- Kateřina Kubíková
Legislativní proces schvalování nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek pokračuje. I když se v aktuálním návrhu mohou objevit změny, není pravděpodobné, že by z něj úplně zmizela odpovědnost managementu za kybernetickou bezpečnost. Na co by se tedy vrcholné vedení společností mělo připravit a za co bude zodpovědné?
Kdo patří mezi vrcholové vedení?
Nové požadavky, vyplývající především ze směrnice NIS2, znamenají, že vrcholné vedení bude mít větší odpovědnost za zajišťování kybernetické bezpečnosti než doposud. Odpovědnost nebude pouze na společnosti, ale i na samotném vrcholném vedení. Kdo vše spadá pod vrcholné vedení? Na to odpovídají návrhy vyhlášek tak, že vrcholným vedením je statutární orgán nebo jiná osoba nebo skupina osob v obdobném postavení. Jak široký bude tento výklad ještě ukáže praxe.
Požadavky na vrcholné vedení jsou bezpečnostním opatřením pro poskytovatele regulovaných služeb v režimu vyšších i nižších povinností.
Odpovědnost managementu ve vyšším režimu povinností
Na vrcholné vedení v rámci poskytovatele regulované služby v režimu vyšších povinností bude dopadat mnoho požadavků.
Absolvovat školení v kybernetické bezpečnosti
Management se bude muset prokazatelně školit, tak aby měl základní znalosti o oblasti, kterou řídí. Školení by mělo být v souladu s plánem rozvoje bezpečnostního povědomí a vrcholné vedení musí být poučeno o svých povinnostech a o bezpečnostní politice (zejména v oblasti systému řízení bezpečnosti informací (ISMS) a řízení rizik).
Zajistit stanovení bezpečnostní politiky a cílů ISMS, integraci ISMS do procesů společnosti, dostupnost zdrojů potřebných pro ISMS a podporovat dosažení cílů ISMS
Vrcholné vedení nemusí tyto bezpečnostní politiky a cíle stanovovat samo, musí však zajistit, že budou stanoveny, stejně jako zajistit integraci ISMS do procesů společnosti. Vyhláška klade důraz na zajištění zdrojů a podpory k dosažení cílů ISMS. Kybernetická bezpečnost nemá být jen okrajovou záležitostí, ale společnost se má na její zajištění zaměřit a věnovat jí zdroje.
Informovat zaměstnance o významu ISMS a významu dosažení souladu s jeho požadavky se všemi dotčenými stranami, dále vést zaměstnance k rozvíjení efektivity ISMS a prosazovat neustálé zlepšování ISMS
Vyhláška zdůrazňuje, že kromě zajištění zdrojů a podpory bude mít povinnost vrcholné vedení šířit důležitost kybernetické bezpečnosti uvnitř společnosti. Management má vést a podporovat zaměstnance k rozvíjení efektivity ISMS. Neustálé zlepšování je základní princip kybernetické bezpečnosti, jelikož tato oblast se velmi rychle vyvíjí a je nutné na ni nezapomínat.
Podílet se na vypracování analýzy dopadů
Součástí řízení kontinuity činností je i provedení analýzy dopadů, která pomáhá stanovit priority při aktivaci plánu kontinuity činností a plánech obnovy. Analýza dopadů je pro společnosti velmi důležitá a neobejde se bez součinnosti vrcholného vedení, které pak může dělat efektivní rozhodnutí.
Zajistit testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů
Plány kontinuity a obnovy nestačí jen vytvořit, ale je nezbytné je i testovat a udržovat aktuální. Závazek za zajištění provádění těchto testů je také udělen managementu.
Zajistit a podporovat bezpečností role ve společnosti
Vrcholné vedení má podporovat osoby zastávající bezpečností role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti. Zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečností role. A v neposlední řadě zajistit, aby byla zachována mlčenlivost u všech relevantních osob (zejména administrátorů, osob zastávajících bezpečností role a dodavatelů).
Prokazatelně se seznamovat s bezpečnostní dokumentací a výstupy
Management se bude muset seznámit se zprávou o přezkoumání systému řízení bezpečnosti informací, zprávou o hodnocení rizik a výsledky analýzy dopadů, kterou zpracovává manažer kybernetické bezpečnosti. Dále s výsledky auditů kybernetické bezpečnosti a jiných kontrol v oblasti kybernetické bezpečnosti.
Určit složení výboru pro řízení kybernetické bezpečnosti
Výbor pro řízení kybernetické bezpečnosti se skládá z osob s potřebnými pravomocemi a odbornými znalostmi pro celkové řízení a rozvoj ISMS. Zahrnuje také osoby, které se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností. Členem výboru musí být alespoň jeden zástupce vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti.
Odpovědnost managementu v nižším režimu povinností
Oproti požadavkům na vrcholné vedení ve vyšším režimu, je na management v nižším režimu kladeno požadavků viditelně méně.
Absolvovat školení a být poučeno o svých povinnostech
Vrcholné vedení by vzhledem k zajištění kybernetické bezpečnosti mělo být prokazatelně poučeno o povinnostech a rozsahu odpovědnosti. Nezbytné bude také prokazatelně pravidelně absolvovat školení o bezpečnostní politice a zajišťování kybernetické bezpečnosti.
Zajistit dostupnost zdrojů
Management, stejně jako v rámci vyššího režimu, bude muset v souladu s přehledem bezpečnostních opatření zajistit dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti.
Seznamovat se se stavem plnění bezpečnostních opatření
Cílem této povinnosti vedení je prokazatelně se seznámit s přehledem bezpečnostních opatření. Ten má dle vyhlášky obsahovat alespoň přehled všech bezpečnostních opatření, která byla společností zavedena, která budou zavedena a která nebyla zavedena.
Jak získávat potřebné informace o dění ve společnosti?
Ve vyšším režimu je pro vrcholné vedení stanoveno mnoho požadavků. V rámci vyhlášky jsou stanoveny i odpovědnosti managementu v rámci ISMS. Manažer kybernetické bezpečnosti bude odpovědný za jeho pravidelné informování o stavu ISMS a o činnostech, které vyplývají z jeho odpovědnosti. Vrcholné vedení by tak mělo dostávat potřebné informace díky pravidelnému reportování a komunikaci s manažerem kybernetické bezpečnosti.
V nižším režimu pak tuto informovanost má zajistit bezpečnosti role „osoba odpovědná za kybernetickou bezpečnost“.
A opravdu je to nutné řešit? Co managementu hrozí v případě neplnění požadavků, se podíváme v dalším článku.
