A hazai kiberbiztonsági szabályozás következő nagy mérföldkövéhez érkezve egyre több szervezet keresi a válaszokat az auditálással, besorolásokkal és megfelelési kötelezettségekkel kapcsolatos kérdéseire. Az IVSZ legutóbbi szakmai egyeztetésén – amelyen Dr. Szemeti Ferenc, az SZTFH kiberbiztonsági igazgatója is részt vett kollégáival együtt – több gyakorlati szempont is napirendre került, különös tekintettel az audit határidőre, az EIR-ek besorolására és az audit nyelvének kérdéskörére.
A Magyar Kereskedelmi és Iparkamarával (MKIK) együttműködésben kialakításra került az a javaslatcsomag, amely a jelenlegi, 2025. december 31-i auditkötelezettség határidejének fél évvel történő kitolását kezdeményezné. Az új határidő 2026. június 30. lenne, ugyanakkor már 2025. augusztus 31-ig minden kötelezettnek szerződést kellene kötnie az auditorral. Szemeti Ferenc szerint ez a módosítás szakmai egyetértéssel készült, de még nem került jogszabályi szintre – ugyanakkor bíznak benne, hogy a jogalkotó figyelembe veszi a szakma érveit.
Az egyeztetés során kiemelt téma volt az elektronikus információs rendszerek (EIR-ek) besorolása, amely sok esetben jelentős kihívás elé állítja a szervezeteket. A szándékosan rugalmas jogszabályi elvárás sok értelmezési kérdést vet fel, különösen, hogy az audit díjak is ehhez kötődnek. Bár a kevesebb EIR kialakítása vonzó lehet a szervezetek számára, azonban az SZTFH felhívja a figyelmet arra, hogy a rendszerek túlzott összevonása a megfelelést megnehezíti. Emellett figyelembe kell venni, hogy az auditoroknak joguk és kötelességük van felülvizsgálni az EIR-ek besorolását szakmai szempontok alapján.
A nemzetközi vállalatcsoportok esetében kiemelt jelentőséget kapott a rendelkezési jog kérdése, különösen akkor, ha a magyar leányvállalat kizárólag használja, de nem irányítja az IT rendszereket. Amennyiben a rendszerek feletti tényleges rendelkezés – tehát a konfigurációs, működési döntések – a külföldi anyavállalat kezében vannak, az SZTFH álláspontja szerint a magyar entitásnak nincs saját EIR-je, így auditkötelezettség sem keletkezik. Ez azonban nem mentesíti őket a nyilvántartási kötelezettség és a felügyeleti díj megfizetése alól. A beszélgetés során arra sajnos nem derült fény, hogy ilyen esetben pontosan hogyan kell eljárni és milyen formában kell például jelezni a hatóság felé, hogy az auditorral a szerződéskötés miért maradt el. A gyakorlatban sok múlik azon, hogy a szolgáltatási szerződés hogyan tükrözi a felek valós szerepét: ha a leányvállalat kérései, igényei befolyásolják az anyavállalat döntéseit, az már utalhat rendelkezési jogra – és ezáltal auditkötelezettségre is.
Tisztázásra került az is, hogy az eljárás nyelve alapvetően magyar – a dokumentációt és a hatóságokkal folytatott kommunikációt magyar nyelven kell végezni. Ugyanakkor az audit lefolytatása során nem szükséges minden evidenciát és szabályzatot magyar nyelvre fordítani, ezt az auditorral kötött szerződésben kell rögzíteni. Amennyiben az auditor vállalja, akkor az audit folyamata történhet idegen nyelven, azonban a végterméknek és a hatóságok részére benyújtott dokumentumoknak minden esetben magyar nyelvűnek kell lenniük.
A szakmai egyeztetés során Dr. Szemeti Ferenc azt hangsúlyozta, hogy minden kötelezettnek az lenne az érdeke, hogy minél előbb felkészüljön és elvégeztesse auditot, melyhez – a hatóság álláspontja szerint – minden körülmény adott.
