Pracovné skupiny

Potreba vytvorenia sektorových pracovných skupín podľa NIS2

S implementáciou regulácie NIS2 a ďalšími dôležitými reguláciami, ako sú DORA pre finančný sektor a TISAX pre automobilový priemysel, sa stáva nevyhnutným zriadiť špecializované sektorové pracovné skupiny. Tieto skupiny sú kľúčovým nástrojom na vytvorenie a implementáciu špecifických stratégií kybernetickej bezpečnosti, ktoré zohľadnia jedinečné potreby a výzvy každého sektora. Ich hlavným zameraním bude vypracovanie špecifickej sektorovej dokumentácie, nastavenie a zabezpečenie procesov, aplikovanie najlepších best practices a príprava na preskúmanie súladu formou auditu kybernetickej bezpečnosti.

Finančný sektor

Vo finančnom sektore sa pracovná skupina zameria na detailnú implementáciu regulácie DORA, s dôrazom na vypracovanie komplexnej dokumentácie pre digitálnu prevádzkovú odolnosť. Zvláštnu pozornosť venuje nastaveniu procesov na riadenie kybernetických rizík, ktoré sú špecifické pre bankový a poistný sektor, vrátane ochrany proti finančným podvodom. Aplikovanie najlepších postupov bude orientované na zvyšovanie kybernetickej odolnosti prostredníctvom nepretržitého testovania systémov a zabezpečenia ochrany citlivých finančných údajov. Príprava na audit sa sústredí na pravidelnú aktualizáciu bezpečnostných postupov a zabezpečenie plného súladu s medzinárodnými a národnými normami.

Energetický sektor

Energetický sektor bude zameraný na ochranu kritickej infraštruktúry, kde sa pracovná skupina sústredí na vypracovanie sektorovo špecifickej dokumentácie, ktorá bude reflektovať jedinečné potreby tohto sektora v kontexte kybernetickej bezpečnosti. Zameria sa na nastavenie procesov na ochranu proti kybernetickým hrozbám, vrátane vypracovania scenárov pre rýchlu reakciu na incidenty a obnovenie prevádzky. Aplikovanie best practices bude orientované na zlepšenie spolupráce medzi energetickými spoločnosťami a regulačnými orgánmi, čím sa zabezpečí vyššia odolnosť systémov. Príprava na audit bude obsahovať špecifické požiadavky na preskúmanie súladu s normami, ktoré sú kľúčové pre stabilitu a bezpečnosť energetickej infraštruktúry.

Automobilový sektor

V automobilovom sektore bude pracovná skupina zameraná na implementáciu štandardu TISAX, s dôrazom na vypracovanie podrobnej dokumentácie týkajúcej sa ochrany informačných systémov a procesov, ktoré zabezpečujú kybernetickú bezpečnosť vo všetkých fázach výroby a dodávateľského reťazca. Vzhľadom na rastúci význam softvérovo riadených vozidiel sa procesy zamerajú na ochranu pred hrozbami, ktoré môžu ovplyvniť nielen výrobu, ale aj samotnú prevádzku vozidiel. Aplikovanie najlepších postupov bude zahŕňať ochranu citlivých údajov o zákazníkoch a vozidlách, zatiaľ čo príprava na audit sa zameria na zosúladenie so štandardmi TISAX a medzinárodnými normami v oblasti informačnej bezpečnosti.

Zdravotnícky sektor

Zdravotnícky sektor si vyžaduje špecifický prístup, zameraný na ochranu citlivých zdravotných údajov a zabezpečenie nepretržitej prevádzky kritických zdravotníckych systémov. Pracovná skupina sa bude sústrediť na vypracovanie dokumentácie, ktorá detailne pokrýva bezpečnostné požiadavky a procesy potrebné na ochranu pacientskej infraštruktúry pred kybernetickými hrozbami. Aplikovanie najlepších postupov sa bude orientovať na ochranu pred ransomvérovými útokmi a inými hrozbami, ktoré môžu narušiť poskytovanie zdravotníckych služieb. Príprava na audit bude zahŕňať školenia a simulácie kybernetických incidentov, ktoré zabezpečia pripravenosť zdravotníckych zariadení na preskúmanie súladu.

Doprava a logistika

V sektore dopravy a logistiky sa pracovná skupina zameria na bezpečnosť dopravných systémov a ochranu logistických reťazcov pred kybernetickými hrozbami. Vypracovanie špecifickej dokumentácie sa bude sústrediť na identifikáciu a ochranu kritických bodov v dopravných a logistických sieťach, s dôrazom na nastavenie procesov pre prevenciu a reakciu na kybernetické incidenty. Aplikovanie best practices bude zahŕňať posilnenie spolupráce medzi jednotlivými subjektmi v rámci sektora, čo umožní efektívnejšie zdieľanie informácií o hrozbách a opatreniach. Príprava na audit bude zahŕňať vytvorenie simulácií a cvičení na preverenie schopnosti sektorových subjektov čeliť kybernetickým hrozbám a zabezpečiť súlad s relevantnými normami a predpismi.

Každý sektor čelí špecifickým výzvam v oblasti kybernetickej bezpečnosti, a preto je nevyhnutné, aby pracovné skupiny vytvorili detailnú sektorovú dokumentáciu, nastavili špecifické procesy, aplikovali osvedčené praktiky a pripravili sektorové subjekty na audity kybernetickej bezpečnosti. Tento prístup umožní každému sektoru nielen zvýšiť úroveň ochrany a odolnosti, ale aj posilniť odbornú úroveň a zlepšiť pripravenosť na rýchlo sa meniace hrozby v digitálnom svete.

V oblasti kybernetickej bezpečnosti sa neustále objavujú nové výzvy a technológie, ktoré vyžadujú hlboké odborné znalosti a špecializovaný prístup. Preto je nevyhnutné zriadiť špecializované pracovné skupiny, ktoré sa budú zameriavať na konkrétne oblasti a prispievať k rozvoju a posilneniu kybernetickej bezpečnosti prostredníctvom vypracovania špecifickej dokumentácie, nastavenia a zabezpečenia procesov, aplikovania najlepších best practices a prípravy na preskúmanie súladu formou auditu.

Vzdelávanie

Pracovná skupina pre vzdelávanie, vedená Ing. Igorom Strakom, sa zameria na rozvoj kompetencií a zvyšovanie odbornosti manažérov kybernetickej bezpečnosti. Kľúčové oblasti zahŕňajú tvorbu vzdelávacích programov, ktoré budú reflektovať na aktuálne požiadavky prichádzajúce z nových regulácií ale aj z aktuálneho stavu úrovne odbornej pripravenosti členov komory.

SOC, Response, Forenzis

Pod vedením Mgr. Lukáša Hlavičku sa špecializovaná skupina zameria na rozvoj a optimalizáciu bezpečnostných operačných centier (SOC), procesov reakcie na incidenty a forenzných analýz. Pracovná skupina bude zodpovedná za vypracovanie špecifickej dokumentácie pre implementáciu a prevádzku SOC, vrátane postupov na zber a analýzu digitálnych dôkazov. Zameranie bude kladené na aplikovanie najlepších praktík pri monitorovaní a reakcii na incidenty a prípravu na audity, ktoré overia efektívnosť bezpečnostných opatrení.

Automatizácia výkonu manažéra kybernetickej bezpečnosti

Lubomír Kopáček bude viesť skupinu zameranú na automatizáciu úloh, ktoré vykonávajú manažéri kybernetickej bezpečnosti. Kľúčovým cieľom bude uplatnenie najnovších technológií a best practices pre zefektívnenie manažérskych úloh a zabezpečenie súladu s požiadavkami na audit.

Riadiace procesy

Pod vedením Ing. Jána Drahoša sa skupina zameria na riadenie a optimalizáciu procesov v oblasti kybernetickej bezpečnosti. Táto skupina bude vypracovávať dokumentáciu, ktorá definuje základné procesy riadenia bezpečnosti v organizáciách, vrátane ich integrácie s ostatnými riadiacimi procesmi. Dôraz bude kladený na aplikáciu osvedčených riadiacich postupov a prípravu na audity, ktoré overia, či sú procesy nastavené v súlade s najnovšími normami a štandardmi.

Riadenie ICT rizík

Špecializovaná skupina pre riadenie ICT rizík, vedená Ing. Igorom Strakom, sa zameria na identifikáciu, hodnotenie a riadenie rizík spojených s informačnými a komunikačnými technológiami. Skupina bude pracovať na tvorbe dokumentácie, ktorá bude špecifikovať postupy riadenia rizík, a na implementácii procesov, ktoré zabezpečia nepretržitú ochranu informačných systémov. Príprava na audit bude zahŕňať preverenie efektívnosti týchto procesov a ich súlad s medzinárodnými štandardmi.

BCM (Business Continuity Management)

Pod vedením Ing. Petra Minarovského sa špecializovaná skupina zameria na riadenie kontinuity podnikania. Skupina bude pracovať na vypracovaní dokumentácie, ktorá bude popisovať postupy a procesy na zabezpečenie nepretržitej prevádzky organizácií aj v prípade kybernetických incidentov. Aplikovanie najlepších postupov bude zahŕňať testovanie a simulácie reakcií na incidenty, zatiaľ čo príprava na audit sa sústredí na preverenie schopnosti organizácií rýchlo obnoviť prevádzku a minimalizovať dopady incidentov.

PRIVACY

JUDr. Pavel Nechala bude viesť skupinu zameranú na ochranu osobných údajov a súlad s predpismi o ochrane súkromia. Pracovná skupina bude zodpovedná za nastavenie procesov, ktoré zabezpečia ochranu citlivých údajov a súlad s GDPR a inými relevantnými reguláciami. Skupina sa bude tiež venovať aplikovaniu najlepších postupov v oblasti ochrany súkromia a príprave na audity, ktoré overia dodržiavanie nariadení a efektívnosť ochranných opatrení.

AI technológie

Ing. Roman Sayed bude viesť skupinu zameranú na integráciu a bezpečnosť technológií umelej inteligencie (AI) v kybernetickej bezpečnosti. Skupina bude navrhovať spôsob využitia AI technológií v bezpečnostných systémoch a na vývoji procesov, ktoré zaručia ich bezpečné a etické používanie. Aplikovanie najlepších praktík bude orientované na zvyšovanie efektivity a presnosti bezpečnostných opatrení prostredníctvom AI, zatiaľ čo príprava na audit sa zameria na overenie správnosti a bezpečnosti AI riešení.

Certifikačné služby ISO

Pracovná skupina pre certifikačné služby ISO sa sústredí na implementáciu a udržiavanie medzinárodných noriem v oblasti kybernetickej bezpečnosti. Skupina bude vytvárať podporu pre dosiahnutie a udržanie certifikácií podľa ISO štandardov.

Zriadenie špecializovaných pracovných skupín umožní efektívne zameranie sa na kľúčové oblasti kybernetickej bezpečnosti, ktoré vyžadujú špecifické znalosti a prístupy. Tieto skupiny budú hrať rozhodujúcu úlohu pri tvorbe špecifickej dokumentácie, nastavení a zabezpečení procesov, aplikovaní osvedčených postupov a príprave na audity, čím výrazne prispejú k zvyšovaniu úrovne kybernetickej bezpečnosti v jednotlivých oblastiach a sektore ako celku.