AKTUÁLNE - Navrhované zmeny legislatívy boli publikované

Aktualita
June 1, 2024
AKTUÁLNE - Navrhované zmeny legislatívy boli publikované

Sme o krok bližšie k zapracovaniu NIS2 do legislatívy SR.

Pred niekoľkými hodinami boli publikované navrhované zmeny Zákona o kybernetickej bezpečnosti. Z uvedených zmien môžeme aspoň predbežne odvodiť ako odborné skupiny navrhujú uchopiť jednotlivé súčasti NIS2. Každopádne netreba zabúdať na to, že návrhy musia prejsť medzirezortným pripomienkovým konaním. Reálne znenie zákona musí schváliť Národná rada SR.

Prečítajte si reakciu Mariána Illovského, partnera auditných služieb Cyllium na zverejnený návrh ako aj aktuálnu kyberbezpečnostnú situáciu v SR:

Na čom by malo Slovensko začať pracovať, aby zlepšilo kyberbezpečnosť?

Je potrebné pracovať na vzdelávaní používateľov. Aktuálne tonie je iba úloha štátu, ale aj súkromných organizácií. Keď po dvoch rokoch opakujeme v organizácii audit, vidíme tam progres. Avšak vidíme iba hasenie najväčších problémov, firmy si nastavujú procesy bezpečnosti, pomenúvajú zodpovednosť a kompetenciu človeka, ktorý za to zodpovedá. Teraz je však potrebné prejsť do náročnejšej fázy. Do implementácie technológií, ktoré umožňujú vidieť  čo a ako chránime. Aké nástroje aktívnej obrany proti škodlivému útočníkovi organizácia má, aby sa útočník do firemného systému vôbec nedostal.

Aké škody napáchala počítačová kriminalita za minulý rok?

V Správe o kybernetickej bezpečnosti na Slovensku za rok 2023, ktorú vydal Národný bezpečnostný úrad, je uvedený údaj 8,5 milióna EUR škoda vyplývajúca z nahlásených incidentov. Myslím si, že tie škody by mohli byť reálne oveľa vyššie. Organizáciám sa to ťažko vyhodnocuje, pretože ani nevedia, čo všetko majú nedostupné. Často sa stretávame s tým, že organizácii unikne napríklad databáza. Keď sa pýtame, akú má hodnotu, organizácia nevie odpovedať. Pritom môže mať hodnotu v miliónoch EUR.

Čo by ste odporúčali firmám v oblasti kybernetickej bezpečnosti?

Organizáciám by som odporúčal, aby nezľahčovali situáciu. Nie je otázka na mieste, či k nejakému incidentu dôjde, ale kedy k nemu dôjde. Neplatí už dávno ani to, že sme malý trh, že sme nezaujímaví pre celý svet, útočníkov to nezaujíma. Útočníci si urobia automatizovaný skript, ktorý ak nájde slabinu, vstúpia do systému a skúšajú, čo vedia získať.

Iba nahlásené incidenty za rok 2023 spôsobili v SR škody na úrovni 8,5 milióna eur.

Aktuálne bol zverejnený návrh novely zákona o kybernetickej bezpečnosti. Prečo bola potrebná zmena legislatívy?

Zmena legislatívy vychádza z transpozície smerniceNIS2, ktorú vydal Európsky parlament v januári 2023 a členské štáty Európskej Únie ju majú povinnosť do októbra tohto roka transponovať do svojej legislatívy. Ukázalo sa, že predchádzajúcu verziu jednotlivé štáty implementovali rôznym spôsobom. Pracujem na viacerých medzinárodných projektoch a podľa mojich skúseností bola tá istá požiadavka na Slovensku zadefinovaná iným spôsobom ako v Česku, Slovinsku či v Poľsku. Je tu teda potrebné legislatívne zosúladenie, s čím tento návrh počíta. Zároveň sa ukázalo, že na európskej úrovni sa nedá efektívne porovnávať, akým spôsobom sa vyvíja kyberbezpečnosť v jednotlivých krajinách. Neboli dané jasné podmienky, ako to overiť. Niektoré krajiny si zaviedli audit, ako máme napríklad na Slovensku, niektoré krajiny to zadefinovali tak, že je to zodpovednosť tej-ktorej organizácie, ktorá má ohlásiť výsledky. Teraz je audit zadefinovaný ako povinnosť pre všetky krajiny únie.

Navrhované zmeny zákona si môžete prečítať TU

Bude táto legislatíva stačiť alebo je potrebné myslieť do budúcna aj na prísnejšie pravidlá?

Za rok sa v oblasti kyberbezpečnosti zvyknú udiať také významné zmeny, že smernice ich ani nestíhajú sledovať. Preto si myslím, že bude potrebná proaktivita samotných organizácií. Prostredníctvom systému riadenia rizík vedia samé efektívne identifikovať nové riziká. Napríklad umelá inteligencia nie je v tejto smernici spomenutá, a to je oblasť, ktorú by podľa mňa bolo potrebné riešiť.

 

NIS2 rozširuje pôsobnosť aj na nové sektory – napríklad riadenie služieb IKT, výrobné odvetvia, vesmír, kde by prípadné bezpečnostné incidenty mohli spôsobiť škody na ľudských životoch, ekonomické škody a prípadne škody na prostredí.

V rámci sektora riadenia služieb IKT budú podliehať regulácii dodávateľské firmy, ktoré zabezpečujú správu informačných systémov pre klientov, a teda budú na ne kladené rovnaké požiadavky ako na ostatné kritické subjekty.

Z pohľadu organizácií sa zjednoduší určovanie, či sa ich regulácia týka alebo nie. Vo všeobecnosti platí, že ak organizácia  pôsobí v sektore, ktorý je uvedený v NIS2 a zároveň je stredný alebo väčší podnik (viac ako 50 zamestnancov a obrat má vyšší ako 10 mil. EUR), tak sa ich regulácia týka. V NIS2 sú však taxatívne vymenované prípady, kedy nie je dôležitá veľkosť organizácie. Napríklad kvalifikovaní poskytovatelia dôveryhodných služieb a registre názvov domén najvyššej úrovne, ako aj poskytovatelia služieb DNS. Tieto organizácie sú zaradené do regulácie bez ohľadu na ich veľkosť.

Marián Illovský, CISA, CIA, CISM, CDPSE, GICSP

partner auditných služieb

skupina CYLLIUM

NIS2 novinky

Chcete byť informovaný o novinkách v smernici NIS2? Zadajte Váš e-mail a prihláste sa na odber najnovších informácií, exkluzívnych článkov a pozvánok na odborné workshopy.

Ďakujeme za Váš záujem!
Oops! E-mail má nesprávny tvar.