Právne aspekty pre firmy v oblasti kybernetickej bezpečnostiDreamstime
StoryEditor

Právne aspekty pre firmy v oblasti kybernetickej bezpečnosti

14.12.2021, 23:00
Dnes nenájdeme firmu, ktorá by si neuvedomovala dôležitosť témy kybernetickej bezpečnosti. V teoretickej rovine ide o nesporný fakt. V praktickej rovine kreovania a implementovania opatrení je situácia iná. Významnú úlohu vždy zohráva angažovanosť vedenia, nastavenie bezpečnostných procesov. Rozhodujúce sú personálne a finančné zdroje a úroveň povedomia zamestnancov. Nie je otázkou, či firmu zasiahne alebo nezasiahne kybernetický útok, ale to, kedy sa útok uskutoční.

O právnych aspektoch týkajúcich sa oblasti kybernetickej bezpečnosti sme sa rozprávali s Ing. Jozefom Priesolom, PhD., bezpečnostným manažérom spoločnosti Slovanet, a.s.

Ako sa kybernetická bezpečnosť dotýka spoločnosti Slovanet, a.s.?

Kybernetická bezpečnosť je pre nás ako prevádzkovateľa základnej službyposkytovateľa digitálnej služby jednou z kľúčových oblastí, ktorej sa intenzívne venujeme. Tieto odborné termíny vyplývajú z aktuálneho znenia zákona o kybernetickej bezpečnosti, o ktorom sa detailnejšie zmienim. Pre nás ako telekomunikačného operátora, je samozrejmosťou kontinuálne plniť všetky legislatívne povinnosti. V oblasti bezpečnosti robíme ešte viac. Napr. spomeniem certifikáciu manažérskych systémov: ISO/IEC 27001 a ISO/IEC 27018. Pristúpili sme k zefektívneniu interných bezpečnostných procesov. Dbáme na správne reagovanie na identifikované hrozby, dôsledne analyzujeme a minimalizujeme bezpečnostné riziká. V neposlednom rade sme implementovali systém identifikácie, riadenia a notifikovania bezpečnostných incidentov.

V oblasti kybernetickej bezpečnosti sa veľa spomína legislatíva. Čo sa ňou prináša?

Zjednodušene môžem povedať, že v oblasti kybernetickej bezpečnosti je cieľom legislatívy zabezpečiť ochranu informačných systémov a sietí pred ich narušením. Na jednej strane je to, čo firma robí proaktívne v tejto oblasti dlhodobo aj nad rámec zákona a na druhej strane, čo reálne musí robiť, lebo to explicitne vyžadujú právne predpisy. Jednotlivé kritériá vychádzajú z viacerých všeobecne záväzných právnych predpisov. Na prvom mieste je to zákonom č. 287/2021 Z. z. novelizovaný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti. Novela bola schválená a vstúpila do platnosti 1.8.2021. Identifikačné kritériá pre jednotlivé kategórie závažných kybernetických incidentov a podrobnosti ich hlásenia upravuje vyhláška NBÚ č. 165/2018 Z. z. Základnú službu a jej identifikačné kritériá upravuje vyhláška NBÚ č. 164/2018 Z. z. Dôležitou oblasťou je rozsah bezpečnostných opatrení, štruktúra dokumentácie, ktorú upravuje vyhláška NBÚ č. 362/2018 Z. z. Audit kybernetickej bezpečnosti upravuje vyhláška NBÚ č. 436/2019 Z. z.

Spomínali ste pojem prevádzkovateľ základnej služby. Kto to reálne je?

PZS je orgán verejnej moci alebo osoba, ktorá poskytuje aspoň jednu základnú službu uvedenú v zozname základných služieb, ktorý vedie Národný bezpečnostný úrad. Patrí tu napr. poskytovanie bankových produktov, systému doménových mien na internete, poštových služieb.

Právne aspekty pre firmy v oblasti kybernetickej bezpečnosti Právne aspekty pre firmy v oblasti kybernetickej bezpečnosti Slovanet

Ing. Jozef Priesol, PhD.

Ako má firma postupovať pri zosúladení s právnymi predpismi?

Nie každá firma môže byť PZS. V prvom rade je tu existencia sektorov, ktoré sa označujú ako základná služba. V prípade, ak firmu úrad z vlastného podnetu nezaradí medzi PZS, a internou analýzou dôjde k identifikovaniu prekročenia kritérií ZS a jej rozsahu, prvým krokom je oznámenie prekročenia identifikačných kritérií NBÚ. Tým bola služba zaradená do zoznamu základných služieb a prevádzkovateľ do registra prevádzkovateľov ZS. Následne je potrebné prijať bezpečnostné opatrenia, pričom lehota určená na ich implementáciu je 12 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov ZS. Bezpečnostné opatrenia zahŕňajú celý rad  praktických povinností, riadenie rizík, údržby informačných systémov a pod., ako aj plnenie zmluvných povinností. Pri uzatvorení zmluvy o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností táto povinnosť nie vždy platí. Realizácia opatrení by mala jednoznačne vychádzať z analýzy rizík vo vzťahu k prevádzkovanej službe. U každého PZS môže byť situácia iná. Povinnosťou je vykonanie zákonného auditu, z ktorého záverečná správa sa postúpi v predpísanej lehote na NBÚ.

Na čo firma nemôže zabudnúť a čo jej môže pomôcť?

Komunikovať s NBÚ pred registráciou a vždy v prípade notifikovania závažných kybernetických incidentov. Fázu zosúladenia odporúčam manažovať projektovo. Jej nosné časti sú: Identifikácia, inventarizácia, klasifikácia a kategorizácia aktív, analýza a manažment rizík, analýza biznis procesov a dopadov, dokumentácia, úprava zmluvných vzťahov a v neposlednom rade technické opatrenia.

Ako sa firma presvedčí, či je v súlade s legislatívou?

Firma, ktorá je PZS, by mala v každom čase spĺňať všetky  zákonné požiadavky. To, či ich spĺňa a v akej miere najlepším spôsobom určí dôsledná analýza alebo audit kybernetickej bezpečnosti. V praxi je to rôzne. Odporúčam sa obrátiť na špecialistov, ktorí zrealizujú GAP analýzu. Výstupom bude identifikácia miery súladu a nápravné opatrenia.  Ak má firma od 1.8.2021 do 31.12.2023 povinnosť realizovať zákonný audit posúdenia súladu s legislatívou KB, má informačné systémy kategórie I. a II. a určeného manažéra KB, môže realizovať samohodnotenie účinnosti prijatých bezpečnostných opatrení podľa metodiky NBÚ. Avšak zodpovednosť a angažovanosť vrcholového manažmentu je na prvom mieste, len tak sa dá zabezpečiť ochrana a kontinuita služby.

VIAC NA: https://biznis.slovanet.net/kontakt/

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
01. október 2022 00:27