1.  Kedy treba absolvovať audit kybernetickej bezpečnosti?

Prevádzkovatelia základných služieb (kto to je, sa dozviete v tomto článku) musia absolvovať audit kybernetickej bezpečnosti minimálne každé 2 roky.

Okrem toho však budete musieť prejsť auditom aj pri niektorej z týchto príležitostí:

• Významná zmena technickej infraštruktúry: ak migrujete alebo pridávate nové prvky infraštruktúry, meníte architektúru siete alebo interné smernice týkajúce sa kybernetickej bezpečnosti
• Zásadný bezpečnostný incident: do mesiaca od incidentu musí byť vypracovaná správa, ktorá identifikuje zneužitú bezpečnostnú medzeru a postup, ako tomu v budúcnosti zabrániť
• Podaný podnet: ak na vás niekto podá na bezpečnostný úrad podnet, môže vám byť nariadený audit kybernetickej bezpečnosti

Dôvodov môže byť samozrejme viac, a kontrola môže prísť aj námatkovo.

Najpodstatnejšie je byť vždy pripravený. A preto odporúčame robiť pravidelné interné kontroly a audity.

2.  Kto bude žiadať o audit kybernetickej bezpečnosti?

Povinné audity prebehnú na žiadosť NBÚ. Tento audit vám bude oznámený cez oficiálne rozhodnutie alebo výzvu.

Okrem toho však môže (kvôli zodpovednosti za celý dodávateľský reťazec) požiadať o audit kybernetickej bezpečnosti aj váš dodávateľ alebo odberateľ. Tieto audity, ich pravidelnosť a forma je častokrát ukotvená priamo v dodávateľskej zmluve.

3.  Kto môže robiť audit kybernetickej bezpečnosti?

Audit musí vždy prebehnúť pod dohľadom certifikovaného audítora kybernetickej bezpečnosti, ktorých informatívny zoznam môžete nájsť na stránkach Národného Bezpečnostného Úradu. Mal by byť nezávislý – nesmie to byť človek, ktorý zároveň infraštruktúru buduje alebo udržiava.

Našim klientom odporúčame pri výbere audítora zvážiť aj jeho skúsenosti s vašim odborom. Hlavne vo výrobných spoločnostiach by si mal audítor vedieť “zašpiniť si ruky” pri skúmaní bezpečnosti prevádzkových technológií (výrobné linky, PLC ovládané zariadenia …). Práve na ne sú totiž často zamerané nové vektory útokov hackerov a nedostatky v bezpečnosti tejto oblasti môžu mať pre firmu mimoriadne následky.

A v neposlednom rade, nezabúdajte, že audítor u vás nie je len na kontrole – má tiež poradiť a pomôcť ako robiť veci lepšie a bezpečnejšie. Práve tu oceníte skúsenosti človeka, ktorý vie ako to vo vašom odvetví chodí a kde môžu byť vaše najväčšie slabiny.

4.  Čo treba mať pripravené na samotný audit?

Prvým dobrým krokom je mať pripravenú krátku prezentáciu o vašej spoločnosti.
Nie je to podmienka, ale pomôže to audítorovi získať dostatočný kontext a lepšie ohodnotiť hrozby vo vašej spoločnosti. Mala by zodpovedať na nasledujúce otázky:

• Aký produkt/službu vaša spoločnosť ponúka,
• Aké kritické aktíva (dáta, infraštruktúru, osobné údaje zákazníkov …) vaša firma má,
• Akými spôsobmi tieto aktíva chránite,
• S akými firmami pri tom spolupracujete, či už na strane zákazníkov alebo dodávateľov,
• A akým spôsobom sa vaše výstupy zákazníkom dodávajú.

Tiež by ste mali mať po ruke všetku potrebnú dokumentáciu. Medzi inými:

• Analýzu rizík,
• Postupy pri ochrane aktív,
• Spôsoby akými sledujete potenciálne hrozby,
• Postupy pri reakcii na incident,
• Dokumentáciu známych nedostatkov (môžu vyplynúť z GAP analýzy) a plány na ich odstránenie.

Viac o tom, k čomu všetkému potrebujete dokumentáciu v rámci NIS2 sa dozviete v tomto našom článku.

5.  Čo ak si nie sme istí, či by sme auditom prešli, alebo nemáme interného audítora?

Na toto slúži tzv. rozdielová analýza (GAP analýza).
Je to v podstate taký audit “na nečisto”, kde certifikovaný audítor spraví všetky kontroly, ktoré prebiehajú aj počas plného auditu. Takisto dostanete vypracovanú správu s najzávažnejšími nájdenými nedostatkami a odporúčaniami, ako ich napraviť čo najefektívnejšie. Táto analýza sa však neposiela do NBÚ, a tak máte do riadneho auditu dosť času napraviť čo najviac chýb.

Spĺňať všetky náležitosti sa oplatí

So smernicou NIS2, a jej pripravovanou novou verziou NIS3, sú tresty za nedodržiavanie prísnejšie ako predtým. Okrem finančnej pokuty (ktorá sa môže vyšplhať na 2 % celosvetového obratu) hrozí aj priama trestná zodpovednosť štatutárov spoločnosti.

Preto, ak si nie ste istí či potrebujete absolvovať pravidelné audity, alebo sa chcete na prichádzajúce audity pripraviť čo najsvedomitejšie, radi vám pomôžeme. Stačí vyplniť tento formulár, a naši kolegovia sa s vami spoja aby pre vás pripravili zaujímavú ponuku.

FAQ

Kedy treba absolvovať audit kybernetickej bezpečnosti?

Pri niekoľkých príležitostiach: významná zmena infraštruktúry, bezpečnostný incident, zákaznícky zmluvný audit alebo pri vyžiadaní auditu bezpečnostným úradom.

Kto môže robiť audit kybernetickej bezpečnosti?

Audit musí vykonávať certifikovaný audítor. Ten zároveň nesmie byť človekom, ktorý infraštruktúru buduje alebo udržiava.

Čo si pripraviť na audit?

Je dobré pripraviť si:
– Analýzu rizík,
– Postupy pri ochrane aktív,
– Spôsoby, akými sledujete potenciálne hrozby,
– Postupy pri reakcií na incident,
– Dokumentáciu známych nedostatkov (môžu vyplynúť z GAP analýzy) a plány na ich odstránenie.