Desatoro nového zákona

Prvým januárom 2025 nadobudol účinnosť Zákon o kybernetickej bezpečnosti 366/2024 Z. z.

Novelizácia kyberzákona zasahuje tisícky subjektov na Slovensku. Viacej ako 9000 subjektov sa stane povinnými osobami a povinnosti pribudnú „novým“, ale aj pôvodným prevádzkovateľom základných služieb.

Štatutárom pripomína novelizácia zákona ich trestno-právnu zodpovednosť v tejto oblasti a fakt, že táto zodpovednosť je neprenosná.

Stručná navigácia zmien

Pôsobnosť zákona sa rozšíri o nové sektory a nové regulované služby
Mení sa spôsob identifikácie povinných osôb na základe príslušnosti k sektoru a veľkostných kritérií
Definuje sa kritická základná služba ako nová hodnota pre posúdenie rizikovosti a kritickosti subjektu
Zavádza sa minimálna kybernetická hygiena
Ruší sa kategorizácia a klasifikácia informácií a informačných systémov a nahradí ich analýza rizík ako univerzálny nástroj pre aplikáciu opatrení
Pribudne zodpovednosť za plnenie bezpečnostných opatrení pre subjekty v dodávateľskom reťazci.
Mení sa hlásenie hrozieb, zraniteľností, udalostí odvrátených na poslednú chvíľu a kybernetických bezpečnostných incidentov
Väčší dôraz sa kladie na systematické riadenie kybernetických rizík
Pribudnú mechanizmy bezpečnostnej certifikácie výrobkov, procesov a služieb
Zvyšujú sa sankcie a mení sa sankčný mechanizmus s cieľom efektívneho vynucovania pokút

Základným a prvým krokom pre každú organizáciu je identifikácia subjektu a od toho sa budú odvíjať ďalšie povinnosti, bezpečnostné opatrenia, audity aj kontrola.

Identifikačný formulár Národného bezpečnostného úradu môže pomôcť subjektom overiť si, či sa na ne vzťahujú povinnosti podľa novelizovaného zákona o kybernetickej bezpečnosti. O zaradení aj vyradení prevádzkovateľa z pohľadu zákona však rozhoduje NBU.

Indikatívna pomôcka na určenie subjektu ako poskytovateľa základnej služby

Novelizácia kyberzákona zdôrazňuje staré známe pravdy

Kybernetická bezpečnosť nie je jednorazový projekt, ale nepretržitý proces. Ak si organizácie nenájdu čas na prípravu teraz, môžu čeliť oveľa vyšším nákladom v budúcnosti.

Pre mnohé firmy to bude len ďalšie „opakovanie známeho“, no tentoraz so sprísnenými pravidlami a väčšími dôsledkami za ich nedodržiavanie. Druhú skupinu tvoria organizácie, ktoré vstupujú do regulovaného prostredia s januárom budúceho roku a čaká ich debata o technológiách a rozpočtoch

Ak ste práve stali povinným či kľúčovým subjektom

Ak stále nemáte zavedené potrebné procesy, začnite gap analýzou alebo analýzou rizík, ktoré odhalia, kde sú vaše slabiny. Tieto kroky sú základom pre pochopenie aktuálneho stavu a naplánovanie ďalšieho postupu.

Malé firmy

Ak nemáte interné kapacity, zvážte externé riešenia, ako napríklad služby Security Operations Center (SOC). SOC poskytuje 24/7 dohľad nad bezpečnosťou, rýchle riešenie incidentov a minimalizáciu škôd a to všetko bez potreby budovania vlastného tímu.

Stredné a veľké organizácie

Veľkých podnikov podľa medzinárodnej metodiky máme na Slovensku iba niekoľko a súkromná sféra tu patrí medzi lídrov v hodnotení kyberbezpečnostných opatrení. S prihliadnutím na počet zamestnancov sú diskutabilné veľké zdravotnícke zariadenia vo verejnej správe.

Pre všetky veľké organizácie je dôležité, že okrem technológií sa budú sústreďovať na školenia zamestnancov, aktualizáciu plánov reakcie na incidenty a pravidelné penetračné testy.

Kyberbezpečnosť v skratke?

Kybernetická bezpečnosť je dnes neoddeliteľnou súčasťou fungovania každej organizácie. Aj keď sa o nej hovorí už roky, smernica NIS2 či novela zákona opäť pripomínajú povinnosť prijať adekvátne opatrenia.

Základom je mať silné heslá, šifrovať citlivé dáta, pravidelne zálohovať a neustále monitorovať systémy.

Plné znenie odkaz na plne znenie je Zákona č. 366/2024 Z. z. ktorý mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti nájdete zverejnené TU