Prvé, čo vás zarazí, je masívny dosah kyberzákona na široké podnikateľské spektrum.
Počet povinných subjektov stúpne niekoľkonásobne a všetci potrebujú profesionálov kyberbezpečnosti. Pribudnú povinnosti. Pokuty narastú až na desať miliónov eur alebo dve percentá ročného obratu.
Mantra roku
Smernica NIS2 je už viacej ako rok dôvodom na články, školenia, prezentácie a občas aj bezdôvodnú paniku v kyberbezpečnosti. Koniec teoretických odporúčaní, parlament schválil novelizáciu zákona, od začiatku roka sa očakávajú vykonávacie vyhlášky.
Podľa slov kyberbezpečnostného profesionála Mariána Illovského zo skupiny Cyllium vidieť vo firmách aj inštitúciách zvýšený záujem o to, „čo to vlastne tá NIS2 je, či je pre nich povinná a čo musia urobiť.“
Prečo je regulácia
Advokát Miroslav Chlipala prirovnáva kybernetickú bezpečnosť k prevencii a ochrane pred prírodnými živlami. V tomto prípade ide o prevenciu a ochranu pred „živlami“ v kybernetickom priestore.
Regulácia je kľúčová pre ochranu infraštruktúry a sektorov dôležitých pre náš každodenný život pred rastúcimi kybernetickými hrozbami. Tým, že sa stanovia harmonizované a vynútiteľné pravidlá, v konečnom dôsledku sa zabezpečuje stabilná ochrana nás všetkých.
Ťahúni trhu
Ak hovoríme o podnikoch, ktoré sa dobre pripravujú na nový kyberzákon, príkladom ide riadenie služieb IKT. V tomto sektore si už zákazníci presadili nastavenie určitého bezpečnostného štandardu cez dodávateľské zmluvy, ak sa nich vzťahoval kyberzákon.
V zdravotníctva potvrdzuje posun k lepšiemu Dominik Procházka riaditeľ odboru kybernetickej bezpečnosti v skupine Agel: „Najmä štatutári majú zvýšený záujem záujem počúvať a diskutovať.“
Tiché rozjímanie
Marián Illovský po desiatke rokov skúseností vidí posun na slovenskom trhu minimálne v uvedomení. „A postupne príde aj pocit zodpovednosti. Najvýraznejší katalyzátor je incident, ale ozaj nechcem nikomu nič zlé priať.“ Zároveň tu však v súvislosti s novým kybezárkonom poukazuje na rezistenciu sektorov, ktoré neboli doteraz doteraz povinnými, napríklad segment výroby alebo výroba, spracovanie a distribúcia potravín.
Princíp rezistencie voči kyberbezpečnostným opatreniam platí aj pokiaľ ide o pracovné pozície. „Ide tu skôr o individualny postoj, kedy konkrétna osoba potrebuje prijať zmenu a uvedomiť si zodpovednosť,“ vysvetľuje Dominik Procházka.
Kto nám chýba
Na Slovensku pribudne podľa kyberzákona viacej ako deväťtisíc povinných subjektov, nehovoriac o tých existujúcich. Preto je cieľom získať kvalifikovaný personál pre obsadenie aspoň v povinných zákonných rolách, ako manažér a audítor kybernetickej bezpečnosti.
Keďže počet auditovaných subjektov sa zvýši až na dvojnásobok, vystane rovnaký problém ako pred rokmi. Aktuálne máme približne päťdesiat aktívnych audítorov kybernetickej bezpečnosti. Potreba trhu bude dvoj, až trojnásobný počet aktívnych audítorov. „Musíme zintenzívniť hľadanie, upskilling aj certifikáciu odborníkov“, varuje Tomáš Hettych z Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
Malá pomôcka
Aj keď kyberzákon dáva vybraným subjektom možnosť samohodnotenia kyberbezpečnosti, je tu háčik. Samohodnotenie si subjekty urobia každé dva roky, ale po piatich rokoch si musia dať urobiť audit kyberbezpečnosti.
Podľa novelizácie pribudne takmer päťtisíc takých subjektov, ktoré budú mať možnosť samohodnotenia. Kvalifikovaný návod bude poskytovať webová stránka Národného bezpečnostného úradu, ale pre malé obce, mestá či subjekty s outsourcingom IT môže byť aj táto úloha náročná.
A sme opäť na začiatku.
Plán máme
Personálna téma je boľavá všade a novelizácia zákona ide ešte ďalej. Okrem certifikovaného audítora a manažéra kyberbezpečnosti pribudne ďalších desať rolí v tejto oblasti.
Bezpečáci a audítori kybernetickej bezpečnosti sa preto obzerajú, kde by našli kolegov. Tomáš Hettych je sám príkladom kariérnej zmeny a preto často a rád prezentuje prístup, že ideálne je „up-skillovať“ IT špecialistov.
Najlepší kandidáti sú IT profesionáli, administrátori, interní audítori, dátoví analytici, špecialisti ochrany osobných údajov, či manažéri pre riadenie procesov. Ak už spĺňajú znalostné a kompetenčné predpoklady, môžu absolvovať certifikačné kurzy a posunúť sa ďalej.
Úlohy pokračujú
Zatiaľ čo v strednodobom horizonte je najefektívnejšie kontinuálne vzdelávania vo vzdelávacích inštitúciách, dlhodobo je tento problém riešiteľný iba formou vysokoškolského vzdelávania.
Informačná a kybernetická bezpečnosť sa však buduje niekoľko rokov. „Rovnako aj vzdelávanie a spôsob výchovy mladých nie je záležitosťou jedného roka,“ pripomína Pavol Sokol z Univerzity Pavla Jozefa Šafárika v Košiciach. „K študentom sa musia dostať aj iné poznatky a zručnosti, napríklad ako sa zachovať v konkrétnych situáciach, čo to znamená správať sa morálne a podobne.“
Nová misia
Dodávatelia kyberbezpečnostných služieb hľadajú profesionálov „kde sa len dá". Či sú to platené stáže, spolupráce s univerzitami alebo často uvádzaný prechod z IT do kyberbezpečnosti.
Tu je príznačný postreh riaditeľa spoločnosti Aliter Technologies Jána Grujbára: „Každá generácia prináša na trh práce špecifiká. Jedným z hlavných trendov, ktorý pozorujeme u mladých ľudí, je túžba po zmysluplnej práci. Mladí nechcú slepo vykonávať aktivty v duchu monkey see, monkey do. Naopak, hľadajú príležitosti, kde môžu prispieť k väčšiemu strategickému cieľu, ovplyvniť výsledky a zanechať stopu.“
Zákon a pokuty sú jedna vec, presvedčenie sa však dá nedá vynútiť. „Preto by som rád úprimne zdôraznil nevyhnutnosť vzdelávania pre budovanie kybernetickej odolnosti proti globálnym hrozbám,“ uzatvára Miroslav Chlipala.
Kľúčové zmeny kyberzákona 2025
- Rozšírenie pôsobnosti zákona na nové sektory a subjekty
- Identifikácia regulovaného subjektu na základe jeho zaradenia do sektora
- Aplikácia bezpečnostných opatrení na základe analýzy rizík
- Úprava bezpečnosti dodávateľského reťazca
- Úprava hlásenia incidentov
- Koordinované zverejňovanie zraniteľností
- Audit a samohodnotenie
- Certifikácia bezpečnosti IKT produktov a služieb
Zdroj: Národné centrum kybernetickej bezpečnosti