Új kiberbiztonsági szabályozás: milliós megtakarítást is jelenthet az optimalizálás

Kiberbiztonsági felügyeleti díj és audit: így alakulnak a költségek

Az új rendeletek értelmében minden érintett szervezet évente kiberbiztonsági felügyeleti díjat köteles fizetni az SZTFH számára, amelynek maximális mértéke 10 millió forint, a nettó árbevételtől függően. [Február 3-án lépett hatályba a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” 1/2025. (I. 31.) SZTFH rendelete, március 3-án pedig a 2/2025. (I. 31.) SZTFH rendelete.] A kiberbiztonsági auditot pedig az idei évtől kezdődően kétévente kötelező elkészíteni, illetve megújítani.

Az audit díja két tényezőtől függ:
1. A vállalat árbevétele. Az előző üzleti évi nettó árbevétele alapján számítják, itt a szorzószám 1-40 milliárd forint árbevétel között lépcsőzetesen emelkedik, a maximuma pedig 4-es.
2. Az elektronikus információs rendszerek (EIR) száma és besorolása. Minél több és magasabb kiberbiztonsági osztályba tartozó rendszert használ egy cég, annál nagyobb az audit költsége.

További jelentős kiadás lehet az audit előkészítése és a megfelelés biztosítása, mivel a legtöbb vállalatnak külső szakértői segítségre van szüksége a követelmények teljesítéséhez. Mivel az idei év az első mindkét díj megfizetésére, ezért 2025-ben jelentős költségek terhelik majd a szabályozás alá eső vállalatokat.

Jelentős különbségek, könnyen elszálló kiadások

Minimum költségek

A legkedvezőbb díjakkal azok a vállalatok számolhatnak, amelyek:
– legfeljebb 1 milliárd forint árbevétellel rendelkeznek, és
– maximum 5 elektronikus információs rendszert (EIR) üzemeltetnek az „alap” biztonsági osztályon belül.

Számukra az audit díja 1 575 000 forint kétévente, a felügyeleti díj pedig 150 000 forint évente.

Maximum költségek

A legnagyobb terhet azoknak a szervezeteknek kell viselniük, amelyek
– 40 milliárd forint feletti árbevétellel rendelkeznek, és
– 16 vagy több EIR-t üzemeltetnek, köztük „magas” biztonsági osztályba tartozó rendszerekkel.

Számukra az audit díja kétévente akár a 140 millió forintot, a felügyeleti díj pedig évente akár a 10 millió forintot is elérheti.

Miért ekkora a különbség?

A magasabb auditköltség oka az alkalmazott szorzószámok rendszere. A legnagyobb, 80-as szorzószámból csupán a 4-es faktor függ kizárólag a vállalat árbevételétől – ezen nincs lehetőség spórolni. A fennmaradó tényezők azonban az EIR-ek számától és biztonsági besorolásától függenek, így ezek optimalizálásával csökkenthetők a költségek.

Nem véletlen, hogy sok érintett vállalat és információbiztonsági felelős azon dolgozik, hogy
– a rendszereik számát 16 vagy akár 6 alá szorítsák, és
– a lehető legtöbb rendszert alacsonyabb biztonsági osztályba sorolják.

Ezzel jelentősen csökkenthetők az audit- és a felügyeleti költségek, és akár több tízmillió forintot is megspórolhatnak.

Optimalizálási lehetőségek: hogyan csökkenthetők az auditköltségek?

Kóczé Péter elárul néhány optimalizálási lehetőséget annak érdekében, hogy egy, vagy akár több lépésben is alacsonyabb szorzószámmal kalkulálhassanak az erre kötelezett vállalatok. Fontos hangsúlyozni, hogy ezeknek minden esetben megalapozott szakmai döntéseket kell alapulniuk.

A szorzószámok az alábbiak szerint alakulnak az EIR-ek mennyisége szerint:
– 1–5 darab esetén a szorzószám 1;
– 6–15 darab esetén a szorzószám 2,5;
– 16 vagy annál több darab esetén a szorzószám 4.

Az EIR-ek minősége szerint pedig így:
– ha a szervezet valamennyi elektronikus információs rendszerének biztonsági osztálya „alap” biztonsági osztályba sorolható, a szorzószám 1;
ha bármely EIR biztonsági osztálya „jelentős” biztonsági osztályba esik, a szorzószám 3;
– ha pedig bármely EIR biztonsági osztálya „magas” biztonsági osztályba esik, a szorzószám 5.

Az egyedi szorzószámokat kombinálva áll össze az audit végső költségképlete. Ezért azok a vállalatok, amelyek határértékeken mozognak, jelentős összeget takaríthatnak meg azzal, ha csökkentik az EIR-ek számát vagy alacsonyabb védelmi osztályba sorolják őket.

Optimalizálási lehetőségek

EIR-ek csoportosítása

Az audit önbevalláson alapul, így a cégek maguk határozhatják meg, hogy milyen logika mentén sorolják be rendszereiket. Érdemes úgy szervezni az EIR-eket, hogy azok lehetőleg maximum 5 vagy 15 darabos halmazokba kerüljenek, így elkerülhető a magasabb szorzószám alkalmazása. A csoportosítás során gyakorlatilag bármilyen életszerű logika alkalmazható, nem feltétlenül kell a szervezeti egységek vagy az alkalmazott informatikai rendszerek fizikai határait tükröző szervezést követni. Kialakítható például egy „Irodai környezet” nevű EIR, amivel az összes olyan szoftver, hardver és üzleti folyamat kerül lefedésre, amit a kollégák az irodai munkakörnyezetben használnak. Egy másik csoportba pedig a gyártásban használt rendszerek kerülnek. Természetesen mindig figyelembe kell venni ennek járulékos hatásait is (tárolt adatok köre, üzletfolytonosságra gyakorolt hatást stb.).

EIR-ek biztonsági besorolásának kezelése

A Kibertan-törvény kötött feltételeket határoz meg EIR-ek biztonsági osztályba sorolásához, ugyanakkor ezek transzparenciája optimalizálási lehetőségeket is lehetővé tesz. Nem célszerű például olyan szoftvereket csoportosítani egyetlen EIR-be amelyek együttesen jelentős mennyiségű személyes adatot tartalmaznak vagy amelyek együttes kiesése olyan mértékű közvetlen vagy közvetett kárt okozhat a vállalatnak, ami miatt már nem választható az „alap” biztonsági osztály. A legoptimálisabb esetben egyetlen EIR-t sem kell a „magas” vagy a „jelentős” védelmi osztályba sorolni.

Átszervezés és kiszervezés

Teljesensaját infrastruktúra üzemeltetése helyett érdemes lehet megfontolni a felhőalapú szolgáltatások vagy bérleti konstrukciók igénybevételét is és ezeket egy külön EIR-be sorolni. Ebben a hibrid konstrukcióban az üzleti folyamatok és funkciók kiszolgálása megosztásra kerül a helyben telepített szoftverek és felhőben elérhető szoftver-szolgáltatások között, amivel könnyebben elérheti a társaság, hogy az egyes EIR-ek mind az „alap” biztonsági osztályban maradhassanak. Ráadásul a kiszervezett szolgáltatások esetében a hozzájuk tartozó védelmi intézkedések is könnyebben kialakíthatóak, hiszen azok egy részéért már nem a vállalatunk, hanem a kiszervezetett szolgáltatásért felelős partnerünk felel.

Az EIR-ek összeírására és biztonsági osztályba sorolására a társaságok nagy részének már nincsen sok ideje. A Kibertan-törvény alapján a hatósági regisztrációt követően 120 napon belül kell szerződést kötniük egy kiválasztott NIS2 auditorral, ami a törvény januári eleji hatályba lépését alapul véve egy április végi határidőt jelöl ki azon vállalatok számára, akik ezt a regisztrációt már tavaly megtették.

A biztonsági osztályba soroláskor az alábbi kiberbiztonsági paramétereket kell figyelembe vennie minden auditra kötelezett vállalatnak:
– Sérülhet-e nagy mennyiségű személyes adat az EIR-t ért káresemény során?
– Sérülhet-e nagy mennyiségű érzékeny (üzleti) adat vagy sérülhet-e jelentős számú funkció az EIR-t ért káresemény során?
– Sérülhet-e a nemzeti adatvagyon az EIR-t ért káresemény során?
– Törénhet-e személyi sérülés az EIR-t ért káresemény során?
– Egy EIR-t érintő káresemény eredményezhet-e súlyos bizalomvesztést a társaságra nézve
– Egy EIR-t érintő káresemény eredményezheti-e azt, hogy jogszabályi elvárások sérülnek és akár felelősségre vonásra kerülhet sor?
– Az EIR-t ért káresemény során sérülhet-e egy kritikus infrastruktúra elérhetősége?
– Az EIR-t ért káresemény során közvetlen és közvetett anyagi kár meghaladhatja-e a társaság éves költségvetésének vagy nettó árbevételének 1 százalékát?
Csak akkor lehet egy EIR-t az „Alap” biztonsági osztályba sorolni, ha a fenti kérdések mindegyikére egy egyértelmű NEM a válasz.