Odborník o nových kybernetických povinnostiach od roku 2025. Čo nepodceniť, ako postupovať pri implementácii opatrení, na čo dať pozor pri kybernetickom audite aj ako predísť incidentom.
Kybernetické útoky na viaceré významné inštitúcie v poslednom období ukázali, že bezpečnostná ochrana je stále viac dôležitejšia a týka sa to naozaj všetkých. Riziká aj dôsledky jej zanedbania môžu byť veľké tak pre inštitúcie, ako aj pre firmy a v konečnom dôsledku aj pre bežných občanov.
Preto sa touto oblasťou zaoberá aj Európska únia a snaží sa posilniť kybernetickú bezpečnosť členských krajín a významnejších inštitúcií či podnikov z vybraných sektorov. S týmto cieľom vznikla aj smernica NIS1 a jej novšia verzia NIS2. Nakoľko ide o smernicu, členské štáty, vrátane Slovenska, sú povinné jej ustanovenia zapracovať do svojej národnej legislatívy. Z tohto dôvodu došlo k novele zákona o kybernetickej bezpečnosti, ktorá je účinná od 1.1.2025. Čo v praxi prináša, aké povinnosti firmy majú, čo nepodceniť a praktické rady aj tipy, ako kybernetickým rizikám predísť či ako na ne reagovať, v rozhovore prezradil Jozef Priesol, bezpečnostný manažér spoločnosti Slovanet, ktorá sa okrem poskytovania internetu a televízie či rôznych služieb vo firemnom sektore zameriava taktiež na pokročilé riešenia kybernetickej bezpečnosti a poradenstvu v súvislosti s NIS2.
Kyberbezpečnosť firmy často riešia len preto, že to vyžaduje zákon, neuvedomujú si riziká
Novela zákona o kybernetickej bezpečnosti vychádza zo smernice NIS2. O čom vo všeobecnosti táto smernica je?
Smernice NIS (Network and Information Security) poskytujú právny rámec a súbory potrebných prevádzkových opatrení pre bezpečnosť IT systémov a ochrany dát. Poskytujú jednotné štandardy a zvyšujú celkovú odolnosť proti kybernetickým hrozbám, incidentom a ich následkom. Účinnosť zabezpečujú stanovením povinností pre členské štáty EÚ a subjekty, ktorých sa týka.
Na Slovensku boli tieto smernice implementované formou noviel Zákona o kybernetickej bezpečnosti (č. 69/2018 Z. z.).
Aké povinnosti zavádza novela predmetného zákona od roku 2025?
Novela zákona o kybernetickej bezpečnosti, ktorou sa transponuje smernica NIS2, ako prvé stanovuje povinnosť firmám a inštitúciám preveriť, či spadajú pod rozšírené kritériá (podľa sektora pôsobenia a veľkosti) a či spadajú pod charakteristiku prevádzkovateľa základnej alebo kritickej základnej služby. Ak áno, druhou povinnosťou takýchto subjektov je registrovať sa, resp. podať oznámenie Národnému bezpečnostnému úradu (NBÚ) najneskôr do 2.3.2025 (alebo do 60 dní odo dňa, odkedy začali relevantnú činnosť vykonávať), potom do 30 dní dostanú vyjadrenie o zaradení do registra prevádzkovateľov základnej služby (alebo základných služieb).
Podľa jeho výsledku je potom potrebné postupovať a v ďalších krokoch splniť viaceré zákonné povinnosti svojej kybernetickej bezpečnosti – napríklad vykonať analýzu rizík, plniť si oznamovacie povinnosti, nahlasovať závažné kybernetické incidenty či vykonať bezpečnostný audit.
Môžete uviesť pár konkrétnych príkladov, koho sa nové povinnosti môžu týkať?
Medzi prevádzkovateľov základnej služby patria napríklad poskytovatelia poštových služieb (SPS, DHL, Cromwell, Express One Slovakia či Úrad pre reguláciu elektronických komunikácií a poštových služieb). Taktiež poskytovatelia laboratórnych služieb ako AnalytX či Cumulus. V prípade poskytovateľov služieb systému doménových mien ide napríklad o tvorcov e-shopov a webov ako Weby Group, WebSupport či Webglobe (WY Group). Presný zoznam poskytovateľov základných služieb, a teda zoznam dotknutých firiem je uvedený na webovej stránke nbu.gov.sk/zoznam-zakladnych-sluzieb/.
Z vašej skúsenosti – ako na nové povinnosti v súvislosti s novelou zákona o kybernetickej bezpečnosti reagujú podnikatelia?
Často sa stretávame s tým, že firmy vnímajú právnu reguláciu EÚ, ako aj národnú reguláciu, ako nutné zlo. Aj kybernetickú bezpečnosť a zákonom transponovanú smernicu NIS2 riešia len preto, že to vyžaduje zákon. Dostatočne si neuvedomujú, že je to predovšetkým v ich vlastnom záujme a že samotná kybernetická bezpečnosť a odolnosť voči rastúcim hrozbám by mala byť pre každú firmu cieľom.
Je niečo, čo firmám robí v praxi problém?
Častým problémom býva samotné vyhodnotenie, či konkrétna firma spadá pod novelizovaný zákon o kybernetickej bezpečnosti a či je teda tzv. prevádzkovateľom základnej služby. Národný bezpečnostný úrad na to poskytuje aj oficiálny webový nástroj. Stretávame sa aj s problémom firiem získať, resp. obsadiť funkciu manažéra kybernetickej bezpečnosti, ktorý má spĺňať súbor požiadaviek na túto pozíciu. Firmy spadajúce pod reguláciu majú totiž zákonnú povinnosť takúto osobu určiť a menovať do funkcie. Táto rola sa však dá realizovať nielen interným zamestnancom, ale aj externou formou. Najmä, ak je firma malá a nemá dostatok špecialistov, je efektívnejšie mať manažéra kybernetickej bezpečnosti externou formou. Ide o zabezpečenie kvalifikačných požiadaviek, ktoré musí manažér kybernetickej bezpečnosti spĺňať.
Zavádzanie nových povinností do praxe – na čo dať pozor
S akými nákladmi sa spája zavedenie predmetných povinností?
Firmám a jej vlastníkom odporúčame najprv si vyhodnotiť, s akými aktívami pracujú (napríklad zákaznícke informácie, kontakty, postupy, fakturačné údaje, informačné systémy, osobné údaje, údaje o zamestnancoch, účtovné údaje a podobne), ich hodnotu, a tým aj dôvody ich chrániť. Od toho sa odvíjajú ďalšie opatrenia a aktivity. Platí, že na bezpečnostné náklady je dobré sa pozerať práve cez hodnoty, ktoré chránia. Šetriť pár eurami pri ochrane miliónových aktív môže byť mimoriadne neprezieravé.
Reálne náklady na zabezpečenie firmy v súlade s aktuálnou legislatívou v oblasti kybernetickej bezpečnosti sa potom odvíjajú od jej veľkosti, robustnosti IT prostredia a využívaných technologických zariadení (servery, pracovné stanice, počet používateľov atď.). Podstatnú nákladovú časť tvoria takzvané technické opatrenia, ale dôležité je aj neustále vzdelávanie a informovanie zamestnancov.
Čo je potrebné vo firme zabezpečiť, zaviesť pre jednoduchšiu implementáciu predmetných povinností?
Vo firme je dôležité mať zavedený manažment rizík, definované zodpovednosti, definované kľúčové zásady bezpečnosti a nepripúšťať žiadne výnimky. Slabou stránkou býva aj absentujúce riadenie kontinuity činností - teda postupov, čo firma urobí, ak dôjde k neočakávanému prerušeniu určitej činnosti.
Novelou zákona sa zrušila kategorizácia a klasifikácia informácií a informačných systémov, nahradila ich analýza rizík ako nástroj pre aplikáciu opatrení. Čo si pod týmto pojmom predstaviť?
Ako som uviedol, základom každej firmy je chrániť a riadiť aktíva a aj potrebné zdroje. Teda, ak viem, čo chránim, mám zoznam aktív a poznám konkrétnych vlastníkov aktív, mám korektný základ pre analýzu rizík, ktorá predstavuje dôležitú súčasť samotného procesu riadenia rizík. Ak ju chceme realizovať, musíme mať katalóg rizík, resp. inventár či register rizík. Ak sú nám už známe jednotlivé hrozby, zraniteľnosti, aktíva a samotné riziká s nimi súvisiace, analýza rizík potom predstavuje samotné posúdenie konkrétnych rizík. S akou pravdepodobnosťou sa niečo stane a aký to bude mať dopad. Cieľom je riziká buď s odôvodnením akceptovať, alebo ich znižovať – mitigovať.
Ako často je vhodné robiť analýzu rizík?
Analýzu rizík alebo jej revíziu je vhodné urobiť minimálne raz ročne alebo pri implementácii nových IT systémov a procesov, ich významnejších zmenách, ale aj v prípade, ak sa vo firme reálne stane bezpečnostný incident.
Nová povinnosť – pravidelné kybernetické audity
Novelou zákona sa zavádzajú aj povinné kybernetické audity. Na čo slúžia?
Auditom kybernetickej bezpečnosti sa overuje plnenie povinností a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa relevantnej legislatívy. Prevádzkovateľ základnej služby (nazýva sa tak subjekt spadajúci pod kritériá zákona o kybernetickej bezpečnosti) je povinný auditom preveriť, či má implementované účinné bezpečnostné opatrenia.
Kto audit môže vykonať?
Audit kybernetickej bezpečnosti môže vykonať len certifikovaný audítor kybernetickej bezpečnosti podľa príslušnej schémy a musí plniť definované kvalifikačné požiadavky.
Kde takého audítora možno nájsť?
Zoznam certifikovaných audítorov poskytuje samotný NBÚ a záujemcom o bezpečnostné riešenia vieme vhodného audítora aj odporučiť alebo sprostredkovať.
Je stanovená lehota, dokedy musí byť vo firme, ktorej sa NIS2 týka, audit vykonaný?
Áno. Vykonať ho musí do dvoch rokov od zaregistrovania.
Ide o jednorazovú záležitosť alebo treba audit vykonávať opakovane?
Po prvotnom audite ho následne musí vykonávať v periodicite každé dva roky alebo pri významnej zmene, ktorá má značný vplyv na realizované bezpečnostné opatrenia.
Na čo by si mali dať podnikatelia pred auditom pozor, aké pochybenia audítori najčastejšie odhaľujú?
V praxi sa pri auditoch najčastejšie stretávame s tým, že firmy majú nedostatočnú alebo úplne chýbajúcu analýzu rizík, absentuje monitorovania siete, šifrovanie osobných staníc, zálohovanie, fyzická bezpečnosť alebo má nízke povedomie zamestnancov o rizikách, bezpečnom používaní počítačov, komunikácii a podobne.
Ako dlho taký audit prebieha?
Trvanie samotného kybernetického auditu závisí od veľkosti firmy a jej systémov a býva spravidla v rozsahu jedného až troch týždňov. Rozsah výkonu auditu určuje vyhláška.
Čo sa deje s jeho výstupom? Je potrebné ho niekomu odovzdať?
V tejto súvislosti odporúčam dať si pozor na to, aby bola po ukončení auditu odoslaná záverečná správa Národnému bezpečnostnému úradu (NBÚ), a to do 30 dní od odovzdania auditnej správy prevádzkovateľovi základnej služby. Taktiež firma musí prípadné nesúlady odstrániť a aj o tom následne informovať úrad. Je to zákonná povinnosť.
Niektorým firmám stačí vykonať aj samohodnotenie. Koho sa to týka a o čo ide?
Samohodnotenie môže vykonať len ten poskytovateľ základnej služby (PZS), ktorý neposkytuje kritickú základnú službu. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti podniku. PZS, ktorý si zvolil vykonanie auditu samohodnotením, musí vykonať prvý audit prostredníctvom certifikovaného audítora do 5 rokov a následne v periodicite podľa Vyhlášky NBÚ č. 493/2022 Z. z. o audite kybernetickej bezpečnosti.
Kybernetické opatrenia sa týkajú aj firiem, ktorým ich nestanovuje zákon
Na čo si majú dávať pozor firmy ktoré podľa zákona nespadajú do dotknutých subjektov? Môže sa aj ich zákon nejakým spôsobom týkať?
Kybernetickej bezpečnosti by sa mala venovať každá zodpovedná firma. Jej zanedbaním, neriešením vo viere „Nám sa nemá čo stať“ alebo až úplnou ignoranciou síce nemusí porušiť legislatívu, vystavuje sa však veľkým rizikám.
Dnes nie je otázkou, či sa stanete cieľom bezpečnostného incidentu, ale kedy sa ním stanete
Dnes už totiž nie je otázkou, či sa stanete cieľom nejakého bezpečnostného incidentu, ale kedy sa ním stanete a aké vážne následky to bude mať.
Prečo je kybernetická
bezpečnosť dôležitá? Aké vážne môžu byť dôsledky?
V prípade kybernetického útoku zásadne záleží na tom, ako je firma pripravená. Zisťovanie, čo sa stalo, zabránenie šírenia útoku, odstraňovanie následkov, obnova prevádzky systémov, obnova záložných dát, overovanie, či niečo aj tak nezlyháva – to všetko môže trvať mnoho dní, počas ktorých je firma paralyzovaná, stráca dôveru zákazníkov, partnerov a jej problém sa môže dostať aj do médií. Ak to nezvládne rýchlo a dobre, vrátane primeranej komunikácie, dôsledkom môže byť nielen strata dobrého mena, ale môže to dokonca viesť až k zániku firmy.
Čo firmám odporúčate, ako sa vyhnúť rizikám?
Podnikateľom odporúčam, aby boli pripravení, pristupovali k bezpečnosti systematicky, učili sa na chybách iných a najmä vedeli, čo robiť, ak sa niečo stane. Odporúčam ochrániť svoje počítačové siete zariadením firewall a monitorovať ich prevádzku. Bezpečne zálohovať podľa pravidla 3-2-1, teda sa držať pravidla – vytvoriť tri kópie dát, uložiť kópie na dve technicky rôzne pamäťové médiá (vrátane napr. externých diskov alebo magnetických pások) a mať aspoň jednu zálohu mimo hlavnej lokality, offline v zabezpečenom priestore. Ak nemajú poctivé zálohovanie, tak sa nemusia stať ani obeťou útoku, ale odstaviť ich môže aj obyčajná porucha počítača a strata dôležitých dát. Častým nedostatkom býva aj zanedbávané pravidelné a cielené vzdelávanie zamestnancov. Odporúčam mať správne nastavenú bezpečnosť a ochranu údajov aj vo vzťahoch s tretími stranami. Ak si neviem dať rady, nečakám a obrátim sa na skúsených špecialistov a konzultantov.
Súhrn odporúčaní, ako predísť bezpečnostným incidentom vo firme
Jozef Priesol zo svojich skúseností prezradil niekoľko praktických tipov a odporúčaní, ako vo firme predchádzať bezpečnostným rizikám a zároveň plniť povinnosti podľa novely zákona o kybernetickej bezpečnosti, ktorá vychádza zo smernice NIS2. Ako sme uviedli v článku Novela zákona o kybernetickej bezpečnosti od 1.1.2025, za ich nedodržanie hrozí firmám pokuta aj v státisícoch či miliónoch eur.
Prehľad odporúčaní firmám od bezpečnostného manažéra
- Urobte si aspoň základný obraz o tom, aké kyberbezpečnostné riziká existujú a aké sú dostupné ochrany voči nim. Vyhľadajte si odborné webové stránky, ktoré sa tejto problematike venujú, využiť možno napríklad aj bezplatné webináre NBÚ.
- Nájdite si a dobre vyberte renomovaného konzultanta, ktorý vám na základe súboru otázok a odpovedí zostaví konkrétne odporúčania. Nakoľko rozdiely v analytických skúsenostiach a kvalite konzultantov/dodávateľov riešení sú niekedy veľké, overte si ich dobu pôsobenia, referencie, zdravie firmy (vo verejne dostupných finančných databázach firiem), renomé na sociálnych sieťach a podobne.
- Preverte si, či spadáte pod kritériá NIS2 a vzťahujú sa na vás legislatívne povinnosti podľa novelizovaného zákona o kybernetickej bezpečnosti. Aj v prípade, že pod kritériá zákona nespadáte, môže byť dobré sa jeho pravidlami a opatreniami inšpirovať pre vlastné riešenie kybernetickej bezpečnosti.
- Vyhodnoťte si hodnotu svojich aktív a riziká – aké dopady môže mať strata hodnotných dát, pozastavenie prevádzky firmy počas prípadnej nefunkčnosti alebo obnovy dát a systémov, možná strata dôvery zákazníkov a partnerov, možné obchodné straty – a podľa nich zvážte výšku investícií do svojej ochrany.
- Svoju počítačovú a dátovú sieť zabezpečte minimálne touto základnou trojicou riešení a opatrení:
- ochráňte ju kvalitným a odborne nastaveným firewallom,
- zabezpečte si dostatočné zálohovanie dát a systémov, vrátane prípravy a nácviku ich obnovy,
- nasaďte si v sieti monitorovací nástroj pre detekciu bezpečnostných podozrení alebo problémov.
O respondentovi: Ing. Jozef Priesol, PhD.
Bezpečnostný manažér spoločnosti Slovanet, a. s. Špecialista s dlhoročnými skúsenosťami v oblasti informačnej a kybernetickej bezpečnosti. Zaujíma sa o legislatívu v uvedených oblastiach a jej praktické implementovanie a dodržiavanie. Má skúsenosti s výkonom zákonných auditov kybernetickej bezpečnosti, ako aj auditov ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 27018, ISO 20000-1. Zároveň sa venuje aj ochrane osobných údajov. Je držiteľom viacerých odborných certifikácii, ako napríklad ISO 27001 Lead Auditor. Je autorom riadiacich interných dokumentov, ako aj odborných publikácií. Vo voľnom čase sa venuje letectvu ako privátny pilot.
