CDESK a zákon o kybernetickej bezpečnosti s NIS2
Od 1. januára 2025 sa na Slovensku rozšíril počet spoločností a inštitúcií povinných splniť podmienky Zákona o kybernetickej bezpečnosti (ZoKB) so zahrnutím európskej smernice NIS2.
Jedným z nástrojov k splneniu požiadaviek je aj service desk, ktorý predstavuje kľúčový nástroj na efektívne riadenie oddelení, evidenciu aktív, riešenie bezpečnostných incidentov a ďalších činností.
Kybernetická bezpečnosť je dnes jedným z prvoradých aspektov firemnej politiky. Ako z pohľadu organizačných, tak aj technických a legislatívnych požiadaviek. Preto nasledujúci článok odporúčame prečítať aj organizáciám a firmám, na ktoré sa zákon o kybernetickej bezpečnosti nevzťahuje.
Prečo je dôležitý zákon o kybernetickej bezpečnosti s NIS2?
- NIS2 zvyšuje odolnosť aj vašej organizácie voči kybernetickým hrozbám
- NIS2 zaväzuje manažment k zodpovednosti
- NIS2 zlepšuje spoluprácu v rámci EÚ
- NIS2 zavádza prísnejšie bezpečnostné požiadavky s vyššími pokutami
Kybernetická bezpečnosť je dnes jedným z prvoradých aspektov firemnej politiky. Ako z pohľadu organizačných, tak aj technických a legislatívnych požiadaviek. Preto nasledujúcu stránku odporúčame prečítať aj organizáciám a firmám, na ktoré sa zákon o kybernetickej bezpečnosti nevzťahuje.
Sektory pre ktoré platí NIS2
Sektory, pre ktoré platí nová smernica SI2 EU.
Energetika
Kľúčová entita
Zdravotníctvo
Kľúčová entita
Doprava
Kľúčová entita
Bankovníctvo a finančné služby
Kľúčová entita
Pitná a odpadová voda
Kľúčová entita
Digitálna infraštruktúra
Kľúčová entita
Verejná správa
Kľúčová entita
Digitálni poskytovatelia
Kľúčová entita
Poštové služby
Kľúčová entita
Odpodové hospoárstvo
Kľúčová entita
Vesmír
Kľúčová entita
Potraviny
Kľúčová entita
Výroba
Kľúčová entita
Chemikálie
Kľúčová entita
Výskum
Kľúčová entita
Ako CDESK pomáha splniť požiadavky NIS2?
CDESK je komplexný, stabilný a overený nástroj s viac ako 15-ročnou históriou, ktorý spĺňa prísne požiadavky zákona o kybernetickej bezpečnosti a smernice NIS2. Kombinuje širokú škálu funkcií s užívateľsky priateľským prostredím pre zjednodušenie a zefektívnenie práce v náročných podnikových prostrediach aj v prípadoch, kde je potrebná jednoduchosť a prehľadnosť. CDESK oceňujú manažéri aj architekti kybernetickej bezpečnosti zodpovední za organizačné, technické a bezpečnostné opatrenia na zabezpečenie aktív a dát.
Evidencia a eskalácie Incidentov
Evidencia činností, plánovanie, notifikovanie, analýzy
Správa všetkých aktív, služieb a ich monitoring
Prideľovanie a sledovanie zodpovedností
Automatizované reporty
Evidencia a eskalácie Incidentov
ZoKB priamo ukladá subjektom povinnosť evidovať bezpečnostné incidenty.
Evidencia činností, plánovanie, notifikovanie, analýzy
Činnosť vašich pracovníkov alebo dodávateľov , ktorá môže ovplyvniť integritu a dôvernosť údajov, musí byť zadokumentovaná.
Správa všetkých aktív, služieb a ich monitoring
CDESK ponúka CMDB na evidenciu IT služieb a aktív, vrátane monitoringu a vyhodnocovania dostupnosti.
Prideľovanie a sledovanie zodpovedností
CDESK zabezpečuje sledovanie zodpovedností za bezpečnostné činnosti a poskytuje systém schvaľovania pre nadriadených.
Automatizované reporty
CDESK ponúka rôzne možnosti reportingu na efektívne riadenie tímov vrátane automaticky generovaných reportov a modelov v PowerBI.
Evidencia a eskalácie incidentov
ZoKB priamo ukladá subjektom povinnosť evidovať bezpečnostné incidenty.
CDESK vám ponúka nielen evidenciu samotných incidentov v súlade s NIS2, ale vám sprístupní aj ďalšie funkcionality, pomocou ktorých budete incidentom efektívne predchádzať. Pri integrácii najnovších trendov v oblasti kyberbezpečnosti implementujeme aj aktuálne požiadavky a odporúčania štátnych inštitúcií. Po zverejnení rozhrania na priamy zápis incidentov do systémov NBÚ/NÚKIB aplikujeme túto funkciu aj do riešení CDESK.
Evidencia činností, plánovanie, notifikovanie, analýzy
Činnosť vašich pracovníkov alebo dodávateľov , ktorá môže ovplyvniť integritu a dôvernosť údajov, musí byť zadokumentovaná.
CDESK dokumentuje čokoľvek, čo vaši pracovníci alebo dodávatelia urobia a môže ovplyvniť integritu a dôveryhodnosť údajov. Nie len samotné incidenty, ale aj zmeny v systéme a bežné požiadavky nad sledovanými aktívami. CDESK zabezpečuje, že riešenie vzniknutých problémov, alebo naplánovaných činností prebieha v očakávaných termínoch podľa SLA. V CDESK môžete aj s pomocou AI evidovať, analyzovať a predchádzať opakujúcim sa bezpečnostným problémom a ich eskalácii. CDESK vám pomôže s korektnou realizáciou nástupov a výstupov pracovníkov, s plánovaním školení, dodržiavaním pravidelných aktualizácií, kontrol záloh, disaster recovery testov a podobne. Ku kvalitnej informovanosti zamestnancov a dodávateľov máte k dispozícii pokročilé notifikácie cez maily, SMS a Push notifikácie do mobilnej aplikácie.
Správa všetkých aktív, služieb a ich monitoring
CDESK má vlastnú Konfguračnú databázu (CMDB), kde máte možnosť si prehľadne evidovať služby k prevádzke IT, informačné systémy a aktíva, ako sú počítače, servery alebo sieťové prvky. K dispozícii je vyhodnocovanie, sledovanie dostupnosti evidovaných prvkov a čoskoro pribudne aj vyhodnocovanie dopadu pri výpadkoch.
Načítavanie údajov z reálneho IT s monitoringom je možné buď prostredníctvom integrovaného nástroja CUSTOMER MONITOR s funkciou Autodiscovery, alebo cez API napojenie na iné systémy, ako sú ESET Protect, Zabbix a iné.
Modul Evidencia majetku (Asset management) pokrýva správu majetku všeobecne, a to aj vrátane vykonávania inventúr.
Prideľovanie a sledovanie zodpovedností
CDESK vám pomôže zabezpečiť, aby ste zmeny, ktoré ovplyvňujú bezpečnosť mali plne pod kontrolou. V CDESK je evidencia zodpovedností komplexne riešená v evidencii aktív v konfiguračnej databáze, ale aj pri procesoch, ktoré sú vykonávané formou požiadaviek a pracovných príkazov. Na to nadväzuje komfortne spracovaný systém schvaľovania pre nadriadených pracovníkov aj z prostredia mobilnej aplikácie CDESK Pro.
Automatizované reporty
K správnemu fungovaniu a ďalšiemu rozvoju spoločnosti neoddeliteľne patria aj relevantné a pravidelné výstupy.
Vďaka reportom v CDESK máte kedykoľvek k dispozícii dôkaz o správnosti postupu, ako aj údaje na zlepšenie fungovania vášho tímu. CDESK ponúka rôzne možnosti reportingu v XLS/PDF, automaticky generované a mailom odosielané reporty, pripravené modely v PowerBI a rýchle prehľady v dashboardoch. Nielen k priamemu plneniu požiadaviek vyplývajúcich zo zákona o kybernetickej bezpečnosti a prípadnému dokazovaniu o súlade so zákonom, ale aj k efektívnemu riadeniu tímov a organizácie.
CDESK spĺňa kritériá zákona o kybernetickej bezpečnosti
Aby mohol byť CDESK bezpečne nasadený vo vašom IT prostredí musí vyhovovať požiadavkám zákona o kybernetickej bezpečnosti.
Dôležité sú hlavne:
Šifrovaná komunikácia:
CDESK šifruje všetku komunikáciu na protokole HTTPS a TLS 1.3 so šifrovaním AES-128/256. Šifrovane prebieha aj napojenie mobilnej aplikácie, desktop klienta a API rozhrania. Toto platí pre Cloud službu aj On-Premise riešenie prevádzkované u vás.
Riadenie identít:
Náš softvér podporuje externé služby pre overenie digitálnej identity, ako Active Directory (AD), LDAP, Microsoft Entra ID, Google OAuth2 a ďalšie. Podporuje aj technológie SSO a SAML, ktoré umožňujú prihlasovať sa do systému bez opakovaného vkladania prihlasovacích údajov.
Multifaktorové prihlasovanie:
Lokálne zamestnanecké a administrátorské účty sú v CDESK zabezpečené pomocou dvojfaktorového overenia (TOTP) generovaného v mobilných aplikáciách.
Riadenie prístupu:
CDESK má pokročilý manažment riadenia prístupu k informáciám s vysokou granularitou rolí a práv. Okrem štandardného nastavenia prístupov k prílohám umožňuje definovať citlivé prílohy s vlastnými oprávneniami na zaistenie dôvernosti.
Monitoring aktivít:
CDESK umožňuje monitoring aktivít na identifikáciu nežiaducich zmien a anomálií. Podporuje export dát do SIEM/SOAR systémov, čím prispieva k vyššej úrovni kontroly.
Aktualizácie systémov:
Plnohodnotnou súčasťou každého riešenia, služby, alebo softvéru sú pravidelné aktualizácie. CDESK ich má zaistené pre Cloud službu aj pre On-Premise riešenie.
Prevencia pred bezpečnostnými incidentami:
CDESK je pravidelne testovaný na zraniteľnosti (penetračné testy, OWASP, CWE/SANS…). V prípade výskytu incidentu sú informované dotknuté osoby a v prípade incidentu v zmysle klasifikácie podľa zákona o kybernetickej bezpečnosti je nahlásený na NBÚ/NÚKIB.
Legislatíva:
Vývoj a prevádzkovanie produktu prebieha v súlade s legislatívou vyžadovanou v EÚ a Slovenskej republike. K ich dodržiavaniu napomáhajú ISO normy implementované v našich spoločnostiach k riadeniu bezpečnosti informácií ISO27001 a riadenie kvality podľa ISO9001. Pripravujeme sa na nové nariadenie k vývoju softvéru Cyber Resillience Act. nariadenia, ktoré platí od 10.12.2024 a bude účinné od 11.12.2027.
CDESK vo vašej organizácii
CDESK bude vo vašej organizácii fungovať ako centrálna platforma pre monitorovanie, správu, dokumentovanie a riešenie bezpečnostných incidentov a požiadaviek vyplývajúcich zo zákona o kybernetickej bezpečnosti. CDESK vďaka automatizovaným procesom a prehľadnej evidencii pomôže vašej organizácii dodržať legislatívne požiadavky a zároveň zvýši vašu kybernetickú odolnosť.
Prečo si vybrať práve CDESK
- Komplexné riešenie: CDESK je komplexný, stabilný a overený nástroj s viac ako 15-ročnou históriou
- Cenová výhodnosť: CDESK vám ponúka flexibilné a cenovo výhodné licencovanie s dostatočným rozsahom funkcií aj pre väčšie podniky
- Overená bezpečnosť: CDESK už dnes pomáha desiatkam spoločností s plnením povinností zákona o kybernetickej bezpečnosti a stovkám spoločností bezpečne slúži ako nástroj na plánovanie, vykonávanie a kontrolu širokého spektra činností
Harmonogram pre nové subjekty
Harmonogram znázorňuje povinnosti pre prevádzkovateľov základných služieb (PZS) podľa § 17 novely zákona a prevádzkovateľov kritických základných služieb (PKZS) podľa § 18 ods. 1 a 2 novely zákona.
Účinnosť novely zákona
Oznámenie úradu
Rozhodnutie úradu
Vznik práv a povinností pre subjekt
Povinnosť zaviesť bezpečnostné opatrenia
Prvý audit alebo samohodnotenie