Zákon o kybernetickej bezpečnosti

V januári 2025 nadobudol účinnosť zákon o kybernetickej bezpečnosti č. 366/2024 Z. z.

Novelizácia kyberzákona zásadne rozšírila okruh povinných osôb. Stali sa nimi aj malé a stredné firmy v regulovaných sektoroch. Povinnými osobami sú aj firmy, ktoré sú súčasťou dôležitého dodávateľského reťazca.

Hlavné zmeny

Pôsobnosť zákona sa rozšíri na nové sektory a nové regulované služby
Mení sa spôsob identifikácie povinných osôb na základe príslušnosti k sektoru a veľkostných kritérií
Definuje sa kritická základná služba ako nová hodnota pre posúdenie rizikovosti a kritickosti subjektu
Zavádza sa minimálna kybernetická hygiena
Ruší sa kategorizácia a klasifikácia informácií a informačných systémov a nahradí ich analýza rizík ako univerzálny nástroj na aplikáciu opatrení
Pribudne zodpovednosť za plnenie bezpečnostných opatrení pre subjekty v dodávateľskom reťazci
Mení sa hlásenie hrozieb, zraniteľností, udalostí odvrátených na poslednú chvíľu a kybernetických bezpečnostných incidentov
Väčší dôraz sa kladie na systematické riadenie kybernetických rizík
Pribudnú mechanizmy bezpečnostnej certifikácie výrobkov, procesov a služieb
Zvyšujú sa sankcie a mení sa sankčný mechanizmus s cieľom efektívneho vynucovania pokút

Základným a prvým krokom pre každú organizáciu je identifikácia subjektu.

Identifikačný formulár Národného bezpečnostného úradu môže pomôcť subjektom overiť si, či sa na ne vzťahujú povinnosti podľa novelizovaného zákona o kybernetickej bezpečnosti. O zaradení aj vyradení prevádzkovateľa z pohľadu zákona však rozhoduje NBÚ.

Indikatívna pomôcka na určenie subjektu ako poskytovateľa základnej služby

"Ak ste sa práve stali povinným či kľúčovým subjektom a nemáte zavedené potrebné procesy, začnite analýzou rizík"

K analýze rizík existuje niekoľko prístupov a nástrojov, ktoré môžu organizácie použiť na identifikáciu, hodnotenie a riadenie rizík v oblasti kybernetickej bezpečnosti. Medzi najpoužívanejšie patria kvalitatívna a kvantitatívna analýza rizík. Rozdiel medzi nimi spočíva v prístupe k hodnoteniu a meraniu rizík, ako aj v druhu výstupov, ktoré tieto analýzy poskytujú.

Investície do kybernetickej bezpečnosti rastú pod tlakom legislatívy, technologických trendov aj geopolitického napätia.

Podľa najnovšej správy Európskej agentúry pre kybernetickú bezpečnosť ENISA sa rozpočty na kyberbezpečnostné opatrenia vo firmách v Únii medziročne zvyšujú. V prieskume až 34 percent malých a stredných podnikov deklarovalo, že im bude chýbať rozpočet na potrebné opatrenia.

Plné znenie zákona č. 366/2024 Z. z., ktorý mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, nájdete zverejnené TU