Cookies management by TermsFeed Cookie Consent
Manažované služby kybernetickej bezpečnosti
Helpdesk
+421 2 59 499 499
Manažované služby kybernetickej bezpečnosti

Zákon o kybernetickej bezpečnosti

V januári 2025 nadobudol účinnosť zákon o kybernetickej bezpečnosti č. 366/2024 Z. z.

Novelizácia kyberzákona zásadne rozšírila okruh povinných osôb. Stali sa nimi aj malé a stredné firmy v regulovaných sektoroch. Povinnými osobami sú aj firmy, ktoré sú súčasťou dôležitého dodávateľského reťazca.

Hlavné zmeny

  • Pôsobnosť zákona sa rozšíri na nové sektory a nové regulované služby
  • Mení sa spôsob identifikácie povinných osôb na základe príslušnosti k sektoru a veľkostných kritérií
  • Definuje sa kritická základná služba ako nová hodnota pre posúdenie rizikovosti a kritickosti subjektu
  • Zavádza sa minimálna kybernetická hygiena
  • Ruší sa kategorizácia a klasifikácia informácií a informačných systémov a nahradí ich analýza rizík ako univerzálny nástroj na aplikáciu opatrení
  • Pribudne zodpovednosť za plnenie bezpečnostných opatrení pre subjekty v dodávateľskom reťazci
  • Mení sa hlásenie hrozieb, zraniteľností, udalostí odvrátených na poslednú chvíľu a kybernetických bezpečnostných incidentov
  • Väčší dôraz sa kladie na systematické riadenie kybernetických rizík
  • Pribudnú mechanizmy bezpečnostnej certifikácie výrobkov, procesov a služieb
  • Zvyšujú sa sankcie a mení sa sankčný mechanizmus s cieľom efektívneho vynucovania pokút

Základným a prvým krokom pre každú organizáciu je identifikácia subjektu.

Identifikačný formulár Národného bezpečnostného úradu môže pomôcť subjektom overiť si, či sa na ne vzťahujú povinnosti podľa novelizovaného zákona o kybernetickej bezpečnosti. O zaradení aj vyradení prevádzkovateľa z pohľadu zákona však rozhoduje NBÚ.

Indikatívna pomôcka na určenie subjektu ako poskytovateľa základnej služby

"Ak ste sa práve stali povinným či kľúčovým subjektom a nemáte zavedené potrebné procesy, začnite analýzou rizík"

K analýze rizík existuje niekoľko prístupov a nástrojov, ktoré môžu organizácie použiť na identifikáciu, hodnotenie a riadenie rizík v oblasti kybernetickej bezpečnosti. Medzi najpoužívanejšie patria kvalitatívna a kvantitatívna analýza rizík. Rozdiel medzi nimi spočíva v prístupe k hodnoteniu a meraniu rizík, ako aj v druhu výstupov, ktoré tieto analýzy poskytujú.

Investície do kybernetickej bezpečnosti rastú pod tlakom legislatívy, technologických trendov aj geopolitického napätia.

Podľa najnovšej správy Európskej agentúry pre kybernetickú bezpečnosť ENISA sa rozpočty na kyberbezpečnostné opatrenia vo firmách v Únii medziročne zvyšujú. V prieskume až 34 percent malých a stredných podnikov deklarovalo, že im bude chýbať rozpočet na potrebné opatrenia.

Plné znenie zákona č. 366/2024 Z. z., ktorý mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, nájdete zverejnené TU