Certifikáciu prvých audítorov kybernetickej bezpečnosti plánuje spustiť už v najbližších týždňoch. Zodpovednosť za overovanie pripravenosti audítorov kybernetickej bezpečnosti na Slovensku si prevezme nový orgán.
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti (KCCKB) bude ako prvá certifikačná autorita posudzovať ich odborné spôsobilosti pre výkon ich práce. Centrum vzniklo začiatkom roka ako príspevková organizácia Národného bezpečnostného úradu (NBÚ). O jeho akreditácii pre certifikáciu audítorov rozhodla minulý týždeň Slovenská národná akreditačná služba. Potreba vzniku takéhoto orgánu vychádza z vyhlášky NBÚ č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. KCCKB má na jej základe zaistiť, že subjekty, ktoré budú hodnotiť bezpečnostné opatrenia základných služieb štátu, budú zároveň spĺňať aj formálne požiadavky pre túto prácu. Ide najmä o ich odbornosť, objektívnosť a nestrannosť.
Prevádzkovateľom informačných systémov verejnej správy a kritickej infraštruktúry pritom zo zákona vyplýva povinnosť vykonať tieto audity každé dva roky. O ich dôležitosti písala vo svojom programovom vyhlásení aj nová vláda. KCCKB plánuje spustiť certifikáciu prvých audítorov už v najbližších týždňoch. Doteraz sa mu nahlásilo približne 20 uchádzačov. Každý z nich bude musieť pre obdržanie certifikátu splniť odbornú skúšku, ktorá má overiť jeho vedomosti o všeobecne záväzných právnych predpisoch, technických normách a bezpečnostných opatreniach. Doba platnosti certifikátu je tri roky. Podľa riaditeľa Ivana Makaturu sa však centrum neobmedzí len na certifikáciu osôb.
„Aktuálna certifikačná schéma sa opiera o akreditáciu podľa normy STN ISO/IEC 17024 o certifikácii osôb. Agentúra Európskej únie pre kybernetickú bezpečnosť v zmysle nedávno prijatého Nariadenia EÚ o kybernetickej bezpečnosti pracuje na príprave novej certifikačnej schémy, podľa ktorej bude možné certifikovať produkty, teda napríklad aj bezpečnosť informačných systémov. My s agentúrou veľmi úzko spolupracujeme a určite plánujeme pripraviť sa na akreditáciu aj podľa budúcej schémy, akonáhle bude účinná.“ Posudzovanie bezpečnosti technologických komponentov si však bude vyžadovať osobitné zdroje ako technické laboratórium či personál so špecifickými zručnosťami.
Zdroj: Cybersec