Slovenská republika má prvú certifikačnú schému v kybernetickej bezpečnosti
Zodpovednosť za certifikáciu audítorov kybernetickej bezpečnosti na Slovensku nedávno prevzal úplne nový orgán na posudzovanie zhody, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti. Popritom sa zároveň zaviedla aj úplne nová certifikačná schéma, založená na akreditácii podľa ISO/IEC 17024 Posudzovanie zhody – Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb.
Centrum bolo založené začiatkom roka ako príspevková organizácia Národného bezpečnostného úradu. Na základe návrhu Nariadenia Európskeho parlamentu a rady, ktorým sa zriaďuje Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier. Slovenská národná akreditačná služba rozhodla tento týždeň o jeho akreditácii pre certifikáciu audítorov.
Potreba zriadenia takejto organizácie vychádza z Vyhlášky Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá je vykonávacím predpisom Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. je národnou transpozíciou Smernice Európskeho parlamentu a rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii. Na základe uvedeného, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti má zabezpečiť, aby audítori posudzovali bezpečnostné opatrenia pre základné služby, a pritom, aby spĺňali formálne požiadavky pre túto činnosť. Ide najmä o ich odbornosť, objektívnosť a nestrannosť.
Všetci prevádzkovatelia základných služieb sú povinní overovať efektívnosť prijatých bezpečnostných opatrení a plnenie požiadaviek zákona o kybernetickej bezpečnosti, a to vykonaním auditu každé dva roky, ako aj po každej zmene, ktorá má významný vplyv na bezpečnostné opatrenia.
Kompetenčné a certifikačné centrum plánuje v najbližších týždňoch začať certifikáciu prvých audítorov. Doteraz bolo prijatých už niekoľko desiatok žiadostí. Na získanie certifikátu každý zo žiadateľov bude musieť prejsť certifikačnou skúškou, aby bolo možné overiť ich znalosti v oblasti všeobecne záväzných právnych predpisov, technických noriem a bezpečnostných opatrení. Platnosť certifikátu je tri roky.
Centrum sa však podľa svojho generálneho riaditeľa Ivana Makaturu nebude obmedzovať len na certifikáciu osôb: „Súčasná akreditácia sa týka certifikácie osôb na základe normy ISO/IEC 17024. Agentúra ENISA podľa nedávno prijatého Nariadenia EÚ o kybernetickej bezpečnosti pracuje na európskom rámci pre konkrétne certifikačné schémy pre IKT produkty, služby a procesy, teda podľa normy ISO/IEC 17065. To znamená, že určite plánujeme prípravu na akreditáciu podľa budúcej schémy, len čo nadobudne účinnosť.“
Je zrejmé, že posudzovanie bezpečnosti technických komponentov si bude vyžadovať špeciálne zdroje vrátane technického laboratória a vysoko kvalifikovaného personálu so špecifickými zručnosťami.
Aby sme to zhrnuli, dnes existuje nová certifikačná schéma, ktorú by mohli ostatné členské štáty kedykoľvek použiť. Každý certifikačný orgán, ktorý sa o túto schému zaujíma, môže tento rámec využiť len s malými zmenami, ktoré je potrebné urobiť s cieľom zosúladiť ho s miestnymi právnymi predpismi v oblasti kybernetickej bezpečnosti.
« Späť na zoznam
