Webinár: Novela zákona o kybernetickej bezpečnosti – rady a odporúčania
Slovanet zorganizoval 20.11.2024 webinár k novele Zákona o kybernetickej bezpečnosti. Diskutovalo sa o zmenách, povinnostiach, odporúčaných prvých krokoch, ktoré by mala firma vykonať a aj o riešeniach, ktoré sú vhodné pre zvýšenie úrovne svojej kyberbezpečnosti.
Slovensko transponuje smernicu NIS2 prostredníctvom novely zákona 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá sa aktuálne nachádza v druhom čítaní. Následne prebehne štandardné hlasovanie o zákone, pričom jeho predpokladaná účinnosť je od 1. januára 2025.
„Pre nové subjekty, ktoré budú regulované zákonom, sa zmení to, že sa stanú tzv. prevádzkovateľmi základnej služby alebo základných služieb“ vysvetľuje Jozef Priesol, bezpečnostný manažér Slovanetu (v strede).
Ktorých slovenských firiem sa bude novelizovaný zákon týkať?
Novelizovaný zákon sa bude týkať približne 5500 subjektov. Najväčšiu zmenu pocítia najmä stredné podniky, keďže prevádzkovateľom základnej alebo kritickej služby sa stanú firmy s počtom zamestnancov viac ako 50 a ročným obratom na úrovni viac ako 10 miliónov eur za predchádzajúci rok.
Prevádzkovateľ základnej služby bude zákonom identifikovaný buď priamo, alebo na základe konkrétneho sektora (s vysokou úrovňou kritickosti alebo ostatné kritické sektory). Subjekty sú rozdelené do dvoch kategórií, na kritické a dôležité. Definované sú ale aj sektory, na ktoré sa bude novelizovaný zákon o KB vzťahovať bez ohľadu na počet zamestnancov a ročný obrat. Tieto výnimky budú uvedené priamo v zákone.
„Pre nové subjekty, ktoré budú regulované zákonom, sa zmení to, že sa stanú tzv. prevádzkovateľmi základnej služby alebo základných služieb, podľa toho, ako sa nájdu v jednotlivých prílohách číslo 1 alebo 2 návrhu zákona,“ vysvetľuje Jozef Priesol, bezpečnostný manažér Slovanetu.
„Pre firmy, ktoré už dnes podliehajú aktuálne platnému zákonu o kybernetickej bezpečnosti, sa toho až tak veľa nezmení. V zásade budú musieť prijať bezpečnostné opatrenia podľa novej vyhlášky, ktorá bude schválená alebo predložená v priebehu januára až marca 2025,“ dopĺňa Priesol.
Ak by ste mali problém identifikovať sa, či sa vás bude novelizovaný zákon týkať, môžete kontaktovať spoločnosť Slovanet, ktorá vám s tým pomôže.
„Ak ste sa identifikovali ako subjekt, ktorý spadá do jednotlivých kritérií, musíte sa nahlásiť na NBÚ,“ hovorí Martin Žák, obchodný riaditeľ Slovanetu (vpravo).
Čo musia firmy, ktorých sa bude novelizovaný zákon týkať, splniť?
„Keď bude novelizovaný zákon 69/2018 Z. z. o kybernetickej bezpečnosti účinný (aktuálne sa predpokladá, že sa tak stane 1. januára 2025) a identifikovali ste sa ako subjekt, ktorý spadá do jednotlivých kritérií, musíte sa do 60 dní nahlásiť na NBÚ. Úrad do 30 dní subjekt zapíše do registra PZS. Akonáhle dostanete vyrozumenie od úradu, spadáte pod zákon a mali by ste začať robiť kroky, ktoré sú nim definované,“ hovorí Martin Žák, obchodný riaditeľ Slovanetu.
Všetky subjekty regulované novým zákonom o KB sú povinné do 12 mesiacov odo dňa zápisu implementovať bezpečnostné opatrenia, aplikovať riadenie rizík a posilniť schopnosť odolávať a včas reagovať na kybernetické útoky. Po novom bude potrebné nahlasovať aj významnú kybernetickú hrozbu o ktorej sa dozvie a tiež zraniteľnosti, ktoré môžu spôsobiť závažný kybernetický bezpečnostný incident.
Subjekty tiež musia realizovať pravidelné auditovanie bezpečnostných opatrení a reportovať závažné kybernetické bezpečnostné incidenty príslušným národným orgánom. Prvý nezávislý audit je potrebné vykonať do 24 mesiacov odo dňa zápisu. V niektorých prípadoch bude stačiť aj takzvané sebahodnotenie.
Základné lehoty pre subjekty, ktoré budú spadať pod novelizovaný zákon 69/2018 Z. z. o kybernetickej bezpečnosti
S prípravou na novelizovaný zákon pomôže aj Slovanet
S týmito povinnosťami môžu pomôcť viaceré služby a technológie, ktoré má Slovanet vo svojom portfóliu. „Služby a opatrenia by sme mohli rozdeliť na dve kategórie. Na analytické a konzultačné a na technologické riešenia. Analytické riešenia pomôžu s analýzou toho, v akom stave je kyberbezpečnosť v mojej firme. Technologických riešení je na trhu veľké množstvo. Na začiatok odporúčam určite firewall, ktorý ochráni perimeter siete pred hrozbami z vonkajšieho internetu,“ radí Bohuš Vereš, produktový špecialista spoločnosti Slovanet.
Medzi ďalšie riešenia, ktoré je vhodné zvážiť, sú služby na zbieranie a analýzu logov, zálohovanie, viacfaktorová autentifikácia, EDR riešenia na ochranu koncových zariadení, či Security Operations Center.
S prípravou na novelizovaný zákon vie pomôcť aj Slovanet
Slovanet ponúka firmám svoje služby, ktoré im pomôžu s prípravou na novelizovaný zákon a s plnením povinností, ktoré z neho vyplývajú.
Nestihli ste sa diskusie zúčastniť? Nevadí, pozrite si záznam.