Od januára 2025 platí novelizovaný zákon o kybernetickej bezpečnosti a otázky ku kyberzákonu doslova zaplavili štátne autority. „Najčastejšie sa dopytujú malé a stredné firmy, ktoré sú na hrane sektorov a podsektorov, potom sú tu otázky od slovenských pobočiek zahraničných firiem,“ sumarizuje Tomáš Hettych z Kompetenčného a certifikačného centra kybernetickej bezpečnosti. A zároveň dramaticky rastie aj záujem o kurzy manažérov kybernetickej bezpečnosti.

Povinností veľa

So skúsenosťami sa pridáva aj audítor kybernetickej bezpečnosti v spoločnosti auditori.it  Marián Illovský. Povedomie o kyberzákone hodnotí ako vysoké, pričom „najčastejšia otázka sa týka termínov“.

„Bude sa to týkať aj nás?“ pýtajú sa preťažené firmy, keď sa stretnú s kyberbezpečnostným profesionálom, akým je Jozef Bálint z Alison Slovakia. A nasledujú otázky, čo treba zabezpečiť, implementovať, reportovať a dokedy musia mať nasadené opatrenia. Prípadne - ako spraviť aspoň to nevyhnutné, aby ich nikto nepenalizoval.

Po prvé

Novelizácia zásadne rozšírila okruh povinných osôb. Stali sa nimi aj malé a stredné firmy v regulovaných sektoroch. A tam od januára pribudlo napríklad aj odpadové hospodárstvo, výroba, spracovanie a distribúcia potravín a registrátori domén.

Ešte dôležitejšie však je, že povinými osobami sú aj firmy, ktoré sú súčasťou dôležitého dodávateľského reťazca. Pre mnohé firmy to je prvý kontakt s legislatívnymi nárokmi v kybernetickej ochrany.

Po druhé

Začiatkom marca už mali byť relevantné subjekty zapísané v registri prevádzkovateľov základných služieb na webovej stránke NBÚ. Zápis stále prebieha kvôli obrovskému množstvu žiadostí o zápis.

Hneď po zápise do registra majú všetky firmy termínové povinnosti podľa kyberzákona. Od zverejnenia v registri, alebo doručenia oznámenia od NBÚ, majú rok na prijatie bezpečnostných opatrení a dva roky na vykonanie samohodnotenia, alebo auditu..Ak si subjekt nesplnil povinnosť zápisu do registra prevádzkovateľov základných služieb do termínu, hrozia mu sankcie.

Vyhláška, čiže návod

Návrh vykonávacej vyhlášky k zákonu predstavil Národný bezpečnostný úrad v máji. Cieľom je spresniť, čo sa od prevádzkovateľov základných a kritických služieb očakáva.

Vyhláška sa viac zameriava na identifikáciu aktív, analýzu rizík, bezpečnosť dodávateľského reťazca a minimálnu úroveň implementovaných opatrení. Upresňuje aj formu a obsah bezpečnostnej dokumentácie. Aktuálne je po medzirezortnom pripomienkovom konaní. Vydanie vyhlášky sa očakáva v septembri.

Dajte si poradiť

Bohuš Levčík má skúsenosti v kyberbezpečnosti viac ako dve dekády a preto sa na bezpečnosť pozerá s dlhodobou víziou.  Ak sa na firmu začína vzťahovať novelizácia kyberzákona, treba začať systematicky bez ohľadu na veľkosť. Takže prvým krokom je presná identifikácia povinností podľa zákona. Nasleduje menovanie zodpovedného človeka a zmapovanie stavu a až potom základné technické aj organizačné opatrenia. 

“Úprimne povedané, malá firma bez skúseností v kyberbezpečnosti nemá šancu obsiahnuť všetky povinností v krátkom čase,“ glosuje Bohuš Levčík. Rozhodne však  odporúča spolupracovať s dôveryhodnými firmami, ktoré majú preukázateľnú prax v kybernetickej bezpečnosti

Dôležite je začať

Kyberbezpečnostný profesionál Michal Legerský sa pridáva s praktickými radami a začal by analýzou firemného prostredia. „Určil by som procesy s systémy, ktorú sú kritické pre fungovanie spoločnosti a zameral sa na aktíva, ktoré podporujú práve tieto procesy. Nakoľko ich stratou, alebo znefunkčnením môže firma najviac utrpieť.“

Na kyberbezpečnosť sa pozrite tak ako profesionáli. Tí zohľadňujú vždy tri oblasti - ľudia, procesy a technológie. Sú navzájom tak prepojené, že sa musia riešiť spoločne ako celok. Preto, aj podľa Michala Legerského, začnite v malom a postupne pridávajte.

OT míľnik

Návrh vyhlášky po prvýkrát jasne rozdeľuje prevádzkové technológie a IT systémy. Pre prevádzkové technológie stanovuje špecifické bezpečnostné požiadavky založené na tom, či ide o základná alebo kritickú základnú službu.

Vzhľadom  na priemyselný ráz Slovenska je tento krok zároveň nevyhnutný.  Opäť sa tu však dostávame do ešte širších súvislostí – vyhláška navrhuje bezpečnostné opatrenia aj pre menšie podniky v dodávateľských reťazcoch.

Aj tu si dajte poradiť

Ak by mal menšej a začínajúcej fabrike poradiť Marián Klačo, vedúci oddelenia bezpečnosti informácií Volkswagen Slovakia, urobili by si najprv zoznam priorít. Ustanovil by manažéra kybernetickej bezpečnosti, aby bola implementácia opatrení riadená. Nasledovala by inventarizácia informačných aktív a ich klasifikácia.

Marián Klačo by v každej prevádzke určite chcel vidieť sieťovú infraštruktúru a jej zabezpečenie.  “Tu platí základné pravidlo, že prevádzkové technológie nesmú byť pripojené priamo do Internetu.”

Koniec amatérov

Pre malé a stredné podniky je kľúčové uchopiť povinnosti v kyberbezpečnosti ako investíciu do vlastnej odolnosti a zvažovať dodávateľov kyberbezpečnostných služieb. „Treba sa vyvarovať lacných ponúk, ponúk typu all-in-one a poistení proti pokutám – čo automaticky signalizuje očakávané dodanie nekvality,“ odporúča Tomáš Hettych.

Vzhľadom na rastúci tlak zo strany zákazníkov aj štátu sa dá očakávať, že kybernetická bezpečnosť prestane byť vnímaná ako nadštandard, a stane sa bežnou súčasťou podnikovej kultúry.