V predchádzajúcom článku na našom blogu sme poukázali na to, čo je to kybernetická bezpečnosť a na povinnosti vyplývajúce zo zákona č.69/2018 Z.z. o kybernetickej bezpečnosti. Rozobrali sme kto sú to prevádzkovatelia základnej služby a prečo boli zaradení do zoznamu povinných osôb implementácie tohto zákona. Dnes si povieme, aké výhody prináša profesionálny audit kybernetickej bezpečnosti.

Zákon o kybernetickej bezpečnosti prešiel novelizáciou od 1.augusta 2021 a jedna z najväčších noviniek sa nachádza v prechodných ustanoveniach. Ovplyvní subjekty zaradené do I. a II. kategórie sietí a informačných systémov.

Prechodné ustanovenie v §34a zákona č.69/2018 Z.z. o kybernetickej bezpečnosti píše:
„Prevádzkovateľ základnej služby môže zabezpečiť plnenie povinnosti podľa §29 vykonaním preverenia účinnosti prijatých bezpečnostných opatrení prostredníctvom manažéra kybernetickej bezpečnosti“

Podľa zákona sa toto prechodné ustanovenie týka prevádzkovateľov základnej služby (PZS) zaradených v I. a II. kategórií sietí a informačných systémov. V období od 1.augusta 2021 do 31.decembra 2023 sú PZS z oboch kategórií povinný zabezpečiť „sebahodnotenie“ plnenia požiadaviek zákona.

Môžeme teda nazvať sebahodnotenie ako zjednodušené vykonanie auditu kybernetickej bezpečnosti?
Sebahodnotenie alebo samohodnotenie sa bude vykonávať prostredníctvom formulára (súbor .pdf) cez stránku Národného bezpečnostného úradu (NBÚ), kde bude daný postup a formulár zverejnený. Podľa zodpovedných osôb bude formulár pre vykonanie samohodnotenia zverejnený už v októbri.

Audit kybernetickej bezpečnosti

Audit kybernetickej bezpečnosti certifikovaným audítorom obsahuje celkovo 266 požiadaviek, ktoré si audítor prejde počas výkonu auditu na mieste, pričom čoskoro zverejnený formulár na vykonanie samohodnotenia bude obsahovať „len“ 35 otázok.
Všetky tieto otázky sa budú týkať konkrétnych minimálnych požiadaviek popísaných vo vyhláške č. 362/2018 Z.z, o schopnosti reakcie na incidenty, riadenia rizík, poznania prostredia, či reakcie na prípadné kybernetické útoky.

Rozdiel medzi auditom a samohodnotením kybernetickej bezpečnosti:

Audit kybernetickej bezpečnosti

– vykonávaný certifikovaným audítorom KB
– audit je vykonávaný podľa metodiky popísanej vo vyhláške č.439/2019 Z.z.
– predloženie konkrétnych dôkazov k zisteniam z auditu
– vypracovanie správy z auditu a plánu implemenetácie opatrení KB

Samohodnotenie KB

– vykonávané interným alebo externým manažérom kybernetickej bezpečnosti
– príprava plánu implementácie opatrení KB
– podpísané štatutárom (starostom, primátorom)
– zaslanie formuláru (.pdf) na jednotný informačný systém NBÚ

Manažér kybernetickej bezpečnosti musí vykonávať audit s plnou dôveryhodnosťou a pravdivosťou, aby správa zo samohodnotenia skutočne odrážala reálny stav. V opačnom prípade môže NBÚ vykonať kontrolnú činnosť u daného PZS. Z každého auditu je potrebné vypracovať správu, ktorú musí podpísať štatutár a na základe ktorej je potrebné vypracovať aj plán implementácie opatrení KB (nedostatočne plnených opatrení z auditu), ktorý je potrebné zaslať spolu s formulárom (súbor .pdf) na jednotný IS NBÚ.

Aj s týmto Vám vie pomôcť Avris Consulting!