Bezpečnostní role a jejich zavádění podle nového kyberzákona

NIS2 v Česku, zlom v kyberbezpečnosti dorazí letos
S novým zákonem o kybernetické bezpečnosti dle směrnice NIS2 se budou muset společnosti vypořádat s povinným zaváděním nových bezpečnostních rolí. O jaké role se jedná a jaké budou mít povinnosti?
Bezpečnostní role ve vyšším a nižším režimu

Společnosti a organizace, které spadnou do vyššího režimu povinností podle připravovaného zákona o kybernetické bezpečnosti,  budou mít osoby zastávající role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti a garanty aktiv. Vrcholové vedení potom bude mít povinnost tyto osoby určit. To určuje pro vyšší režim návrh § 14 odst. 1 písm. a) bod 3 NzKB., kdy daná povinnost je tzv. organizačním opatřením. Bezpečnostní role budou detailněji rozvedeny ve vyhlášce o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. 

Naopak pokud se vaše společnost samoidentifikuje, že naplňuje kritéria nižšího režimu povinností musí mít tzv. odpovědnou osobu za kybernetickou bezpečnost a garanty aktiv. Vychází zde ze stanovení bezpečnostních rolí a pro nižší režim v návrhu § 14 odst. 2 písm. a), c) a e) NzKB a dále z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. V rámci nižšího režimu není sice garant aktiva výslovně zmíněn jako povinná bezpečnostní role, v rámci řízení aktiv, je však nepostradatelný, a proto by na něj společnosti ani v tomto režimu neměly zapomenout.

Každá z uvedených bezpečnostních rolí musí splňovat požadavky stanovené vyhláškami a doporučuje se řídit i její přílohou, která tyto role ještě více rozvádí. Je na zvážení každé společnosti, zda zmíněné role bude zavádět interně, nebo zda se rozhodne pro outsourcing rolí, protože se může také stát, že ve společnosti nebude nikdo, kdo by kritéria splňoval. V každém případě je doporučované, aby osoby pověřené danou funkcí naplnily kritéria, která budou uvedena v přílohách vyhlášek k novému zákonu o kybernetické bezpečnosti. Více o jednotlivých rolích se dočtete níže.

Nabízíme outsourcing rolí

Hledáte spolehlivého partnera, který zajistí ochranu vašich digitálních aktiv? Specializujeme se na outsourcing těchto klíčových rolí: manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti.
Manažer kybernetické bezpečnosti

Manažer kybernetické bezpečnosti je podle nové právní úpravy zásadní bezpečnostní rolí. Je to osoba, která bude odpovědná za dodržování pravidel systému řízení bezpečnostiinformací, je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí (minimálně 1 rok) či studiem na vysoké škole. 

Jeho úkolem je odpovídat za celkový stav kybernetické bezpečnosti. Měl by mít dobrý přehled o společnosti a komplexní znalosti týkající se nejen oblasti ICT, ale i celkového provozu, aby byla podchycena i kontinuita činností (tzv. BCP, DRP). Dále by měl být schopný řídit rizika a interpretovat výsledky řízení rizik směrem k vedení společnosti.  

Manažer kybernetické bezpečnosti zároveň nesmí být pověřen výkonem rolí odpovědných za provoz dané regulované služby nebo nesmí být odpovědný za provoz informačního a komunikačního systému společnosti. A pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet.

Obecně můžeme shrnout, že manažer kybernetické bezpečnosti:

V praxi si lze roli manažera kybernetické bezpečnosti představit například při řízení změn.

Prvotní fází procesu je vytvořit požadavek na změnu. Předmětem této fáze je definovat detailní rozsah služeb a/nebo jiných prostředků, které jsou obsahem požadavku. Následně manažer kybernetické bezpečnosti ve spolupráci s architektem kybernetické bezpečnosti nebo garantem aktiva a iniciátorem požadavku provedou přezkoumání možných dopadů změny na informační a kybernetickou bezpečnost organizace. V rámci řízení změn tak manažer kybernetické bezpečnosti hraje klíčovou roli, stejně jako při rozhodnutí o provedení penetračního testování významných změn. Nebo i v rámci vytváření plánu testování významných změn, kdy manažer kybernetické bezpečnosti spolupracuje s garantem aktiva, kterého se daná změna dotýká či s dodavatelem.

Architekt kybernetické bezpečnosti

Návrh a realizace bezpečnostních opatření je úkolem architekta kybernetické bezpečnosti. Architekt má na starosti návrh bezpečné architektury regulované služby (např. od infrastruktury až po bezpečnost na aplikační úrovni) a její provedení v praxi. V organizaci může být více architektů, kteří se specializují na různé oblasti. 

Architekt kybernetické bezpečnosti by měl mít zkušenosti s bezpečnostními opatřeními a také by měl mít minimálně roční praxi v oboru. Zároveň architektem nemůže být osoba odpovědná za provoz informačních a komunikačních systémů společnosti. 

Role architekta kybernetické bezpečnosti má zejména tato práva a povinnosti:

Auditor kybernetické bezpečnosti

Auditor kybernetické bezpečnosti je odpovědný za provádění auditu kybernetické bezpečnosti. Jeho role spočívá v hodnocení souladu realizovaných bezpečnostních opatření s požadavky, poskytování nezávislé zpětné vazby o účinnosti systému bezpečnosti informací a zpracování závěrů a dokumentace výsledků. 

Auditor musí znát relevantní právní předpisy, procesy a postupy interních auditů dané společnosti. Pro výkon této role je třeba prokázat odbornou způsobilost a minimálně roční praxi. Auditor kybernetické bezpečnosti nesmí být pověřen výkonem rolí odpovědných za provoz dané regulované služby nebo nesmí být odpovědný za provoz informačních a komunikačních systémů. 

Role auditora kybernetické bezpečnosti je oddělena od výkonu dalších bezpečnostních rolí a není slučitelná s rolemi odpovědnými za provoz informačních systémů. Auditor kybernetické bezpečnosti:

Garant aktiva

Garanti aktiv zajišťují, že aktiva společnosti jsou chráněna před různými hrozbami, jako jsou kybernetické útoky, phishing, ztráta, odcizení nebo poškození aktiva nebo narušení fyzické bezpečnosti, a to zejména definicí požadavků na bezpečnost.

Tato bezpečnostní role je odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva obvykle spolupracuje s ostatními odděleními společnosti, jako jsou IT, právní oddělení a vedení organizace, aby zajistil efektivní ochranu aktiv a plnění příslušných regulačních požadavků. 

Garanta aktiv nelze outsourcovat. Ideálně by touto rolí měla být pověřena interní osoba, která má dané aktivum pod palcem“, nemusí však umět vše ohledně tohoto aktiva sama „opravit“. Společnost má zpravidla více aktiv, a proto i více garantů. Garanti aktiv jsou totiž určováni na základě svého pracovního zařazení a procesních a odborných znalostí daného aktiva. Pro účely řízení aktiv musí být garant aktiva schopen na základě možných dopadů aktivum ohodnotit.

Garant aktiva:

Odpovědná osoba

V rámci nižšího režimu povinností roli manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, ani auditora kybernetické bezpečnosti nenajdeme. Povinností společností je však určit osobu odpovědnou za kybernetickou bezpečnost. Tuto roli najdeme v rámci povinnosti společností v rámci systému zajišťování minimální kybernetické bezpečnosti, nejedná se o samostatnou povinnost jako v případě vyššího režimu.

Určená odpovědná osoba musí bez zbytečného odkladu absolvovat odborné školení, které bude mít teoretickou i praktičkou část a musí prokázat odbornou způsobilost v oblasti kybernetické bezpečnosti.

Osoba odpovědná za kybernetickou bezpečnost pak udržuje aktuální bezpečnostní politiky, provádí kontrolní činnost v oblasti bezpečnosti informací a tu i metodicky usměrňuje a je tak zodpovědná za zavedení bezpečnostních opatření. Tato role pak mimo jiné i předkládá plán rozvoje bezpečnostního povědomí vedení společnosti ke schválení. Tento plán následně i vyhodnocuje.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.

Další články

Plány jako jsou BCP, DRP nebo plán zvládání rizik zajišťují kybernetickou bezpečnost a pomáhají udržet kontinuitu činností. Co by měly obsahovat?
Pusťte si podcast s Katkou Hůtovou, která vás provede připravovanými změnami podle nového zákona o kybernetické bezpečnosti.
Krizová komunikace během kybernetického útoku by měla být rychlá, transparentní a konzistentní, aby minimalizovala škody a udržela důvěru všech zainteresovaných stran. Jak na to?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.