Néhány napja jelent meg a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) elnökének az a rendeletmódosítása, amely teljesen átszabta a NIS2-audit piacát. A várható változásokról Tanács Zoltán tudományos és technológiai miniszter (a fenti képen) már múlt héten a Vezető Informatikusok Szövetsége konferenciáján is beszélt.

Szombati Facebook-posztjában írta: "az elmúlt hetekben konstruktív egyeztetést folytattunk a Szabályozott Tevékenységek Felügyeleti Hatóságával (SZTFH) annak érdekében, hogy csökkentsük az adminisztratív és piaci terheket a jogszabályi megfelelés biztosítása mellett. Az volt a kérésünk a hivatal felé, hogy bővítsék az auditot elvégezni képes cégek körét, hosszabbítsák meg a megrendeléshez szükséges határidőt, tegyék rugalmasabbá a teljesítés feltételeit. És lehetőleg ne szankcionáljanak, hanem segítsék a megfelelést." (Tanács a posztja alatti egyik reagálásában további piaclibralizációs intézkedéseket is beígért, többek között a kriptopiaci szabályok lazítását.)

Az egyeztetések nyomán a hétfői Magyar Közlönyben jelent meg dr. Nagy László elnök 6/2026. (VI. 8.) számú rendelete (PDF), amely egyenlő feltételeket ír elő a NIS2-auditot végezni szándékozó cégeknek. A korábbi előírások miatt ugyanis a magas kockázati besorolású szervezeteket csak a Miniszerelnöki Kabinetirodát idén tavaszig vezető Rogán Antalhoz köthető Hunguard auditálhatta, de a jelentős kockázatú cégek auditját is csupán néhány cég végezhette.

A szabályok miatt az auditor cégek többsége eleve nem is szálltak versenybe ezért a piacért. Miközben a NIS2 több mint 1300 cégre vonatkozott.

Gyorsan adaptálódhat a piac

Kérdés, hogy a rendeletmódosításhoz milyen gyorsan adaptálódhat a piac. A Wizz Air kiberbiztonsági tanácsadója, Szabolcs András (aki korábban az ISACA elnöke is volt) szerint ezzel nem lesz gond. Az új feltételekkel a Big4 cégek például szinte azonnal versenybe tudnak szállni akár a magas kockázatú cégek auditjáért is, mert megvan a felkészültségük, a szakembergárdájuk és a megfelelő minősítéseik is. A közepes és alacsony kockázatú cégek esetében pedig viszonylag gyorsan piacra léphetnek azok a cégek, melyek eddig csak NIS2-felkészítést vállalhattak.

Szabolcs szerint magát a NIS2-t is felül kellene vizsgálni. Mint Tanács Zoltán egy frissebb posztja alatt írta, "teljesen indokolatlan és szakmailag elhibázott, hogy az USA-ban az állami szektorra és fegyveres erőkre kitalált NIST800-53 kontrollrendszert tették kötelezővé a magyar magánszektorra, holott ott van a kifejezetten erre a szektorra megalkotott NIST CSF, amelyet Európában sok helyen alkalmaznak NIS2 szabályozásban (pl Belgium, Románia, Írország, Málta)". Szerinte emiatt a NIS2 alkalmazása a privát szektorra életidegen.

_{(Fotó: Facebook)}