V prvý deň nového roku 2025 vstúpil do platnosti nový zákon týkajúci sa kybernetickej bezpečnosti, ktorý zavádza do praxe európsku smernicu NIS2. Táto právna úprava predstavuje zásadný krok pre organizácie verejného sektora na Slovensku, ktoré zodpovedajú za kľúčové verejné služby, zachovanie integrity osobných údajov občanov a zabezpečenie bezproblémového chodu základných procesov. Vzhľadom na rastúce kybernetické hrozby je nevyhnutné, aby sa verejné inštitúcie aktívne zaoberali posilnením svojej pripravenosti a odolnosti. Nasledujúci článok poskytuje pohľad na to, ako tieto zmeny ovplyvnia verejný sektor, aké nové povinnosti im plynú z novej legislatívy a prečo je ich realizácia kľúčová.
Rozšírenie regulácie vo verejnom sektore
Novej legislatíve podliehajú rozšírené skupiny subjektov verejného sektora, ktoré zabezpečujú kritické verejné služby. Medzi tieto subjekty patria:
- Štátne inštitúcie: zahŕňajú ministerstvá, ústredné orgány a regulačné úrady, ktoré sú na čele spravovania štátnych politík.
- Miestne samosprávy: mestá a obce so svojimi organizáciami, ktoré sa starajú o dennodenné záležitosti ako verejná doprava, správa odpadu, či udržanie infraštruktúry.
- Zdravotnícke zariadenia: od verejných nemocníc po polikliniky a laboratóriá, tieto subjekty pracujú s množstvom citlivých osobných dát.
- Vzdelávacie inštitúcie: od štátnych škôl po univerzity, tieto objekty sú často cieľom útokov pre ich zraniteľnosť v oblasti IT.
- Organizácie verejnej infraštruktúry: tieto zodpovedajú za kľúčové oblasti ako energiu, vodné zdroje a dopravu.
Táto široká doména regulovaného sektora reflektuje význam a zraniteľnosť verejných služieb voči kybernetickým útokom.
Povinnosti ukladané verejným subjektom
Revidovaný zákon zaväzuje verejné inštitúcie k plneniu niekoľkých kľúčových úloh na zaistenie súladu s normami a ochranu pred potenciálnymi kyberhrozbami.
Pravidelné posudzovanie kybernetických rizík
Verejné subjekty musia uskutočňovať pravidelné kontroly svojich IT systémov na odhalenie potenciálnych slabín. Identifikácia rizík a realizácia preventívnych opatrení sú základom efektívnej ochrany.
Zavedenie pokročilých bezpečnostných opatrení
Na ochranu systémov je potrebné aplikovať rôzne prístupy ako šifrovanie dát, viacfaktorová autentifikácia a nasadenie firewallov. Tieto bezpečnostné politiky musia byť prispôsobené aktuálnym hrozbám, ktorým je organizácia vystavená.
Povinnosť nahlasovania incidentov
Subjekty sú povinné hlásiť kybernetické útoky Národnému bezpečnostnému úradu (NBÚ) v špecifikovaných časových intervaloch. Rýchlosť reakcie je rozhodujúca pre kontrolu škôd a účinnú koordináciu.
Dokumentácia a audity
Verejné inštitúcie musia presne evidovať všetky prijaté opatrenia a zmeny, ktoré budú preverené v pravidelných auditoch prostredníctvom NBÚ. Dôkladné vedenie záznamov je kľúčovým elementom pre zlepšenie postupov.
Vzdelávanie zamestnancov
Vzhľadom na to, že zamestnanci bývajú často prvým obranným štítom, je povinné ich pravidelne školiž ohľadom kybernetických bezpečnostných štandardov.
Relevancia zmien
Verejné organizácie pracujú s obrovským objemom citlivých dát, či už ide o osobné alebo finančné informácie. Kybernetické narušenia môžu mať vážne dôsledky, vrátane hrozby pre kontinuitu služieb, úniku informácií alebo finančných strát. Verejný sektor býva často považovaný za ľahký terč kvôli jeho obmedzenému rozpočtu a nie vždy dostatočným odborným kapacitám.
Implementácia nových predpisov je rozhodujúca pre ochranu dát občanov a zabezpečenie stabilných verejných služieb. Adaptácia na dynamicky sa meniaci digitálny priestor je dnes absolútnou nevyhnutnosťou.
Výzvy a príležitosti vo verejnom sektore
Aj keď nové právne normy vytvárajú jasné požiadavky, samotná implementácia môže byť pre mnohé verejné subjekty zložitá. Nedostatok zdrojov môže znamenať ťažkosti, preto musia prijať inovácie a zvážiť spoluprácu s odborníkmi na kyberbezpečnosť.
Pripravení na budúcnosť
Zmeny, ktoré vstúpili do platnosti 1. januára 2025, predstavujú zásadnú príležitosť pre verejný sektor na zvýšenie odolnosti voči kyberútokom. Prístup k ochrane systémov a služieb by mal byť systematický a proaktívny. Zvyšovanie dôvery občanov a zaistenie spoľahlivosti verejných funkcií sú neoddeliteľnou súčasťou prípravy na novú digitálnu éru.
