Koncom júna sa v Bratislave konala Konferencia o zákone o kybernetickej bezpečnosti. Cieľom bola celková analýza zákona, odporúčania, ako naplniť jeho požiadavky, nové riešenia a ďalšie vymedzenia aktuálnych problémov v oblasti kybernetickej bezpečnosti. Téme sa venoval najmä Ervín Šimko z Odboru kybernetickej a informačnej bezpečnosti Úradu podpredsedu vlády SR pre investície a informatizáciu, ale aj predstavitelia spoločností ako Fortinet, CyberArk, LOGmanager či Fidelis, ktorí hovorili o možných riešeniach.
Zákon o kybernetickej bezpečnosti nadobudol účinnosť už 1. apríla minulého roka. Upravuje organizáciu, pôsobnosť a povinnosti v oblasti kybernetickej bezpečnosti a ustanovuje aj minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti
Jeho prijatím prevzala Slovenská republika smernicu Európskeho parlamentu a Rady EÚ o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernica o NIS).
Koho sa zákon dotýka
Náležitú pozornosť povinnostiam ZKB musia venovať všetci prevádzkovatelia základných služieb (napr. z oblasti bankovníctva, dopravy, energetiky, digitálnej infraštruktúry, pošty, farmaceutického, metalurgického a chemického priemyslu a zdravotníctva), ale aj poskytovatelia digitálnych služieb (napr. online trhoviská, internetové vyhľadávače a cloud computing služby poskytované právnickou osobou alebo fyzickou osobou).
„Treba zdôrazniť, že sem spadajú nielen základné oznamovacie povinnosti, ale aj povinnosti riešiť kybernetické bezpečnostné incidenty a spolupracovať s príslušnými orgánmi pri ich riešení. Nedodržanie môže viesť k uloženiu značných pokút,“ uvádza Šimko.
Poskytovatelia obidvoch služieb sú povinní dodržiavať vhodné a primerané bezpečnostné opatrenia v zmysle zákona a hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu SR (NBÚ).
„Celý proces, ako postupovať pri bezpečnostných incidentoch, je jednoduchý a daný v zákone a následne vo vykonávacích predpisoch vo vyhláškach. Jednotlivé subjekty majú právo požiadať o súčinnosť pri zistení stavu, úrovne bezpečnosti. Môžu požiadať o vykonanie auditu NBÚ alebo ÚPVII a na základe zistených skutočností musia prijať opatrenia na nastavenie bezpečnosti, a to minimálne na základnú úroveň požadovanú legislatívou,“ dodáva Šimko.
Pokuta do výšky 600 tisíc eur
V prípade nedodržania požiadaviek a následného porušenia povinností, ktoré ustanovuje zákon, môže NBÚ udeliť sankcie jednotlivým prevádzkovateľom základnej služby a poskytovateľom digitálnej služby až do výšky 300-tisíc eur.
„Ak ale dôjde k opätovnému porušeniu povinností do jedného roka odo dňa nadobudnutia právoplatnosti rozhodnutia o uložení pokuty, suma sa môže vyšplhať aj na dvojnásobok. V každom prípade NBÚ posudzuje závažnosť správneho deliktu, najmä spôsob, akým bol spáchaný, jeho trvanie, dôsledky a okolnosti, za ktorých bol spáchaný. Nie je cieľom udeľovať sankcie, ale budovať bezpečnosť na adekvátnej úrovni v porovnaní s potencionálnymi hrozbami,“ vysvetľuje Šimko.
Únik citlivých údajov
Aj keď je Slovensko momentálne na porovnateľnej úrovni s inými členskými štátmi EÚ, stále sa jednotlivé inštitúcie či firmy, hoci neúmyselne, dennodenne dopúšťajú chýb, ktoré môžu viesť k vzniku bezpečnostných incidentov a následným finančným stratám či úniku citlivých údajov.
„Na trhu sú však špičkoví poskytovatelia, odborníci a postačujúca legislatíva. Problémom je skôr nájsť zdroje na financovanie, ako aj kapacity vo forme kvalifikovaného personálu. Vo verejnom sektore aj z tohto dôvodu pripravujeme nový projekt ,Cyber arény‘, čo sú akoby cvičiská v oblasti kybernetickej bezpečnosti na zabezpečenie vzdelávania jednotlivých pracovníkov v oblasti kybernetickej bezpečnosti,“ uzatvára Ervín Šimko.