O právnych aspektoch týkajúcich sa oblasti kybernetickej bezpečnosti sme sa rozprávali s Ing. Jozefom Priesolom, PhD., bezpečnostným manažérom spoločnosti Slovanet, a.s.
Ako sa kybernetická bezpečnosť dotýka spoločnosti Slovanet, a.s.?
Kybernetická bezpečnosť je pre nás ako prevádzkovateľa základnej služby a poskytovateľa digitálnej služby jednou z kľúčových oblastí, ktorej sa intenzívne venujeme. Tieto odborné termíny vyplývajú z aktuálneho znenia zákona o kybernetickej bezpečnosti, o ktorom sa detailnejšie zmienim. Pre nás ako telekomunikačného operátora, je samozrejmosťou kontinuálne plniť všetky legislatívne povinnosti. V oblasti bezpečnosti robíme ešte viac. Napr. spomeniem certifikáciu manažérskych systémov: ISO/IEC 27001 a ISO/IEC 27018. Pristúpili sme k zefektívneniu interných bezpečnostných procesov. Dbáme na správne reagovanie na identifikované hrozby, dôsledne analyzujeme a minimalizujeme bezpečnostné riziká. V neposlednom rade sme implementovali systém identifikácie, riadenia a notifikovania bezpečnostných incidentov.
V oblasti kybernetickej bezpečnosti sa veľa spomína legislatíva. Čo sa ňou prináša?
Zjednodušene môžem povedať, že v oblasti kybernetickej bezpečnosti je cieľom legislatívy zabezpečiť ochranu informačných systémov a sietí pred ich narušením. Na jednej strane je to, čo firma robí proaktívne v tejto oblasti dlhodobo aj nad rámec zákona a na druhej strane, čo reálne musí robiť, lebo to explicitne vyžadujú právne predpisy. Jednotlivé kritériá vychádzajú z viacerých všeobecne záväzných právnych predpisov. Na prvom mieste je to zákonom č. 287/2021 Z. z. novelizovaný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. Novela bola schválená a vstúpila do platnosti 1.8.2021. Identifikačné kritériá pre jednotlivé kategórie závažných kybernetických incidentov a podrobnosti ich hlásenia upravuje vyhláška NBÚ č. 165/2018 Z. z. Základnú službu a jej identifikačné kritériá upravuje vyhláška NBÚ č. 164/2018 Z. z. Dôležitou oblasťou je rozsah bezpečnostných opatrení, štruktúra dokumentácie, ktorú upravuje vyhláška NBÚ č. 362/2018 Z. z. Audit kybernetickej bezpečnosti upravuje vyhláška NBÚ č. 436/2019 Z. z.
Spomínali ste pojem prevádzkovateľ základnej služby. Kto to reálne je?
PZS je orgán verejnej moci alebo osoba, ktorá poskytuje aspoň jednu základnú službu uvedenú v zozname základných služieb, ktorý vedie Národný bezpečnostný úrad. Patrí tu napr. poskytovanie bankových produktov, systému doménových mien na internete, poštových služieb.
Ing. Jozef Priesol, PhD.
Ako má firma postupovať pri zosúladení s právnymi predpismi?
Nie každá firma môže byť PZS. V prvom rade je tu existencia sektorov, ktoré sa označujú ako základná služba. V prípade, ak firmu úrad z vlastného podnetu nezaradí medzi PZS, a internou analýzou dôjde k identifikovaniu prekročenia kritérií ZS a jej rozsahu, prvým krokom je oznámenie prekročenia identifikačných kritérií NBÚ. Tým bola služba zaradená do zoznamu základných služieb a prevádzkovateľ do registra prevádzkovateľov ZS. Následne je potrebné prijať bezpečnostné opatrenia, pričom lehota určená na ich implementáciu je 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov ZS. Bezpečnostné opatrenia zahŕňajú celý rad praktických povinností, riadenie rizík, údržby informačných systémov a pod., ako aj plnenie zmluvných povinností. Pri uzatvorení zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností táto povinnosť nie vždy platí. Realizácia opatrení by mala jednoznačne vychádzať z analýzy rizík vo vzťahu k prevádzkovanej službe. U každého PZS môže byť situácia iná. Povinnosťou je vykonanie zákonného auditu, z ktorého záverečná správa sa postúpi v predpísanej lehote na NBÚ.
Na čo firma nemôže zabudnúť a čo jej môže pomôcť?
Komunikovať s NBÚ pred registráciou a vždy v prípade notifikovania závažných kybernetických incidentov. Fázu zosúladenia odporúčam manažovať projektovo. Jej nosné časti sú: Identifikácia, inventarizácia, klasifikácia a kategorizácia aktív, analýza a manažment rizík, analýza biznis procesov a dopadov, dokumentácia, úprava zmluvných vzťahov a v neposlednom rade technické opatrenia.
Ako sa firma presvedčí, či je v súlade s legislatívou?
Firma, ktorá je PZS, by mala v každom čase spĺňať všetky zákonné požiadavky. To, či ich spĺňa a v akej miere najlepším spôsobom určí dôsledná analýza alebo audit kybernetickej bezpečnosti. V praxi je to rôzne. Odporúčam sa obrátiť na špecialistov, ktorí zrealizujú GAP analýzu. Výstupom bude identifikácia miery súladu a nápravné opatrenia. Ak má firma od 1.8.2021 do 31.12.2023 povinnosť realizovať zákonný audit posúdenia súladu s legislatívou KB, má informačné systémy kategórie I. a II. a určeného manažéra KB, môže realizovať samohodnotenie účinnosti prijatých bezpečnostných opatrení podľa metodiky NBÚ. Avšak zodpovednosť a angažovanosť vrcholového manažmentu je na prvom mieste, len tak sa dá zabezpečiť ochrana a kontinuita služby.
VIAC NA: https://biznis.slovanet.net/kontakt/