Pre zobrazenie obsahu špecifického pre vašu polohu, vyberte inú krajinu

//Vybrať krajinu

Kľúčové podniky zlepšujú svoju ochranu pred kybernetickými hrozbami

TÜV SÜD Slovakia blog

Spoločnosti dodávajúce vodu, elektrinu či poskytujúce finančné služby sa musia registrovať do zoznamu základných alebo digitálnych služieb Národného bezpečnostného úradu (NBÚ). Cieľom je zvýšiť ochranu kľúčových sektorov hospodárstva pred hrozbami kybernetických útokov.

kybernetická bezpečnosť

Súlad so zákonom o kybernetickej bezpečnosti č.69/2018 Z.z.

Do zoznamu sa už mali prihlásiť nemocnice, banky, poisťovne, energetické podniky a ďalšie firmy, ktorých činnosť má výrazný vplyv na ľudí, firmy či chod štátu. Napríklad spravujú kritickú infraštruktúru, zhromažďujú citlivé informácie alebo zásobujú ľudí a firmy strategickými surovinami. Spraviť tak mali do konca vlaňajšieho septembra. Nariadil im to zákon o kybernetickej bezpečnosti, ktorý platí od apríla 2018 a včlenil pod seba aj európsku smernicu NIS (smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii).

 

Implementácia smernice o kybernetickej bezpečnosti 

V súčasnosti  je v zoznamoch základných alebo digitálnych služieb, ktoré vedie NBÚ ako kritickú infraštruktúru, približne 150 spoločností či inštitúcií. Podľa Igora Straku, audítora spoločnosti TÜV SÜD Slovakia, by tento počet ešte nemal byť konečný. Situácia s implementovaním smernice o kybernetickej bezpečnosti je veľmi podobná ako pri GDPR. Existuje viacero povinností a opatrení, ktoré treba podľa zákona a príslušných vyhlášok splniť.

Zámerom NIS je preventívne ochrániť infraštruktúru pred kybernetickými útokmi. Zavedenie prevencie síce nie je lacné, ale v konečnom dôsledku pomôže ušetriť firmám a inštitúciám veľa peňazí. Napríklad v podobne „výkupného“ útočníkom či odškodného pre odberateľov, ktorým nedokázali dodať elektrickú energiu, v čoho dôsledku museli napríklad prerušiť výrobu.


Zavedenie prevencie síce nie je lacné, ale v konečnom dôsledku pomôže ušetriť firmám a inštitúciám veľa peňazí.


Jedným z dôvodov, prečo môžu niektoré z firiem či inštitúcií meškať s registráciou je aj fakt, že si túto povinnosť nepreverili. Robiť by tak mali priebežne, keďže NBÚ môže kritériá na zaradenie do zoznamu meniť. Je preto dôležité sledovať jeho rozhodnutia a prihlásiť sa hneď, ako zistia, že sa ich začal zákon o kybernetickej bezpečnosti dotýkať. Pokuta za neprihlásenie sa či iné nedodržiavanie zákona sa môže vyšplhať až do 300-tisíc eur. Tí, ktorí sa už zaregistrovali, mali šesťmesačnú lehotu na to, aby prijali bezpečnostné opatrenia. Od januára 2019 platí vyhláška, ktorá určila, aké náležitosti majú bezpečnostné oparenia spĺňať.

NIS sa netreba báť, odraziť sa môžete od normy ISO 27001

Splnenie NIS sa podobne ako v prípade GDPR môže javiť ako veľmi zložitý proces, no netreba sa ho obávať. Aj pri NIS (a teda aj zákona o kybernetickej bezpečnosti) existujú nástroje, ktoré jej implementáciu uľahčujú. Podľa audítora Igora Straku sa firmy môžu odraziť od normy, ktorú má väčšina z nich zavedenú. Ide o systém riadenia informačnej bezpečnosti - ISO 27001.


Podľa audítora Igora Straku sa firmy môžu odraziť od normy, ktorú má väčšina z nich zavedenú. Ide o systém riadenia informačnej bezpečnosti - ISO 27001.


Metodika a súlad so zákonom o kybernetickej bezpečnosti

Vytvorili sme metodiku na zavedenie súladu so zákonom o kybernetickej bezpečnosti. Táto metodika veci nekomplikuje, ale zjednodušuje. Celý rozsah povinností a opatrení sme zadelili do piatich jednoduchých funkčných oblastí, ktoré chápe každý a dajú sa jednoducho riadiť. Sú to „Detekcia, Ochrana, Monitoring, Odozva a Obnova."

Pri tvorbe metodiky sa inšpirovali americkým štandardom NIST CSF na ochranu kritickej infraštruktúry s napojením na štandard práve na ISO normu. ISO 27001 sa v Európe využíva v každom podniku, v niektorom viac a v niektorom menej. Nebuduje sa nový stream, ale rozširujeme niečo, čo už existuje. Pri testovaní metodiky sme vyhodnotili ako najkľúčovejšie procesy riadenie rizík, monitorovanie a vyhodnocovanie udalostí a incidentov a zabezpečenie kontinuity činností.


Získajte viac

Vybrať lokalitu

Global

Americas

Asia

Europe

Middle East and Africa