Manazer

Je čas sa včas zorientovať pre firemnú analýzu rizík

Rok 2024 stavia zodpovedné firmy pred požiadavku preukázateľne prijať technické aj prevádzkové opatrenia v oblasti kybernetickej a informačnej bezpečnosti. Tie vyplývajú z legislatívy európskej smernice NIS 2. Budú možno platiť aj pre vašu firmu. Ide o požiadavky riadenia rizík, personálnej bezpečnosti a riadenia prístupov, bezpečnosti sietí a prevádzky informačných systémov, a v čase aj povinnosti absolvovať audit v oblasti kybernetickej bezpečnosti.

O čo presne ide?

Vyhláškou (362/2018), platnou od septembra 2023, je definovaný zoznam požadovaných bezpečnostných opatrení, ktoré budú pre firmy spadajúce pod smernicu NIS 2 povinné.

Aj napriek tomu, že doposiaľ nie sú presne vymenované sektory a veľkosť firmy s povinnosťou riadiť sa touto vyhláškou, je odporúčaním špecialistov na kyberbezpečnosť to, aby si subjekty vo vlastnom záujme a s predstihom zrealizovali aspoň analýzu rizík. Vykonajú tak dôležitú identifikáciu firemných procesov a systémov, a zároveň získajú čas na odstránenie zraniteľností, ktoré by mohli mať dopad na fungovanie a chod firmy v dôsledku kybernetických incidentov.

Základnú informáciu o tom, na ktoré subjekty sa bude smernica NIS 2 vzťahovať, nájdete napríklad na: https://digital-strategy.ec.europa.eu/sk/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

NIS2 sa vzťahuje na subjekty z týchto sektorov:

Odvetvia s vysokou kritickosťou: energia (elektrina, diaľkové vykurovanie a chladenie, ropa, plyn a vodík); doprava (letecká, železničná, vodná a cestná); bankovníctvo; infraštruktúry finančného trhu; zdravie, vrátane výroby farmaceutických výrobkov vrátane vakcín; pitná voda; odpadové vody; digitálna infraštruktúra (internetové výmenné body; poskytovatelia služieb DNS; registre názvov TLD; poskytovatelia služieb cloud computingu; poskytovatelia služieb dátového centra; siete na doručovanie obsahu; poskytovatelia dôveryhodných služieb; poskytovatelia verejných elektronických komunikačných sietí a verejne dostupných elektronických komunikačných služieb); riadenie služieb IKT (poskytovatelia spravovaných služieb a spravovaní poskytovatelia bezpečnostných služieb), verejná správa a kozmický priestor.

Ďalšie kritické sektory sú tieto: poštové a kuriérske služby; nakladanie s odpadom; chemické látky; potraviny; výroba zdravotníckych pomôcok, počítačov a elektroniky, strojov a zariadení, motorových vozidiel, prívesov a návesov a iných dopravných zariadení; poskytovatelia digitálnych služieb (online trhy, internetové vyhľadávače a platformy služieb sociálnych sietí), a výskumné organizácie.

Kybernetická bezpečnosť sa týka každej organizácie či firmy. Požiadavky smernice by ste nemali riešiť kvôli tomu, že ich stanovuje vyhláška a z nedodržania môžu hroziť pokuty. Ale preto, že nebezpečenstvo útoku je stále prítomné.

Publikované: 18. decembra 2023

Martin Ondrušek

Manažér informačnej bezpečnosti

GAMO a.s.

Tento článok je súčasťou magazínu č.

Publikované: 18. decembra 2023

reklama
reklama