Összefoglaló:
- Az EU NIS2 irányelvének átültetése nyomán a magyar jogalkotó egy sajátos, az uniós minimumkövetelményeken túlmutató finanszírozási és felügyeleti modellt hozott létre. Ennek része az érintett vállalkozások számára kötelező kibertanúsítási és felügyeleti díj, valamint az előírt rendszeres külső auditálás.
- Az élelmiszeripari vállalkozások – amelyek egyre szélesebb körben tartoznak a NIS2 hatálya alá – e rendszerben többszintű, kumulált költségterhekkel szembesülnek:
- éves felügyeleti díj (legfeljebb 10 millió Ft/év),
- kötelező kiberbiztonsági audit központilag meghatározott auditori körből,
- az audit költségein belül külön auditori díj és hatósági igazgatási szolgáltatási díj.
- A kialakított modell nem illeszkedik jól az élelmiszeripar költségszerkezetéhez, nem kockázatarányos, és eltér a környező EU‑tagállamok többségének gyakorlatától, ami versenyhátrányt okoz a magyar élelmiszergyártók számára.
- A tanúsítási modell nem generál hozzáadott értéket, különösen azon gyártók számára, akik már korábban is rendelkeztek erre a területre vonatkozó belső rendszerrel.
Javaslatok:
- A felügyeleti díjat és a hatósági audit díjakat jelen formájukban meg kell szüntetni!
- A felügyeleti díjat és az auditkötelezettséget kockázat, rendszerkritikusság és tényleges hatósági erőforrás felhasználás alapúvá kell tenni.
- A nemzetközi vállalatcsoportok esetében lehetővé kell tenni a csoportszintű kiberbiztonsági standardok érdemi elfogadását.
Bővebben:
Az Európai Unió magasabb szintű kiberbiztonsági intézkedéseiről szóló (EU) 2022/2555 irányelvének (NIS 2) a magyar jogrendbe való átültetése a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló törvénnyel valósul meg. A magyar NIS2‑átültetés egyik lényegi sajátossága, hogy a felügyelet finanszírozását nem kizárólag költségvetési vagy eseményalapú eszközökkel, hanem kötelező, árbevételhez kötött felügyeleti díjon keresztül biztosítja. Bár a díjfizetés felső határa 10 millió forint, ez az élelmiszeriparban – különösen a magas forgalmú, alacsony profitmarzsú szereplők esetében – érzékelhető és strukturális költségelemmé válik.
A felügyeleti díjon túlmenően kötelező a vállalkozások elektronikus információs rendszereinek rendszeres auditálása, amelyet kizárólag a hatóság által nyilvántartott auditorkör végezhet. Az audit díja két részből áll: az auditor piaci díjából, valamint a hatóságnak fizetendő igazgatási szolgáltatási díjból.
Ez a konstrukció korlátozza a piaci árversenyt, ami tapasztalatok szerint magasabb auditköltségeket eredményez, és rontja a magyar élelmiszeripari vállalkozások versenyképességét mind belföldön, mind az exportpiacokon.
Különösen problematikus a rendszer a nemzetközi vállalatcsoportok esetében. Számos élelmiszeripari gyártó globális vagy regionális anyavállalattal rendelkezik, és egységes, nemzetközileg auditált információbiztonsági és kockázatkezelési keretrendszereket alkalmaz (pl. ISO alapú internal controls, csoportszintű SOC‑modellek). A jelenlegi magyar szabályozás azonban nem biztosít valódi megfelelési átjárhatóságot: a központi vállalati standardok nem illeszthetők automatikusan a magyar követelményrendszerbe, hanem külön, lokális auditot és igazolási folyamatot igényelnek. Ez párhuzamos megfelelést, nem pedig tényleges kockázatcsökkentést eredményez.
A környező versenytárs országok többségében nincs a magyarhoz hasonló, folyamatos, árbevételhez kötött felügyeleti díj, és az auditálás költségei jellemzően eseti, arányosabb jellegűek. Ez alapján megállapítható, hogy a magyar NIS2‑megfelelési rendszer összköltsége jelenleg magasabb az élelmiszeriparban és valós versenyhátrányt jelent a magyarországi gyártók számára.
A felügyeleti díjat meg kell szüntetni: a szükséges ellenőrzési, szabályozási infrastruktúra már kiépült. A fenntartás eseti szolgáltatási díjas alapokon hatékonyabb lenne.
Meg kell szüntetni a hatósági díjakat, és be kell hozni a piaci versenyt az auditálási rendszerbe (pl. kölcsönös elismerések, nagyvállalati belső auditok elfogadása) a költségek leszorítása érdekében.
A nemzetközi vállalatcsoportok esetében lehetővé kell tenni a csoportszintű kiberbiztonsági standardok érdemi elfogadását, nem pusztán formai megfeleltetését.
Javasoljuk a felügyeleti díj és az auditkötelezettség rendszerét kockázat‑, rendszerkritikusság‑ és tényleges hatósági erőforrás‑felhasználás alapúvá tenni. A jogkövető, alacsony kockázati profilú élelmiszeripari vállalkozások számára a piaci alapokon kialakuló alacsonyabb díjak, ritkább auditciklusok vagy egyszerűsített eljárások segítik a versenyképesség fenntartását.
