Kiket érint az auditálási kötelezettség?
Az auditálási kötelezettség azon szervezetekre vonatkozik, amelyek a 2023-as kiberbiztonsági törvény (és a hozzá kapcsolódó végrehajtási rendelet) értelmében az alábbi kategóriák valamelyikébe tartoznak:
-
Kritikus infrastruktúrát üzemeltetnek (pl. energia-, közlekedés-, egészségügyi szektor szereplői),
-
Kiemelt elektronikus információs rendszereket (EIR) működtetnek, amelyek működése alapvető fontosságú szolgáltatásokhoz kötődik,
-
Központi közigazgatási szervek vagy közszolgáltatók.
Ezeknek a szervezeteknek kötelező:
-
Évente kiberbiztonsági felügyeleti díjat fizetni – ennek összege a szervezet előző évi nettó árbevételétől függően akár 10 millió forint is lehet.
-
Kétévente független kiberbiztonsági auditot végeztetni – az audit díját az árbevétel mellett az üzemeltetett EIR-ek száma és azok biztonsági besorolása is meghatározza.
Költségcsökkentési lehetőségek az érintettek számára
A költségek optimalizálása érdekében a szervezetek több stratégiai lépést is tehetnek:
-
Az EIR-ek logikus összevonása, például „Irodai környezet” nevű egység létrehozásával, ami csökkenti a különálló rendszerek számát.
-
Tudatos besorolás, hogy az EIR-ek ne kerüljenek automatikusan magas kockázati osztályba.
-
Kiszervezés felhőalapú szolgáltatókhoz, amivel csökkenthető a helyben üzemeltetett rendszerek száma és így a kockázati szint is.
Az új szabályozás tehát nemcsak kötelezettségeket, hanem lehetőségeket is hoz: a tudatos kiberbiztonsági tervezéssel a vállalatok nemcsak megfelelhetnek az előírásoknak, hanem hosszú távon költséget is megtakaríthatnak.Ha szeretnéd, át tudom írni ezt egy konkrét cég szempontjából is (pl. egy telekommunikációs szolgáltatóra vagy egy állami intézményre szabva).
| Forrás: hrpwr.hu