Ako sa pripraviť na kybernetickú apokalypsu: Nové legislatívne opatrenia účinné od 1. januára 2025

Riziko, ktoré príde bez varovania a môže zničiť vaše podnikanie v krátkom momente

Je rýchle, tiché a nikto ho nikdy nevidel. V domácnostiach, v školách, firmách, jednoducho všade. Zaútočí bez varovania a v zlomku sekundy prinesie so sebou „apokalypsu“. O akom riziku hovorím? Poznáme ho všetci, no aj napriek tomu naň zabúdame a podceňujeme ho. Ako povedal Mark Twain: „Do problémov Vás nedostane to, čo neviete, ale to, čo sa Vám známe zdá.“

Narastajúce riziká kybernetických útokov

S narastajúcou digitalizáciou sa stále viac spoliehame na informačné systémy, ktoré sú všadeprítomné. A aj digitalizácia má svoje riziká. Jedno z nich je práve kybernetické riziko. Kybernetické útoky môžu mať vážne následky na naše životy a ekonomiku. Aké oblasti sú ohrozené?

• Osobné zariadenia, ako sú mobilné telefóny, zariadenia pripojené na internet, dokonca aj inteligentné domáce spotrebiče, sú vystavené riziku.
• Siete a informačné systémy v oblasti dopravy, energetiky, zdravotníctva, telekomunikácií, bankovníctva a ďalších kritických infraštruktúr sú najviac ohrozené. Kybernetické útoky môžu byť veľmi nákladné. Od krádeže údajov po zablokované systémy,tieto útoky môžu ohroziť životy ľudí a spôsobiť ekonomické straty.

Dôsledky kybernetických útokov na firmy

Životnosť firmy po kybernetickom útoku môže byť výrazne ovplyvnená. Tu sú niektoré
dôsledky, ktoré môžu nastať po úspešnom kybernetickom útoku na firmu:

• Finančné straty:
  o Obnova a oprava: Firma musí investovať do obnovy a opravy poškodených
  systémov a dát.
  o Strata príjmu: Útoky môžu spôsobiť výpadky služieb, čo vedie k strate príjmu.
  o Pokuty za porušenie regulácií: Ak firma nedodržiava kybernetické predpisy,
  môže jej hroziť pokuta.
• Strata reputácie a klientov:
  o Reputácia: Krádež dát môže poškodiť povesť firmy a stratiť dôveru
  zákazníkov a partnerov.
  o Strata klientov: Firma môže stratiť klientov, ktorí sa rozhodnú pre konkurenciu
  s lepšou bezpečnosťou
• Závislosť na rýchlej reakcii:
  o Rýchla reakcia: Firma musí rýchlo reagovať na útok a minimalizovať jeho
  následky.
  o Prevencia: Prevencia je kľúčom k minimalizácii následkov.
• Dlhodobé následky:
  o Strata dôvery: Ak firma nie je schopná efektívne reagovať na útok, môže to
  mať dlhodobé následky na jej existenciu.
  o Zvýšené náklady na bezpečnosť: Po útoku musí firma investovať do zvýšenej
  kybernetickej bezpečnosti.
  Je dôležité, aby firmy mali plán krízového riadenia a dobrú bezpečnostnú politiku, aby minimalizovali následky kybernetických útokov a zabezpečili dlhodobú udržateľnosť.

Aktuálne zmeny v legislatíve

Kybernetická bezpečnosť je kľúčovou prioritou EÚ a v súčasnosti prebiehajú zásadné zmeny. Zavedenie smernice NIS 2 má za cieľ zvýšiť úroveň kybernetickej bezpečnosti v celej Európskej únii. Táto novela vstupuje do platnosti 1. januára 2025.
Nové požiadavky podľa smernice NIS 2:

1. Rizikový manažment:
   o Organizácie musia pravidelne vykonávať analýzu rizík a implementovať
   opatrenia na minimalizáciu kybernetických hrozieb.
2. Podniková zodpovednosť:
   o Vrcholoví manažéri musia dohliadať na kybernetickú bezpečnosť a zabezpečiť
   dodržiavanie všetkých požiadaviek.
3. Hlásenie incidentov:
   o Povinnosť hlásiť významné kybernetické incidenty do 24 hodín od zistenia.
4. Podpora kontinuity podnikania:
   o Pripravené plány na zabezpečenie kontinuity podnikania a obnovy systémov v
   prípade kybernetického incidentu.
5. Audit a hodnotenie bezpečnosti:
   o Pravidelné audity kybernetickej bezpečnosti, ktoré môžu byť vykonávané
   internými alebo externými audítormi.
6. Sankcie a zodpovednosť:
   o Zvýšené sankcie za nedodržiavanie predpisov a osobná zodpovednosť
   vedúcich pracovníkov.

Termíny:

• Účinnosť: Novela zákona o kybernetickej bezpečnosti bude účinná od 1. januára
  2025.
• Registračný termín: Prevádzkovatelia základných služieb budú musieť do 60 dní po
  účinnosti zákona nahlásiť na NBÚ, že spadajú pod novú legislatívu.
  Obsah:
• Prevádzkovatelia základných služieb: Novela zahŕňa firmy s ročným obratom na
  úrovni viac ako 10 miliónov eur a s počtom zamestnancov viac ako 50. Tieto firmy
  budú musieť implementovať konkrétne bezpečnostné opatrenia1.
• Identifikácia: Prevádzkovatelia základných služieb budú buď priamo vymenovaní v
  zákone alebo na základe konkrétneho sektora.
• Hlásenie incidentov: Zavádza povinnosť hlásiť kybernetické bezpečnostné incidenty
  v stanovených lehotách.
• Sankcie: Zákon zavádza vyššie sankcie za nedodržanie povinností.

ESG a kybernetická bezpečnosť

Firmy v ESG (Environment, Social, and Governance) reportoch majú definovať svoje riziká.
Hlavná spojitosť medzi ESG a kybernetickou bezpečnosťou je:

• Dôvera a transparentnosť: ESG a kybernetická bezpečnosť sú oba závislé na dôvere
  a transparentnosti. Organizácie, ktoré sa zaoberajú ESG, musia transparentne
  informovať o svojich úsilí v oblasti kybernetickej bezpečnosti.
• Riadenie rizík: ESG a kybernetická bezpečnosť sú súčasťou celkového riadenia rizík
  organizácie. Kybernetické hrozby môžu mať negatívny vplyv na environmentálne a
  sociálne aspekty.
• Technologická infraštruktúra: Kybernetická bezpečnosť je kľúčová pre ochranu
  technologických systémov, ktoré podporujú ESG ciele.
  Celkovo platí, že organizácie by mali zohľadňovať ESG a kybernetickú bezpečnosť ako
  súčasť svojho strategického plánovania a riadenia. Ich vzájomná spojitosť pomáha zabezpečiť
  udržateľnosť a bezpečnosť v digitálnom svete.

Poistenie kybernetických rizík na Slovenskom poistnom trhu

Na jednej strane je prevencia a technická ochrana, ale na druhej strane vieme, že kybernetické útoky sú stále sofistikovanejšie a ich náklady sa neustále zvyšujú. Preto je dôležité, aby firmy a jednotlivci venovali pozornosť kybernetickej bezpečnosti, prevencii a poisteniu kybernetických rizík. No sme si vedomí, že na Slovenskom poistnom trhu nemáme zatiaľ produkt, ktorý by vyhovoval všetkým potrebám klientov. Preto sa snažíme spolupracovať s poisťovňami na tvorbe nových produktov.

Prečo je to dôležité pre firmy?

V digitálnej dobe je pravdepodobnosť kybernetického útoku vyššia ako riziko klasických poistných udalostí. Kyber poistenie pomáha chrániť osobné údaje a zabezpečiť fungovanie firmy v prípade kybernetických incidentov.

Čo je to kyber poistenie pre firmy?

Kyber poistenie spája majetkové poistenie a poistenie zodpovednosti za vzniknuté škody tretím osobám. Zahŕňa ochranu pred únikom a krádežou osobných údajov, hackerskými útokmi, zlyhaním siete a inými výpadkami, ktoré môžu ovplyvniť zisk a fungovanie spoločnosti.

Čo kryje poistenie kybernetických rizík pre firmy?

• Náklady na prešetrenie porušenia ochrany dát a náklady súvisiace s riešením úniku
  dát.
• Náklady na ochranu dobrého mena firmy.
• Náklady na právnu obhajobu.
• Náklady na obnovu dát a softvéru po kybernetickom incidente.

Pre koho je to vhodné?

Poistenie kybernetických rizík je určené pre malé aj veľké spoločnosti bez ohľadu na to, akú činnosť vykonávajú. Riziká zahŕňajú stratu dôvery, poškodenie dobrého mena, stratu zisku v dôsledku prerušenia prevádzky siete, stratu dát a informácií z mobilných zariadení alebo PC a napadnutie informačného systému treťou osobou alebo zamestnancom.

Záver

Čo je obsahom vašich poistných zmlúv? Zohľadňujú skutočne tie riziká, ktoré podstupuje vaša firma? Sú v dostatočnej výške alebo nadhodnotené?

V dnešnej digitálnej dobe je nesmierne dôležité pravidelne revidovať a aktualizovať poistné zmluvy tak, aby zohľadňovali nové a vznikajúce kybernetické hrozby. Nepodceňujte potenciál kybernetických rizík a investujte do robustnej ochrany, ktorá môže ochrániť vašu
firmu pred obrovskými stratami.