Odpovědnost vedení společnosti za kybernetickou bezpečnost – co se chystá nového?

Odpovědnost vedení společnosti za kybernetickou bezpečnost
Legislativní proces schvalování nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek pokračuje. I když se v aktuálním návrhu mohou objevit změny, není pravděpodobné, že by z něj úplně zmizela odpovědnost managementu za kybernetickou bezpečnost. Na co by se tedy vrcholné vedení společností mělo připravit a za co bude zodpovědné?
Kdo patří mezi vrcholové vedení?

Nové požadavky, vyplývající především ze směrnice NIS2, znamenají, že vrcholné vedení bude mít větší odpovědnost za zajišťování kybernetické bezpečnosti než doposud. Odpovědnost nebude pouze na společnosti, ale i na samotném vrcholném vedení. Kdo vše spadá pod vrcholné vedení? Na to odpovídají návrhy vyhlášek tak, že vrcholným vedením je statutární orgán nebo jiná osoba nebo skupina osob v obdobném postavení. Jak široký bude tento výklad ještě ukáže praxe.

Požadavky na vrcholné vedení jsou bezpečnostním opatřením pro poskytovatele regulovaných služeb v režimu vyšších i nižších povinností.

Odpovědnost managementu ve vyšším režimu povinností

Na vrcholné vedení v rámci poskytovatele regulované služby v režimu vyšších povinností bude dopadat mnoho požadavků.

Absolvovat školení v kybernetické bezpečnosti

Management se bude muset prokazatelně školit, tak aby měl základní znalosti o oblasti, kterou řídí. Školení by mělo být v souladu s plánem rozvoje bezpečnostního povědomí a vrcholné vedení musí být poučeno o svých povinnostech a o bezpečnostní politice (zejména v oblasti systému řízení bezpečnosti informací (ISMS) a řízení rizik).

Zajistit stanovení bezpečnostní politiky a cílů ISMS, integraci ISMS do procesů společnosti, dostupnost zdrojů potřebných pro ISMS a podporovat dosažení cílů ISMS

Vrcholné vedení nemusí tyto bezpečnostní politiky a cíle stanovovat samo, musí však zajistit, že budou stanoveny, stejně jako zajistit integraci ISMS do procesů společnosti. Vyhláška klade důraz na zajištění zdrojů a podpory k dosažení cílů ISMS. Kybernetická bezpečnost nemá být jen okrajovou záležitostí, ale společnost se má na její zajištění zaměřit a věnovat jí zdroje.

Informovat zaměstnance o významu ISMS a významu dosažení souladu s jeho požadavky se všemi dotčenými stranami, dále vést zaměstnance k rozvíjení efektivity ISMS a prosazovat neustálé zlepšování ISMS

Vyhláška zdůrazňuje, že kromě zajištění zdrojů a podpory bude mít povinnost vrcholné vedení šířit důležitost kybernetické bezpečnosti uvnitř společnosti. Management má vést a podporovat zaměstnance k rozvíjení efektivity ISMS. Neustálé zlepšování je základní princip kybernetické bezpečnosti, jelikož tato oblast se velmi rychle vyvíjí a je nutné na ni nezapomínat.

Podílet se na vypracování analýzy dopadů

Součástí řízení kontinuity činností je i provedení analýzy dopadů, která pomáhá stanovit priority při aktivaci plánu kontinuity činností a plánech obnovy. Analýza dopadů je pro společnosti velmi důležitá a neobejde se bez součinnosti vrcholného vedení, které pak může dělat efektivní rozhodnutí.

Zajistit testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů

Plány kontinuity a obnovy nestačí jen vytvořit, ale je nezbytné je i testovat a udržovat aktuální. Závazek za zajištění provádění těchto testů je také udělen managementu.

Zajistit a podporovat bezpečností role ve společnosti

Vrcholné vedení má podporovat osoby zastávající bezpečností role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti. Zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečností role. A v neposlední řadě zajistit, aby byla zachována mlčenlivost u všech relevantních osob (zejména administrátorů, osob zastávajících bezpečností role a dodavatelů).

Prokazatelně se seznamovat s bezpečnostní dokumentací a výstupy

Management se bude muset seznámit se zprávou o přezkoumání systému řízení bezpečnosti informací, zprávou o hodnocení rizik a výsledky analýzy dopadů, kterou zpracovává manažer kybernetické bezpečnosti. Dále s výsledky auditů kybernetické bezpečnosti a jiných kontrol v oblasti kybernetické bezpečnosti.

Určit složení výboru pro řízení kybernetické bezpečnosti

Výbor pro řízení kybernetické bezpečnosti se skládá z osob s potřebnými pravomocemi a odbornými znalostmi pro celkové řízení a rozvoj ISMS. Zahrnuje také osoby, které se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností. Členem výboru musí být alespoň jeden zástupce vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti.

Odpovědnost managementu v nižším režimu povinností

Oproti požadavkům na vrcholné vedení ve vyšším režimu, je na management v nižším režimu kladeno požadavků viditelně méně.

Absolvovat školení a být poučeno o svých povinnostech

Vrcholné vedení by vzhledem k zajištění kybernetické bezpečnosti mělo být prokazatelně poučeno o povinnostech a rozsahu odpovědnosti. Nezbytné bude také prokazatelně pravidelně absolvovat školení o bezpečnostní politice a zajišťování kybernetické bezpečnosti.

Zajistit dostupnost zdrojů

Management, stejně jako v rámci vyššího režimu, bude muset v souladu s přehledem bezpečnostních opatření zajistit dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti.

Seznamovat se se stavem plnění bezpečnostních opatření

Cílem této povinnosti vedení je prokazatelně se seznámit s přehledem bezpečnostních opatření. Ten má dle vyhlášky obsahovat alespoň přehled všech bezpečnostních opatření, která byla společností zavedena, která budou zavedena a která nebyla zavedena.

Jak získávat potřebné informace o dění ve společnosti?

Ve vyšším režimu je pro vrcholné vedení stanoveno mnoho požadavků. V rámci vyhlášky jsou stanoveny i odpovědnosti managementu v rámci ISMS. Manažer kybernetické bezpečnosti bude odpovědný za jeho pravidelné informování o stavu ISMS a o činnostech, které vyplývají z jeho odpovědnosti. Vrcholné vedení by tak mělo dostávat potřebné informace díky pravidelnému reportování a komunikaci s manažerem kybernetické bezpečnosti. 

V nižším režimu pak tuto informovanost má zajistit bezpečnosti role „osoba odpovědná za kybernetickou bezpečnost“.

A opravdu je to nutné řešit? Co managementu hrozí v případě neplnění požadavků, se podíváme v dalším článku.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.

Další články

Ani při práci z domova nejste mimo dosah kybernetických hrozeb. Jak se na home office chránit? Přinášíme tipy, které pomohou udržet firemní data v bezpečí.
I díky certifikaci mohou společnosti posílit svou bezpečnost. Jak k zajištění compliance může přispět certifikace podle Aktu o kybernetické bezpečnosti?
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.