Aggályok a NIS 2 irányelv hazai alkalmazásánál

Rövid összefoglaló: gond lesz a NIS 2 irányelvvel érintett szervezetek auditálásával

Alapvetések

Az EU NIS 2 irányelvének hazai implementációja a 2023. évi XXIII. törvény „a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”. Ez a törvény előírja, hogy „Az érintett szervezet az e törvény szerinti kiberbiztonsági követelményeknek való megfelelés bizonyítására köteles kétévente a tevékenység végzésére jogosult, független auditor … által kiberbiztonsági auditot végeztetni.”  

Valamint, hogy „Az érintett szervezet köteles

  1. a nyilvántartásba vételét követő 120 napon belül a 23. § (1) bekezdése szerinti kiberbiztonsági audit elvégzésére a 23. § (6) bekezdése szerinti nyilvántartásban szereplő auditorral megállapodást kötni, és
  2. a 23. § (1) bekezdése szerinti kiberbiztonsági auditot első alkalommal a nyilvántartásba vételét követő két éven belül elvégeztetni.”

DE: a törvény átmeneti rendelkezési között szerepel az is, hogy „30. § (5) Az az érintett szervezet, amely 2024. január 1-je előtt megkezdte működését, a 23. § szerinti első kiberbiztonsági auditot 2025. december 31-ig köteles elvégeztetni.”

Ezzel azért gond lesz. (Később is, de 2025 folyamán biztosan)

Ugye az audit előtt az érintett szervezeteknek, cégeknek fel is kell készülniük az auditra, ami idő (és pénz). A törvény viszonylag friss, és az elvárások részletezése a 7/2024-es MK rendeletben lett publikálva, ami 2024 június 25-én jelent meg, ettől a naptól hatályos. A törvényjavaslat ugyan már februárban publikus volt, de erre azért nem lehetett alapozni…

Nyilván az érintett szervezetek mindegyike már eddig is foglalkozott kiberbiztonsággal, megpróbálta eddig is biztonságosra építeni a rendszerét a saját jól felfogott érdekei miatt, de a 7/2024-es MK rendeletet akkor is alaposan át kell mindenkinek néznie, a hiányosságokat pótolni, a dokumentációkat pontosítani.

Ezt a felkészülést jó esetben 2024 őszén már elkezdik, de már az érintettek méretei és komplexitása miatt is ez igencsak időigényes munka. Azaz, nagyon jó esetben 2025 elejétől lehetnek készen az auditra.

Ugyanakkor a hazai viszonyokat ismerve, azt is tudja mindenki, hogy az auditot minden érintett 2025 őszén szeretné elvégeztetni…

 

És akkor a számokról…

A hatóság becslései szerint 2500-3000 szervezet lehet érintett a NIS 2 jogszabállyal, de mint többször elmondták „senkit sem szeretnének elengedni”. Azaz, például a 2013. L. törvény által érintett szervezeteket sem…

Állítólag 2024 októberéig már mintegy 4000 szervezet vétette magát nyilvántartásba.

A nyilvántartásba kerülő szervezetek számának felső határára igen szélsőséges becslések vannak, amik akár 6-8000-es számot is elérhetik. Ha a 2013. L. törvény hatálya alá tartozó szervezeteket is ide sorolják, akkor jóóóval több.

A hatóság 2024 októberéig HAT cégnek engedélyezte a NIS 2 auditálás lehetőségét. Ebből egyetlen cég jogosult a „magas” biztonsági osztályba sorolt szervezetek auditálásra.

Ezeknek a cégeknek a kötelezően publikált utolsó mérlegeik szerint mintegy 660 alkalmazottja van összesen. Ebből az Ernst & Young Tanácsadó Korlátolt Felelősségű Társaság 536 alkalmazottja jelenti a legnagyobb létszámot, de ezen kollégák döntő többsége pénzügyi szakember, könyvvizsgáló. A többi regisztrált auditor teljes alkalmazotti létszámából is nyugodtan le lehet vonni a titkárnőket, jogászokat, ügyvezetőket, juniorokat, hardveres kollégákat, belső rendszergazdákat, stb. Ráadásul azon szakembereik száma, akik érdemben és korrektül le tudnak folytatni egy-egy ilyen NIS 2 auditot igencsak szűk lehet.

Jóindulattal talán 70-80 ilyen szakember lehet a hat auditor cégnél összesen.

Ezek az auditor cégek különben tényleg jók, komoly szakemberekkel, szakértői gárdával, és igen komoly szoftveres támogatással végzik a munkájukat. Szakmailag nagyon nehéz lenne beléjük kötni, még nemzetközi szinten is.

 

Vegyük most a minimális érintetti (nyilvántartásba jelentkezett) számot (!!), mondjuk „csak” 3500 szervezetet.

Ez esetben, a hat auditor cég, egyenként közel 600 céget kellene hogy auditáljon, ennyivel kellene szerződnie már 2024 végéig!

HA auditoronként egyenlően oszlanának el a megfelelő szakemberek, akkor cégenként 12-13 auditor kellene, hogy átvizsgáljon legfeljebb egy év alatt durván 600 szervezetet.

HA auditoronként egyenlően oszlanának el a megbízások. De nyilván a világ nem így működik. Első lépésben rögtön az auditorok minősítési szintje is vízválasztó. A hatóság becslése szerint a regisztrált szervezetek mintegy 60%-a lesz „alap” szintű biztonsági osztályba besorolt. Ha ez igaz, akkor talán 20-25% lesz „magas” biztonsági osztályba besorolt. Azaz öt cég „osztozik” legalább 2-2500 érintett szervezeten, és egyetlen cég kellene, hogy leauditáljon 2025-ben legalább 7-800 „magas” biztonsági osztályba besorolt szervezetet.

Természetesen párhuzamosan is végezhető audit, de a közel 30 évnyi saját audit tapasztalataink után tudjuk: 2-3 cégnél többet egyszerre nem lehet felelősséggel és megfelelő odafigyeléssel vállalnia egy-egy csapatnak.

De van egy további rossz hír: ezek az auditor cégek eddig is igen jól működtek, igen komoly terheléssel, sok munkával, megrendelővel. Nem véletlenül! Hova fogják „beilleszteni” a most hirtelen megjelenő többszáz új ügyfelet, audit munkát??

Bővülhetnek, felvehetnek új alkalmazottakat? Még egyszer: olyan szakember, aki a NIS 2 rendelet szerinti auditot komolyan és felelősségteljesen el tudja végezni, megfelelő tapasztalattal rendelkezik, eleve nem sok van. Főleg nem olyan, aki munka nélküli, vagy esetleg váltani szeretne… Azaz: ez a lehetőség is igencsak korlátozott, érdemben nem változtat a terhelésen. És mi van, ha ezt a matekot az auditorok is elvégzik, és nem lesznek hajlandóak ekkora terheléssel és nyomás alatt dolgozni folyamatosan, esetleg azt mondják, hogy ez szakmailag számukra vállalhatatlan és kilépnek?

 

A NIS2 aggályok összesítve

2025-ben 252 munkanap lesz.

5-600-?? szervezetet kellene egy auditor cégnek átvilágítania nagyjából 252 munkanap alatt?

  • HA tényleg lenne mondjuk mindenkinek 12-13 megfelelő szakembere erre a feladatra, akkor 2500-3000 „auditornap” lenne egy-egy auditor cégnek egy évben 5-600 szervezetre, és
  • HA három szervezetet auditálna minden szakembere párhuzamosan, és
  • HA egyenletesen oszlana el a terhelés mind megrendelői számban mind az év során, és
  • HA semmi mást nem csinálnának 2025-ben (!) csak NIS 2 auditot
    • (azért ez elég sok „ha”)

akkor: tíz-tizenöt munkanaponta minden cég minden egyes szakembere három érintett szervezetet párhuzamosan

  • elkezd,
  • meglévő anyagokat begyűjt,
  • átnéz,
  • százoldalas szabályzatokat átolvas,
  • az MK rendelet követelményeivel összevet,
  • hiányosságokra/pontatlanságokra rákérdez,
  • pótol,
  • jelentést ír,
  • ellenőriz,
  • átad,
  • post-audit meeting,
  • lezár.

Igen, a fenti számok elég bizonytalanok, emiatt nyilván a levezetés is pontatlan, de a nagyságrendek stimmelnek, és a kérdés is jogosan vetődik fel: ezek vajon milyen minőségű vizsgálatok lesznek?

Ráadásul a fentiek azzal a feltételezéssel igazak, hogy minden érintett szervezet minden kapcsolattartója azonnal küld minden anyagot, minden kérdésre-kérésre azonnal válaszol, nincs várakozás/késedelem, a teljes 2025-ös naptári év minden munkanapjának minden perce optimálisan ki lesz használva, stb. Az év során egyetlen projektben egyetlen nap csúszás sincs… ????

Mivel a terhelés nyilván nem lesz egyenletes, ez nem lesz „standard normális eloszlású”, tehát 2025 második felétől fokozatosan fog nőni a terhelés, és ennek megfelelően tovább fog csökkenni a minőség…