A NIS2 megfelelés költségei - tapasztalatok tanácsadói szemszögből a felkészülés és az audit folyamatában A NIS2 irányelvnek való megfelelés nem csupán jogi kötelezettség, hanem a vállalatok számára is fontos lépés a kiberbiztonság megerősítése érdekében

Üzleti

A NIS2 már több mint két éve képez fókuszt az üzleti diskurzusban, hiszen minden hónapban újabb és újabb kérdések merülnek fel a hatálybalépéssel, a késlekedő jogszabályi keretekkel, valamint az auditok szokatlan megközelítéseivel kapcsolatban. Az idei év első felét egyértelműen az audit körüli témák dominálják, míg a felkészülési tapasztalatokról eddig viszonylag keveset hallhattunk, pedig ezek is fontos tanulságokat rejtenek. Zala Mihállyal, az E&Y partnerével és a kibervédelmi üzletág vezetőjével a teoretikus dilemmák helyett a gyakorlati megoldásokra összpontosítottunk. Érdekes módon ezek a megoldások sok esetben épp az ellenkező irányba mutatnak, mint amit a jogalkotó inicialmente elvárt.

A NIS2 2022. december 27-én jelent meg az EU Hivatalos Lapjában, majd 2023. január 16-án lépett életbe, az irányelvet pedig az EU-tagállamoknak 2024. október 17-ig kellett átültetniük a saját jogrendjükbe. Magyarország meglehetősen elöl járt az irányelv implementálásában, a problémák a gyakorlati megvalósításnál kezdődtek.

A NIS2 irányelv hatálya alá tartozó érintetteknek 2024. június 30-ig kötelezően nyilvántartásba kellett vétetniük magukat az SZTFH-nál. Ezt követően, december 31-ig le kellett volna szerződniük egy auditorcéggel a folyamat további lépése érdekében. Azonban a folyamat során számos nehézség merült fel. Sok érintett tévesen azonosította magát vagy tevékenységi körét, sőt, akadtak, akik ki sem jelentkeztek érintettként. Emellett az auditálásra való felkészülés során is komoly problémák bukkantak fel, amelyekre a jogalkotó eddig még nem kínált teljes körű megoldást.

Magyarország területén körülbelül négyezer vállalat tartozik a NIS2 irányelvek hatálya alá. A kezdeti időszakban sok érintett szervezet nem volt megfelelően felkészült, és ezt a helyzetet kihasználva gyorsan megjelentek olyan "szakértők", akik gyakran nem rendelkeztek megfelelő tudással vagy auditált tapasztalattal a cégek felkészítésében. A felkészítési folyamatok általában rendkívül alacsony árakon kezdődtek, mivel a piaci szereplők abban bíztak, hogy hosszú távon auditálással vagy tanácsadással ellensúlyozhatják a kezdeti költségeiket. Azonban sok esetben ez nem valósult meg. Ráadásul a felkészítések minősége is gyakran elmaradt az elvárásoktól, amiért az érintett cégek végül akár az "újrafelkészítés" költségeit is meg kellett téríteniük.

Zala Mihály megosztotta velünk élményeit és tapasztalatait.

A vállalatok között éles eltérések figyelhetők meg. A nemzetközi hátterű cégek általában rendelkeztek valamilyen szintű csoportos informatikai szabályozással, ám ezek gyakran nem voltak összhangban a magyar hatóságok által támasztott követelményekkel. Ezzel szemben a hazai tulajdonú vállalatoknál sok esetben hiányoztak még a legalapvetőbb szabályzatok, adatkezelési eljárások vagy információbiztonsági irányelvek is - sokszor csupán a "szokásjog" alapján kezelték a digitális eszközöket és adatokat.

A felkészültség szintje iparáganként jelentős eltéréseket mutat. Különösen aggasztó, hogy az élelmiszeripar, valamint az agrár- és termelővállalatok területén a legnagyobb hátrányok figyelhetők meg.

Az ilyen vállalatok gyakran évtizedek óta működő informatikai infrastruktúrával rendelkeznek. Ráadásul sok esetben nem is tudják, hogy az általuk használt eszközök – például a felhőalapú rendszerek által irányított fejőgépek – valójában információs rendszereknek számítanak. Ezzel a kérdéssel nemrégiben találkoztam egy felkészítő tréning során. Az információbiztonság fogalma ezeknél a cégeknél jellemzően csupán az alapvető higiéniai előírásokra korlátozódik.

- tette hozzá Zala Mihály.

Ezzel szemben az autóipari beszállítók, a gyógyszeripari és egészségügyi vállalatok, valamint a pénzügyi intézmények már hosszú évek óta szigorú auditálási és szabályozási keretrendszerben tevékenykednek. Az ISO 27001, a DORA, és a TISAX alapú ellenőrzések következtében náluk sokkal tudatosabb megfelelési struktúrák alakultak ki. Az energetikai szektor is a jól teljesítő iparágak között emelhető ki.

Az iparági felkészültség szintjeit az alábbi táblázat mutatja be:

Iparági felkészültség értékelése (1-5 skálán):

Számos magyar vállalat próbálta minimalizálni a kötelezettségeket azzal, hogy kizárólag egy tevékenységi kör alapján regisztrált, vagy éppen kivezette a tevékenységi köréből azt, amelyik miatt érintettnek vélte magát a szabályozásban. Ez azonban sok esetben nem volt tartható, mivel a cégek gyakran többféle TEÁOR szerinti tevékenységet is végeznek, például ahol hulladékgazdálkodással foglalkoznak, ott sok esetben vegyipari tevékenység is van (vagy fordítva), ahol gyártási tevékenység van, ott sokszor megjelenik a hulladékgazdálkodás is.

Amikor a kiskereskedelmi élelmiszerláncokat mentesítették a szabályozásoktól, számos vállalat automatikusan lemondta a regisztrációját. Azonban az ellenőrzések során valószínű, hogy kiderül: ezek a cégek sok esetben más kötelező tevékenységeket is folytatnak. Az adatbázisok, mint például a NÉBIH és a MEKH, valamint a szakmai hatóságok által fenntartott nyilvántartások alapján előbb-utóbb rálátásuk lesz ezekre a cégekre. Nem kizárt, hogy ennek következtében büntetőintézkedések is életbe lépnek.

Zala Mihály kifejtette aggályait, hangsúlyozva, hogy léteznek olyan érintett vállalatok is, amelyek nem szándékosan, csupán figyelmetlenségből vagy a tevékenységeik nem megfelelő regisztrálása miatt kerültek a helyzetbe. Kiemelte, hogy az SZTFH-hoz benyújtott nyilvántartási kérelem során a cégeknek minden olyan tevékenységet fel kell tüntetniük, amely a törvény hatálya alá esik, nem csupán a főtevékenységüket. Azonban sok vállalat nincs teljesen tisztában azzal, hogy pontosan mely tevékenységek miatt számítanak érintettnek, vagy hogy milyen TEÁOR-számaik vannak. Ennek következtében gyakran meglepetés éri őket, amikor kiderül, hogy IKT-szolgáltatóként is besorolhatóak - tette hozzá az EY partnere.

A NIS2-megfelelés terén az auditálás kérdése kiemelkedő konfliktusforrást jelent. Az alap biztonsági osztályba tartozó, 1-5 EIR-rel rendelkező, egymilliárd forint árbevétel alatti vállalatok esetében az audit költsége csupán 1,5 millió forintot tesz ki. Ez azért lehetséges, mert az alapdíjra egy 0,9-es szorzót alkalmaznak, míg az EIR-számok esetében 1-es szorzó érvényesül.

Az auditorcégek többször is kifejezték aggályaikat az auditokra vonatkozó komplex módszertannal kapcsolatban, amely akár 1400 kérdést és több száz oldalnyi dokumentációt is magában foglal. Ezt a terjedelmes rendszert azonban nem lehet hatékonyan megvalósítani a jelenlegi költségkeretek között, különösen nem 2-3 hét alatt. Ráadásul, bár az audit díja sávosan változik, a több milliárd forintos árbevételű vállalatok esetében nem tapasztalható jelentős növekedés. Az árbevétel-arányos megközelítés nem tűnik indokoltnak, hiszen a szorzók emelkedése nem látszik logikusnak.

Az egy- és ötmilliárd forint közötti éves árbevétellel rendelkező vállalatok esetében az audit díja 1,925 ezer forintra rúg, amely az 1,1-es szorzónak köszönhető (itt is az 1-5 alapbiztonsági osztályú EIR-eket vesszük figyelembe). Ezzel szemben a tízmilliárd forint feletti cégek esetén az audit költsége már 2,5-szörös szorzót kap. A negyvenmilliárd forintot meghaladó árbevételű vállalatok esetében pedig a szorzó 4-szeres, ami jelentősen megemeli a költségeket, különösen abban az esetben, ha egy cég öt vagy annál több EIR-t azonosít magánál. A legtöbb vállalat általában arra törekszik, hogy az EIR-ek számát ötben maximalizálja.

A nagyobb cégeknél (például 40 milliárd felett) az auditdíjak a 140 millió forintig is terjedhetnek. Ennyi lehet a legdrágább auditdíj (magas biztonsági osztályú, 16 vagy annál több EIR esetén).

"Mindez azt eredményezi, hogy sem az ügyfelek, sem az auditorok nincsenek megfelelő motivációs helyzetben. A nagyvállalatok auditálása és egy néhány fős kis cég megfelelőségi vizsgálata hasonló eljárási mélységet kíván, miközben a cégek mérete és komplexitása között sokszor százszoros az eltérés. A módszertan nem biztosít differenciálást, így a kisebb vállalkozások komoly hátrányba kerülhetnek, hiszen nem minden auditor vállalja el azt a mennyiségű munkát az alacsonyabb díjazás fejében"

„Tedd különlegessé a szöveged!” - javasolta Zala Mihály.

Az idén december 31-re ugyanakkor már meg kell lennie az első auditnak. A törvényi előírás teljesítését nemcsak a financiális terhek, hanem az akkreditált auditorok alacsony száma is nehezíti. A tavaly megjelent, az auditorokra vonatkozó SZTFH-rendeletnek csupán maroknyi cég felel meg. Mindössze 10 regisztrált auditor van jelenleg Magyarországon, miközben nagyjából 3500-4000 vállalatnak kellene auditot végeztetnie.

A legtöbb auditorcég napjainkban olyan innovatív megoldások után kutat, amelyek képesek automatizálni az auditfolyamat különböző fázisait. Ennek jegyében kiemelt szerepet kapnak a kérdőíves rendszerek, integrált platformok, dokumentumfeltöltő felületek, valamint a mesterséges intelligencián alapuló értékelési eszközök. E törekvések célja, hogy minimalizálják a szükséges humánerőforrást, és ezzel párhuzamosan jelentősen lerövidítsék az auditciklus időtartamát.

MagyarországÉlelmiszeriparAutómagyar forintGyógyszerekMezőgazdaságEurópai UnióZala megyeDigitális adatokHigiéniaNemzeti Élelmiszerlánc-biztonsági HivatalAdatbázisInformatikaFlorinMagyar Energetikai és Közmű-szabályozási HivatalEnergetikaVegyiparErnst & YoungNemzetközi Szabványügyi SzervezetHulladékgazdálkodás

Related posts

Magyar Péter jelöltválogatása: érkeznek a kudarcra ítéltek, a naiv ábrándozók és azok, akik mindent egyetlen kártyára tesznek fel, ahogyan ő is tette.

Magyar Péter jelöltválogatása: érkeznek a kudarcra ítéltek, a naiv ábrándozók és azok, akik mindent egyetlen kártyára tesznek fel, ahogyan ő is tette.

Egy különleges gyümölcs, amelynek piaca határtalan lehetőségeket rejt magában – és most, öt évtized elteltével, végre hazánkban is megszületett a saját fajtája!

Egy különleges gyümölcs, amelynek piaca határtalan lehetőségeket rejt magában – és most, öt évtized elteltével, végre hazánkban is megszületett a saját fajtája!

Homola Paloznak: A bor és a piac varázslatos átalakulásai A Homola pincészet mindig is a minőség és az innováció szimbóluma volt Paloznakon. Az utóbbi években azonban a borászat nem csupán a borok ízletes világában, hanem a piaci stratégiák terén is jele

Homola Paloznak: A bor és a piac varázslatos átalakulásai A Homola pincészet mindig is a minőség és az innováció szimbóluma volt Paloznakon. Az utóbbi években azonban a borászat nem csupán a borok ízletes világában, hanem a piaci stratégiák terén is jele

Brooklyn Beckham ismét a hírek középpontjába került, hiszen Nicola Peltz-t a legrosszabbak között is a legrosszabbnak titulálták, akit sokan szörnyetegnek is neveztek. A Life magazin szerint ez a kijelentés hatalmas felháborodást keltett, és a rajongók is

Brooklyn Beckham ismét a hírek középpontjába került, hiszen Nicola Peltz-t a legrosszabbak között is a legrosszabbnak titulálták, akit sokan szörnyetegnek is neveztek. A Life magazin szerint ez a kijelentés hatalmas felháborodást keltett, és a rajongók is

A túlzott önbizalomnak végül megvolt a következménye.

A túlzott önbizalomnak végül megvolt a következménye.

A kétgyermekes édesanya éppen nem a megszokott női pályát választja magának.

A kétgyermekes édesanya éppen nem a megszokott női pályát választja magának.