Články označené ako BrandCom sú pripravené a publikované v spolupráci s komerčnými partnermi. Hoci redakcia TRENDU nie je ich autorom, ich obsah považuje za prínosný pre čitateľa a preto umožnila ich publikovanie. Viac o BrandCom

BLOG PwC

Audit kybernetickej bezpečnosti už klope na dvere

11.12.2019 | PwC Bratislava

Prevádzkovatelia základných služieb sú zo zákona o kybernetickej bezpečnosti povinní podrobiť sa auditu kybernetickej bezpečnosti a predložiť záverečnú správu o výsledkoch auditu Národnému bezpečnostnému úradu. Čo je potrebné vykonať? Kto bude môcť vykonať audit? Koľko bude audit stáť?

  • Tlačiť
  • 4

Hraničným termínom pre výkon auditu a predloženie záverečnej správy je november 2021 pre prevádzkovateľov zaradených do zoznamu základných služieb ešte v čase polročnej lehoty po vydaní a nadobudnutí účinnosti zákona. Aby však bolo jasné, čo a ako sa bude v rámci auditu hodnotiť, zákon myslí aj na podrobnejšiu definíciu tejto časti v podobe novopripravovanej vyhlášky o audite kybernetickej bezpečnosti. Táto vyhláška by mala byť vydaná a účinná od januára 2020. Vďaka takémuto časovému predstihu sa prevádzkovatelia budú môcť ešte v dostatočnom časovom horizonte pripraviť na realizáciu povinného auditu, a to podľa presných špecifík definovaných novou vyhláškou.

Čo je potrebné vykonať s ohľadom na blížiaci sa audit?

Určite je vhodné mať implementované a dodržiavané všetky relevantné a nevyhnutné bezpečnostné opatrenia, ktoré samotný zákon o kybernetickej bezpečnosti uvádza v príslušných ustanoveniach. Tieto opatrenia by však mali byť implementované minimálne do dvoch rokov od účinnosti zákona, t. j. do novembra apríla 2020 – platné pre prevádzkovateľov už zaradených do zoznamu základných služieb. Mnohé z týchto opatrení určite už viacerí prevádzkovatelia dávno realizujú, keďže kybernetická bezpečnosť nie je žiadnou novinkou dnešnej doby. Výber a následná realizácia relevantných opatrení by mala vychádzať na základe výsledkov analýzy rizík kybernetickej bezpečnosti vo vzťahu k prevádzkovanej službe. Mnohé konkrétne opatrenia taktiež definuje aj samotný zákon, avšak na niektoré časti sa pozerá mierne odlišne a vlastným pohľadom. Ich definíciu presnejšie uvádza v osobitnej vyhláške č. 362/2018 Z. z. Z toho je zrejmé, že okrem už aktuálne zavedených bezpečnostných opatrení prevádzkovateľom je zaiste potrebné vykonať overenie, resp. porovnanie aktuálneho stavu zavedených  opatrení so špecifickými požiadavkami zákona a príslušných vyhlášok. Takými sú napr. presne určený spôsob klasifikácie informácií, systém kategorizácie sietí a informačných systémov, ako aj povinnosť vyhotovenia bezpečnostnej dokumentácie. Po zistení rozdielov je, samozrejme, nutné ešte počítať aj s realizáciou a zavedením daných nápravných opatrení, aby výsledné opatrenia boli nakoniec v súlade s požiadavkami, ktoré definuje legislatíva. Celkovo teda nie je toho málo, na čo všetko je potrebné myslieť a čo presne je potrebné vykonať. Z toho dôvodu je určite vhodným odporúčaním si v dostatočnom časovom predstihu, ešte pred samotným povinným auditom, vykonať preverenie súladu aktuálneho stavu v porovnaní so zákonom definovaných požiadaviek a preverenie celkovej pripravenosti na vykonanie spomínaného auditu.

Kto bude môcť vykonať u prevádzkovateľa spomínaný audit?

Nová vyhláška myslí aj na zodpovedanie tejto otázky a pripravuje presné špecifiká, aký subjekt môže byť certifikovaným audítorom na vykonanie úradom akceptovateľného auditu. Audítorom kybernetickej bezpečnosti podľa zákona môže byť iba certifikovaná osoba, ktorá pre získanie certifikátu bude musieť splniť určité zákonom definované kritériá. Nimi môžu byť napr. doloženie relevantných osvedčení či dôkazov o odborných znalostiach a skúsenostiach s vykonávaním auditu, ako aj odbornej spôsobilosti v oblasti informačných technológií a kybernetickej bezpečnosti. Rovnako bude musieť absolvovať skúšku zo znalosti ustanovení zákona a príslušných vyhlášok. Audítorom môže byť fyzická osoba, resp. osoba pôsobiaca ako zamestnanec určitej organizácie. Audit kybernetickej bezpečnosti, podľa vyjadrení úradu, môže byť vykonaný buď externým nezávislým subjektom, alebo prípadne aj interným audítorom za predpokladu dostatočnej nezávislosti v kontexte spoločnosti a jej organizačného zaradenia, v rámci ktorej operuje.

Koľko finančných prostriedkov si bude vykonanie takéhoto auditu vyžadovať?

Pripravovaná vyhláška prinesie aj metodiku výpočtu časového rozsahu trvania auditu kybernetickej bezpečnosti. Dĺžka trvania auditu bude zrejme závisieť od počtu prevádzkovaných informačných systémov a systémov bezpečnostných opatrení, ktoré podporujú činnosť základnej prevádzkovanej služby, od počtu používateľov prevádzkovanej služby a ďalších mnohých iných kritérií. Na základe nich bude možné presnejšie a najmä vopred stanoviť rozsah, náročnosť a cenu za výkon povinného auditu.

 

„Audit kybernetickej bezpečnosti základnej prevádzkovanej služby je jednou z jasných a istých povinností prevádzkovateľa, ktorý okrem iných musí absolvovať, aby bol v súlade s požiadavkami zákona o kybernetickej bezpečnosti,“ hovorí Adrian Bagala, Senior Consultant Cybersecurity, PwC. 

Dôležitou otázkou každého jedného prevádzkovateľa už len zostáva, v akom aktuálnom stave súladu sa nachádza a aké všetky kroky ešte potrebuje vykonať, aby povinným auditom prešiel bez identifikovania vážnejších nedostatkov.

Viac informácií: 

https://www.pwc.com/sk/sk/risk-assurance-slovensko/kyberneticka-bezpecnost.html

  • Tlačiť
  • 4

PwC

PwC
  • Počet článkov: 9
  • Priemerná čítanosť: 599
  • Priemerná diskutovanosť: 1
  • RSS blogu

O blogu

V PwC pomáhame budovať dôveru v spoločnosť a prispievame k riešeniu dôležitých spoločenských problémov. Vďaka silnej expertíze z oblasti auditu a daní poznáme biznis a firemné procesy a preto dokážeme unikátne spájať svet financií s informačnými technológiami. Vieme nielen navrhnúť, ale aj zrealizovať digitálne riešenia pre zefektívnenie vášho biznisu a vašich procesov. Sme najväčšia poradenská spoločnosť na Slovensku s najširšou ponukou poradenských služieb na trhu.

PwC

PwC
  • Počet článkov: 9
  • Priemerná čítanosť: 599
  • Priemerná diskutovanosť: 1
  • RSS blogu

O blogu

V PwC pomáhame budovať dôveru v spoločnosť a prispievame k riešeniu dôležitých spoločenských problémov. Vďaka silnej expertíze z oblasti auditu a daní poznáme biznis a firemné procesy a preto dokážeme unikátne spájať svet financií s informačnými technológiami. Vieme nielen navrhnúť, ale aj zrealizovať digitálne riešenia pre zefektívnenie vášho biznisu a vašich procesov. Sme najväčšia poradenská spoločnosť na Slovensku s najširšou ponukou poradenských služieb na trhu.

Kalendár sa načítava...