Olcsóbb és gyorsabb lehet a kötelező kiberbiztonsági audit, de a cégeknek így is készülniük kell

Több ezer magyar vállalkozásnak kell 2026. június 30-ig kiberbiztonsági auditon átesnie. Az új szabályozás több auditornak adhat mozgásteret, ami a cégeknek rövidebb várakozást és alacsonyabb költséget jelenthet.

Egy vállalat számára a kiberbiztonsági audit nem pusztán informatikai ellenőrzés. A gyakorlatban azt jelenti, hogy külső, jogosult szakértők vizsgálják meg: a cég rendszerei, folyamatai és védelmi megoldásai megfelelnek-e az előírt biztonsági követelményeknek.

Ez a kötelezettség a NIS2 miatt vált tömeges üggyé. A NIS2 egy uniós kiberbiztonsági irányelv, amely a kritikus és kiemelt ágazatokban működő vállalkozásoktól rendszeres ellenőrzést vár el. Magyarországon több ezer cég érintett, és az első auditok teljesítésére jelenleg 2026. június 30. a határidő, miután azt korábban fél évvel meghosszabbították.

A mostani változás lényege nem az, hogy megszűnne a kötelezettség. Inkább az, hogy több szolgáltató végezhet auditot a magasabb biztonsági kategóriákban, így a piac kevésbé szűk keresztmetszet mellett működhet.

Mi változik a cégek szempontjából?

A Szabályozott Tevékenységek Felügyeleti Hatósága, vagyis az SZTFH új rendeletet adott ki a NIS2-auditokra vonatkozó szabályokról. A változtatást Tanács Zoltán tudományos és technológiai miniszter kezdeményezte.

A forrás szerint a korábbi rendszerben túl kevés olyan auditorcég volt, amely a jelentős vagy magas biztonsági osztályba sorolt vállalatokat ellenőrizhette. A biztonsági osztály azt jelzi, milyen szintű kiberbiztonsági követelményeknek kell megfelelnie az adott szervezetnek; minél magasabb a besorolás, annál szigorúbb az elvárás.

A nyilvántartásban jelenleg tíz auditor szerepel, de a legmagasabb kategóriában eddig mindössze egyetlen vállalat rendelkezett jogosultsággal az auditok elvégzésére. Ez azért lényeges, mert több ezer érintett cégnek kell határidőre megfelelnie. Ha kevés az auditor, a vállalatok hosszabb várakozással és magasabb költségekkel szembesülhetnek.

Az SZTFH most megszüntette azokat a többletfeltételeket, amelyek korábban korlátozták a magasabb kategóriákban auditáló cégek körét. Ez nem jelenti azt, hogy bárki beléphet a piacra: az auditoroknak továbbra is teljesíteniük kell a szakmai és hatósági követelményeket.

A kapacitás lett a kulcskérdés

A szabályozási változás gyakorlati jelentősége abban áll, hogy oldhatja a kapacitáshiányt. Ha több auditor dolgozhat a jelentős és magas biztonsági osztályba tartozó cégekkel, akkor csökkenhet a torlódás a határidő előtt.

Ez a vállalkozásoknak két területen számíthat. Az egyik az idő: könnyebb lehet időpontot és megfelelő szolgáltatót találni. A másik az ár: a nagyobb verseny lefelé hathat az auditok költségére, különösen azokban a kategóriákban, ahol eddig csak kevés szereplő versenyzett a megrendelésekért.

A forrásban szereplő becslések szerint a NIS2-auditok piaca legalább 5,5 milliárd forintos nagyságrendű lehet, de egyes piaci szereplők akár 20 milliárd forintra is teszik az értékét. Ez nagy különbség, ami arra utal, hogy a piac méretét több tényező befolyásolja: hány cég kerül ténylegesen audit alá, milyen biztonsági osztályba sorolják őket, és mennyibe kerül egy-egy vizsgálat.

Nem csak adminisztrációról van szó

A cégek oldaláról a NIS2 gyakran megfelelési feladatként jelenik meg: dokumentumok, belső folyamatok, ellenőrzés, határidők. A kiberbiztonsági audit azonban akkor hasznos, ha nem kizárólag papírmunkát jelent, hanem valódi rendszerfejlesztésekhez vezet.

A kormányzati értelmezés szerint a módosítás célja, hogy a vállalkozások kevesebb forrást költsenek pusztán adminisztratív megfelelésre, és több pénz maradjon tényleges informatikai fejlesztésekre, illetve védekezési képességeik javítására. Ez a megközelítés különösen a kisebb vállalkozásoknál lehet érzékeny kérdés, mert náluk a megfelelési költség arányaiban nagyobb terhet jelenthet.

A kettős hatás azonban megmarad. A szabályozás növelheti a kiberbiztonsági tudatosságot és javíthatja a vállalati védekezést, ugyanakkor rövid távon költséget, szervezési feladatot és külső szakértői függést is jelent az érintetteknek.

Mi következhet ezután?

Tanács Zoltán álláspontja szerint a mostani módosítás az első lépés. A kormány hosszabb távon a teljes hazai NIS2-szabályozás felülvizsgálatát tervezi, azzal a céllal, hogy a követelmények arányosabbak és könnyebben teljesíthetők legyenek.

A vállalkozásoknak ebből most az következik, hogy a határidő változatlanul fontos, de a szolgáltatói piac feltételei kedvezőbbé válhatnak. Aki érintett, annak nem érdemes kizárólag a szabályozás további módosítására várnia: az audit előkészítése, a rendszerek felmérése és a hiányosságok kezelése időigényes folyamat.

A rendelet piaci hatása végül azon múlik majd, hogy ténylegesen hány auditor tud belépni a magasabb kategóriákba, milyen gyorsan bővül a kapacitás, és ez megjelenik-e az árakban is. A szabályozási irány mindenesetre arra utal, hogy a NIS2 Magyarországon nem egyszeri megfelelési kampány, hanem tartósan formálódó vállalati kiberbiztonsági keretrendszer lesz.