AUDIT KYBERNETICKEJ BEZPEČNOSTI

Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti 

Auditom kybernetickej bezpečnosti sa overuje plnenie povinností podľa zákona a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

Audit kybernetickej bezpečnosti vykonáva audítor certifikovaný akreditovaným certifikačným orgánom certifikujúcim osoby príslušným na certifikáciu personálu v oblasti kybernetickej bezpečnosti podľa ISO/IEC 17024.

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek vykonaním auditu kybernetickej bezpečnosti do 2 rokov odo dňa zaradenia do registra prevádzkovateľov základných služieb. Náklady auditu znáša prevádzkovateľ základnej služby.

 Audit sa ďalej vykonáva:

• každé dva roky
• pri každej významnej zmene, najneskôr do dvoch mesiacov odkedy má zmena významný vplyv na realizované bezpečnostné opatrenia.

 Významným vplyvom sa rozumie najmä

• vplyv na prijatú klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
• zmena dopadových kritérií základnej služby,
• zmena alebo výmena informačného systému a prevádzkových parametrov základnej služby,
• zavedenie novej siete alebo nového informačného systému, od ktorých je závislá základná služba,
• zavedenie novej technológie, od ktorej je závislá základná služba

Prevádzkovateľ základnej služby je povinný predložiť úradu záverečnú správu o výsledkoch auditu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu. Súčasťou záverečnej správy je aj kontrolný záznam, ktorý obsahuje súbor požiadaviek podľa zákona a jeho vykonávacích predpisov. V kontrolnom zázname audítor uvádza najmä súlad alebo nesúlad s požiadavkami na implementované bezpečnostné opatrenia, zistenia auditu pre jednotlivé požiadavky, získané dôkazy podporujúce uvedené zistenia a referenciu na použitú metódu overenia.

 Úrad môže kedykoľvek vykonať audit prevádzkovateľa základnej služby, alebo audítora o vykonanie auditu s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek podľa zákona o kybernetickej bezpečnosti. Náklady takto vykonaného auditu znáša úrad.

ODKAZY

Metodika auditu

Zoznam audítorov

Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

Vyhláška NBÚ č. 493/2022 Z.z. o audite kybernetickej bezpečnosti

KOMPETENČNÉ A CERTIFIKAČNÉ CENTRUM KYBERNETICKEJ BEZPEČNOSTI

Národný Bezpečnostný Úrad

SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2021/887 ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier

Vyhláška NBÚ č. 362/2019 Z.z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.