Firmám pribudne povinnosť vykonať audit kybernetickej bezpečnosti

Kybernetická bezpečnosť firiem sa bude po novom kontrolovať prostredníctvom špeciálneho druhu auditu. Súvisiaca legislatíva v oblasti kybernetickej bezpečnosti zavedie pre prevádzkovateľov základnej služby a poskytovateľov digitálnej služby novú povinnosť. Aktuálna vyhláška predložená Národným bezpečnostným úradom hovorí o nových povinnostiach pre prevádzkovateľov základnej služby. Podľa stanovených pravidiel bude každá takáto inštitúcia povinná preveriť účinnosť prijatých bezpečnostných opatrení v oblasti kybernetickej bezpečnosti špeciálnym druhom auditu, čím sa zabezpečí požadovaná úroveň bezpečnosti. „Prevádzkovatelia sa musia pripraviť na to, že budú povinní preveriť účinnosť prijatých bezpečnostných opatrení a plnenie jednotlivých, zákonom daných požiadaviek vykonaním auditu kybernetickej bezpečnosti v období do dvoch rokov odo dňa, keď boli zapísaní do registra prevádzkovateľov základných služieb,“ vysvetľuje Erik Saller, manažér spoločnosti Deloitte pre kybernetickú bezpečnosť. Audit overí a posúdi zhodu prijatých bezpečnostných opatrení a plnenie povinností týkajúcich sa bezpečnosti sietí a informačných systémov. Presné pravidlá auditu, podmienky pre samotných audítorov vrátane úrovne ich vzdelania či praxe, ale aj rozsah záverečnej správy o výsledkoch, metodike a dôkazoch sú podrobne stanovené v uvedenej vyhláške. Vyhláška o audite kybernetickej bezpečnosti je aktuálne po medzirezortnom pripomienkovom konaní a prebieha jeho vyhodnocovanie. Návrh počíta s účinnosťou vyhlášky od 1. januára 2020. „Kým nadobudne účinnosť slovenská vyhláška, ENISA (Európska agentúra pre bezpečnosť sietí a informácií) vydala usmernenie, ktoré podrobne opisuje kroky auditu kybernetickej bezpečnosti. Toto usmernenie tiež obsahuje popis zaujímavých štandardov a rámcov pre riadenie kybernetickej bezpečnosti,“ doplnil Erik Saller.