Podniky musia posilňovať kybernetickú bezpečnosť, pre menšie firmy to môže byť výzva
Zvyšovanie kybernetickej bezpečnosti bude v najbližších mesiacoch otázkou pre mnohé podniky na Slovensku. Vyžiada si investície do bezpečnostných technológií či školenia zamestnancov, čo môže byť výzvou najmä pre menšie firmy. Od januára tohto roka vstúpila do platnosti novela zákona o kybernetickej bezpečnosti, ktorá prináša viaceré zmeny pre firmy. Podniky, ktoré spĺňajú podmienky prevádzkovateľa základnej služby (poskytujú kľúčové služby nevyhnutné pre fungovanie spoločnosti a ekonomiky), majú povinnosť identifikovať sa a oznámiť to Národnému bezpečnostnému úradu do 60 dní od nadobudnutia účinnosti novely. Po zapísaní do registra sú povinné dodržiavať všetky opatrenia a povinnosti vyplývajúce zo zákona, vrátane implementácie bezpečnostných opatrení a hlásenia kybernetických bezpečnostných incidentov. Tieto zmeny musia zaviesť do praxe v lehote 12 mesiacov od zápisu. To znamená, že vybrané slovenské podniky budú povinné vyhodnocovať kybernetické riziká a pravidelne ich monitorovať, zaviesť interné bezpečnostné politiky a opatrenia na ochranu IT infraštruktúry a zabezpečiť dodávateľský reťazec. Teda vyžadovať bezpečnostné štandardy aj od svojich obchodných partnerov. „Oproti doterajšiemu stavu, keď firmy čelili len základným bezpečnostným požiadavkám, musia po prijatí novely pristupovať k systémovému riadeniu kybernetickej bezpečnosti. To pre podniky znamená vyššie náklady na implementáciu opatrení, školenia zamestnancov a audity, no zároveň im to poskytne lepšiu ochranu pred rastúcimi kybernetickými hrozbami,“ vysvetlila Vladimíra Pazderová, konateľka poradenskej spoločnosti Novo Funding.
Novela zároveň rozširuje pôsobnosť zákona na širšiu skupinu firiem. Teda aj na podniky z rôznych oblastí ako je napríklad výroba potravín, elektroniky či spracovanie odpadu, ktoré zamestnávajú aspoň 50 ľudí a ich ročný obrat dosahuje minimálne 10 miliónov eur. Doteraz pritom podľa Vladimíry Pazderovej neboli v zákone určené veľkostné parametre firiem ako počet zamestnancov a výška obratu, ktorých by sa tieto opatrenia týkali. Posudzovali sa len kritériá založené na strategickom význame infraštruktúry.
Novela zákona o kybernetickej bezpečnosti je tak podľa nej významným krokom k posilneniu ochrany digitálneho prostredia. „Jej hlavnými prínosmi sú rozšírenie pôsobnosti na nové sektory, dôraz na riadenie rizík a posilnenie zodpovednosti v dodávateľských reťazcoch,“ vymenovala Vladimíra Pazderová. Firmy musia podľa jej slov pravidelne hodnotiť bezpečnostné hrozby, zavádzať opatrenia na ich minimalizáciu a kontrolovať kybernetickú bezpečnosť svojich dodávateľov. Novela tiež zavádza prísnejšie sankcie za nedodržiavanie bezpečnostných opatrení, čo by malo motivovať firmy k dôslednejšiemu prístupu k ochrane ich IT infraštruktúry.
„Na druhej strane, implementácia nových opatrení môže predstavovať výzvu, najmä pre menšie podniky, ktoré budú čeliť vyšším nákladom a administratívnej záťaži. Pre firmy bez dostatočných IT kapacít môže byť náročné splniť všetky požiadavky a zároveň zabezpečiť plynulý chod svojho podnikania,“ upozornila. Výzvou môže byť podľa nej aj súlad s bezpečnostnými normami v rámci dodávateľských reťazcov, najmä pri spolupráci so zahraničnými partnermi. Ak sa nový systém nenastaví efektívne, existuje riziko zvýšenej byrokracie bez reálneho prínosu pre bezpečnosť.
„Celkovo novela prináša nevyhnutné kroky na zvýšenie kybernetickej odolnosti, avšak jej úspešná implementácia si vyžiada dôkladnú prípravu, investície do bezpečnostných technológií a prispôsobenie firemných procesov. Firmy by preto mali začať s prípravami čo najskôr, aby splnili nové požiadavky a zároveň posilnili svoju ochranu pred čoraz sofistikovanejšími kybernetickými hrozbami. Na zabezpečenie súladu majú len 12 mesiacov,“ dodala.
Najväčšou výzvou pre firmy budú podľa nej finančné náklady, nedostatok odborníkov a administratívna záťaž. Implementácia nových opatrení si vyžiada investície do technológií, školení a odborných služieb. Zároveň môže byť náročné zabezpečiť súlad s požiadavkami v celom dodávateľskom reťazci. „Náklady na implementáciu opatrení podľa novej legislatívy budú závisieť od veľkosti spoločnosti, sektora a aktuálnej úrovne kybernetickej bezpečnosti. Pre veľké podniky s vyspelými IT oddeleniami pôjde najmä o úpravy existujúcich procesov, rozšírenie bezpečnostných opatrení a pravidelné audity, zatiaľ čo menšie a stredné firmy budú musieť investovať do úplne nových systémov a odborných služieb,“ odhadla. Predpokladá tak, že pre menšie podniky sa náklady môžu pohybovať v rozmedzí tisícok eur, zatiaľ čo pre väčšie organizácie môžu dosiahnuť desiatky až stovky tisíc eur v závislosti od rozsahu požadovaných opatrení. „Firmy by mali pristupovať k týmto investíciám ako k prevencii pred možnými kybernetickými útokmi, ktoré by mohli spôsobiť oveľa vyššie finančné a reputačné straty,“ odporučila. Aj nedávny ransomvérový útok na kataster totiž podľa jej slov ukázal, aké vážne môžu byť dôsledky kybernetických incidentov.
Novela taktiež zavádza prísnejší sankčný mechanizmus, ktorý posilňuje dohľad nad dodržiavaním kybernetických bezpečnostných opatrení a zvyšuje zodpovednosť firiem. „Kľúčové zmeny zahŕňajú vyššie pokuty za nedodržiavanie povinností v oblasti kybernetickej bezpečnosti, pravidelné audity a prísnejší dohľad zo strany regulačných orgánov a tiež zodpovednosť vedenia spoločností, pričom manažment bude musieť preukázateľne zabezpečiť zavedenie bezpečnostných opatrení a riadenie kybernetických rizík,“ vymenovala Vladimíra Pazderová.
O Novo Funding
Novo Funding je poradenská spoločnosť, ktorá sa špecializuje na financovanie v oblasti IT, digitalizácie, smart riešení, manažmentu údajov, kybernetickej bezpečnosti a eGoverment služieb. Tím odborníkov pomáha klientom pri financovaní a realizácii IT projektov, vie im poskytnúť špecializované poradenstvo a podporu vo všetkých fázach projektu. Okrem toho sa spoločnosť Novo Funding zameriava aj na kybernetickú bezpečnosť. Špecialisti spoločnosti dokážu pomôcť s prípravou a výkonom auditu, manažmentom kybernetickej bezpečnosti a zabezpečením súladu s nariadeniami Európskej únie v oblasti umelej inteligencie.
