Snežienkova 1/A, 971 01 Prievidza
+421 908 345 320
cems@cems.sk
sk
cs
en
de

Externý manažér kybernetickej bezpečnosti (outsourcing)

  1. Úvod
  2. Produkty
  3. Audit kybernetickej bezpečnosti, NIS 2, GDPR, TISAX
  4. Externý manažér kybernetickej bezpečnosti (outsourcing)

 

 


Služba externého manažéra kybernetickej bezpečnosti predstavuje komplexné riešenie pre organizácie, ktoré potrebujú efektívne riadiť a zlepšovať svoju kybernetickú bezpečnosť, no nedisponujú internými zdrojmi a expertami na plný úväzok. 

Externý manažér kybernetickej bezpečnosti (EMKB) je poradenská činnosť, ktorú vykonáva certifikovaný a vyškolený expert v oblasti kybernetickej bezpečnosti. Manažér kybernetickej bezpečnosti preberá zodpovednosť za implementáciu a dohľad nad strategickými a operatívnymi aspektmi kybernetickej bezpečnosti v súlade s platnou legislatívou.

Našou úlohou je zabezpečiť, aby vaša organizácia spĺňala prísne požiadavky zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a súvisiacich vykonávacích predpisov, ako aj novej smernice Európskej únie NIS2 (Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555), ktorá zásadne rozširuje rozsah regulovaných subjektov a sprísňuje požiadavky na riadenie rizík kybernetickej bezpečnosti.

 

EMKB preberá funkciu manažéra kybernetickej bezpečnosti, ktorá je definovaná v § 21 zákona č. 69/2018 Z. z. Medzi kľúčové činnosti patrí:

  • Identifikácia a analýza rizík: Systematické hodnotenie potenciálnych hrozieb a zraniteľností s cieľom určiť najväčšie riziká pre vaše aktíva.
  • Návrh a implementácia bezpečnostných opatrení: Vypracovanie a zavedenie technických a organizačných opatrení na zníženie identifikovaných rizík na prijateľnú úroveň. To zahŕňa opatrenia podľa § 20 zákona č. 69/2018 Z. z., ktoré sú bližšie špecifikované vo vyhláške NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, rozsah a spôsob preukazovania zhody.
  • Vytvorenie a udržiavanie bezpečnostnej dokumentácie: Príprava a aktualizácia všetkých potrebných dokumentov, ako sú bezpečnostné politiky, smernice, postupy a plány.
  • Monitoring a audit: Pravidelné preverovanie efektívnosti zavedených opatrení a detekcia potenciálnych incidentov kybernetickej bezpečnosti v súlade s § 22 zákona č. 69/2018 Z. z.
  • Riadenie incidentov kybernetickej bezpečnosti: Vypracovanie plánov reakcie na incidenty a koordinácia ich riešenia v prípade narušenia bezpečnosti, vrátane hlásenia incidentov Národnému bezpečnostnému úradu (NBÚ), ako to ukladá § 19 zákona č. 69/2018 Z. z.
  • Školenia a zvyšovanie povedomia: Vzdelávanie zamestnancov o zásadách kybernetickej bezpečnosti a ich úlohách pri ochrane informácií.
  • Príprava na certifikáciu/audit: Podpora pri príprave na externé audity alebo certifikáciu v oblasti kybernetickej bezpečnosti.

Naším cieľom je odbremeniť vás od zložitosti riadenia kybernetickej bezpečnosti a zabezpečiť súlad s regulačnými požiadavkami, čím sa môžete plne sústrediť na vaše kľúčové podnikateľské aktivity.

 

Hlavné výhody externého manažéra kybernetickej bezpečnosti

  • Odborné znalosti a skúsenosti: Službu vykonáva certifikovaný a vyškolený expert v oblasti kybernetickej bezpečnosti so znalosťami platnej legislatívy (Zákon o kybernetickej bezpečnosti, NIS2) a best practise v oblasti kybernetickej bezpečnosti. 
  • Nákladová efektívnosť: Platíte len za službu, ktorú skutočne potrebujete. Cena služby sa odvíja od veľkosti a zložitosti vašej organizácie. 
  • Nezávislý a objektívny pohľad: Externý manažér prináša nezaujatý pohľad na vašu kybernetickú bezpečnosť, identifikuje slabé miesta a navrhuje riešenia bez interných obmedzení či predsudkov.
  • Súlad s legislatívou (Compliance): Zabezpečíme, že vaša organizácia bude spĺňať všetky aktuálne a nadchádzajúce požiadavky zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a smernice NIS2. Vyhnete sa tak vysokým pokutám a sankciám, ktoré môžu vyplynúť z nedodržania predpisov. Podľa § 32 zákona č. 69/2018 Z. z. hrozia pokuty až do výšky 2% z celkového ročného obratu podniku, v prípade NIS2 môžu byť sankcie ešte prísnejšie.
  • Zníženie rizík: Aktívnym riadením kybernetických rizík minimalizujete pravdepodobnosť úspešného kybernetického útoku a jeho potenciálnych dopadov na vaše podnikanie (finančné straty, poškodenie reputácie, únik dát).
  • Kontinuálne zlepšovanie: Poskytujeme nepretržitý dohľad a pravidelné hodnotenie, čím zabezpečujeme, že vaša kybernetická bezpečnosť sa neustále prispôsobuje novým hrozbám a technologickým zmenám.

 

Kto potrebuje službu externého manažéra kybernetickej bezpečnosti?

Služba externého manažéra kybernetickej bezpečnosti je určená pre široké spektrum organizácií, najmä pre tie, ktoré:

  • prevádzkovateľmi základných služieb a poskytovateľmi digitálnych služieb: Tieto subjekty sú už v súčasnosti regulované zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a majú povinnosť zabezpečiť svoju kybernetickú bezpečnosť a oznamovať kybernetické incidenty NBÚ.
  • Spadajú pod pôsobnosť smernice NIS2: Smernica NIS2 výrazne rozširuje rozsah regulovaných odvetví a typov subjektov. Ak podnikáte v odvetviach ako energetika, doprava, bankovníctvo, infraštruktúra finančných trhov, zdravotníctvo, pitná voda, digitálna infraštruktúra, verejná správa, vesmír, poštové a kuriérske služby, odpadové hospodárstvo, výroba chemikálií, potravinárstvo, výroba zdravotníckych pomôcok s vysokou pravdepodobnosťou budete musieť splniť nové požiadavky. NIS2 zavádza rozdelenie na "základné" a "kritické" subjekty s rôznymi úrovňami povinností.
  • stredné a väčšie podniky: Aj keď možno priamo nespadajú pod reguláciu NIS2 alebo zákona o kybernetickej bezpečnosti, ak spracovávajú citlivé dáta, sú kritické pre chod hospodárstva alebo majú rozsiahlu IT infraštruktúru, čelia značným kybernetickým rizikám a potrebujú profesionálne riadenie bezpečnosti.
  • Nemajú interné kapacity: Mnohé organizácie si nemôžu dovoliť zamestnať špecialistu na plný úväzok alebo im chýba dostatočná znalosť najnovších trendov a hrozieb v oblasti kybernetickej bezpečnosti.
  • Chcú zvýšiť svoju kybernetickú odolnosť: Ak chcete proaktívne chrániť svoje aktíva pred kybernetickými útokmi a zabezpečiť kontinuitu svojich operácií.
  • Pripravujú sa na audit alebo certifikáciu: Potrebujete pomôcť s preukázaním súladu s normami ako ISO/IEC 27001 alebo inými bezpečnostnými normami.

 

Aké sú riziká, ak nebudete plniť požiadavky zákona a nebudete mať manažéra kybernetickej bezpečnosti?

Ignorovanie alebo nedostatočné riadenie kybernetickej bezpečnosti môže mať pre vašu organizáciu katastrofálne následky, a to nielen finančné, ale aj reputačné a právne. Ak nebudete mať adekvátne riadenú kybernetickú bezpečnosť, čelíte nasledovným rizikám:

  • Legislatívne sankcie a pokuty: Pre subjekty spadajúce pod zákon č. 69/2018 Z. z. a smernicu NIS2 hrozia vysoké pokuty za nedodržanie povinností. Zákon o kybernetickej bezpečnosti (§ 32) umožňuje uložiť pokuty až do výšky 2 % z celkového ročného obratu podniku. Smernica NIS2 tieto pokuty sprísňuje, pričom pre základné subjekty môže dosiahnuť až 10 000 000 EUR alebo 2 % z celkového celosvetového ročného obratu, podľa toho, ktorá suma je vyššia. Okrem finančných pokút hrozí aj povinnosť zverejňovať porušenia, čo poškodzuje reputáciu.
  • Kybernetické incidenty a narušenia dát: Bez systematického riadenia je vaša organizácia oveľa náchylnejšia na útoky ransomvérom, phishingom, DDoS útoky, úniky dát a iné typy kybernetických hrozieb. To môže viesť k:
    • Finančným stratám: Náklady na obnovu systémov, právne poplatky, odškodnenie obetí, straty z prerušenia podnikania.
    • Poškodeniu reputácie a straty dôvery: Narušenie dôvery zákazníkov, partnerov a investorov, čo môže viesť k strate obchodných príležitostí.
    • Právnym dôsledkom: Žaloby zo strany poškodených osôb, regulačné vyšetrovania. V prípade úniku osobných údajov aj pokuty podľa GDPR.
    • Prevádzkovým prerušeniam: Výpadky systémov a služieb, ktoré môžu ochromiť vaše podnikanie.
  • Nedostatok pripravenosti na incidenty: Bez pripraveného plánu reakcie na incidenty môže byť vaša reakcia na útok chaotická a neefektívna, čo predĺži dobu obnovy a zvýši škody. Zákon o kybernetickej bezpečnosti (§ 19) jasne stanovuje povinnosť hlásiť kybernetické incidenty NBÚ, a to bezodkladne po ich zistení.
  • Neaktuálna bezpečnostná dokumentácia: Nielenže je to legislatívna požiadavka (§ 20 a 21 zákona č. 69/2018 Z. z. a vyhláška NBÚ č. 362/2018 Z. z.), ale aj kľúčový prvok efektívneho riadenia bezpečnosti. Bez nej je ťažké zabezpečiť konzistentné a efektívne bezpečnostné postupy.
  • Nekontrolovaný prístup a interné hrozby: Nedostatočné riadenie prístupu a nedostatočné školenia zamestnancov zvyšujú riziko interných kybernetických incidentov, či už úmyselných alebo neúmyselných.

 

Investícia do externého manažéra kybernetickej bezpečnosti nie je len nákladom, ale predovšetkým investíciou do stability, bezpečnosti a budúcnosti vašej organizácie. Zabezpečíte si tak nielen súlad s legislatívou, ale aj ochranu vašich kľúčových aktív a udržanie konkurencieschopnosti.


 

Mám záujem

  • V dnešnom prepojenom svete čelia firmy čoraz sofistikovanejším kybernetickým hrozbám. Je možnosť zabezpečiť externého manažéra kybernetickej bezpečnosti? Aké sú výhody a nevýhody outsourcingu EMKB a čo od nej vyžaduje zákon?

    Zobraziť viac

  • Cyber Resilience Act je nové nariadenie EÚ, ktoré prináša tvrdšie pravidlá pre kybernetickú bezpečnosť produktov s digitálnymi prvkami. Týka sa aj Vás?

    Zobraziť viac

  • Slovenská republika stojí pred významnou zmenou v oblasti kybernetickej bezpečnosti. Novela zákona o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025, priniesla viaceré dôležité zmeny pre firmy aj verejné inštitúcie.

    Zobraziť viac

  • V dnešnej digitálnej dobe je informačná bezpečnosť kriticky dôležitá pre každú organizáciu. Hrozby sa neustále vyvíjajú a útočníci hľadajú nové spôsoby, ako zneužiť zraniteľnosti. V tomto blogovom príspevku sa pozrieme na tri kľúčové oblasti informačnej bezpečnosti: Phishing, Active Directory a bezpečnosť vývoja aplikácií a softvéru.

    Zobraziť viac

  • Umelá inteligencia (AI) spôsobila revolúciu v mnohých odvetviach, ale jej rýchly rast priniesol aj obavy týkajúce sa etiky, súkromia a bezpečnosti. A práve na riešenie týchto výziev Medzinárodná organizácia pre normalizáciu a Medzinárodná elektrotechnická komisia navrhla normu ISO/IEC 42001.

    Zobraziť viac

  • Oba štandardy poskytujú množstvo bezpečnostných kontrol, ktoré pomáhajú organizáciám chrániť svoje informácie. NIST a ISO/IEC 27001 sú kompatibilné a navzájom sa dopĺňajú. NIST poskytuje technické detaily pre implementáciu bezpečnostných kontrol, ktoré sú odporúčané v ISO/IEC 27001.

    Zobraziť viac

  • Zálohovanie je proces vytvárania a ukladania kópie dát alebo informácií z primárneho zdroja na iné médium alebo zariadenie. Jeho hlavným cieľom je zaistenie dostupnosti a obnovy dát v prípade nechcenej straty, poškodenia, vymazania alebo iných nepredvídateľných udalostí.

    Zobraziť viac

  • SDLC je metodológia, ktorá sa používa pri vývoji softvéru s cieľom zvýšiť bezpečnosť a ochranu proti rizikám spojeným s kybernetickými hrozbami. Zameriava sa na implementáciu bezpečnostných postupov a kontrolných mechanizmov už od samotného začiatku vývojového procesu až po nasadenie a údržbu softvérového produktu.

    Zobraziť viac

  • Systém riadenia informačnej bezpečnosti je súbor procesov, postupov a techník, ktoré organizácia používa na riadenie informácií, jej ochranu a zaistenie bezpečnosti informačného systému. Tento systém je založený na ISO/IEC 27001, ktorá poskytuje rámec pre implementáciu a prevádzkovanie ISMS.

    Zobraziť viac

  • Framework je aplikačný rámec, ktorý poskytuje preddefinovaný súbor nástrojov pre vývoj softvéru. Framework uľahčuje vývoj aplikácií tým, že poskytuje hotové riešenia pre časté problémy a usmerňuje vývojárov pri tvorbe aplikácie pomocou vopred definovaných pravidiel.

    Zobraziť viac

  • NIST CSF je súbor nástrojov, ktoré slúžia na posilnenie kybernetickej bezpečnosti organizácií a pomáha im identifikovať, chrániť, detegovať, reagovať a obnovovať sa v prípade kybernetických hrozieb.

    Zobraziť viac

  • Kryptovanie je proces premeny čitateľného textu alebo dát do nečitateľného formátu pomocou matematických algoritmov a kľúčov. Cieľom kryptovania je zabezpečiť dáta tak, aby boli chránené pred neautorizovaným prístupom, čítaním alebo zmenou počas prenosu alebo ukladania.

    Zobraziť viac

  • Kybernetická bezpečnosť je rozsiahly proces a jeho zavedenie je potrebné už aj v najmenšej spoločnosti. Ako vôbec začať a čo patrí medzi základné pravidlá, ktoré by mala plniť každá organizácia?

    Zobraziť viac

  • 25. októbra 2022 vyšla nová verzia ISO/IEC 27001:2022! (aktuálna verzia bola publikovaná v roku 2013). Organizácie, ktoré sa zameriavajú na systematický prístup k riadeniu informačnej bezpečnosti, už iste zaregistrovali túto novinku. ISO/IEC 27002 je opäť navrhnutá tak, aby poskytovala rámec pre riadenie bezpečnosti informácií (podobne ako, napríklad: NIST CSF).

    Zobraziť viac

  • Slová ako hacker alebo etický hacker sa v spoločnosti skloňujú každým dňom viac a viac. Mnoho ľudí však stále nevie čo hackerstvo znamená a aký je rozdiel medzi hackerom a etickým hackerom. Predtým než si vysvetlíme čo je etické hackerstvo si najskôr musíme povedať základné rozdelenie hackerov.

    Zobraziť viac

  • Pod pojmom phishing rozumieme formu útoku alebo podvodnú techniku, ktorá sa používa v elektronickej komunikácii, kedy sa útočník vydáva za určitú autoritu a snaží sa z daného človeka získať citlivé informácie ako napr. heslá, pin kódy ku kreditným kartám, údaje internetového bankovníctva alebo rovno peniaze.

    Zobraziť viac

  • Malware je počítačový program, ktorého úlohou je napadnutie softwaru, ktorý pre útočníka získa prístup do zariadenia používateľa. Účelom môže byť poškodenie, odcudzenie dát alebo sledovanie užívateľa. Do malwaru spadajú počítačové vírusy, spyware, adware, phishing, trójske kone, rootkitty a pod.

    Zobraziť viac

  • V článku sa dočítate ako sa dotkla revízia ISO/IEC 27002:2022 normy ISO/IEC 27001. Aké nastali hlavné zmeny a čo čaká organizácie, ktoré majú zavedenú normu ISO/IEC 27001 alebo plánujú zavedenie tejto normy.

    Zobraziť viac

  • Rok 2022 bude pre rodinu noriem rady ISO/IEC 27000 kľúčový. Vo februári vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ju bude nasledovať. Aký je ale rozdiel medzi týmito dvoma normami? Načo sú zamerané a prečo by ich organizácie mali poznať?

    Zobraziť viac

  • TISAX je skratkou pre Trusted Information Security Assessment Exchange a slúži na preukázanie, že dodávateľ (najmä Tier 1 a Tier 2) do automobilového priemyslu spĺňa náročné požiadavky informačnej bezpečnosti. Systém TISAX bol vytvorený Nemeckou Asociáciou automobilového priemyslu VDA.

    Zobraziť viac

  • GDPR (anglická skratka - General Data Protection Regulation) je NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Úlohou GDPR je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovateľskými činnosťami a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.

    Zobraziť viac