Új szabályok lépnek hatályba a kiberbiztonsági auditokat végző szervezetek nyilvántartásba vételével és működésével kapcsolatban. A módosítás célja az auditorok adminisztratív terheinek csökkentése, a követelmények egységesítése és a piaci verseny erősítése.
A változtatás időzítése különösen fontos. Azoknak a kiberbiztonsági audit elvégzésére kötelezett szervezeteknek, amelyek 2025. január 1-je előtt kezdték meg működésüket, főszabály szerint 2026. június 30-ig kell teljesíteniük első auditálási kötelezettségüket.
Az új rendelet elsősorban az auditorok működési feltételeit alakítja át, de közvetve az auditálásra kötelezett vállalkozásokra is hatással lehet. Több szolgáltató jelenhet meg a piacon, egyszerűbbé válhat az auditorok közötti választás, és mérséklődhetnek a korlátozott kapacitásból eredő problémák.
Egységes követelmények vonatkoznak az auditorokra
A korábbi rendszerben az auditorok nyilvántartása és működési jogosultsága részben ahhoz igazodott, hogy milyen biztonsági osztályba sorolt elektronikus információs rendszereket kívántak vizsgálni.
Az új szabályozás megszünteti ezt a széttagoltságot. A jövőben valamennyi nyilvántartásba vett auditornak azonos, egységesített követelményeknek kell megfelelnie, függetlenül az auditált rendszer biztonsági osztályától.
Ez nem jelenti a szakmai követelmények eltörlését. Az auditoroknak továbbra is megfelelő személyi, szakmai, biztosítási és infrastrukturális feltételekkel kell rendelkezniük.
A változás lényege inkább az, hogy egy auditor számára nem lesz szükség külön, biztonsági osztályonként eltérő jogosultságok megszerzésére. Ez egyszerűbb piacra lépést és átláthatóbb szolgáltatói rendszert eredményezhet.
Legalább két szakember foglalkoztatása szükséges
A nyilvántartásba vételt kérő auditornak legalább két olyan személyt kell foglalkoztatnia, aki a kiberbiztonsági szabályozás szerinti munkakörben végez munkát.
A foglalkoztatásnak munkavégzésre irányuló jogviszonyon kell alapulnia. Az auditor tehát nem működhet kizárólag alkalmi külső közreműködőkkel vagy egyetlen szakértőre építve.
A személyi követelmény célja annak biztosítása, hogy az auditor megfelelő kapacitással és szakmai háttérrel rendelkezzen az auditok elvégzéséhez. Egy kiberbiztonsági vizsgálat ugyanis több informatikai rendszer, szabályzat, jogosultságkezelési folyamat és biztonsági intézkedés részletes értékelését igényelheti.
Tizenötmillió forintos felelősségbiztosítást írnak elő
Az auditornak legalább évi 15 millió forintos összeghatárig terjedő tevékenységi felelősségbiztosítással kell rendelkeznie.
A biztosítás arra szolgál, hogy fedezetet nyújtson az auditori tevékenységgel összefüggésben okozott esetleges károkra. Egy hibás vagy hiányos értékelés ugyanis jelentős pénzügyi és informatikai következményekkel járhat az auditált vállalkozás számára.
A felelősségbiztosítás megléte önmagában nem garantálja az auditor munkájának minőségét, de fontos pénzügyi biztonsági elemet jelent.
A vállalkozásoknak az auditor kiválasztásakor célszerű ellenőrizniük, hogy a szolgáltató szerepel-e a hatósági nyilvántartásban, és rendelkezik-e az előírt biztosítási fedezettel.
Öt korábbi referencia igazolja a szakmai tapasztalatot
A nyilvántartásba vételhez legalább öt olyan referenciát kell bemutatni, amely informatikai biztonsági funkciókat megvalósító szoftvertermékek vagy elektronikus információs rendszerek biztonsági auditálásához kapcsolódik.
A referencia alapjául szolgáló vizsgálatnak hazai vagy nemzetközi informatikai biztonsági módszertanon kell alapulnia.
Ez a feltétel azt szolgálja, hogy a piacra lépő auditor ne kizárólag elméleti ismeretekkel rendelkezzen, hanem korábbi gyakorlati tapasztalatot is fel tudjon mutatni.
A könnyítés tehát nem jár együtt a szakmai színvonal feladásával. A szabályozás egyszerűbbé teszi a jogosultsági rendszert, de továbbra is elvárja a megfelelő tapasztalatot.
Egységes díj kapcsolódik a nyilvántartásba vételhez
Az auditorok nyilvántartásba vételére irányuló hatósági eljárás igazgatási szolgáltatási díja 390 ezer forint lesz.
A szabályozás megszünteti a biztonsági osztályokhoz kapcsolódó eltérő díjtételeket. A díj így nem attól függ majd, hogy az auditor milyen besorolású elektronikus információs rendszer vizsgálatát kívánja elvégezni.
Az egységes díj kiszámíthatóbbá teheti a nyilvántartásba vételt, és csökkentheti azokat a többletköltségeket, amelyek korábban a jogosultság bővítéséhez kapcsolódhattak.
Ez azonban nem jelenti automatikusan azt, hogy a vállalkozások által fizetendő auditdíjak is csökkennek. A szolgáltatás ára továbbra is függhet az auditált rendszerek számától, összetettségétől, a vállalkozás méretétől és a feltárt kockázatoktól.
A folyamatban lévő eljárásokra is alkalmazni kell az új szabályokat
Az egységesített követelményeket a rendelet hatálybalépésekor folyamatban lévő nyilvántartásba vételi eljárásokban is alkalmazni kell.
Ha egy már nyilvántartásban szereplő auditor kizárólag azért indított új eljárást, hogy másik biztonsági osztályba sorolt rendszerek auditálására is jogosultságot szerezzen, az eljárást a hatóság megszünteti.
A korábban befizetett igazgatási szolgáltatási díjat ebben az esetben visszatérítik arra a bankszámlára, amelyről a befizetés érkezett.
Ez a rendelkezés megakadályozza, hogy az auditoroknak olyan külön eljárásokért kelljen fizetniük, amelyek az új rendszerben már szükségtelenné válnak.
Nyilvánosabbá válik az auditorok elérhetősége
A hatóság a honlapján közzéteszi a nyilvántartásba vett kiberbiztonsági auditorok jegyzékét.
A nyilvános lista az auditor megnevezése mellett annak elektronikus levelezési címét és telefonszámát is tartalmazza majd. Ez megkönnyítheti az érintett vállalkozások számára a szolgáltatók felkutatását és közvetlen megkeresését.
A nyilvántartás használata különösen fontos, mert kötelező kiberbiztonsági auditot csak olyan szervezet végezhet, amely rendelkezik a szükséges hatósági jogosultsággal.
Egy általános informatikai tanácsadó, rendszergazda vagy információbiztonsági szakértő önmagában nem feltétlenül jogosult a hatóság által elfogadott audit elvégzésére.
A sérülékenységvizsgálat szabályai is módosulnak
A rendelet nemcsak az auditorokra, hanem a sérülékenységvizsgálat elvégzésére jogosult szervezetekre vonatkozó előírásokat is pontosítja.
A sérülékenységvizsgálatot végző gazdálkodó szervezetnek legalább két megfelelő szakértőt kell foglalkoztatnia. Emellett információbiztonsági szabályzattal és tanúsított információbiztonsági irányítási rendszerrel is rendelkeznie kell.
Biztosítania kell továbbá, hogy a vizsgálat során használt kommunikációs eszközök és szoftverek megőrizzék az adatok bizalmasságát, sértetlenségét és hitelességét.
Külön eljárásrendet kell kialakítani a vizsgálati adatok törlésére is. Ennek biztosítania kell, hogy az adatok a rendszerekből és az archivált mentésekből egyaránt visszaállíthatatlan módon eltávolíthatók legyenek.
Egyes dokumentumokat a hatóság is beszerezhet
Adminisztratív könnyítést jelent, hogy ha a sérülékenységvizsgálati jogosultságot kérelmező szervezet nem csatolja a szükséges telephely-biztonsági tanúsítványt, azt a kiberbiztonsági hatóság maga szerzi be.
Ez csökkentheti a hiánypótlások számát és egyszerűbbé teheti a nyilvántartásba vételi eljárást.
Az intézkedés azt az elvet követi, hogy a közigazgatási szervek lehetőség szerint ne kérjenek olyan dokumentumot az ügyféltől, amely más hatósági nyilvántartásból közvetlenül beszerezhető.
A vállalkozások auditkötelezettsége nem változott
Fontos, hogy az új rendelet nem szünteti meg és nem halasztja el az érintett vállalkozások kiberbiztonsági auditkötelezettségét.
Azoknak a szervezeteknek, amelyek 2025. január 1-je előtt kezdték meg működésüket, és a kiberbiztonsági törvény alapján auditálásra kötelezettek, továbbra is 2026. június 30-ig kell teljesíteniük az első auditot.
A 2025. január 1-je után működésüket megkezdő szervezeteknek főszabály szerint a nyilvántartásba vételtől számított két éven belül kell elvégeztetniük az első auditot.
A mostani változás tehát elsősorban az auditori oldal kapacitását és működését érinti. A vállalkozások számára meghatározott határidők ettől nem indulnak újra.
Az utolsó hetekben már szűkülhet az auditori kapacitás
A június 30-i határidő közeledtével az auditorok leterheltsége jelentősen növekedhet.
Egy teljes kiberbiztonsági audit nem feltétlenül végezhető el néhány nap alatt. A vizsgálat rendszerint dokumentumok bekérésével, interjúkkal, informatikai rendszerek áttekintésével és a védelmi intézkedések ellenőrzésével jár.
Az auditált vállalkozásnak többek között rendelkezésre kell bocsátania:
- az elektronikus információs rendszerek nyilvántartását;
- a biztonsági osztályba sorolás dokumentumait;
- a kiberbiztonsági szabályzatokat;
- a jogosultságkezelési folyamatok leírását;
- a mentési és helyreállítási eljárásokat;
- az incidenskezelési szabályokat;
- a beszállítókra vonatkozó biztonsági követelményeket;
- a munkatársak képzésének igazolását.
Amennyiben ezek a dokumentumok hiányosak, az auditor munkája elhúzódhat, és további egyeztetések válhatnak szükségessé.
Az auditor kiválasztása nem pusztán árkérdés
Az auditor kiválasztásakor nem célszerű kizárólag a szolgáltatási díj alapján dönteni.
Érdemes megvizsgálni a szolgáltató tapasztalatát, kapacitását, referenciáit és azt is, hogy rendelkezik-e az adott vállalkozás ágazatában szerzett gyakorlattal.
Egy gyártóvállalat, egy felhőszolgáltató, egy logisztikai cég vagy egy egészségügyi szolgáltató informatikai rendszerei és kockázatai jelentősen eltérhetnek egymástól.
A szerződésben pontosan meg kell határozni:
- az audit terjedelmét;
- a vizsgált rendszereket;
- a dokumentumok átadásának határidejét;
- az audit befejezésének időpontját;
- a díjazást és annak részleteit;
- a hiánypótlás és az ismételt vizsgálat feltételeit;
- a bizalmas adatok kezelésének szabályait.
A túl alacsony ár mögött előfordulhat szűkített szolgáltatási tartalom vagy jelentős későbbi többletköltség is.
Az audit nem egyszeri informatikai vizsga
A kiberbiztonsági megfelelés nem zárul le az auditjelentés elkészítésével.
A vállalkozásnak folyamatosan fenn kell tartania a megfelelő védelmi intézkedéseket, frissítenie kell szabályzatait, kezelnie kell a hozzáférési jogosultságokat, és gondoskodnia kell az incidensek felismeréséről és kezeléséről.
Új informatikai rendszer bevezetése, cégfelvásárlás, telephelynyitás, felhőszolgáltató-váltás vagy jelentős szervezeti változás esetén a korábbi biztonsági besorolás és kockázatértékelés is felülvizsgálatra szorulhat.
A kiberbiztonsági audit ezért nem egyszeri pecsétgyűjtés. Inkább annak ellenőrzése, hogy a vállalkozás képes-e tartósan és dokumentált módon védeni üzleti adatait és informatikai rendszereit.
A könnyítés növelheti a szolgáltatói kínálatot
Az auditori követelmények egységesítése várhatóan megkönnyíti új szolgáltatók piacra lépését, illetve a már működő auditorok tevékenységi körének bővítését.
A nagyobb szolgáltatói kínálat hosszabb távon erősítheti a versenyt, javíthatja az auditorok elérhetőségét és csökkentheti a kapacitáshiányból eredő késedelmeket.
Arra azonban nincs garancia, hogy az auditok díja rövid időn belül jelentősen mérséklődik. A június végi határidő előtti időszakban a kereslet továbbra is magas maradhat.
Az érintett vállalkozások számára ezért a legfontosabb feladat nem a további könnyítésekre várakozás, hanem az audit lezárásához szükséges dokumentumok és belső folyamatok mielőbbi rendezése.
