Több mint tízbillió (ten trillion) dollárról szólnak az iparági becslések, amelyek a kibertámadások által okozott globális károkat prognosztizálják az idei évre. Ha ezt a pénzt nem nemzetközi bűnözői csoportok termelnék meg, hanem egy ország, akkor az Egyesült Államok és Kína után a világ harmadik legnagyobb gazdaságáról lenne szó. Az IBM legfrissebb jelentése szerint az ázsiai–csendes-óceáni térség és Észak-Amerika után Európa a legkedveltebb célpontja az online bűnözőknek. Akik számára minden és mindenki célpont, az igazán nagy zsákmányt a különféle cégek, azon belül is főleg a pénzintézetek megtámadásától remélik.

Ezek ismeretében érthető, hogy a NIS2 néven ismert uniós kiberbiztonsági irányelv, illetve a pénzügyi szektor számára dedikált előírásokat felsorakoztató DORA rendelet célja nem az adminisztrációs teher növelése, hanem a nagyon is valós fenyegetettség kivédése. Az előbbi, a szélesebb kört érintő irányelv az Európai Unió Közlönyében jelent meg még 2022 végén, majd 2023 elején hatályba lépett, amire a magyar jogalkotás példamutató gyorsasággal reagált. Magyarország az Európai Unió országai közül elsőként építette be a NIS2-t a jogrendjébe, egy ponton megtorpant azonban a folyamat, ami jelentős időveszteség a cégek felkészülése és az audit tekintetében is. Bár az Európai Unió előírása szerint a NIS2 jogharmonizációját 2024. október közepéig el kellett volna végezni, ez még mindig nem történt meg teljesen. A késlekedés miatt az Európai Bizottság Magyarországnak – és másik 18 uniós tagországnak – a napokban küldött felszólítólevelet.

„Magyarországon mintegy négyezer cégnek kellene a NIS2 alapján elvégeztetnie a kiberbiztonsági auditot 2025. december 31-éig. Eddig azonban alig néhány ilyen vizsgálat indult el, így szinte biztos, hogy ez a határidő nem lesz tartható” – adott betekintést a hazai valóságba Bor Olivér, az EY Magyarország kiberbiztonsági menedzsere. Az okok közül kiemelkedik az említett jogalkotási késlekedés, amely miatt sokáig nem lehetett tudni például, hogy ki és milyen feltételekkel lehet auditor Magyarországon, de még azt sem, hogy az érintett cégek milyen követelmények mentén sorolják be biztonsági osztályokba az elektronikus információs rendszereiket. Ezek a jogszabályok mind 2024 júniusában jelentek meg, egy-két héttel annak a határidőnek a lejárta előtt, amit a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) a cégeknek határozott meg a NIS2-regisztrációra.

A tavaly nyári mérföldkő után több mint fél év telt el, mire megjelent az a módszertani szabályozás, amely leírja, hogyan kell dolgozniuk az auditoroknak, és legfeljebb mekkora összeget kérhetnek el a feladat elvégzéséért. Az ezeket leíró 1/2025-ös SZTFH rendelet 2025. január 31-én jelent meg és 2025. február 3-án lépett hatályba. A késlekedés miatt egyetlen cég sem tudott leszerződni az auditálást végző cégekkel az eredetileg megadott határidőig, hiszen azok a rendelet hiányában még árajánlatot sem tudtak adni a vállalatoknak.

„Jelenleg Magyarországon tíz cég végezhet auditálást. Nem nehéz belátni, hogy a nagyjából négyezer érintett vállalkozás mindegyikét lehetetlen 2025. december 31-éig auditálni. De még akkor sem biztos, hogy sikerülne, ha ezt a határidőt kitolnák 2026 júliusáig” – hangsúlyozza Zala Mihály, az EY Magyarország kibervédelmi üzletágának vezetője. (Az SZTFH a Magyar Kereskedelmi és Iparkamarával közösen május elején tett javaslatot a határidő kitolására 2026. június 30-áig.) Szerinte alapvetően nem baj, hogy rendkívül szigorúak az auditorrá válás feltételei, ám az auditálási folyamatok automatizálása nélkül nagyon nehéz lesz a cégek hatékony ellenőrzése.

A kibervédelmi megfelelés igazolásának folyamatát ráadásul azok a vállalkozások is hátráltatják, amelyeket érint a szabályozás. Az SZTFH-nál kell regisztrálni azt, hogy pontosan milyen tevékenység esik a NIS2 kiberbiztonsági irányelv alá. Bár a hatóság több roadshow-t is indított ennek kapcsán, így rengeteg cégvezetőt sikerült elérni és tájékoztatni a teendőkről, a regisztráció után valamiért megakadt a felkészülési és az auditálási folyamat is. A becslések szerint jelenleg nagyjából 3000-3500 olyan cég van Magyarországon, amely még árajánlatot sem kért arra az auditra, amelyet pedig kötelezően el kell végeztetnie.

A hatóságnak a jogszabályok betartatására több eszköze is van, melyek közül a legdrasztikusabbra, bírság kiszabására egyelőre nem került sor – mondja Zala Mihály. Hozzáteszi, hogy még ezt figyelembe véve sem éri meg a vállalatoknak a megúszásra játszani: míg az auditálás a legtöbb cégnek (alapesetben) 1,5–20 millió forintjába kerül, a mulasztás viszont 50 millió forintos büntetési tételt vonhat maga után. Ennél is nagyobb bírsággal sújtják azt a céget, amelyik elfelejtett (vagy új indulóként ezután felejt el) regisztrálni, ilyen esetben már 150 milliót is elérhet a büntetés.

A szakértő szerint vélelmezhető, hogy aki a regisztrációt kis késéssel ugyan, de mielőbb elvégzi, azt jó eséllyel csak minimális büntetéssel szankcionálják, esetleg sehogy.

Az irányelveknek megfelelni azonban nem is elsősorban a kilátásba helyezett büntetési tételek miatt érdemes. Széles körű az egyetértés a kiberbiztonsági szakértők között, hogy az érintettek elemi érdeke ellenállóbbá válni a kibertámadásokkal szemben. Ha a gazdaság és a társadalom szempontjából kiemelkedő jelentőségű szervezetek ellenálló képessége jelentősen nő, az egész társadalom válik védettebbé a kibertámadások ellen.

Az már a késlekedések hatása lehet, amivel a magyarok a Digitális Állampolgárság Program (DÁP) felületein találkozhatnak. Az eredeti tervek szerint a DÁP-on június 1-jétől, azaz néhány nap múlva mintegy 200 vállalatnak kellene ügyfélkapcsolati lehetőségeket nyújtania, ennek feltétele, hogy május 31-éig végezzenek az auditálással. Az EY szakértői szerint ez biztosan nem fog maradéktalanul teljesülni minden érintett cégnél.

Még több teendőjük van a pénzügyi szolgáltatóknak, amelyekre a DORA néven ismert lex specialis uniós jogforrás szigorúbb követelményeket ír elő többek között az infokommunikációs technológiai kockázatok kezelésére, az esetleges incidensek bejelentésére és a tesztelésre is. Ezeknek 2025. január 16-a óta kötelező megfelelni. Azért kellett külön rendelet a pénzügyi szektor számára, mert ez a terület a támadások egyik legfőbb célpontja – magyarázza Zala Mihály. Mivel ez a rendelet közvetlenül alkalmazandó, így nem volt jogharmonizáció, amely késést okozott volna. Ugyanakkor mivel a bankok olyan informatikai cégekkel is együtt dolgoznak, amelyeknek meg kell felelniük a NIS2-nek, ez utóbbi késlekedése a pénzügyi szektor szereplői számára is okozhat majd fejfájást.