Zúčastnili sme sa konferencie ESET Security Days aj tento rok a prinášame pre mestá a obce (ďalej len “obce”) dôležité informácie v krátkom článku plnom faktov. Na začiatok je dôležité povedať, že ide organizácie, ktoré sú podľa zákona 69/2018 o kybernetickej bezpečnosti (ďalej len “zákon”) zaradené do zoznamu poskytovateľov základých služieb (ďalej len “ZS”).
Termíny
1. Obce sa rozdeľujú (ako všetci poskytovatelia ZS) na
A. zaradené do zoznamu ZS do 9.11.2018
B. zaradené do zoznamu ZS po 9.11.2018
2. Prečo? Lebo podľa tohoto rozdelenia sa na ne uplatňujú aj termíny a z toho vyplývajúce povinnosti.
A. Tieto obce majú termín zakotvený v zákone v prechodných ustanoveniach podľa §34 a
B. tieto obce majú termíny uvedené v §19 a §29 zákona.
Povinnosti
A. Tieto obce musia splniť implementáciu bezpečnostných opatrení vrátane zosúladenia zmlúv podľa §19 ods. 2 zákona do 1.4.2020 (čo už bolo) !
B. Tieto obce majú čas do 6 mesiacov od zaradenia do zoznamu ZS.
Vykonanie auditu ako nová povinnosť
Na rozdiel od nariadení GDPR, kde bola požadovaná len implementácia, ukladá zákon o KB za povinnosť obciam
- vyhľadať oprávneného dodávateľa a objednať AUDIT,
- vypracovať záverečnú správu z auditu,
- a ešte si to aj zaplatiť,
- pod hrozbou vysokých pokút,
a to pre obce A.) do 9.11.2021 a pre obce B.) do 2 rokov od zaradenia do zoznamu poskytovateľov ZS.
Kto
Na začiatku (pri príprave legislatívy a zákona) sa počítalo, že zákon bude mať dopad na rádovo niekoľko 100 organizácii na celom Slovensku. Teraz je už jasné, že ich je viac ako 1000 subjektov.
Ako prevádzkovateľ ZS ste ak
- prevádzkujete 1 službu z 11-tich kľúčových sektorov uvedených z zákone (energetika, telekomunikácie, atď.) a spĺňate dopadové kritériá uvedené vo vyhláške 164/2018,
- prevádzkujete informačné systémy verejnej správy (ďalej len “ISVS”) alebo prvok kritickej infraštruktúry.
Overiť si to môžete na webe NBÚ – https://www.nbu.gov.sk/kyberneticka-bezpecnost/index.html – nájdete tu veľa užitočných informácií.
Ako plniť povinnosti?
Všetky informácie sú uvedené v §20 zákona + vo vykonávacích vyhláškach. Najnovšia je vyhláška 362/2019
Ako začať
- Rozdielová analýza označovaná aj ako GAP analýza je kľúčová a je potrebné ju vykonať na začiatku. Pomocou tejto analýzy zistíte, ako ste na tom, kde sa nachádzate a v akom stave by ste sa mali nachádzať. Výstupom by mal byť prvotný návod alebo súbor opatrení, ktoré je potrené vykonať aby ste kybernetickú bezpečnosť dostatočne posilnili.
- Klasifikácia informácii.
- Kategorizácia informácií sa odporúča do 3 úrovní- 1,2 a 3 podľa dôvernosti a stupňa ochrany, resp. dôležitosti.
Vzdelávanie je pilierom kybernetickej bezpečnosti
- význam kontinuálneho vzdelávania v oblastiach
- pripravili sme pre Vás ťahák na tému “zbavte sa phishingu” úplne zadarmo -> prevziať.
- pre firmy, ktoré chcú začať, máme konzultácie so špecialistom -> konzultácie.
- personálna bezpečnosť § 20 ods. 3 písm. c,
- znalostné štandardy §5 ods. 1 pism. b,
- bezpečnostné povedomie
Očakáva sa vyhláška, ktorá bude definovať “množstvo znalostí” potrebné pre výkon činností podliehajúcich kybernetickej bezpečnosti.
Čo je teda úplný základ?
Vytvorte si plán rozvoja bezpečnostného povedomia a vzdelávania. Toto platí pre každú organizáciu zaradenú do zoznamu poskytovateľov základnej služby v zmysle zákona o kybernetickej bezpečnosti.
Ponaučenia – na čo si dať pozor: zabezpečenie, aktualizácie, IT školenie a doplnenie znalostí -> dohodnite si konzultáciu, oplatí sa to!
SANKCIE za nedodržanie, ignorovanie alebo priamo porušenie zákona sú extrémne vysoké až do 300.000 €.
Chcete vedieť viac?
Kontaktujte nás čo najskôr na oddelenie technickej podpory: 0908 544 273 alebo tech@s4y.sk
Vyplňte prosím krátky formulár a my sa s Vami ihneď spojíme