Magazín KPI
Časopis Katedry počítačov a informatiky FEI TUKE
kpi

Ako merať pripravenosť stredného podniku na NIS2?

Vyhláška NBÚ č. 227/2025 Z. z. zaviedla pre stredné podniky vyše 150 opatrení, resp. otázok v binárnej forme „áno/nie“, bez váženia a bez prioritizácie. Na Slovensku podľa zdrojov a odbornej praxe zatiaľ neexistuje verejne dostupná metodika ani nástroj, ktorý by prevádzkovateľom základnej služby umožnil systematicky samohodnotiť svoj súlad s aktuálnou legislatívou. Tento článok zhŕňa diplomovú prácu, ktorá takúto metodiku navrhuje – rozkladá zdĺhavé otázky vyhlášky na jednoznačne overiteľné podotázky, integruje historickú skúsenosť s incidentmi, technologickú expozíciu a dopady na biznis procesy do jednotného skóre rizika a výstupom je prioritizovaný zoznam nápravných opatrení. Metodika bola implementovaná ako webová aplikácia a overená na strojárskom podniku, kde počas ôsmich mesiacov pomohla zvýšiť súlad z 59 % na 81 % a znížiť skóre rizika o 78 %.

Prečo bolo treba navrhnúť novú metodiku

Smernica NIS2 predstavuje európsky legislatívny rámec zameraný na zvyšovanie úrovne kybernetickej bezpečnosti organizácií poskytujúcich dôležité služby. Na Slovensku bola transponovaná najmä prostredníctvom zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a vyhlášky NBÚ č. 227/2025 Z. z. Pojem „prevádzkovateľ základnej služby“ označuje organizáciu, ktorej činnosť je významná pre fungovanie štátu, ekonomiky alebo spoločnosti, a preto musí spĺňať zákonom stanovené požiadavky kybernetickej bezpečnosti. Po prijatí smernice NIS2 sa do tejto kategórie zaradili aj mnohé stredne veľké podniky.

Tieto organizácie dnes čelia obdobným povinnostiam ako veľké korporácie, no spravidla nedisponujú špecializovaným bezpečnostným tímom ani dostatočnými personálnymi a finančnými kapacitami. Podľa správy Verizon Data Breach Investigations Report 2025 sa ransomvér vyskytol v 88 % bezpečnostných narušení malých podnikov oproti 39 % u veľkých organizácií, čo z menších firiem robí mimoriadne atraktívny cieľ.

Pri prieskume verejne dostupných zdrojov nebola identifikovaná žiadna jednotná metodika ani nástroj, ktorý by prevádzkovateľom základnej služby umožnil systematicky samohodnotiť súlad s vyhláškou. Bezpečnostní manažéri si preto v praxi vytvárajú vlastné ad-hoc tabuľky a postupy. Vyhláška síce obsahuje viac než 150 bezpečnostných opatrení, avšak prevažne v binárnej forme a bez metodiky ich váženia, prioritizácie alebo hodnotenia úrovne implementácie.

Ako metodika funguje

Metodika rozširuje vyhlášku o štyri mechanizmy, ktoré spolu menia kontrolný zoznam na použiteľný riadiaci nástroj.

Rozklad otázok na podotázky cez sedem dimenzií overiteľnosti

Mnohé otázky vo vyhláške sú zdĺhavé a v jednej požiadavke obsahujú viacero rozdielnych dimenzií – napríklad existenciu dokumentu, zodpovednosti, oboznámenie zamestnancov a periodické testovanie naraz. Binárna odpoveď áno/nie potom buď zakryje reálny stav, alebo z čiastkovej medzery urobí kritický nesúlad. Metodika preto každú hlavnú otázku rozkladá na podotázky cez sedem dimenzií overiteľnosti: napríklad, či je opatrenie zdokumentované, kto zaň zodpovedá, či je nasadené, či existujú záznamy, či sa robí pravidelne, či sú o ňom relevantní ľudia oboznámení a či sa aktualizuje. Rozdelené podotázky sú zároveň v relevantných prípadoch doplnené o zaužívané bezpečnostné postupy a ďalšie podstatné kontrolné overenia, ktoré pomáhajú presnejšie posúdiť reálnu úroveň implementácie opatrenia.

Každá podotázka sa hodnotí trojstupňovo: Súlad / Čiastočný súlad / Nesúlad. Obsah podotázok bol porovnaný s dokumentom ENISA Technical Implementation Guidance on Cybersecurity Risk Management Measures (2025), aby bola zaistená konzistencia s európskym odborným konsenzom.

Numerický model rizika

Pre každú otázku sa počíta skóre podľa vzťahu S = W · (L · I), kde:

  • L je pravdepodobnosť odvodená zo súladu pomocou plynulého vzťahu, ktorý kombinuje nasledujúce korekčné faktory:
    • K₁ - historická skúsenosť organizácie s incidentmi (0,0 / 0,5 / 1,0). Bez tohto faktora by model neodlíšil organizáciu, ktorá v danej oblasti nikdy nemala incident, od organizácie, ktorá je opakovane napádaná.
    • K₂ - technologická expozícia: internetová dostupnosť, cloud (0,0 / 0,5 / 1,0). Práve tento faktor odlišuje izolované on-premise prostredie od organizácie s OT pripojenou na internet.
  • I je dopad odvodený z hodnotenia procesov (Bussines Impact Analysis) (1–5) – právne sankcie, vplyv na zákazníkov a fungovanie firmy, RTO a RPO.
  • W je váha vyjadrujúca väčšiu významnosť kontroly (0,5 / 1,0 / 1,5 / 2,0). Váhy podotázok sú v metodike pevne stanovené, váhy hlavných otázok môže hodnotiteľ upraviť podľa princípu primeranosti opatrení pre konkrétny podnik.

Celkové skóre organizácie sa interpretuje cez štvorstupňovú škálu: do 300 bodov nízke riziko, 301–800 stredné, 801–1 200 vysoké, nad 1 200 kritické.

Quick-start expozičný profil

Hlavné hodnotenie podľa vyhlášky je obohatené o vstupný dotazník zostavený na základe odporúčaní NBÚ a SK-CERT obsahuje 15 expozičných faktorov a plní v nástroji trojitú funkciu.

  1. Automaticky vypočíta hodnotu K₂ pre každú tematickú oblasť.
  2. Jeho odpovede sú obsahovo zladené s približne 60 podotázkami hlavného hodnotenia – tieto podotázky sú automaticky predvyplnené, čím sa eliminuje duplicitné zadávanie.
  3. Na základe odpovedí vygeneruje Quick-start opatrenia – základný zoznam nápravných krokov dostupný okamžite, bez nutnosti absolvovať celé hodnotenie.

Technická implementácia

Metodika bola implementovaná dvomi paralelnými spôsobmi – ako tabuľkový model v Microsoft Exceli a ako webová aplikácia. Excelová verzia poslúžila na demonštráciu logiky výpočtu; reálne hodnotenie modelového podniku sa však vykonalo cez webovú aplikáciu. Aplikácia je postavená ako Single Page Application (TypeScript 5.8, React 18.3, Vite, Tailwind CSS, Recharts) bez backendu – všetky dáta sa spracúvajú výlučne v prehliadači cez localStorage, čím sa eliminuje riziko úniku citlivých údajov sieťovou cestou.

Aplikácia na modelový podnik

Metodika bola otestovaná na strojárskom podniku s 200–249 zamestnancami, klasifikovanom ako prevádzkovateľ základnej služby. Podnik mal v minulosti zdokumentovanú skúsenosť s phishingovými útokmi a ransomvérom a žiaden z incidentov v minulosti nebol nahlásený na NBÚ, čo je v rozpore so zákonom.

Prvé hodnotenie odhalilo celkový súlad 59 % a celkové skóre priorít 1 329 bodov – kritická úroveň rizika. Model identifikoval päť prioritných oblastí:

  • D – Riadenie incidentov (compliance 29 %, priorita 33,84),
  • G – Súlad a kontrolné činnosti (18 %, 30,88),
  • H – Kryptografické opatrenia (0 %, 30,00),
  • E – Kontinuita činností a Disaster Recovery (57 %, 20,58),
  • M – Sieťová bezpečnosť (50 %, 19,40).

Päť konkrétnych otázok s najvyššou individuálnou prioritou sa týkalo plánovania a testovania incidentov, vzdelávania zamestnancov, MFA pre vzdialený prístup, pravidiel pre auditné činnosti a sieťovej segmentácie.

Návrh opatrení pozostával z jedenásť Quick-start opatrení s horizontom do troch mesiacov (vynútenie MFA na VPN/RDP, GPO heslové politiky, oddelenie IT/OT segmentu, základný IRP, register incidentov a hlásenie NBÚ, register IT/OT aktív, BCP/DRP), detailné opatrenia pre päť prioritných oblastí (formálny IRP s playbookmi, smernica pre interný audit, kryptografická politika s pravidlami správy kľúčov, BCP/DRP s testovaním záloh, formálna sieťová architektúra s deny-by-default pravidlami a oddeleným OT firewallom); a opatrenia pre zvyšné kategórie.

Overenie prínosu po ôsmich mesiacoch

Po ôsmich mesiacoch od odovzdania návrhu a individuálneho aplikovania opatrení firmou bolo hodnotenie zopakované rovnakou metodikou. Súlad vzrástol z 59 % na 81%, skóre priorít kleslo z 1 329 na 289 bodov (pokles o 78%) a podnik sa posunul z pásma kritického do pásma nízkeho rizika. V štyroch oblastiach (B, C, I, K) bol dosiahnutý úplný 100 % súlad, v ďalších štyroch (D, G, E, O) compliance presahuje 90 %.

Ukazovateľ Pred Po Zmena
Celkový súlad 59% 81% +22%
Celkové skóre priorít 1 329 289 −78%
Otázky v plnom súlade 66 100 +34
Otázky v nesúlade 46 18 −28

Najvýraznejšie zlepšenia nastali práve v oblastiach, ktoré model označil ako prioritné – napríklad riadenie incidentov znížilo priemernú prioritu z 33,84 na 1,96 (pokles o 94 %). Zo strany podniku boli realizované konkrétne zmeny ako oddelenie OT firewallu od IT firewallu, plná implementácia MFA, výmena firewallových zariadení, nasadenie nového poštového servera, pravidelné nezávislé prehodnocovanie KB a phishingové simulácie zamestnancov. Vedenie podniku hodnotilo prínos riešenia známkou 4 z 5 a v štruktúrovanej spätnej väzbe vyzdvihlo, že hrozby, ktoré dovtedy riešili nesystematicky, sú teraz „zosumarizované na jednom mieste".

Spoľahlivosť metodiky

Spoľahlivosť navrhnutej metodiky bola overená v štyroch dimenziách.

  1. Reprodukovateľnosť – všetky zmeny medzi dvomi meraniami sú priamo vysvetliteľné reálne implementovanými opatreniami, žiadna oblasť nezaznamenala nevysvetliteľné výkyvy.
  2. Obsahová validita je zaručená priamo konštrukciou: všetky otázky sú odvodené priamo z vyhlášky a metodika tak pokrýva 100 % formálnych požiadaviek prílohy vyhlášky.
  3. Kriteriálna validita – oblasti, ktoré model na základe formálneho výpočtu označil ako prioritné, sa zhodovali s tým, čo zástupcovia firmy nezávisle vnímali ako najkritickejšie aj bez znalosti výpočtu. Metodika tak nezávislou cestou potvrdila intuíciu praxe – nešlo o teoretickú konštrukciu, ktorá by produkovala umelé výsledky, ale výstupy zodpovedajú reálnemu vnímaniu rizík v podniku.
  4. Nezávislosť od implementácie – Excelová a webová verzia poskytujú identické výsledky pri rovnakých vstupoch, čo vylučuje, že by výsledky boli artefaktom konkrétneho nástroja, avšak Excelová implementácia má obmedzenú funkcionalitu – chýba jej automatické mapovanie odpovedí expozičného profilu na podotázky hlavného hodnotenia a generovanie opatrení – slúži preto skôr na demonštráciu a auditovateľnosť výpočtovej logiky než ako finálny nástroj pre praktické použitie.

V práci sú priznané dve obmedzenia: inter-rater reliability nemohla byť kvantifikovaná, pretože obe hodnotenia vykonal ten istý hodnotiteľ a chýba rôznorodosť prevádzkovateľov, keďže metodika bola aplikovaná iba na jednu firmu z praxe.

Záver

Pre stredne veľký podnik je rozdiel medzi zoznamom 150 opatrení a „prioritizovaným zoznamom toho, čím začať" zásadný. Empirické overenie na modelovom podniku potvrdilo, že metodika dokáže identifikovať skutočne kritické miesta – nie len formálne nesúlady – a že implementácia odporúčaných opatrení vedie k merateľnému zlepšeniu kybernetickej odolnosti. Spoľahlivosť bola overená v štyroch dimenziách: reprodukovateľnosť, obsahová validita voči legislatíve, zhoda identifikovaných priorít s realitou a nezávislosť od konkrétnej technickej implementácie.

V kontexte blížiacich sa povinností z NIS2 a absencie slovenského ekvivalentu dostupných nástrojov predstavuje navrhnuté riešenie na základe viacerých zdrojov, prvú dostupnú pomôcku na priame samohodnotenie súladu s aktuálnou slovenskou legislatívou. Priestor pre ďalší rozvoj zostáva otvorený vo viacerých smeroch. Prvým je automatizácia zberu vstupných údajov – časť otázok technického charakteru (stav MFA, konfigurácia firewallu, úroveň šifrovania TLS, stav zálohovacích jobov, patchovanie) by sa dala vypĺňať automaticky cez rôzne integrácie, čo by skrátilo čas hodnotenia a umožnilo priebežné sledovanie súladu namiesto jednorazového samohodnotenia. Druhým je overenie na väčšej vzorke podnikov s rôznym profilom odvetvia, veľkosti a zrelosti, ktoré by umožnilo kvantifikovať aj inter-rater reliability metodiky. Tretím je transformácia do produktovej formy – napríklad ako server-based služba, kde by firmy mohli porovnávať svoju pripravenosť s priemerom odvetvia a dostávať notifikácie pri zmenách legislatívy. Posledným otvoreným bodom je doplnenie kontrolných otázok nad rámec vyhlášky v oblastiach, ktoré sú v nej pokryté len niekoľkými všeobecnými bodmi, čím by sa zabezpečilo rovnomernejšie pokrytie naprieč doménami.

Pre čitateľov, ktorí chcú ísť hlbšie, odporúčam smernicu NIS2, zákon č. 69/2018 Z. z. a vyhlášku NBÚ č. 227/2025 Z. z.. Aktuálny pohľad na hrozby poskytuje ENISA Threat Landscape 2024 a Verizon DBIR 2025.

Linkovať