Riadenie kybernetických bezpečnostných rizík v kontexte vyhlášky

03. 12. 2020 | Komentáre čitateľov [0]

Ivan Makatura, generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti,

Požiadavka na riadenie rizík pôsobiacich na bezpečnosť informácií zaznieva už v niekoľkých všeobecne záväzných právnych predpisoch – väčšinou bez konkretizácie rozsahu a metódy. Absencia detailu následne vedie ku rôznym, mnohokrát aj mimoriadne amatérskym výkladom požiadaviek na riadenie rizika. V podzákonných normách, t.j. napríklad v metodických usmerneniach ústredných orgánov štátnej správy sa návrhy použiteľných rámcov pre riadenie bezpečnostných rizík nevyskytujú vôbec. Je však potrebné oceniť, že v porovnaní s nedávnou minulosťou sa v posledných rokoch začínajú prejavovať snahy legislatívy presadiť povinnosť subjektov zapodievať sa manažmentom informačného rizika. Omnoho presnejšie je metodika riadenia rizika bezpečnosti informácií samozrejme rozpracovaná v technických normách. Tu však narážame na problém, že na základe (medzitým už neúčinného) zákona č. 264/1999 Z.z. o technických požiadavkách na výrobky a o posudzovaní zhody slovenské technické normy prestali byť od 01.01.2001 záväzné. Premostenie medzi všeobecne záväznými, avšak generickými požiadavkami právnych noriem a detailnými, avšak nezáväznými odporúčaniami technických noriem v slovenskom právnom poriadku s účinnosťou od 1.1.2019 priniesla vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Prezentácia stručne predstaví túto vyhlášku, najmä v kontexte požiadaviek na riadenie rizika.


Napísať komentár



  • Efektívne vymáhanie práv
  • Ochrana súkromia v digitálnom svete (GDPR, KB, ITVS)
  • IT zmluvy
  • Umelá inteligencia a právo

Virtuálna a prezenčná, 30.6.2021