Prihlasuje sa prostredníctvom webu NBÚ.
Autor TASR
Bratislava 8. decembra (TASR) - Bezpečnostné požiadavky v súvislosti s kybernetickými hrozbami by mali spĺňať firmy, ktoré disponujú databázou citlivých údajov a zabezpečujú dôležité úlohy napríklad pre domácnosti či krajinu. Prihlásiť by sa mali do registra na stránke Národného bezpečnostného úradu (NBÚ). Podľa security manažéra spoločnosti Binary Confidence (BC) Pavla Draxlera nejde o komplikovaný proces.
Prihlasuje sa prostredníctvom webu NBÚ. Tento proces podľa Draxlera nie je jednoduchý, ale ani komplikovaný. "Je tam veľmi prehľadne napísané aké sú podmienky, nie sú tam stostránkové dokumenty," uviedol. Prvým krokom je podľa neho "samoidentifikácia" firiem. NBÚ podľa neho popisuje samostatne pre každú kategóriu kritéria a limity, na základe ktorých sa dá vyhodnotiť, či firma spadá pod nariadenie smernice NIS.
Od registrácie začnú pre firmy plynúť povinnosti. Draxler vysvetlil, že majú dva roky na implementáciu základných bezpečnostných opatrení do svojho systému. Splnenie tejto povinnosti následne preverí a potvrdí audit. "Ďalšie povinnosti sú reakčné. Ak dôjde k nejakému incidentu, tak je firma povinná ju hlásiť NBÚ," doplnil. Firmy tak majú aj povinnosť skúmať potenciálny dosah kybernetického bezpečnostného incidentu na svoju poskytovanú službu, závislú od sietí a informačných systémov.
V súvislosti s finančnými nákladmi potrebnými na splnenie podmienok NIS Draxler vysvetľuje, že sa nedá presne určiť potrebné množstvo financií. "Firmy, ktoré to riešili priebežne, tak pre nich je náklad nula," povedal. Naopak, firmy, ktoré tieto opatrenia doteraz neriešili, ich budú musieť implementovať naraz, teda aj investovať do opatrení. "Keď sa to robí správne, tak s bezpečnosťou by mala ísť aj optimalizácia," vysvetľuje. Dobre implementovaná bezpečnosť môže podľa neho aj ušetriť.
Na základe zákona by sa mal do registra prevádzkovateľov základnej služby registrovať každý, kto prevádzkuje službu v oblasti energetiky, dopravy, bankovníctva, infraštruktúry finančných trhov, zdravotníctva, dodávky a distribúcie pitnej vody či digitálnej infraštruktúry. Draxler ozrejmil, že do registra prevádzkovateľov digitálnej služby sa musí prihlásiť firma, ktorá je online trhoviskom, internetovým vyhľadávačom alebo poskytuje cloudové služby. Zároveň by mala zamestnávať aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur.
Povinnosť registrácie plynie zo zákona o kybernetickej bezpečnosti, v ktorom je premietnutá európska smernica NIS. Tá sa venuje informačným systémom a sieťam. Ozrejmil, že inštitúcie a firmy sa mali registrovať do konca septembra 2018, teraz im hrozí pokuta do 300.000 eur. Tvrdí, že ak sa firmy neregistrujú, stávajú sa ľahkým cieľom pre útočníkov alebo hekerské skupiny.
Prihlasuje sa prostredníctvom webu NBÚ. Tento proces podľa Draxlera nie je jednoduchý, ale ani komplikovaný. "Je tam veľmi prehľadne napísané aké sú podmienky, nie sú tam stostránkové dokumenty," uviedol. Prvým krokom je podľa neho "samoidentifikácia" firiem. NBÚ podľa neho popisuje samostatne pre každú kategóriu kritéria a limity, na základe ktorých sa dá vyhodnotiť, či firma spadá pod nariadenie smernice NIS.
Od registrácie začnú pre firmy plynúť povinnosti. Draxler vysvetlil, že majú dva roky na implementáciu základných bezpečnostných opatrení do svojho systému. Splnenie tejto povinnosti následne preverí a potvrdí audit. "Ďalšie povinnosti sú reakčné. Ak dôjde k nejakému incidentu, tak je firma povinná ju hlásiť NBÚ," doplnil. Firmy tak majú aj povinnosť skúmať potenciálny dosah kybernetického bezpečnostného incidentu na svoju poskytovanú službu, závislú od sietí a informačných systémov.
V súvislosti s finančnými nákladmi potrebnými na splnenie podmienok NIS Draxler vysvetľuje, že sa nedá presne určiť potrebné množstvo financií. "Firmy, ktoré to riešili priebežne, tak pre nich je náklad nula," povedal. Naopak, firmy, ktoré tieto opatrenia doteraz neriešili, ich budú musieť implementovať naraz, teda aj investovať do opatrení. "Keď sa to robí správne, tak s bezpečnosťou by mala ísť aj optimalizácia," vysvetľuje. Dobre implementovaná bezpečnosť môže podľa neho aj ušetriť.
Na základe zákona by sa mal do registra prevádzkovateľov základnej služby registrovať každý, kto prevádzkuje službu v oblasti energetiky, dopravy, bankovníctva, infraštruktúry finančných trhov, zdravotníctva, dodávky a distribúcie pitnej vody či digitálnej infraštruktúry. Draxler ozrejmil, že do registra prevádzkovateľov digitálnej služby sa musí prihlásiť firma, ktorá je online trhoviskom, internetovým vyhľadávačom alebo poskytuje cloudové služby. Zároveň by mala zamestnávať aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur.
Povinnosť registrácie plynie zo zákona o kybernetickej bezpečnosti, v ktorom je premietnutá európska smernica NIS. Tá sa venuje informačným systémom a sieťam. Ozrejmil, že inštitúcie a firmy sa mali registrovať do konca septembra 2018, teraz im hrozí pokuta do 300.000 eur. Tvrdí, že ak sa firmy neregistrujú, stávajú sa ľahkým cieľom pre útočníkov alebo hekerské skupiny.