2025-ben tovább szigorodtak a kiberbiztonsági előírások, amelyek az auditok lebonyolítását és a felügyeleti díjak kiszámítását érintik. A vállalatok számára kötelező díjak részben az árbevétel alapján kerülnek meghatározásra, de jelentős mértékben függnek a használt rendszerek számától, a cég szerepétől, illetve az általa kezelt adatokatól is. Kóczé Péter, a Grant Thornton digitális üzletágának vezetője bemutatja, hogyan csökkenthetők ezek a költségek – akár több millió forinttal –, és hogyan lehet szakmai alapokon optimalizált kiberbiztonsági rendszert kialakítani.

Kiberbiztonsági felügyeleti díj és audit: a költségek alakulása

Az új szabályozás szerint minden érintett vállalatnak évente kiberbiztonsági felügyeleti díjat kell fizetnie az SZTFH számára, melynek maximális összege 10 millió forint, a cég nettó árbevételétől függően. Emellett a kiberbiztonsági auditot kétévente kötelező elvégezni, kezdve az idei évtől.

Az audit díja két tényezőtől függ:

● A vállalat árbevétele – Az audit díjat az előző üzleti év nettó árbevétele alapján számítják. Az árbevétel 1-40 milliárd forint közötti lépcsőkben növekvő szorzókat von maga után, a maximum szorzó 4.

● Az elektronikus információs rendszerek (EIR) száma és besorolása – Minél több és magasabb kiberbiztonsági osztályba tartozó rendszert használ a vállalat, annál nagyobb lesz az audit költsége.

További költségek merülhetnek fel az audit előkészítése és a megfelelés biztosítása során, mivel a legtöbb vállalat külső szakértők segítségére szorul a követelmények teljesítéséhez. Mivel 2025 az első év, amikor mindkét díjat meg kell fizetni, a szabályozás alá eső cégeket jelentős többletköltségek terhelhetik.

Jelentős különbségek és magas költségek

Minimális költségek

A legkedvezőbb díjakkal azok a vállalatok számolhatnak, amelyek:

● legfeljebb 1 milliárd forintos árbevétellel rendelkeznek, és

● legfeljebb 5 elektronikus információs rendszert üzemeltetnek, „alap” biztonsági osztályon. Számukra az audit díja: 1.575.000 Ft kétévente, a felügyeleti díj: 150.000 Ft évente.

Maximális költségek

A legnagyobb terhet azok a vállalatok viselik, amelyek:

● 40 milliárd forint feletti árbevétellel rendelkeznek, és

● 16 vagy több EIR-t üzemeltetnek, köztük „magas” biztonsági osztályú rendszerekkel. Számukra az audit díja kétévente akár 140 millió forint is lehet, a felügyeleti díj pedig évente akár 10 millió forint.

Freepik 

Miért ekkora a különbség?

A magasabb auditköltség oka az alkalmazott szorzószámok rendszere. Az árbevétel alapján legnagyobb szorzó a 4-es, és itt nincs lehetőség spórolásra. Az audit költségeit az EIR-ek száma és biztonsági besorolása is befolyásolja, ezért ezek optimalizálásával a költségek csökkenthetők.

Nem véletlen, hogy sok érintett vállalat próbálja csökkenteni az EIR-ek számát 16 vagy 6 alá, valamint a rendszereket alacsonyabb biztonsági osztályokba sorolni. Ezzel akár több tízmillió forintot is megtakaríthatnak.

Optimalizálási lehetőségek: hogyan csökkenthetők az auditköltségek?

Kóczé Péter néhány optimalizálási lehetőséget oszt meg, amelyek segíthetnek abban, hogy a vállalatok alacsonyabb szorzókat alkalmazzanak. Fontos, hogy minden lépést megalapozott szakmai döntés kísérjen.

A szorzószámok a következőképpen alakulnak az EIR-ek száma alapján:

● 1-5 darab esetén a szorzószám 1

● 6-15 darab esetén a szorzószám 2,5

● 16 vagy annál több darab esetén a szorzószám 4

EIR-ek biztonsági besorolása szerint:

● Ha a rendszer „alap” biztonsági osztályba tartozik, a szorzószám 1,

● Ha „jelentős” biztonsági osztályba esik, a szorzószám 3,

● Ha „magas” biztonsági osztályú, a szorzószám 5.

Az egyedi szorzószámok kombinációja határozza meg az audit végső költségét. Ezért a vállalatok jelentős megtakarítást érhetnek el azzal, ha csökkentik az EIR-ek számát, vagy alacsonyabb biztonsági osztályba sorolják őket.

Optimalizálási lehetőségek

● EIR-ek csoportosítása: Az audit önbevalláson alapul, így a cégek maguk dönthetnek a rendszerek besorolásáról. Érdemes az EIR-eket úgy csoportosítani, hogy azok 5 vagy 15 darabos halmazokba kerüljenek, elkerülve a magasabb szorzószámot. A csoportosítás során rugalmas logikát lehet alkalmazni, nem szükséges a szervezeti egységekhez vagy informatikai rendszerekhez kötni.

● EIR-ek biztonsági besorolásának kezelése: A Kibertan-törvény előírásai szerint az EIR-ek biztonsági osztályba sorolásánál a cégeknek figyelembe kell venniük a kockázatokat. Az optimális esetben igyekeznek minden EIR-t „alap” osztályba sorolni. 

● Átszervezés és kiszervezés: Érdemes lehet a felhőalapú szolgáltatásokat vagy bérleti konstrukciókat is igénybe venni, így könnyebben biztosítható, hogy az EIR-ek alacsonyabb biztonsági osztályban maradjanak.

Kóczé Péter egy példával is szemlélteti a megtakarítást: „Egyik ügyfelünk az optimalizálási módszerek alkalmazásával 47 millió forintos eredeti költség helyett 15 millió forintra csökkentette az audit díját.”

Az EIR-ek összeírása és biztonsági osztályba sorolása már most is sürgető feladat, mivel a vállalatoknak a hatósági regisztráció után 120 napon belül kell szerződést kötniük egy NIS2 auditorral. Az auditorok első lépésben az EIR listát kérik el, hogy el tudják készíteni ajánlatukat.

„Sok ügyfelünk a szoftverek EIR-be sorolásában kérte szakértőink segítségét, hogy az optimális EIR listát összeállíthassák” – emelte ki Kóczé Péter. Az optimális EIR lista létrehozása jelentős szakértelmet igényel, és nagyban befolyásolhatja a vállalat költségeit.

A biztonsági osztályba soroláskor az alábbi kiberbiztonsági paramétereket kell figyelembe vennie minden auditra kötelezett vállalatnak:

● Sérülhet-e nagy mennyiségĹą személyes adat az EIR-t ért káresemény során?

● Sérülhet-e nagy mennyiségĹą érzékeny (üzleti) adat vagy sérülhet-e jelentős számú funkció az EIR-t ért káresemény során?

● Sérülhet-e a nemzeti adatvagyon az EIR-t ért káresemény során?

● Törénhet-e személyi sérülés az EIR-t ért káresemény során?

● Egy EIR-t érintő káresemény eredményezhet-e súlyos bizalomvesztést a társaságra nézve

● Egy EIR-t érintő káresemény eredményezheti-e azt, hogy jogszabályi elvárások sérülnek és akár felelősségre vonásra kerülhet sor?

● Az EIR-t ért káresemény során sérülhet-e egy kritikus infrastruktúra elérhetősége?

● Az EIR-t ért káresemény során közvetlen és közvetett anyagi kár meghaladhatja-e a társaság éves költségvetésének vagy nettó árbevételének 1%-át?

Csak akkor lehet egy EIR-t az „Alap” biztonsági osztályba sorolni, ha a fenti kérdések mindegyikére egy egyértelmĹą NEM a válasz.

English Summary

In 2025, cybersecurity regulations became stricter, affecting audit procedures and supervisory fees. Companies are required to pay annual fees based on revenue, the number of systems used, and the significance of the data they manage. Kóczé Péter from Grant Thornton shares strategies to reduce these costs, which can reach millions of forints, and how to build an optimized cybersecurity system based on professional decisions. Key cost factors include company revenue and the number and security classification of their IT systems.