18. júna 2020 Solution

Kybernetická bezpečnosť pre mestá a obce – termíny, povinnosti a sankcie

Zúčastnili sme sa konferencie ESET Security Days aj tento rok a prinášame pre mestá a obce (ďalej len „obce“) dôležité informácie v krátkom článku plnom faktov. Na začiatok je dôležité povedať, že ide organizácie, ktoré sú podľa zákona 69/2018 o kybernetickej bezpečnosti (ďalej len „zákon“) zaradené do zoznamu poskytovateľov základých služieb (ďalej len „ZS“).

Termíny

ESET KONFERENCIA IT BEZPEČNOSŤ 2019

1. Obce sa rozdeľujú (ako všetci poskytovatelia ZS) na

A. zaradené do zoznamu ZS do 9.11.22018

B. zaradené do zoznamu ZS po 9.11.2018

2. Prečo? Lebo podľa tohoto rozdelenia sa na ne uplatňujú aj termíny a z toho vyplývajúce povinnosti.

A. Tieto obce majú termín  zakotvený v zákone v prechodných ustanoveniach podľa §34 a

B. tieto obce majú termíny uvedené v §19 a §29 zákona.

Povinnosti

A. Tieto obce musia splniť implementáciu bezpečnostných opatrení  vrátane zosúladenia zmlúv  podľa §19 ods. 2 zákona do 1.4.2020 (čo už bolo) !

B. Tieto obce majú čas do 6 mesiacov od zaradenia do zoznamu ZS.

Vykonanie auditu ako nová povinnosť

Na rozdiel od nariadení GDPR, kde bola požadovaná len implementácia, ukladá zákon o KB za povinnosť obciam

  • vyhľadať oprávneného dodávateľa a objednať AUDIT,
  • vypracovať záverečnú správu z auditu,
  • a ešte si to aj zaplatiť,
  • pod hrozbou vysokých pokút,

a to pre obce A.) do 9.11.2021  a pre obce B.) do 2 rokov od zaradenia do zoznamu poskytovateľov ZS.

Kto?

WORKSHOP – ESET SECURITY DAYS -2020

Na začiatku (pri príprave legislatívy a zákona) sa počítalo, že zákon bude mať dopad na rádovo niekoľko 100 organizácii na celom Slovensku. Teraz je už jasné, že ich je viac ako 1000 subjektov.

Ako prevádzkovateľ ZS ste ak

  • prevádzkujete 1 službu z 11-tich kľúčových sektorov uvedených z zákone (energetika, telekomunikácie, atď.) a spĺňate dopadové kritériá uvedené vo vyhláške 164/2018,
  • prevádzkujete informačné systémy verejnej správy (ďalej len „ISVS“) alebo prvok kritickej infraštruktúry.

Overiť si to môžete na webe NBÚ  – https://www.nbu.gov.sk/kyberneticka-bezpecnost/index.html – nájdete tu veľa užitočných informácií.

Ako plniť povinnosti?

Všetky informácie sú uvedené v §20 zákona + vo vykonávacích vyhláškach. Najnovšia je vyhláška 362/2019

Ako začať

  1. Rozdielová analýza označovaná aj ako GAP analýza je kľúčová a je potrebné ju vykonať na začiatku. Pomocou tejto analýzy zistíte, ako ste na tom, kde sa nachádzate a v akom stave by ste sa mali nachádzať. Výstupom by mal byť prvotný návod alebo súbor opatrení, ktoré je potrené vykonať aby ste kybernetickú bezpečnosť dostatočne posilnili.
  2. Klasifikácia informácii.
  3. Kategorizácia informácií sa odporúča do 3 úrovní- 1,2 a 3 podľa dôvernosti a stupňa ochrany, resp. dôležitosti.

WORKSHOP – ESET SECURITY DAYS -2020

Vzdelávanie je pilierom kybernetickej bezpečnosti

  • význam kontinuálneho vzdelávania v oblastiach
  • pripravili sme pre Vás ťahák na tému „zbavte sa phishingu“ úplne zadarmo -> prevziať.
  • pre firmy, ktoré chcú začať, máme konzultácie so špecialistom -> konzultácie.
  1. personálna bezpečnosť § 20 ods. 3 písm. c,
  2. znalostné štandardy §5 ods. 1 pism. b,
  3. bezpečnostné povedomie

Očakáva sa vyhláška, ktorá bude definovať „množstvo znalostí“ potrebné pre výkon činností podliehajúcich kybernetickej bezpečnosti.

Čo je teda úplný základ?

Vytvorte si plán rozvoja bezpečnostného povedomia a vzdelávania. Toto platí pre každú organizáciu zaradenú do zoznamu poskytovateľov základnej služby v zmysle zákona o kybernetickej bezpečnosti.

Ponaučenia – na čo si dať pozor: zabezpečenie, aktualizácie, IT školenie a doplnenie znalostí -> dohodnite si konzultáciu, oplatí sa to!

WORKSHOP – ESET SECURITY DAYS -2020

 

SANKCIE za nedodržanie, ignorovanie alebo priamo porušenie zákona sú extrémne vysoké až do 300.000 €.

WORKSHOP – ESET SECURITY DAYS -2020