Služba Manažér kybernetickej bezpečnosti
Problém
-
Čo to znamená
-
Interný zamestnanec
-
Produktivita práce
-
Znalostné štandardy
-
Sankcie
Ak je vaša organizácia subjektom regulovaným podľa zákona 69/2018 (zákon o kybernetickej bezpečnosti), jednou z vašich povinností je aj určenie manažéra kybernetickej bezpečnosti. Túto svoju povinnosť si môžete splniť poverením zamestnanca výkonom role manažéra kybernetickej bezpečnosti, alebo uzatvoriť zmluvu s externým dodávateľom takejto služby.
Ak sa rozhodnete určiť ako manžéra kybernetickej bezpečnosti svojho interného zamestnanca, musíte zaručiť že je nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií. Inými slovami, nemôžete určiť žiadneho zamestnanca, ktorého náplňou práce je zabezpečovanie IT prevádzky alebo vývoj.
Absolútna väčšina firiem strednej veľkosti, nedokáže naplno využiť pracovný čas interného manažéra kybernetickej bezpečnosti.
Skôr ako určíte interného zamestnanca ako manažéra kybernetickej bezpečnosti, musíte ho nechať vyškoliť a certifikovať aby spĺňal znalostné štandardy podľa prílohy č. 5 k vyhláške 492/2022 a zároveň mu musíte vytvoriť podmienky pre kontinuálne vzdelávanie.
Za nesplnenie povinnosti určiť manažéra kybernetickej bezpečnosti, môže Národný bezpečnostný úrad, uložiť opakovane pokutu až do výšky 10.000 EUR a uložiť povinnosť vykonať nápravné opatrenie. Aj po uložení pokuty povinnosť určiť manažéra kybernetickej bezpečnosti stále trvá.
Riziko
-
Pozor na podvodníkov a amatérov
-
Kybernetická bezpečnosť nie je GDPR
-
Odborná spôsobilosť
-
Konflikt záujmov
Manažér kybernetickej bezpečnosti (MKB) nie je DPO (zodpovedná osoba pre GDPR). Na trhu pôsobí množstvo firiem, ktoré hrubo zavádzajú svojich klientov a ponúkajú služby MKB za nereálne ceny a bez akejkoľvek odbornosti. Ide väčšinou o firmy, ktoré ponúkajú služby v oblasti GDPR (vrátane tých najznámejších), telekomunikačných operátorov (vrátane tých najväčších), systémových integrátorov a právnych kancelárií. Ich jediným cieľom je "strčiť nohu do dverí" a straty na službách MKB sa pokúsiť si kompenzovať na iných službách, lebo budú vašu organizáciu detailne poznať
Ide o odlišné špecializácie, ktoré majú iba niektoré spoločné atribúty. Kybernetickú bezpečnosť riešia úplne iní experti ako GDPR. Firmy ktoré zabezpečujú GDPR, nemajú odborné znalosti ani skúsenosti z oblasti kybernetickej bezpečnosti a naopak.
Od manažéra kybernetickej bezpečnosti žiadajte okrem preukázania odbornej spôsobilosti, formou certifikátu manažéra kybernetickej bezpečnosti vydaného spoločnosťou TÜV SÜD Slovakia alebo Kompetenčným a certifikačným centrom kybernetickej bezpečnosti aj preukázaním členstva v Komore manažérov kybernetickej bezpečnosti.
Firma ktorá pre vašu organizáciu zabezpečuje dodávku, integráciu a podporu IT riešení a služieb alebo telekomunikačné služby (pripojenie na internet, mobilné služby, správa sietí atď.) nemôže dodávať služby manažéra kybernetickej bezpečnosti, nakoľko ide konflikt záujmov.
Riešenie
-
Službu Manažér kybernetickej bezpečnosti poskytujeme už od roku 2018.
-
Sme jedným zo zakladajúcich členov Komory manažérov kybernetickej bezpečnosti.
-
V rámci Komory manažérov kybernetickej bezpečnosti máme k dispozícií viac ako 130 certifikovaných expertov.
-
Všetci experti sa kontinuálne vzdelávajú v oblasti kybernetickej bezpečnosti.
-
Máme skúsenosti vo všetkých regulovaných sektoroch, so všetkými typmi a veľkosťami organizácií.
-
Ku každému klientovi pristupujeme individuálne, férovo a dokážeme sa prispôsobiť jeho špecifickým požiadavkám a možnostiam.
-
V našich radoch nemáme teoretikov, akademikov ani rýchlokvasených pseudoexpertov. My sme "battle tested" ;)
Legislatívne požiadavky
§20 ods. 4 pís. a) zákona 69/2018 Z.z. Bezpečnostné opatrenia musia zahŕňať najmenej určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti.
§29 ods. 8 zákona 69/2018 Z.z. Prevádzkovateľ základnej služby, ktorý nie je prevádzkovateľom kritickej základnej služby, môže v 2-ročnej periodicite zabezpečiť plnenie povinnosti vykonať audit kybernetickej bezpečnosti vykonaním samohodnotenia. Samohodnotenie vykonáva manažér kybernetickej bezpečnosti.