Audit kybernetickej bezpečnosti


Prevádzkujete základnú službu v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákon o KB“)? Viete aj o povinnosti preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom o KB vykonaním auditu kybernetickej bezpečnosti? Gordias Vám pomôže túto požiadavku naplniť prostredníctvom našej služby auditu kybernetickej bezpečnosti. Ako jedni z prvých na Slovensku máme v tíme certifikovaného audítora kybernetickej bezpečnosti a sme tak oprávnení a schopní túto službu poskytovať.
V zmysle vyhlášky NBÚ č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora sa auditom kybernetickej bezpečnosti overuje plnenie povinností podľa zákona o KB a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona o KB a súvisiacich vyhlášok NBÚ.
Audit identifikuje nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu a na predchádzanie kybernetickým bezpečnostným incidentom.
Audit kybernetickej bezpečnosti je špecifická forma našej služby audit bezpečnosti IS.
Ako prevádzkovateľ základnej služby ste povinní preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonomo KB a podrobiť sa auditu kybernetickej bezpečnosti:
  • do dvoch rokov odo dňa zaradenia do registra prevádzkovateľov základných služieb, 1
  • následne pravidelne každé dva roky,
  • do dvoch mesiacov po každej zmene majúcej významný vplyv na realizované bezpečnostné opatreniav závislosti od klasifikácie informácií a kategorizácie sietí a IS,
  • kedykoľvek na základe požiadavky NBÚ.
Naplnenie Vašej povinnosti realizácie auditu kybernetickej bezpečnosti je dozorované aj zo strany NBÚ. Záverečnú správu o výsledkoch auditu spolu s opatreniami na nápravu a s lehotami na ich odstránenie ste povinní predložiť NBÚ do 30 dní od ukončenia auditu.
Porušenie povinností v oblasti auditu kybernetickej bezpečnosti je podľa zákona o KB správny delikt a hrozí za neho pokuta až do maximálnej výšky 300 000 €.
V záverečnej správe zhodnotíme výsledky auditu a uvedieme dôkazy, na základe ktorých sme hodnotenie vykonali. Záverečná správa o výsledkoch auditu obsahuje okrem iného aj:
  • zhrnutie zistení výsledkov auditu a konštatovanie súladu alebo nesúladu s požiadavkami na bezpečnosť sietí a informačných systémov,
  • zhodnotenie plnenia povinností podľa zákona a celkového stavu prijatých bezpečnostných opatrení každého informačného systému súvisiaceho so základnou službou a konkrétne uvedenie nedostatkov,
  • odporúčané nápravné opatrenia audítora pri zistení nedostatkov,
  • informáciu o stave vykonaných nápravných opatrení, ak prevádzkovateľ základnej služby na základe predchádzajúceho auditu mal tieto nápravné opatrenia prijať.
Súčasťou záverečnej správy o výsledkoch auditu je pri zistení nesúladu s požiadavkami na bezpečnosť sietí a informačných systémov aj správa o zistených nedostatkoch, pri ktorých ako prevádzkovateľ základnej služby uvádzateaj termín vykonania nápravných opatrení.

Dôležité !

V zmysle zákona o KB a vyhlášky môže audit kybernetickej bezpečnosti vykonávať iba audítor kybernetickej bezpečnosti, ktorý spĺňa podmienky znalostného štandardu a je certifikovaným audítorom. Gordias má odbornom tíme jedného z prvých certifikovaných audítorov kybernetickej bezpečnosti na Slovensku.

Jeho znalosti a praktické skúsenosti v oblasti auditu preveril formou odbornej skúšky prvý akreditovaný certifikačný orgán overovania odbornej spôsobilosti audítora.
Náš audítor počas realizácie auditu kybernetickej bezpečnosti zodpovedá za správnosť, rozsah a odbornosť pri výkone auditu a spracovaní záverečnej správy o výsledkoch auditu. Audítor vždy vykonáva audit odborne, objektívne, nestranne, na základe dôkazov podľa odporúčaní technických noriem alebo iných vecne obdobných a všeobecne uznávaných postupov.

Auditu kybernetickej bezpečnostisa bude musieť podrobiť veľký počet prevádzkovateľov základných služieb. Využite naše znalosti a skúsenosti vo svoj prospech, zabezpečte si splnenie zákonných povinností a informujte sa u nás o službe auditu kybernetickej bezpečnosti.
1 resp. do troch rokov odo dňa zaradenia do registra prevádzkovateľov základných služieb zo strany NBÚ pred 9. novembrom 2018