Organizáciám, ktoré si zákonné povinnosti nesplnia, hrozia pokuty do výšky tristo tisíc eur.
Stovky firiem a organizácií verejnej správy majú už iba niekoľko týždňov na to, aby zaviedli nevyhnutné opatrenia pre zvýšenie bezpečnosti svojich IT systémov. Zákon o kybernetickej bezpečnosti totiž od 1. apríla tohto roku ukladá dotknutým subjektom viaceré povinnosti súvisiace s riadením kybernetickej bezpečnosti.
Povinnosti sa týkajú firiem a orgánov verejnej správy, ktoré spĺňajú kritériá takzvaných prevádzkovateľov základných alebo poskytovateľov digitálnych služieb. Ide napríklad o banky, telekomy, energetické a vodárenské podniky, ale aj vybrané dopravné spoločnosti, firmy z hutníctva, farmácie či chemického priemyslu a zdravotnícke zariadenia vrátane nemocníc a súkromných kliník.
Organizácie, ktoré podľa zákona spadajú medzi prevádzkovateľov základných alebo poskytovateľov digitálnych služieb, majú už od konca roka 2018 povinnosť evidovať sa v Národnom centre kybernetickej bezpečnosti SK-CERT na Národnom bezpečnostnom úrade (NBÚ).
Kým však doteraz neboli povinné zavádzať konkrétne opatrenia, od apríla im vznikajú viaceré nové povinnosti, ktoré majú organizačný, personálny aj technický charakter. „Ide o vytvorenie nových rolí, procesov a nasadenie technológií s cieľom zaistiť bezpečnosť sietí a informačných systémov. Organizáciám, ktoré si zákonné povinnosti nesplnia, hrozia pokuty až do výšky tristo tisíc eur,“ vysvetľuje konzultant spoločnosti Flowmon Networks a odborník na kybernetickú bezpečnosť Roman Čupka.
„Správne implementovať povinnosti vyplývajúce zo zákona o kybernetickej bezpečnosti a prijať dobré bezpečnostné opatrenia pomôže firmám nielen v ochrane a zabezpečení funkčnosti základných služieb, ale najmä pri zabezpečení trvalo lepších služieb pre svojich zákazníkov,“ uviedol Rastislav Janota, riaditeľ Národného centra kybernetickej bezpečnosti.
Slabým miestom firiem je podľa R. Čupku nielen nedostatok kvalifikovaných ľudí schopných splniť náročné legislatívne požiadavky, ale často aj chýbajúce technologické nástroje umožňujúce odhaľovať a evidovať kybernetické bezpečnostné incidenty. „Splniť zákonné požiadavky sa dnes nedá bez neustáleho monitorovania sietí a informačných systémov a tým aj schopnosti odhaľovať udalosti, ktoré môžu viesť k narušeniu bezpečnosti a dostupnosti služieb,“ vysvetľuje.
Snahou zákona o kybernetickej bezpečnosti je dosiahnuť, aby sa vybrané subjekty, ktoré poskytujú dôležité služby pre širokú skupinu obyvateľstva, správali zodpovedne a chránili seba i svojich zákazníkov – a tým aj spoločnosť – pred rastúcimi kybernetickými rizikami.