Firmy a inštitúcie čaká povinná kontrola kybernetickej bezpečnosti, za chyby hrozia pokuty

Zdieľať na Facebooku Zdieľať Odoslať na WhatsApp Odoslať
Hacker, počítač
Foto: ilustračné, www.gettyimages.com.

Od novembra musia vybrané spoločnosti, ako aj verejné organizácie poskytujúce služby v oblasti IT infraštruktúry, absolvovať povinný audit kybernetickej bezpečnosti. Zaväzuje ich k tomu zákon o kybernetickej bezpečnosti, ktorý platí od apríla 2018.

Ako ďalej informuje spoločnosť CMS Slovensko, cieľom je overiť, či používané bezpečnostné opatrenia firiem a inštitúcií sú účinné alebo či ich musia upraviť a sprísniť. Termín na splnenie si povinností sa líši v závislosti od dátumu registrácie firiem do príslušného registra prevádzkovateľov základných služieb vedeného Národným bezpečnostným úradom (NBÚ).

Povinnosť pre približne tisíc firiem

Podľa zákona platí, že ak sú spoločnosti registrované po 9. novembri 2018, musí byť táto povinnosť splnená do dvoch rokov od dátumu registrácie. Ak je však firma zaregistrovaná pred 9. novembrom 2018, musí byť splnená do troch rokov od tohto dátumu, teda do 9. novembra budúceho roku,“ informoval Dušan Vanek, právnik spoločnosti CMS Slovensko, ktorý sa venuje právnym aspektom kybernetickej bezpečnosti.

Audit môžu urobiť jednotlivci alebo firmy, ktoré majú certifikát vydaný akreditovanou osobou. Kontrolu používaných bezpečnostných opatrení urobí špecialista na základe žiadosti, ktorá obsahuje požiadavky dané zákonom. Audítor následne stanoví dobu trvania auditu s cieľom dostatočne overiť, či sú prijaté bezpečnostné opatrenia účinné. Dušan Vanek odhaduje, že predmetnú povinnosť bude musieť splniť približne tisíc spoločností pôsobiacich na Slovensku.

Auditu podliehajú firmy a inštitúcie, ktoré sú zaradené do príslušného registra prevádzkovateľov základných služieb NBÚ. Ide o spoločnosti, ktoré poskytujú služby uvedené v zozname základných služieb a spĺňajú aspoň jednu zo zákonných podmienok. „Prvou podmienkou je, že ich služby sú závislé na informačných systémoch a firma pôsobí vo vybranom sektore. Druhou podmienkou je, že ide o informačný systém verejnej správy a treťou, že ide o kritický prvok infraštruktúry,“ hovorí Dušan Vanek.

Náklady znáša prevádzkovateľ

Po splnení zákonných požiadaviek je vo firme alebo štátnej inštitúcii spustený audit. Audítor skontroluje bezpečnosť sietí a informačných systémov ako firewall brány, či zabezpečenie softvérového systému. Preveria sa aj prijaté bezpečnostné opatrenia a zásady kybernetickej bezpečnosti a prístup do zariadení. Po skončení auditu vydá audítor záverečnú správu s výsledkami a dôkazmi použitými pri hodnotení. Prevádzkovatelia základných služieb musia predložiť výsledky a podať správu NBÚ do 30 dní od ukončenia auditu. Náklady na audit znáša prevádzkovateľ základnej služby.

NBÚ je oprávnený vydávať rozhodnutia týkajúce sa opatrení, ukladať sankcie za menšie alebo iné správne delikty a vykonávať aj vlastné audity. Úrad môže za neabsolvovanie auditu alebo za neodstránenie chýb v IT systémoch uložiť pokuty od 300 eur do jedného percenta z celkového ročného obratu poskytovateľa služieb za predchádzajúci finančný rok, najviac však do výšky 300-tisíc eur.

Zdieľať na Facebooku Zdieľať Odoslať na WhatsApp Odoslať
Viac k osobe Dušan Vanek
Firmy a inštitúcie NBÚ Národný bezpečnostný úrad