A NIS 2 irányelv bevezetése nem csupán technikai előírásokat jelent a kiberbiztonság terén, hanem olyan háttérpolitikát is, amely szoros összefonódást mutat a magyar kormányzati struktúrákkal. Az új rendszer, amely a kritikus feladatokat ellátó vállalkozások számára kötelező informatikai auditokat írt elő, sokakban aggodalmat keltett, hiszen a vizsgálatokat végző auditor cégek között számos, a Nemzeti Együttműködés Rendszeréhez (NER) kötődő vállalat található.
Az auditálás célja elvileg a digitalizáció révén felmerülő sebezhetőségek megszüntetése; ennek során azonban kiderült, hogy a nyertes cégek kiválasztása nem feltétlenül a szakmai kompetencián alapul. A Rogán Antal, Tiborcz István és Balásy Gyula nevét fémjelző körök cégei érték el a legmagasabb pontszámokat, ami államháztartási vonatkozásban kérdéseket vet fel a politikai elfogultságát illetően.
Az EU által elfogadott irányelv szerint a tagállamoknak sürgősen megfelelniük kell a kiberbiztonsági szabályozás új követelményeinek. Magyarországon körülbelül 4-5000 vállalatnak kellett megfelelnie a kiberbiztonsági auditálás követelményeinek, azonban az auditorokat az SZTFH – amely szerv egyébként a szerencsejáték- és dohányipari monopóliumokat is felügyeli – tételesen nem látta el a megfelelő ellenőrzési jogkörrel.
Ez a helyzet lehetővé teszi, hogy az auditor cégek sok esetben csak papíralapú auditokat végezzenek, valós tapasztalat és átláthatóság nélkül. Továbbá, az auditor cégek által használt alvállalkozós létszám sokszor nem felel meg a valós szükségleteknek, ezzel is megkérdőjelezve a rendszer integritását.
Kérdéses, hogy a titkos szolgálatok és más állami szervek milyen mértékű hozzáféréssel bírnak a cégek informatikai rendszereihez. Míg a kötelező auditálások során nyert információk és érzékeny adatok belekerülhetnek külső rendszerekbe, a GDPR és nemzetbiztonsági szempontokra vonatkozóan nem születnek megfelelő kontrollmechanizmusok.
A megfigyelhetőségek mögött a kormány köreiben valódi közérdeklődés és félelem tapasztalható azzal kapcsolatban, hogy a kiberbiztonsági auditálás eszközigényen túl valójában a politikai hatalom és a vállalati érdekek összefonódását is jelzi. Az auditor cégek és a kiberbiztonsági szakemberek között fogyoznak a történések, az állambiztonsági szervek szakmai berkeibe tartozó szakértők megjelenése pedig tovább bonyolítja a viszonyokat.
A kormány tudományos és technológiai miniszterének a NIS 2 auditori rendszer felülvizsgálatáról tett kérdésekre vonatkozóan eddig semmiféle érdemi válasz nem érkezett. Ezzel párhuzamosan a helyi politikai erők is hallgatnak a témával kapcsolatos érdemi válaszokról. Az SZTFH felügyelete alá eső auditáló cégek melletti politikai hátterek továbbra is kérdéseket vetnek fel a kiberbiztonság transzparenciája tekintetében.
Az auditáló cégek közül többen olyan személyekhez kapcsolódnak, akik nem csupán cégek professzionális képviseletét látják el, hanem állambiztonsági érdekeltségeik is vannak, továbbá az átláthatóság és az effektív ellenőrzés nem találja meg az útját a hatósági mechanizmusok szövevényes hálózatán keresztül. Зубор Залán journalist’s insights shine a light on the complex interconnections between these entities—a scenario rife with potential for conflict of interest and lack of accountability.
A jövő kérdése az, hogy a kormány mennyire lesz képes tisztázni a szálakat, valamint megtisztítani az informatikai auditálás folyamatát a politikai befolyásoktól, és biztosítani a kellő védekezést a sebezhetőségek felderítésére, miközben megéléseiket megőrzi a vállalati titkok védelme mellett.
