A kiberbiztonsági szakma általános egyetértéssel fogadta, hogy a jövőben nagyobb hangsúly kerül a kiberbiztonságra, és sokan azt is pozitívumnak tartják, hogy az auditálást nem végezheti majd akárki. Azt azonban már sokan rossz szemmel nézik, hogy a legmagasabb kategóriába tartozó vállalatokat egyetlen cég auditálhatja majd: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard – írja a Telex.
Az NIS2 egy uniós irányelv, a célja pedig az, hogy közös EU-s szabályokkal garantálja a legfontosabb ágazatok szereplőinek kiberbiztonságát az egyre szaporodó kiberfenyegetések korában. Ennek lesz része egy kiberbiztonsági audit, ami azt hivatott igazolni, hogy az érintett cégek rendszerei biztonságosan működnek. Ezt az auditot jövő évtől kétévente el kell majd végeztetni. Elvégeztetni pedig azzal lehet, aki megfelel az auditorok iránt támasztott követelményeknek.
Az érintett cégek alacsony, jelentős vagy magas osztályba fognak tartozni aszerint, mennyire veszélyeztetettek. Az illetékes hatóság június végén tette közzé, hogy melyik osztály auditálásához milyen követelményeknek kell megfelelni.
A portál felidézi, éppen egy évvel ezelőtt változtak – már nem először – úgy a jogszabályok, hogy a pénzügyi intézmények kiberbiztonsági tanúsítását 2016 óta uraló Hunguard évekre egyeduralkodó lehessen a piacon. A Telex szerint valami hasonló körvonalazódik most is, de vannak fontos különbségek. Egyrészt itt nagyobb piacról van szó.
Másrészt a Hunguard nem egyedüli szereplő lesz, csak éppen a legnagyobb bevételt jelentő kategória auditálását nem fogja tudni senki más elvégezni (és a középsőét sem sokan).
Harmadrészt a tavalyi történetben szereplő örök második, a Certop ezúttal valószínűleg nem fog zavarni, már csak azért sem, mert épp most került egy szintén Rogán-közeli tulajdonos kezébe, és a portál úgy tudja, már alakul is az együttműködés a két cég között.
Valahogy pont úgy változnak a jogszabályok, hogy a Rogán-közeli cég jól jár veleAzzal kapcsolatban, hogy kikre vonatkozik a NIS2, két szempont van, a méret és a tevékenység. Fő szabály szerint azok a közép- és nagyvállalatok (azaz ötvennél több főt foglalkoztató vagy tízmillió eurónál nagyobb éves árbevételű cégek) az érintettek, amelyek alapvető vagy a digitalizáció szempontjából nélkülözhetetlen szolgáltatásokat nyújtanak. Ezeket a törvény két kategóriába sorolja, az egyik a kiemelten kockázatos ágazatoké, mint például az energetika, a közlekedés, az egészségügy vagy a víziközmű. A másik a kockázatos ágazatok kategóriája, ide például postai és futárszolgálatok, élelmiszercégek, hulladékgazdálkodás, vegyipar, illetve különféle gyártási ágazatok tartoznak.
Mikro- és kisvállalatokra csak akkor vonatkoznak az előírások, ha elektronikus hírközlési szolgáltatóról (mint a telekomcégek, netszolgáltatók), bizalmi szolgáltatóról vagy valamilyen doménszolgáltatást nyújtó cégről van szó.
Arról, hogy hányan érintettek, eltérőek a becslések. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) oldalán elérhető egy korábbi prezentáció, amelyben a 2546-os szám szerepel, de valójában ennél több cégről lehet szó.
Mi 2500-3000 körülire becsüljük, lehet, hogy csak kétezer lesz, de az is lehet, hogy négyezer, sőt vannak, akik a nyolcezret sem tartják elképzelhetetlennek
– mondta júniusban Bor Olivér, az SZTFH kiberbiztonsági és kommunikációs szakértője. A Telex által megkérdezett szakértők is öt-hatezres számról beszéltek.