Novo Funding

Menu

Kybernetická bezpečnosť: Prečo je dôležitá?

V dobe neustále sa vyvíjajúcich kybernetických hrozieb je komplexná ochrana dát a IT infraštruktúry kľúčová pre spoľahlivosť a reputáciu každej organizácie. Zákon č. 69/2018 Z. z. na Slovensku definuje pravidlá a povinnosti, ktoré majú zaistiť primeranú úroveň ochrany informačných systémov. Dopĺňa ho norma ISO/IEC 27001:2023, medzinárodný štandard pre riadenie informačnej bezpečnosti, ktorý pomáha firmám zaviesť systematické a dlhodobé bezpečnostné opatrenia.

Dodržiavanie týchto predpisov a noriem nie je len legislatívnou nutnosťou – je to aj spôsob, ako predísť finančným stratám, strate dôvery a poškodeniu mena v dôsledku bezpečnostných incidentov.

Kto spadá pod zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti?

Novela tohto zákona prináša rozšírenie pôvodného okruhu firiem a organizácií, ktoré musia dodržiavať prísnejšie bezpečnostné opatrenia. Zasahuje kľúčové sektory (napríklad energetiku či zdravotníctvo), ale aj ďalšie podniky s dôležitým významom pre hospodárstvo, verejné služby alebo bezpečnosť obyvateľstva. Ak patríte do niektorej z nasledujúcich kategórií, môže sa na vás vzťahovať povinnosť implementovať systémy a procesy na ochranu informačných technológií a dát.

Nižšie uvádzame prehľad kľúčových a dôležitých subjektov, na ktoré sa novela zákona o kybernetickej bezpečnosti vzťahuje, vrátane stručného opisu jednotlivých odvetví.

Kľúčové subjekty

  1. Energetika - Prenosové a distribučné siete, prevádzkovatelia výrobných zdrojov energie.
  2. Doprava - Železničná, cestná, letecká, vodná doprava a kľúčové logistické uzly.
  3. Bankovníctvo - Banky, finančné inštitúcie a všetky subjekty pracujúce s rozsiahlymi finančnými údajmi.
  4. Infraštruktúra finančných trhov - Burzy, obchodné platformy a ďalšie subjekty, ktoré zabezpečujú obchodovanie s cennými papiermi či finančnými nástrojmi.
  5. Zdravotníctvo - Nemocnice, polikliniky a ďalšie zdravotnícke zariadenia spracúvajúce citlivé údaje pacientov.
  6. Priemysel - Kľúčová priemyselná výroba s významným dopadom na ekonomiku a zásobovanie trhu.
  7. Pitná voda a jej distribúcia - Vodárenské spoločnosti zodpovedné za zásobovanie obyvateľstva pitnou vodou.
  8. Odpadová voda -Čističky a prevádzky spracúvajúce odpadové vody, dôležité pre ochranu životného prostredia.
  9. Riadenie služieb IKT - Dátové centrá, prevádzkovatelia serverov, cloudové infraštruktúry a podporné IT služby.
  10. Verejná správa -Orgány štátnej a verejnej správy, samosprávne inštitúcie pracujúce s rozsiahlymi dátovými systémami.
  11. Vesmír -Výskumné pracoviská a subjekty zapojené do vesmírnych programov či satelitných služieb.

Dôležité subjekty

  1. Poštové a kuriérske služby - Prepravné a logistické centrá, ktoré zabezpečujú doručovanie zásielok.
  2. Odpadové hospodárstvo -Firmy zamerané na zber, recykláciu a likvidáciu odpadov.
  3. Výroba a distribúcia chemických látok -Prevádzky, ktoré nakladajú s nebezpečnými látkami a chemikáliami.
  4. Výroba, spracovanie a distribúcia potravín -Potravinárske prevádzky, ktoré zabezpečujú základné potraviny na trh.
  5. Ostatná výroba -Priemyselné podniky z rôznych odvetví (napr. automobilová produkcia, elektronika, strojárstvo).
  6. Digitálne služby -Poskytovatelia softvérových riešení, online platforiem, aplikácií a iných služieb v IT sektore.
  7. Výskum -Výskumné ústavy, laboratóriá a inštitúcie, ktoré pracujú s inovatívnymi technológiami a často aj s citlivými dátami.

Hlavné povinnosti podľa zákona č. 69/2018 Z. z.

a) Organizačné opatrenia - Základom je vytvorenie a udržiavanie bezpečnostnej politiky a interných smerníc, ktoré presne definujú, ako sa v organizácii pracuje s informáciami, aké role a zodpovednosti majú zamestnanci či manažment. Patrí sem napríklad ustanovenie manažéra kybernetickej bezpečnosti, definovanie postupov pri incidentoch a pravidiel pre prácu s citlivými údajmi.

b) Technické opatrenia - Okrem organizačného rámca je dôležité nasadiť technologické riešenia na ochranu siete a systémov. Sem patria nástroje na monitoring sietí, šifrovanie dát, riadenie prístupov (napr. cez role-based access control), firewall, IDS/IPS systémy či antivírusové riešenia. Cieľom je znížiť riziko neoprávneného prístupu, krádeže citlivých údajov alebo narušenia prevádzky.

a) GAP analýza a bezpečnostné audity -Aby ste vedeli, aký je skutočný stav bezpečnosti, je potrebné vykonávať GAP analýzy a audity (interné či externé). Tieto analýzy porovnávajú aktuálnu úroveň zabezpečenia so zákonnými požiadavkami, medzinárodnými normami (napr. ISO/IEC 27001:2023) a osvedčenými postupmi v odbore.

b) Vyhodnocovanie zraniteľností a aktualizácia opatrení - Na základe výsledkov auditov a priebežného monitorovania hrozieb sa identifikujú kritické zraniteľnosti – tie je potrebné odstrániť alebo zmierniť vhodnými opatreniami. Dôležitá je tiež pravidelná aktualizácia zabezpečenia (softvérové záplaty, konfiguračné zmeny a pod.), aby organizácia držala krok s meniacimi sa hrozbami.

a) Bezpečnostná politika, havarijné plány - Každá organizácia podliehajúca tomuto zákonu musí mať vypracovanú bezpečnostnú politiku, ktorá stanovuje ciele a zásady ochrany informačných systémov. Súčasťou by mali byť aj havarijné plány (Disaster Recovery), teda postupy na obnovu prevádzky v prípade závažných incidentov či výpadkov.

b) Záznamy o implementovaných opatreniach - Všetky realizované bezpečnostné opatrenia, procesy a postupy sa musia evidovať. Tieto záznamy slúžia na kontrolu a dokazovanie, že organizácia riadne plní svoje povinnosti. V prípade auditu či incidentu je nevyhnutné preukázať, aké opatrenia sú zavedené a ako sa udržiavajú.

a) Bezodkladné oznámenie významných incidentov - Ak dôjde k narušeniu bezpečnosti (napr. útok ransomvérom, výpadok kľúčovej služby), ktoré ohrozuje prevádzku alebo spôsobuje únik citlivých údajov, vzniká organizácii povinnosť bezodkladne nahlásiť takýto incident príslušnému orgánu (zvyčajne NBÚ).

b) Spolupráca pri vyšetrovaní a náprave - Zákon vyžaduje, aby organizácia úzko spolupracovala s regulačným orgánom a poskytla mu potrebné informácie na vyšetrenie incidentu. Zároveň musí prijať nápravné opatrenia, ktoré zabránia opakovaniu podobnej situácie v budúcnosti.

a) Pravidelné vzdelávanie zamestnancov - Ľudský faktor je častým zdrojom bezpečnostných incidentov (napr. kliknutie na phishingový e-mail). Preto je nevyhnutné pravidelne školiť všetkých zamestnancov – nielen IT tím, ale aj bežných používateľov.

b) Prevencia chýb a minimalizácia rizika ľudského zlyhania - Školenia sú zamerané na pochopenie základných kybernetických hrozieb, správne používanie hesiel, bezpečný prenos dát či rozpoznávanie podvodných e-mailov. Tým sa minimalizuje riziko vyplývajúce z nevedomosti alebo nedbanlivosti.

a) Plány obnovy a testovanie pripravenosti - Spoločnosti by mali mať pripravené a v praxi otestované plány obnovy (Business Continuity, Disaster Recovery), ktoré umožnia rýchlo znovu spustiť kľúčové systémy po výpadku či kybernetickom incidente. Takéto plány by sa mali pravidelne testovať pomocou simulácií.

b) Redundancia systémov a dát - Zásadnou súčasťou kontinuity prevádzky je zálohovanie a vytváranie redundantných systémov (napr. geograficky oddelené dátové centrá). Tým sa znižuje riziko, že v prípade havárie dôjde k trvalej strate dát alebo dlhotrvajúcemu prerušeniu činnosti.

Nie ste si istí, či sa novela zákona týka aj vašej spoločnosti?

Vyžiadajte si nezáväznú konzultáciu. Naši experti vám radi poradia, či spadáte do okruhu povinných subjektov a aké kroky by ste mali podniknúť, aby ste splnili legislatívne požiadavky a ochránili svoje informačné systémy.

zakladny-formular

Prehľad našich služieb

GAP analýza a audity

Odhaľte slabé miesta v infraštruktúre a nastavení procesov.

Bezpečnostná dokumentácia

Pripravíme vám smernice, havarijné plány a ďalšie dokumenty, ktoré žiada zákon a norma ISO/IEC 27001:2023.

Manažér kybernetickej bezpečnosti

Poskytneme vám externý alebo konzultačný dohľad nad všetkými aspektmi bezpečnosti – od pravidelného monitoringu rizík až po komunikáciu s regulačnými orgánmi.

Incident manažment a havarijné plány

Buďte pripravení na výpadky a útoky, ktoré môžu ohroziť kľúčové systémy.

Školenia a zvyšovanie povedomia

Dobre informovaný zamestnanec je vaša najlepšia obrana proti phishingu a ľudským chybám.