NIS2 Compliance

Penetračné testovanie podľa NIS2: Povinnosť, ktorú väčšina SME ignoruje

Q: Ako často musím vykonať penetračný test?

Minimálne raz ročne podľa článku 21(2)(f) . Pre kritické systémy alebo v prípade významných zmien infraštruktúry (napríklad migrácia do cloudu) by ste mali zvážiť testovanie dvakrát ročne alebo ad-hoc testovanie.

Článok 21(2)(f) NIS2 vyžaduje ročné testy bezpečnosti kritických systémov. Dozviete sa, čo presne musíte robiť, ako vybrať poskytovatela a koľko to stojí.

Zarezervujte penetračný test teraz →

Čo presne vyžaduje NIS2 článok 21(2)(f)?

NIS2 článok 21(2)(f) stanovuje povinnosť zaviesť politiky a postupy na hodnotenie účinnosti opatrení riadenia kyberbezpečnostného rizika. V praxi to znamená: ročné penetračné testy kritických systémov.

Táto požiadavka sa vzťahuje na:

Subjekty kľúčovej infraštruktúry (KIS)
Dôležité digitálne subjekty (DSU) s viac ako 250 zamestnancami alebo výnosmi nad 50 mil. EUR
Všetkých majiteľov a operátorov iných poskytovateľov služieb podľa NIS2

Nie je to iba odporúčanie – je to právne vymáhateľná povinnosť. Porušenie môže viesť k pokutám do 10 mil. EUR alebo 2 % globálneho ročného obratu.

Čo presne zahŕňa penetračný test?

Penetračný test je simulovaný útok na vašu IT infraštruktúru vykonaný kvalifikovanými bezpečnostným odborníkmi.

Rozsah typického testu:

Externý test – útok z internetu na vaše verejne dostupné systémy (web, e-mail, VPN)
Interný test – simulácia útoku zevnitri firemnej siete
Testy sociálneho inžinierstva – phishing, pretexting
Test fyzickej bezpečnosti – pokus o vstup do serverovne

Trvanie: 1–3 týždne v závislosti od rozsahu. Výstup: detailná správa s priehľadom zraniteľností, ich závažnosti a konkrétnych odporúčaní na nápravu.

Penetračný test vs. skenovanie zraniteľností – aký je rozdiel?

Skenovanie zraniteľností: Automatizované nástroje vyhľadávajú známe bezpečnostné chyby (napr. zastarané pluginy, slabé hesla). Rýchle, lacné, ale povrchné.

Penetračný test: Reálni ľudia pracujú ako hackeři. Kombinujú automatizáciu s manuálnym analytickým myslením, aby objavili zraniteľnosti, ktoré skenery premeškajú. Zisťujú, či by útočník mohol skutočne získať prístup k citlivým údajom.

Pre NIS2: Požiadavka explicitne vyžaduje penetračné testovanie (nie len skenovanie). PenTest as a Service platformy ako Cobalt.io vám umožňujú kombinovať obe metódy efektívne.

Ako vybrať poskytovatela penetračného testu?

Kľúčové kritériá:

Certifikácie: Hľadajte OSCP, CEH, alebo GIAC certifikácie testerov
Refs a track record: Požiadajte referencie v podobnom priemysle
Rozsah a metodika: Malo by sa zaoberať OWASP Top 10, NIST alebo CIS frameworky
Správa a opravy: Jasný proces na dokumentáciu zraniteľností a follow-up test
Cena a flexibilita: Cobalt.io ponúka crowdsourcovaných testerov s pevnou cenou (€3,000–15,000 pre SME). HackerOne, Synack a Pentest People sú ďalšie zavedené možnosti.

Dôležité: Rezervujte si teraz – nasledujúce sloty sú Often obsadené na 4 týždne.

Ako funguje PenTest as a Service (Cobalt.io)?

Cobalt.io ponúka inovatívny model:

Crowdsourcovaní testeri: Platforma spája vás s overenými bezpečnostnými výskumníkmi z celého sveta
Bez dlhodobých zmlúv – flexibilita podľa vašich potrieb
Pevné ceny: Vedieť dopredu, koľko zaplatíte (typicky €3,000–15,000 v závislosti od rozsahu)
Rýchly turnaround: 2–4 týždne od objednávky k finálnej správe
Transparentnosť: Real-time dashboard s nájdenými zraniteľnosťami a ich opravou

Ideálne pre SME, ktoré potrebujú compliance bez vysokych fixných nákladov na interných testerov.

Čo robiť so správou z penetračného testu?

Fáza 1 – Triedenie (Triage): Identifikujte kritické zraniteľnosti (critical & high severity). Začnite opravou tých najnižšie zavesených ovocia.

Fáza 2 – Oprava (Remediation): Pracujte so svojím IT tímom na otvorení ticketov, alokácii zdrojov a implementácii opráv. Typicky 4–12 týždňov.

Fáza 3 – Re-test: Požiadajte o validáciu opráv (skúsený test). Väčšina testovacích spoločnosti ponúkajú rabat na re-test pre klientov.

Dokumentácia: Uložte si celú správu a log opráv – audítori NIS2 budú chcieť dôkaz, že ste test vykonali a reagovali ste na zistenia.

Často kladené otázky o NIS2 penetračnom testovaní

Všetci majitelia a operátori subjektov kľúčovej infraštruktúry (KIS) v sektore energie, dopravy, bankovníctva, zdravotníctva atď. Tiež dôležité digitálne subjekty (DSU) s viac ako 250 zamestnancami alebo výnosmi nad 50 mil. EUR. Úplný zoznam nájdete v Národnom úrade bezpečnosti informácií.

Minimálne raz ročne podľa článku 21(2)(f). Pre kritické systémy alebo v prípade významných zmien infraštruktúry (napríklad migrácia do cloudu) by ste mali zvážiť testovanie dvakrát ročne alebo ad-hoc testovanie.

Pre malý až stredný podnik: €3,000–15,000 za ročný test v závislosti od rozsahu aplikácií, servery a počtu testovateľov. Cobalt.io ponúka pevné ceny; tradičné agentúry môžu byť drahšie. Zarezervujte si 1–2 dni pred koncom finančného roka na rozpočtovanie.

Presne preto existujú PenTest as a Service platformy ako Cobalt.io, HackerOne a Synack. Môžete si najať externého testera bez investície do interného personálu. Správu z testu môžete zdieľať s vaším IT poskytovateľom na opravu.

Typicky 2–4 týždne od spustenia testu po finálnu správu. Vždy si rezervujte čas dopredu – máj až september sú najzapnutejšie mesiace. Zarezervujte si test v marci/apríli, ak chcete výsledky na leto.