Články

Stovky firiem sa mali zapísať do registra na NBÚ kvôli kyberbezpečnosti

Zdravotníctvo
11.11.2018
Stovky firiem sa mali zapísať do registra na NBÚ kvôli kyberbezpečnosti

Firmy a inštitúcie sa mali do konca septembra zaregistrovať na Národnom bezpečnostnom úrade (NBÚ). Táto povinnosť vyplýva zo zákona o kybernetickej bezpečnosti, ktorý platí od apríla.

 

Do registra sa musia zapísať poskytovatelia takzvaných základných a digitálnych služieb, ktoré by v prípade výpadku mohli ohroziť životy alebo zdravie občanov, prípadne spôsobiť veľké ekonomické škody. Do zákona o kybernetickej bezpečnosti úradníci zakomponovali aj smernicu Európskeho parlamentu o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v EÚ (NIC). Registrovať sa mali banky, telekomunikačné firmy, energetické podniky, ale aj dopravné a vodárenské spoločnosti, firmy z hutníctva, farmácie či chemického priemyslu, aj zdravotnícke zariadenia vrátane nemocníc a súkromných kliník. „Smernica zaviedla bezpečnostné požiadavky pre kľúčové firmy a inštitúcie, ktoré disponujú databázou citlivých údajov alebo zabezpečujú dôležité úlohy pre chod domácností, firiem, krajiny,“ konštatoval Pavol Draxler, security manažér zo spoločnosti Binary Confidence, ktorá sa zaoberá ochranou pred kybernetickými hrozbami.

 

Ďalšie povinnosti

 

Registrácia na Národnom bezpečnostnom úrade je len prvým zo série krokov a opatrení, ktoré od firiem a verejných organizácií vyžaduje zákon o kybernetickej bezpečnosti platný od apríla tohto roku. Každá organizácia, ktorá tak doteraz neurobila, by mala v najbližších dňoch preveriť identifikačné kritériá, na základe ktorých zistí, či sa jej registračná povinnosť týka. Musí preveriť počet používateľov služby, trhový podiel prevádzkovateľa, geografické rozšírenie z hľadiska oblasti, ktorú by kybernetický bezpečnostný incident mohol postihnúť, alebo vplyv, ktorý by mohli mať prípadné incidenty na fungovanie štátu a jeho bezpečnosť.

Pre už identifikované subjekty, ktoré sa zapísali do registra, platia prechodné a záverečné ustanovenia zákona. Musia hlásiť kybernetické bezpečnostné incidenty. Do dvoch rokov od registrácie budú musieť registrované subjekty vytvoriť celú organizačnú štruktúru pre riadenie kybernetickej bezpečnosti a zabezpečiť tiež adekvátne bezpečnostné technológie. Mali by tiež mať bezpečnostný plán, podľa ktorého majú pravidelne precvičovať riešenie modelovej situácie hrozby narušenia alebo zničenia kritickej infraštruktúry a byť schopné poskytnúť súčinnosť príslušným orgánom. Podobne, ako v prípade smernice GDPR o ochrane osobných údajov, ide o pomerne náročný proces. Novou povinnosťou je hlásenie bezpečnostných incidentov do niekoľkých hodín či dní. „Tie spoločnosti a inštitúcie, ktoré tak nespravia, sa stávajú ľahkým cieľom pre útočníkov a hackerské skupiny. Následkom môže byť, že napríklad ľudia môžu prísť o dodávku vody alebo sa im stratia ich zdravotné záznamy,“ upozornil P. Draxler.

 

Pod hrozbou pokút

 

Ak by sa napríklad narušila bezpečnosť elektrárne a došlo by k výpadku elektriny, môže to mať vplyv nielen na domácnosti, ale aj na ďalšie služby. V automobilovom priemysle by mohol mať výpadok za následok prerušenie prevádzky, čo môže byť spojené aj s vysokými finančnými nákladmi. Okrem toho firmám a verejným inštitúciám hrozia vysoké pokuty od NBÚ. Ak napríklad neprijmú bezpečnostný dokument, môže ísť o priestupok, za ktorý im hrozí pokuta od 100 do 5 000 eur. Úrad však môže uložiť pokutu od 300 eur až do výšky 1 % celkového ročného obratu za predchádzajúci účtovný rok, najviac však 300 000 eur, prevádzkovateľovi základnej služby, ktorý sa dopustí správneho deliktu tým, že poruší povinnosť zo zákona.  Podľa predstaviteľov spoločnosti Binary Confidence sa doteraz zaregistrovalo len približne 59 z odhadovaných 200 firiem. NBÚ už tých, ktorí sa nezaregistrovali v polovici októbra, vyzval, aby vyplnili prihlasovací formulár na webe.

NBÚ momentálne aktualizuje príslušné zoznamy identifikovaných subjektov a služieb na svojom webovom sídle. „Momentálne sa úrad stále snaží aktívne poskytovať súčinnosť a metodickú pomoc zainteresovaným subjektom v rámci pretrvávajúcich otázok ohľadom identifikácie. Z tohto dôvodu úrad zatiaľ sankcie neudeľuje,“ informoval NBÚ.

 

Kto sa mal zapísať do registra NBÚ

·         správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy,

·         banky a inštitúcie poskytujúce úvery,

·         nemocnice, súkromné polikliniky a iní poskytovatelia zdravotnej starostlivosti,

·         dodávatelia energií pre domácnosti a podniky,

·         prevádzkovateľ distribučnej sústavy,

·         prevádzkovateľ zariadenia na ťažbu ropy alebo jej prepravca a skladovateľ,

·         prevádzkovateľ plynových zásobníkov,

·         dodávatelia pitnej vody, ak je to ich hlavná činnosť,

·         výrobcovia a dodávatelia tepla,

·         register domén najvyššej úrovne,

·         poskytovateľ služby DNS,

·         prevádzkovateľ internetových prepojovacích uzlov,

·         leteckí a vodní dopravcovia,

·         prevádzkovatelia inteligentných cestných systémov,

·         orgán zodpovedný za kontrolu riadenia cestnej prevádzky,

·         riadiaci orgán prístavu.

 

Čo hovorí zákon

 

·         prihlásiť sa do registra prevádzkovateľa základnej služby sa mal každý, kto prevádzkuje službu uvedenú v prílohe č. 1 zákona o kybernetickej bezpečnosti,,

·         do registra prevádzkovateľa digitálnej služby sa musí prihlásiť firma, ktorá je online trhoviskom, internetovým vyhľadávačom alebo poskytuje cloudové služby a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur.

 

Zdroj: SITA (etrend.sk)

 

Pozn. Raabe: O tejto povinnosti aktuálne komunikujeme s Národným bezpečnostným úradom. Prehľad dotknutých osôb a postupy registrácie vám prinesieme v našich najbližších aktualizáciách.