős Bt vagyunk, elég nagyok vagyunk, ráérünk, megoldjuk valahogy, a hatóság is „enyhébben kezel””,… Ez igaz, de mind a felkészítők, mind az auditorok is csak ilyen nagy cégekkel dolgoznak, csak ilyenekkel találkoznak, ez a piac csak ilyen nagy szervezetekből áll. Mindenki „nagy”, kiemelt, VIP vezető,…

 Ugyanakkor fontos lenne látni azt is, hogy a kibertörvény elég egyértelműen a „szervezet vezetőjére” ró igen sok feladatot. Ezek egy részét természetesen nem ő fogja elvégezni, de a felelősség az övé. 2024. évi LXIX. törvény 30. § (3): „Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a nemzeti kiberbiztonsági hatóság az eset összes körülményének mérlegelésével kormányrendeletben meghatározott mértékű bírsággal sújthatja, ismételt jogsértés esetén sújtani köteles.” A hivatkozott kormányrendelet a 418/2024. Kormányrendelet, ahol a 42.§ foglalkozik a Kiberbiztonsági bírságokkal. A 3. mellékletben elég részletesen le vannak írva a mulasztások és a kapcsolódó bírságok, de csak egy példa egy kategóriában a legmagasabb összegre: „ha a szervezet alapvető szervezetnek minősül 10 millió eurónak megfelelő forintösszeg vagy, ha ez magasabb a szervezet előző pénzügyi évi globális éves forgalma teljes összege 2%-ának megfelelő összeg”.

Ráadásul a Kormányrendelet 44.§ (4) szerint: „A bírság megfizetése nem mentesít a büntetőjogi, valamint a polgári jogi felelősség, valamint a bírság kiszabására okot adó körülmény megszüntetésének kötelezettsége alól.”

Ide kapcsolódik még egy-két „apróság”: 42.§ (4): „Ha a szervezet vezetője a jogszabályban előírt kötelezettségének nem tesz eleget, a nemzeti kiberbiztonsági hatóság 15 millió forintig terjedő bírsággal sújthatja, illetve ismételt jogsértés esetén sújtja.” Azaz, személy szerint a szervezet vezetője is kaphat pénzbírságot.

ÉS az információbiztonsági felügyelő (2024. évi LXIX. törvény 30. §): „Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a biztonsági hiányosságokat nem hárítja el, a megfeleléshez szükséges intézkedések meghozatalát elmulasztja, vagy a tevékenységet nem hagyja abba, a kiberbiztonsági hatóság… jogosult … a szervezet költségére információbiztonsági felügyelőt kirendelni.”

Na, ez az, amit senki sem szeretne… Az információbiztonsági felügyelőnek igen komoly jogosultságai vannak, például jogosult „azonnali intézkedést javasolni az érintett szervezet vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása)”.

Még egyszer: a jelenlegi gazdasági körülmények között teljesen jogos a szervezetek vezetőinek az a priorizálása, hogy először a túlélés (árbevétel, piacszerzés, stb.), és minden más csak utána következhet. Ugyanakkor a kibertörvény és „környéke” - bár senki sem a „nulláról indul” - szintén elég sok feladatot ró az érintettekre. És nincs rá sem túl sok idő, sem túl sok erőforrás.

 www.nuce.hu