Riskantne o riziku
27. marca 2025
(a podobných pojmoch)
doc. Ing. Jaroslav Sivák, CSc., MBA
1. Úvod
Článok sa zaoberá úvahami nad základnými pojmami bežnými v bezpečnostnej praxi. Za základné pojmy v bezpečnostnej praxi považujeme „aktíva“, „riziko“, „ohrozenie“, „zraniteľnosť“, „odolnosť“ a ďalšie.
Prečo „riskantne“ o riziku a podobných pojmoch? Existuje veľký počet najrôznejších akademických prác, ktoré sa zaoberajú definíciou týchto pojmov. Sú známe terminologické slovníky, ktoré boli odsúhlasené oponentskými radami, právne normy Slovenskej republiky tiež narábajú s týmito pojmami. A predsa sa viaceré záväzné pramene líšia. Nemalou mierou sa o definície základných pojmov v bezpečnostnom manažmente zaslúžila aj Európska únia so svojimi orgánmi. Viaceré direktívy používajú svoje vlastné definície týchto pojmov. Často sa potom tieto „európske“ pojmy implementujú do našich noriem a do slovnej zásoby najmä krízových manažérov.
„Riskantne“ teda preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť mojim vzácnym akademickým kolegom, pracovníkov najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.
V snahe vyjadriť niektorú skutočnosť čo možno najoriginálnejšie, sa do slovnej zásoby bezpečnostnej komunity dostanú slová ako napr. „vektor útoku“. Určite, keď sa posnažíme, nájdeme analógiu s matematickou definíciou „vektor“. Len či to je potrebné...
Nie je dôležité, či daný pojem etymologicky, gramaticky, významovo a inak, je ten najsprávnejší. Dôležité je, aby komunita, ktorá v bezpečnostnom manažmente pôsobí si vzájomne rozumela a by sme si pod daným pojmov vedeli čo najvernejšie predstaviť to, čo autor ním chcel vyjadriť a v konečnom dôsledku to, čo popisuje.
2. Základná bezpečnostná pravda
Základnou bezpečnostnou pravdou, na ktorej sa zhodla väčšina zainteresovaných je, že RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.
Táto formulácia vyjadruje, že sa snažíme vyjadriť vhodnú interpretáciu miery, ktorá bude čo najvernejšie popisovať, čo sa môže stať (a stane), keď premenné tohto funkcionálu 1 dosiahnu určité hodnoty. Riziko môžeme chápať ako pravdepodobnosť, alebo inú hodnotu v metrike, ktorú si zvolíme a ktorá bude korešpondovať s objektívnou realitou a dovolí nám vyslovovať súdy o hodnote – miere dopadov, ktoré nám hrozia.
Základná bezpečnostná pravda zahŕňa vonkajšie aj vnútorné podmienky vzniku bezpečnostnej udalosti. Vonkajšia podmienka je HROZBA. Vnútorná podmienka je ZRANITEĽNOSŤ. Subjektom procesu je AKTÍVUM, ktoré je vystavené HROZBE a je ZRANITEĽNÉ. Výsledkom útoku HROZBY, ktorá využila ZRANITEĽNOSŤ a pôsobí na AKTÍVUM je DOPAD. Pri podrobnejšom skúmaní procesov bezpečnostnej udalosti by sme dospeli ku ďalším pojmom, ako napr. ODOLNOSŤ.
Vychádzajme z pojmu BEZPEČNOSŤ. BEZPEČNOSŤ je cit.: “Stav spoločenského, prírodného, technického, technologického systému alebo iného systému, ktorý v konkrétnych vnútorných a vonkajších podmienkach umožňuje plnenie určených funkcií a ich rozvoj v záujme človeka a spoločnosti“ 2 . Kritická poznámka: BEZPEČNOSŤ nemôže byť stav! Je to dynamický proces, ktorého parametre sú pravdepodobnostného charakteru. Je to teda PROCES. Bezpečnosť je proces, ktorý má určité hranice minimálnej a maximálne reálne dosiahnuteľnej bezpečnosti. To znamená, že existuje nenulová tolerancia narušenia nominálneho stavu. Systém musí byť projektovaný a vyhotovený (usporiadaný) tak, aby dokázal fungovať aj pri vychýlení z tohto rovnovážneho stavu v rozsahu vyššie uvedených min a max hodnôt. Tieto faktory môžeme nazvať ako ODOLNOSŤ 3 .
V ďalšom texte budeme polemizovať o časti základnej bezpečnostnej pravdy o pojme RIZIKO.
3. Riziko
Keď si vypožičiame bonmot o tom, čo je to inteligencia, že je to to, čo sa meria inteligenčným kvocientom, potom riziko je to, čo určíme rizikovou analýzou.
Riziko je cit.: „Miera ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami“ 4 . Ďalšia definícia cit.: „Rizikom (rozumieme) potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu“ 5 . V tejto vete je merateľnou premennou iba „pravdepodobnosť výskytu...“. Ostatok je nemerateľný. Ako je potom možné stanoviť riziko v oblasti napr. kybernetickej bezpečnosti?
Existujú odvážnejšie definície, z ktorých pravdepodobne pramení aj vyššie popísané tvrdenie:
Článok sa zaoberá úvahami nad základnými pojmami bežnými v bezpečnostnej praxi. Za základné pojmy v bezpečnostnej praxi považujeme „aktíva“, „riziko“, „ohrozenie“, „zraniteľnosť“, „odolnosť“ a ďalšie.
Prečo „riskantne“ o riziku a podobných pojmoch? Existuje veľký počet najrôznejších akademických prác, ktoré sa zaoberajú definíciou týchto pojmov. Sú známe terminologické slovníky, ktoré boli odsúhlasené oponentskými radami, právne normy Slovenskej republiky tiež narábajú s týmito pojmami. A predsa sa viaceré záväzné pramene líšia. Nemalou mierou sa o definície základných pojmov v bezpečnostnom manažmente zaslúžila aj Európska únia so svojimi orgánmi. Viaceré direktívy používajú svoje vlastné definície týchto pojmov. Často sa potom tieto „európske“ pojmy implementujú do našich noriem a do slovnej zásoby najmä krízových manažérov.
„Riskantne“ teda preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť mojim vzácnym akademickým kolegom, pracovníkov najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.
V snahe vyjadriť niektorú skutočnosť čo možno najoriginálnejšie, sa do slovnej zásoby bezpečnostnej komunity dostanú slová ako napr. „vektor útoku“. Určite, keď sa posnažíme, nájdeme analógiu s matematickou definíciou „vektor“. Len či to je potrebné...
Nie je dôležité, či daný pojem etymologicky, gramaticky, významovo a inak, je ten najsprávnejší. Dôležité je, aby komunita, ktorá v bezpečnostnom manažmente pôsobí si vzájomne rozumela a by sme si pod daným pojmov vedeli čo najvernejšie predstaviť to, čo autor ním chcel vyjadriť a v konečnom dôsledku to, čo popisuje.
2. Základná bezpečnostná pravda
Základnou bezpečnostnou pravdou, na ktorej sa zhodla väčšina zainteresovaných je, že RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.
Táto formulácia vyjadruje, že sa snažíme vyjadriť vhodnú interpretáciu miery, ktorá bude čo najvernejšie popisovať, čo sa môže stať (a stane), keď premenné tohto funkcionálu 1 dosiahnu určité hodnoty. Riziko môžeme chápať ako pravdepodobnosť, alebo inú hodnotu v metrike, ktorú si zvolíme a ktorá bude korešpondovať s objektívnou realitou a dovolí nám vyslovovať súdy o hodnote – miere dopadov, ktoré nám hrozia.
Základná bezpečnostná pravda zahŕňa vonkajšie aj vnútorné podmienky vzniku bezpečnostnej udalosti. Vonkajšia podmienka je HROZBA. Vnútorná podmienka je ZRANITEĽNOSŤ. Subjektom procesu je AKTÍVUM, ktoré je vystavené HROZBE a je ZRANITEĽNÉ. Výsledkom útoku HROZBY, ktorá využila ZRANITEĽNOSŤ a pôsobí na AKTÍVUM je DOPAD. Pri podrobnejšom skúmaní procesov bezpečnostnej udalosti by sme dospeli ku ďalším pojmom, ako napr. ODOLNOSŤ.
Vychádzajme z pojmu BEZPEČNOSŤ. BEZPEČNOSŤ je cit.: “Stav spoločenského, prírodného, technického, technologického systému alebo iného systému, ktorý v konkrétnych vnútorných a vonkajších podmienkach umožňuje plnenie určených funkcií a ich rozvoj v záujme človeka a spoločnosti“ 2 . Kritická poznámka: BEZPEČNOSŤ nemôže byť stav! Je to dynamický proces, ktorého parametre sú pravdepodobnostného charakteru. Je to teda PROCES. Bezpečnosť je proces, ktorý má určité hranice minimálnej a maximálne reálne dosiahnuteľnej bezpečnosti. To znamená, že existuje nenulová tolerancia narušenia nominálneho stavu. Systém musí byť projektovaný a vyhotovený (usporiadaný) tak, aby dokázal fungovať aj pri vychýlení z tohto rovnovážneho stavu v rozsahu vyššie uvedených min a max hodnôt. Tieto faktory môžeme nazvať ako ODOLNOSŤ 3 .
V ďalšom texte budeme polemizovať o časti základnej bezpečnostnej pravdy o pojme RIZIKO.
3. Riziko
Keď si vypožičiame bonmot o tom, čo je to inteligencia, že je to to, čo sa meria inteligenčným kvocientom, potom riziko je to, čo určíme rizikovou analýzou.
Riziko je cit.: „Miera ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami“ 4 . Ďalšia definícia cit.: „Rizikom (rozumieme) potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu“ 5 . V tejto vete je merateľnou premennou iba „pravdepodobnosť výskytu...“. Ostatok je nemerateľný. Ako je potom možné stanoviť riziko v oblasti napr. kybernetickej bezpečnosti?
Existujú odvážnejšie definície, z ktorých pravdepodobne pramení aj vyššie popísané tvrdenie:
[1]
Predstavme si príklad podľa vzťahu [1]:
Pravdepodobnosť, že lietadlo „padne“ je 1 pád na 2 až 3 milióny letov (bez rozdielu vzdialenosti) 6 . Pravdepodobnosť nehody na jeden let je teda (počítajme variant, že 2 milióny letov):
- R je riziko,
- P pravdepodobnosť (probability), že bezpečnostný incident nastane,
- C miera dopadu (consequence) (často sa myslí iba „negatívneho“).
Predstavme si príklad podľa vzťahu [1]:
Pravdepodobnosť, že lietadlo „padne“ je 1 pád na 2 až 3 milióny letov (bez rozdielu vzdialenosti) 6 . Pravdepodobnosť nehody na jeden let je teda (počítajme variant, že 2 milióny letov):
[2]
Ak by celková škoda vyčíslená v peniazoch (C) bola napr. 50 mil. peňazí (veľké lietadlo, veľa obetí, strata Goodwill leteckej spoločnosti...), potom podľa [1] by sme nemali si sadnúť do žiadneho lietadla.
Správne, vo vzťahu [1] chýba ďalší rozmer úvah a tým je čas . Pravdepodobnosť, že sa stane bezpečnostný incident musíme merať v čase, t.j. ak je pravdepodobnosť, že dôjde ku narušeniu napr. perimetra digitálneho sveta (kybernetickej bezpečnosti siete) napr. 0,5, oprávnene sa pýtame: „Za akú dobu“? Rozhodne vzťah [1] nie je ten najlepší. O niečo lepší by bol prístup Bayesovskej štatistiky, kde je riziko definované ako očakávaná hodnota stratovej funkcie. Ešte je tu oblasť financií, kde sa často používa Value at Risk (VaR), ktorý udáva maximálnu očakávanú stratu pri danej hladine spoľahlivosti.
V teórii pravdepodobnosti sa často spoliehame na tzv. rozloženie pravdepodobnosti výskytu nejakej hodnoty. V bezpečnostných aplikáciách je lepšie použiť Poissonove rozloženia ako Gaussove, lebo procesy bezpečnosti sú zaťažené „šumom“, t.j. pôsobí väčší počet faktorov, ktoré majú tiež pravdepodobnostný charakter.
Použime Poissonovský prístup (hľadáme pravdepodobnosť udalosti v čase):
Ak predpokladáme, že udalosť sa vyskytuje náhodne s priemernou intenzitou �55349;�57094; (počet udalostí za jednotku času), potom pravdepodobnosť, že udalosť sa stane práve k-krát za časový interval �55349;�56417;, je daná Poissonovým rozdelením:
Správne, vo vzťahu [1] chýba ďalší rozmer úvah a tým je čas . Pravdepodobnosť, že sa stane bezpečnostný incident musíme merať v čase, t.j. ak je pravdepodobnosť, že dôjde ku narušeniu napr. perimetra digitálneho sveta (kybernetickej bezpečnosti siete) napr. 0,5, oprávnene sa pýtame: „Za akú dobu“? Rozhodne vzťah [1] nie je ten najlepší. O niečo lepší by bol prístup Bayesovskej štatistiky, kde je riziko definované ako očakávaná hodnota stratovej funkcie. Ešte je tu oblasť financií, kde sa často používa Value at Risk (VaR), ktorý udáva maximálnu očakávanú stratu pri danej hladine spoľahlivosti.
V teórii pravdepodobnosti sa často spoliehame na tzv. rozloženie pravdepodobnosti výskytu nejakej hodnoty. V bezpečnostných aplikáciách je lepšie použiť Poissonove rozloženia ako Gaussove, lebo procesy bezpečnosti sú zaťažené „šumom“, t.j. pôsobí väčší počet faktorov, ktoré majú tiež pravdepodobnostný charakter.
Použime Poissonovský prístup (hľadáme pravdepodobnosť udalosti v čase):
Ak predpokladáme, že udalosť sa vyskytuje náhodne s priemernou intenzitou �55349;�57094; (počet udalostí za jednotku času), potom pravdepodobnosť, že udalosť sa stane práve k-krát za časový interval �55349;�56417;, je daná Poissonovým rozdelením:
[3]
Pomocou tohto matematického modelu a nášho príkladu, by sme vypočítali, že pravdepodobnosť, že žiadna nehoda nenastane je približne ≈0.99995 a pravdepodobnosť, že aspoň jedna nastane (doplnok do jednej) ≈0.00005.
Takýmto matematickým inštrumentáriom by sme dokázali pomerne presne predpokladať, s akou pravdepodobnosťou a za aký časový úsek sa stane bezpečnostný incident (aj koľko krát sa bude opakovať v danom časovom intervale). Zostáva otázka s akou pravdepodobnosťou v určitom časovom intervale sa táto udalosť stane. Prvý výskyt?
Ak nás zaujíma pravdepodobnosť, že udalosť sa nestane až do času t, použijeme exponenciálne rozdelenie, ktoré modeluje čas do prvej udalosti:
- k je počet výskytov udalosti v čase t,
- λ je priemerný počet udalostí za jednotku času,
- t je dĺžka časového intervalu.
Pomocou tohto matematického modelu a nášho príkladu, by sme vypočítali, že pravdepodobnosť, že žiadna nehoda nenastane je približne ≈0.99995 a pravdepodobnosť, že aspoň jedna nastane (doplnok do jednej) ≈0.00005.
Takýmto matematickým inštrumentáriom by sme dokázali pomerne presne predpokladať, s akou pravdepodobnosťou a za aký časový úsek sa stane bezpečnostný incident (aj koľko krát sa bude opakovať v danom časovom intervale). Zostáva otázka s akou pravdepodobnosťou v určitom časovom intervale sa táto udalosť stane. Prvý výskyt?
Ak nás zaujíma pravdepodobnosť, že udalosť sa nestane až do času t, použijeme exponenciálne rozdelenie, ktoré modeluje čas do prvej udalosti:
[4]
Ak by sa niekomu chcelo dokončiť náš príklad, potom sa dopočíta, že pravdepodobnosť, že udalosť sa stane do dvoch rokov je ≈0.632.
4. Riziko v praxi
Ukázali sme si, že existujú pomerne presné, ale tiež zložité matematické prístupy na stanovenie (výpočet) hodnoty parametru RIZIKO. Pre bežnú bezpečnostnú prax je ale tento prístup neobratný, najmä pre objekty s nižším stupňom dôležitosti. Pre objekty s vysokým rizikom (napr. objekty jadrového priemyslu) sa používajú špecifické (často utajované) metodiky.
V praxi sa dajú použiť hotové softvérové nástroje na hodnotenie rizika, ktorých je veľké množstvo. Je možné použiť aj vlastný model analýzy rizík, potom je potrebné uvážiť najmä:
Poznámky
Zdroj: Sivák, Jaroslav. “RISKANTNE O RIZIKU.” Decent Cybersecurity, Marec 16, 2025. https://decentcybersecurity.eu/bezpecnostne-rizika-interpretacia/#0ff66d24-3c45-4541-a685-97bd3424f392. Dostupné: 27. 3. 2025
4. Riziko v praxi
Ukázali sme si, že existujú pomerne presné, ale tiež zložité matematické prístupy na stanovenie (výpočet) hodnoty parametru RIZIKO. Pre bežnú bezpečnostnú prax je ale tento prístup neobratný, najmä pre objekty s nižším stupňom dôležitosti. Pre objekty s vysokým rizikom (napr. objekty jadrového priemyslu) sa používajú špecifické (často utajované) metodiky.
V praxi sa dajú použiť hotové softvérové nástroje na hodnotenie rizika, ktorých je veľké množstvo. Je možné použiť aj vlastný model analýzy rizík, potom je potrebné uvážiť najmä:
- Významnosť organizácie/systému, jej atraktívnosť pre útočníka. Je však nevyhnuté prísne zvažovať možnosť, že organizácia/systém bude použitá iba ako prvý článok útoku, resp. ako manéver na odpútanie pozornosti.
- Stanoviť hodnoty dopadov, ktoré sú pre organizáciu prijateľné (dokáže ich pokryť svojou zdrojovou kapacitou) a neprijateľné. Je vhodné vypracovať diferencovanú štruktúru dopadov.
- Ostatné parametre (aktíva, hrozby, zraniteľnosti) určiť podľa bezpečnostnej analýzy.
- Stanoviť škálu posudzovania rizika (číselnú, alebo popisnú). Vypočítať, alebo určiť hodnoty rizika na tejto škále.
- Najdôležitejším krokom je interpretácia hodnoty rizika z ktorej vyplynie hladina prijateľného rizika.
- Stanoviť manažment rizika, ktoré je neprijateľné a je potrebné ho pokryť obrannými opatreniami.
Poznámky
- Funkcionál je matematický pojem – je to funkcia, ktorá má ako vstup funkciu a vracia číslo.
- Terminologický slovník krízového riadenia. Bezpečnostná rada Slovenskej republiky. Bratislava 2017. s.8
- Tamtiež. s.24
- Tamtiež. s.26
- Zákon 366/2024 Z.z. o kybernetickej bezpečnosti. Zbierka zákonov Slovenskej republiky §3, písm.i)
- https://asn.flightsafety.org/
Zdroj: Sivák, Jaroslav. “RISKANTNE O RIZIKU.” Decent Cybersecurity, Marec 16, 2025. https://decentcybersecurity.eu/bezpecnostne-rizika-interpretacia/#0ff66d24-3c45-4541-a685-97bd3424f392. Dostupné: 27. 3. 2025
The Critical Infrastructure Association of the Slovak Republic continues its series of articles introducing both the public and the professional community to the individual sectors of critical infrastructure as defined by Act No. 367/2025 Coll. on Critical Infrastructure and on Amendments to Certain Acts. Following sectors such as energy, transport and finance, we now turn to a sector that is part of the daily life of citizens as well as the functioning of the state – postal services.
Asociácia kritickej infraštruktúry Slovenskej republiky pokračuje v sérii článkov, ktorými verejnosti aj odbornej obci predstavuje jednotlivé sektory kritickej infraštruktúry definované zákonom č. 367/2025 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov. Po sektoroch ako energetika, doprava či financie sa tentoraz venujeme sektoru, ktorý je súčasťou každodenného života občanov aj fungovania štátu – poštovým službám.
Until recently, the security of critical infrastructure was associated mainly with the protection of physical facilities, energy sources, or state systems. Today, however, it is increasingly clear that the real vulnerability often lies outside the organisation itself: in its supply chains, technology partners, and external services.
Ešte donedávna sa bezpečnosť kritickej infraštruktúry spájala najmä s ochranou fyzických objektov, energetických zdrojov či štátnych systémov. Dnes však čoraz jasnejšie vidíme, že skutočná zraniteľnosť sa často nachádza mimo samotnej organizácie: v jej dodávateľských reťazcoch, technologických partneroch a externých službách.
V januári 2024 zamestnanec finančnej spoločnosti v Hongkongu uskutočnil prevod v hodnote 25 miliónov amerických dolárov. Urobil tak po videokonferencii s finančným riaditeľom a kolegami z centrály, ktorá pôsobila úplne autenticky. Na konferencii však bol jediný skutočný človek on sám. Ostatní účastníci boli deepfake repliky vygenerované generatívnou umelou inteligenciou na základe verejne dostupných záznamov. Tento prípad, zdokumentovaný hongkonskou políciou, neoznámil príchod novej hrozby. Oznámil, že hrozba je už tu a funguje v produkčnom režime.
The Critical Infrastructure Association of the Slovak Republic is proud to present the success of two of its members, Decent Cybersecurity s. r. o. and FREQUENTIS Solutions & Services s. r. o., which have jointly secured funding for the four-year research and development project COSMOS-SECURE. The project, with total eligible expenditures of EUR 4,144,273.37 and a requested non-repayable financial contribution of EUR 2,981,048.65, focuses on an area that, until recently, belonged mainly to major space agencies: secure voice communication between ground stations, satellites, and spacecraft crews in an era when quantum computers are beginning to challenge the existing foundations of cryptography.
Asociácia kritickej infraštruktúry Slovenskej republiky s hrdosťou predstavuje úspech dvoch svojich členov, spoločností Decent Cybersecurity s. r. o. a FREQUENTIS Solutions & Services s. r. o., ktoré spoločne získali financovanie pre štvorročný výskumno-vývojový projekt COSMOS-SECURE. Projekt s celkovými oprávnenými výdavkami vo výške 4 144 273,37 € a požadovanou výškou nenávratného finančného príspevku 2 981 048,65 € sa zameriava na to, čo bolo donedávna doménou veľkých vesmírnych agentúr: bezpečnú hlasovú komunikáciu medzi pozemnými strediskami, satelitmi a posádkami vesmírnych lodí v ére, keď kvantové počítače začínajú spochybňovať existujúce kryptografické základy.
The Slovak Republic is in the final phase of a process that is fundamentally changing the approach to the protection of critical infrastructure. In accordance with Act No. 367/2024 Coll. on Critical Infrastructure, the list of entities that will be officially identified as critical for the functioning of the state is to be completed in July 2026. This step represents one of the most important milestones in the implementation of the new regulatory framework, the aim of which is to increase the resilience of key systems to crises, cyber threats and service outages. A new framework of responsibility Inclusion among the critical entities will not be of a merely formal nature. For the organisations concerned, it will mean the introduction of precisely defined obligations in the area of risk management, security measures, incident management and the very continuity of the provision of essential services within the meaning of the Act. For many entities, this represents a fundamental change in the approach to security, which will require systematic preparation even before the actual inclusion in the list. Growing interest of companies in the regulation Already in this period it is evident that potentially affected entities are beginning to intensively follow the development of the legislation and of the implementing rules being prepared. The reason is the need to set up internal processes in good time, so that the transition to the new regime can take place without major operational complications. The growing demanding nature of the requirements is at the same time increasing the demand for expert guidance and methodological support. The role of the Critical Infrastructure Association of the Slovak Republic In this context, the Critical Infrastructure Association of the Slovak Republic (AKI SR) plays a significant role, as it has long been creating a professional platform for cooperation between the state sector, regulators and operators of essential services across all sectors of critical infrastructure, such as for example energy, transport, healthcare or digital infrastructure. As Tibor Straka, President of AKI SR, states: “The process of identifying critical entities is not merely a legislative obligation. It is the moment that determines how resilient the state will be in real crisis situations.” The Association points out in this connection that the period before the final inclusion in the list is the most important one for organisations from the point of view of preparation and adaptation. Room for timely preparation Companies that may be part of the list of critical entities currently have a unique opportunity to prepare for the new obligations systematically and well in advance. In this area, AKI SR provides expert support, methodological guidance and a platform for the sharing of experience between the individual sectors. Cooperation as the foundation of resilience The implementation of the new system for the protection of critical infrastructure will be successful only if it is built on close cooperation between the public and the private sector. In this respect, AKI SR is developing a systematic dialogue with the central bodies of state administration that exercise state administration in the individual segments of critical infrastructure. With many of them, the Association has concluded memoranda of cooperation, which makes possible a more effective interconnection of expert capacities, the exchange of information and coordination in addressing key security topics. In the process, AKI SR thus acts as a natural communication and expert bridge between the regulator and the entities of critical infrastructure, while helping to connect legislative requirements with their practical implementation in the individual sectors. A new stage in the protection of critical systems The finalisation of the list of critical entities in July 2026 represents a fundamental step in the modernisation of the system for strengthening the resilience of critical infrastructure in Slovakia. The new legislative framework sets clearer rules, but at the same time significantly raises the demands placed on the preparedness of the organisations concerned. The outcome of the entire process will depend on how well it is possible to align the regulation with the reality of the operation of critical entities.
Slovenská republika sa nachádza v záverečnej fáze procesu, ktorý zásadne mení prístup k ochrane kritickej infraštruktúry. V súlade so zákonom č. 367/2024 Z. z. o kritickej infraštruktúre má byť v júli 2026 dokončený zoznam subjektov, ktoré budú oficiálne identifikované ako kritické pre fungovanie štátu. Tento krok predstavuje jeden z najdôležitejších míľnikov implementácie nového regulačného rámca, ktorý má za cieľ zvýšiť odolnosť kľúčových systémov voči krízam, kybernetickým hrozbám a výpadkom služieb. Nový rámec zodpovednosti Zaradenie medzi kritické subjekty nebude mať len formálny charakter. Pre dotknuté organizácie bude znamenať zavedenie presne definovaných povinností v oblasti riadenia rizík, bezpečnostných opatrení, incident manažmentu a samotnej kontinuity poskytovania základných služieb v zmysle zákona. Pre mnohé subjekty ide o zásadnú zmenu prístupu k bezpečnosti, ktorá si bude vyžadovať systematickú prípravu ešte pred samotným zaradením do zoznamu. Zvyšujúci sa záujem firiem o reguláciu Už v tomto období je zrejmé, že potenciálne dotknuté subjekty začínajú intenzívne sledovať vývoj legislatívy a pripravovaných vykonávacích pravidiel. Dôvodom je potreba včas nastaviť interné procesy tak, aby prechod do nového režimu prebehol bez zásadných prevádzkových komplikácií. Rastúca náročnosť požiadaviek zároveň zvyšuje dopyt po odbornom vedení a metodickej podpore. Úloha Asociácie kritickej infraštruktúry SR V tomto kontexte zohráva významnú rolu Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) , ktorá dlhodobo vytvára odbornú platformu pre spoluprácu medzi štátnym sektorom, regulátormi a prevádzkovateľmi základných služieb naprieč všetkými sektormi kritickej infraštruktúry, ako je napríklad energetika, doprava, zdravotníctvo či digitálna infraštruktúra. Ako uvádza prezident AKI SR Tibor Straka: „Proces identifikácie kritických subjektov nie je len legislatívna povinnosť. Je to moment, ktorý určuje, ako odolný bude štát v reálnych krízových situáciách.“ Asociácia v tejto súvislosti upozorňuje, že obdobie pred finálnym zaradením do zoznamu je pre organizácie najdôležitejšie z hľadiska prípravy a adaptácie. Priestor na včasnú prípravu Firmy, ktoré môžu byť súčasťou zoznamu kritických subjektov, majú v súčasnosti jedinečnú príležitosť pripraviť sa na nové povinnosti systematicky a s dostatočným predstihom. AKI SR v tejto oblasti poskytuje odbornú podporu, metodické usmernenia a platformu na zdieľanie skúseností medzi jednotlivými sektormi. Spolupráca ako základ odolnosti Implementácia nového systému ochrany kritickej infraštruktúry bude úspešná len vtedy, ak bude postavená na úzkej spolupráci medzi verejným a súkromným sektorom. V tomto smere AKI SR rozvíja systematický dialóg s ústrednými orgánmi štátnej správy, ktoré vykonávajú štátnu správu na jednotlivých úsekoch kritickej infraštruktúry. S mnohými z nich má asociácia uzatvorené memorandá o spolupráci, čo umožňuje efektívnejšie prepájanie odborných kapacít, výmenu informácií a koordináciu pri riešení kľúčových bezpečnostných tém. AKI SR tak v procese vystupuje ako prirodzený komunikačný a odborný most medzi regulátorom a subjektami kritickej infraštruktúry, pričom pomáha prepájať legislatívne požiadavky s ich praktickou implementáciou v jednotlivých sektoroch. Nová etapa ochrany kritických systémov Finalizácia zoznamu kritických subjektov v júli 2026 predstavuje zásadný krok v modernizácii systému zvyšovania odolnosti kritickej infraštruktúry na Slovensku. Nový legislatívny rámec nastavuje jasnejšie pravidlá, ale zároveň výrazne zvyšuje nároky na pripravenosť dotknutých organizácií. Výsledok celého procesu bude závisieť od toho, ako dobre sa podarí zosúladiť reguláciu s realitou prevádzky kritických subjektov.
In August 2023, something happened on the Polish railways that until then had belonged to the realm of scenarios, not reality. Unknown actors abused the radio system for emergency stopping (radio-stop) and transmitted a signal that brought more than 20 trains to a halt in various regions of the country. The attack required no access to digital systems and no sophisticated malware. A radio transmitter and knowledge of publicly available tones were enough. It was a demonstration of why rail transport ranks among the most complex categories of critical infrastructure. It brings together older analogue and radio technology with contemporary IT and OT systems, and each of these layers has its own vulnerabilities.