Ak sa chcú organizácie vyhnúť chybám, je nevyhnutné pristupovať k implementácii novely ZoKB systematicky a zodpovedne, s dôrazom na pravidelné hodnotenie bezpečnostných opatrení, školenie zamestnancov, a spoluprácu s odborníkmi v oblasti kybernetickej bezpečnosti. Čo je osvedčeným postupom?
Pre účinné zorientovanie sa v zložitých otázkach dodržiavania požiadaviek ZoKB a transponovanej smernice NIS 2 je dôležité vyčlenenie primeraných zdrojov, zapojenie vedenia, spolupráca s externými odborníkmi s cieľom zvýšiť ich kybernetickú odolnosť.
Novela Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, účinná od 1. januára 2025, zavádza zmeny vyplývajúce z transpozície smernice NIS 2. Zásadnou zmenou je prechod od regulácie služieb k regulácii celých subjektov alebo sektorov s cieľom zvýšiť ich kybernetickú odolnosť. Novela zároveň ruší a nahrádza viaceré vykonávacie predpisy, vrátane vyhlášok 164/2018 Z.z. a 165/2018 Z.z. Do nadobudnutia účinnosti novej vyhlášky o bezpečnostných opatreniach (predbežne 1. 7. 2025) ostáva v platnosti vyhláška 362/2018 Z.z.
V súlade s NIS 2 sa kybernetická bezpečnosť už nevzťahuje len na konkrétnu službu, ale na celý subjekt alebo sektor. Zákon sa tak orientuje na ochranu hlavných činností subjektu. Subjekty podliehajúce regulácii sú po novom definované podľa príloh 1 a 2 zákona, na základe NACE kódov, pričom príloha 1 sa vzťahuje na sektory s vysokou úrovňou kritickosti (Essential), príloha 2 na iné kritické sektory (Important). Hlavným kritériom pre zaradenie medzi regulované subjekty je veľkosť organizácie – viac ako 50 zamestnancov a obrat nad 10 miliónov eur. Niektoré subjekty však môžu byť regulované aj bez splnenia tejto podmienky.
Novela zavádza povinnosť implementácie rozšírených bezpečnostných opatrení vrátane monitorovania sietí, správy zraniteľností, a včasného hlásenia incidentov a hrozieb. Netreba zabúdať aj na trestnoprávnu zodpovednosť štatutára, ktorý je povinný oboznamovať sa o stave kybernetickej bezpečnosti. Proces auditu je nastavený tak, aby štatutár bol priamo zapojený: musí podpísať auditnú správu a vyjadrenie k nej vrátane plánu implementácie opatrení, a hoci dokumenty môže dať vypracovať niekomu inému ich verifikácia je na ňom.
Odoslaním finálnej správy na NBÚ, ktorá obsahuje jeho podpis, potvrdzuje svoju oboznámenosť a súhlas. Zodpovednosť nesie aj za výber kompetentného manažéra kybernetickej bezpečnosti, hoci praktickú zodpovednosť za riadenie incidentov a komunikáciu s NBÚ nesie manažér, trestnoprávna zodpovednosť ostáva na štatutárovi.
Identifikovali sme sa, a čo teraz?
Ak ste už zistili, že patríte medzi subjekty, na ktoré sa zákon vzťahuje – teda ste poskytovateľ Essential alebo Important služieb, prípadne patríte do inej zákonom zadefinovanej kategórie, potom vás čaká séria krokov, ktoré si vyžadujú odborný, ale zároveň pragmatický prístup.
Na úvod je dôležité pochopiť, že celý proces nezačína auditom. Audit je až jedným z neskorších krokov. Prvým reálnym krokom, ktorý by mala firma spraviť, je vstupná analýza. Odborne sa nazýva GAP analýza, teda rozdielová analýza. Jej cieľom je zistiť, kde sa vaša organizácia v oblasti kybernetickej bezpečnosti nachádza dnes a čo všetko jej chýba k tomu, aby spĺňala požiadavky zákona.
GAP analýzu si môžete vykonať aj sami, ak máte ľudí, ktorí dokážu čítať a interpretovať zákon a príslušné metodiky. V princípe je veľmi podobná auditu – kladú sa pri nej tie isté otázky, sledujú sa rovnaké oblasti. Hodnotí sa napríklad to, či máte zavedené technické opatrenia ako bezpečnostný monitoring, hardening systémov, alebo systémy na správu privilegovaných účtov. Posudzuje sa aj existencia bezpečnostných politík, smerníc a organizačných opatrení.
Výsledkom tejto analýzy je obraz o tom, kde sa nachádzate – napríklad zistíte, že máte pokrytých 40 % požiadaviek zákona, no v niektorých oblastiach ste úplne na začiatku. A tu prichádza na rad ďalší kľúčový krok: plánovanie.
Plánovanie bezpečnostných opatrení
Na základe zistených nedostatkov je potrebné vypracovať návrh implementácie bezpečnostných opatrení – časový plán, ktorý berie do úvahy vaše reálne možnosti, zdroje aj priority. Nie všetky opatrenia si vyžadujú vysoké náklady. Niektoré sú čisto organizačné a procesné, iné si vyžadujú investície do technológií alebo externých služieb. Preto je dôležité, aby ste stanovili, čo chcete a môžete urobiť v horizonte jedného, dvoch či troch rokov. Dôležité pritom je, že zákon ani audítor od vás nežiadajú okamžité splnenie všetkého, nejde teda o to, aby ste boli na 100 percent v súlade hneď od začiatku. Oveľa dôležitejšie je, že máte plán, že pracujete na zlepšení a že viete preukázať pokrok.
Súčasťou tohto plánovania je aj vypracovanie stratégie kybernetickej bezpečnosti. Ide o dokument, ktorý nie je len formalitou. Naopak, stratégia by mala byť schválená vedením organizácie a mala by jasne určovať aké sú vaše ciele v oblasti bezpečnosti, ako ich plánujete dosiahnuť, a ako budete ich plnenie vyhodnocovať. Pre audítora alebo kontrolný orgán, napríklad NBÚ, je existencia stratégie jasným signálom, že organizácia pristupuje k bezpečnosti systémovo a s vedomím vedenia.
Aby však boli zvolené opatrenia naozaj primerané nestačí plánovať ‚od stola‘. Firma musí vychádzať z analýz, ktoré odhalia čo skutočne potrebuje. Tu prichádzajú na rad dve kľúčové analýzy: analýza vplyvu na podnikanie (BIA – Business Impact Analysis) a analýza rizík. Ich cieľom je určiť, ktoré procesy sú pre firmu najdôležitejšie, aké výpadky si môže (alebo nemôže) dovoliť, aké hrozby a slabiny jej hrozia, a aký by bol ich dopad.
Ako by to fungovalo v praxi?
Predstavme si firmu, ktorá prevádzkuje cloudové služby. V rámci BIA si stanoví, že jej kľúčovým procesom je poskytovanie cloudu. Potom si položí otázku: Ako dlho si môžeme dovoliť, aby tento proces nefungoval? Týždeň? Deň? Odpoveď znie: Ani minútu. Na základe tej odpovede firma vie, že musí mať zavedený monitoring, ktorý výpadok okamžite identifikuje, musí mať technológie a ľudí pripravených obnoviť službu v krátkom čase, musí mať pripravené záložné systémy a krízové scenáre.
Z týchto požiadaviek potom logicky vyplývajú bezpečnostné opatrenia – od technických (napr. sieťová redundancia, zálohovanie), cez organizačné (pohotovostné tímy, interné procesy), až po investičné (licencie, služby SOC a pod.).
Výstupy z týchto analýz nie sú len podkladom pre rozhodovanie – sú aj dokumentmi, ktoré si pri kontrole vyžiada audítor alebo NBÚ. Tieto dokumenty dokazujú, že vaše opatrenia nie sú náhodné, ale založené na hodnotení rizík a reálnych potrieb vašej firmy.
Celý tento proces sa napokon uzatvára auditom – buď interným alebo externým. Audit preverí ako máte nastavený systém kybernetickej bezpečnosti, do akej miery plníte plán a stratégiu, a čo ešte ostáva urobiť. Výsledky auditu slúžia ako spätná väzba a zároveň ako dôkaz, že firma pracuje na zvyšovaní svojej odolnosti.
Zosúladenie so ZoKB nie je jednorazový projekt, ale dlhodobý proces. Nejde o to rýchlo ‚splniť povinnosť‘, ale o to, aby organizácia systematicky budovala bezpečnostnú kultúru, chrániacu jej najcennejšie aktíva: dáta, služby, infraštruktúru a dôveru klientov. S dobrým plánom, reálnymi cieľmi a odborným vedením sa aj zdanlivo zložitý zákon môže stať nástrojom pre posilnenie vašej firmy.
