Outsourcing vs. interní manažer kybernetické bezpečnosti: Výhody a nevýhody

Bearded male engineer using computer with blueprints on screen in office
Nový zákon o kybernetické bezpečnosti (dle NIS2) definuje, jaké bezpečnostní role musí společnosti mít, a to podle toho, jestli spadají do vyššího nebo nižšího režimu povinností. Otázka zní: Koho do těchto rolí postavit? Interního člověka nebo si přizvat externistu? Rozhodnutí není jednoduché a záleží na typu společnosti, její velikosti, oboru i aktuálních kapacitách. V článku se zaměříme na nejkomplexnější roli – manažera kybernetické bezpečnosti.

Bezpečnostní role dle režimů

Vyšší režim: Pro organizace ve vyšším režimu se požaduje obsazení těchto rolí: manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, auditor kybernetické bezpečnosti a garanti aktiv. Tyto role jsou tzv. organizačním opatřením a jejich detailní náplň specifikuje vyhláška o bezpečnostních opatřeních ve vyšším režimu.
Nižší režim: Společnosti, které splňují kritéria nižšího režimu, musí mít: odpovědnou osobu za kybernetickou bezpečnost (a garanty aktiv). Ačkoliv garanti aktiv nejsou v nižším režimu výslovně zmíněni jako povinná bezpečnostní role, pro efektivní řízení aktiv jsou nepostradatelní a nemělo by se na ně zapomínat. Roli odpovědné osoby specifikuje vyhláška o bezpečnostních opatření v nižším režimu.
  • O tom, jaké odpovědnosti a požadavky jsou s bezpečnostními rolemi spojeny píšeme v článku zde.

Manažer kybernetické bezpečnosti

Manažer kybernetické bezpečnosti je role odpovědná za nastavení, udržování a rozvoj systému kybernetické bezpečnosti. Nastavuje bezpečnostních opatření, komunikuje s vedením, řídí systém ochrany informací, nastavuje pravidla a dohlíží na to, že se dodržují. V praxi se často jedná o kombinaci strategické a operativní práce od tvorby politik až po řešení incidentů.

Potřebuje rozumět procesům v organizaci, chápat firemní rizikaumět komunikovat napříč odděleními. Má také roli „překladatele“ – umí přeložit technické požadavky do byznysového jazyka a naopak. Pokud tohle nefunguje, systém je sice „na papíře“, ale ve skutečnosti nikoho nezajímá a tím pádem ani nefunguje.

Proč interní zaměstnanec?

Interní manažer kybernetické bezpečnosti se může stát důležitou součástí firemního rozhodování a vedení. Zná prostředí, procesy, lidi. Pokud je ve správné pozici a má důvěru, může s firmou růst a dlouhodobě zvyšovat její odolnost. Hodí se hlavně tam, kde je kyberbezpečnost kontinuální součást řízení, nejen jednorázový projekt.

Výhody

  • Důkladná znalost firemního prostředí: Interní manažer kyberbezpečnosti zná kulturu, procesy i klíčové lidi ve společnosti.
  • Rychlá reakce: Je k dispozici na místě, může rychle řešit incidenty a operativní požadavky.
  • Stálost a dlouhodobý rozvoj: Může systematicky budovat bezpečnostní strategii a kulturu v rámci firmy.

Nevýhody

  • Vysoké náklady: Kvalifikovaný odborník na kybernetickou bezpečnost je seniorní role a podle toho vypadá i plat. Často je potřeba další školení a profesní rozvoj.
  • Obtížné nahrazování: V případě odchodu zaměstnance hrozí ztráta know-how a prodleva, než se najde vhodná náhrada.
  • Riziko profesní slepoty: Dlouhodobě interní pohled může vést k přehlížení nových trendů a hrozeb. Bez podpory zvenku může interní role stagnovat nebo být „sama proti všem“.
  • Obtížné hledání kvalifikovaných lidí: Trh s kyberbezpečnostmími odborníky je přetížený a zkušení manažeři kybernetické bezpečnosti jsou nedostatkové zboží.

Školení pro kybermanažery

Chcete růst v roli manažera kybernetické bezpečnosti? Přihlaste se na 3denní workshop v Praze (22.–24. 10.). Získáte základní rámec, postupy a nástroje, které k této pozici patří.
Více informací

Kdy dává smysl outsourcing?

Outsourcovaný manažer přináší zkušenosti z více prostředí. Umí se rychle zorientovat, nastavit priority a vyhnout se slepým uličkám. Má také nadhled a do určité míry může být nezatíženost vnitřní kulturou výhodou.

V praxi outsourcing probíhá tak, že si společnost „pronajme“ externího odborníka nebo tým, který roli manažera kybernetické bezpečnosti zastává na základě uzavřené smlouvy (například 2 dny v měsíci nebo dle potřeby).

Výhody

  • Flexibilita a škálovatelnost: Lze přesně nastavit rozsah služeb podle aktuálních potřeb společnosti. V případě většího projektu je možné kapacitu rychle navýšit.
  • Přístup k expertíze: Externí specialisté sledují aktuální trendy, mají zkušenosti z různých firem a znají požadavky aktuální legislativy (např. nZKB dle NIS2, ISO 27001, DORA, TISAX a další normy).
  • Úspora nákladů: Platíte jen za skutečně odvedenou práci, nemusíte řešit benefity, dovolené ani nábor.
  • Nezávislý pohled: Externista často odhalí slabá místa, která by interní tým přehlédl.

Nevýhody

  • Nižší znalost interního prostředí: Outsourcovaný manažer potřebuje čas na pochopení specifik dané společnosti a v prostředí se zorientovat.
  • Dostupnost: Pokud není externista nasmlouvaný na full-time, nemusí být vždy okamžitě k dispozici v případě krizové situace.
  • Potřeba kvalitní komunikace a spolupráce: Úspěch závisí na dobré spolupráci a jasně nastavených očekáváních.
  • Nutnost důvěry: Externí role musí mít přístup k citlivým datům a podporu vedení.

Jakou variantu zvolit?

Interní role manažera kyberbezpečnosti je vhodná pro společnosti, které mají:

  • vysoký objem bezpečnostních úkolů,
  • složitou infrastrukturu,
  • potřebu kontinuálního rozvoje bezpečnostní kultury,
  • dostatečný rozpočet na kvalitního odborníka.
Outsourcing je ideální pro společnosti, které:
  • mají omezený rozpočet,
  • potřebují rychle splnit legislativní požadavky (např. nový zákon dle NIS2), 
  • hledají odborníka jen na částečný úvazek, 
  • chtějí nezávislý audit a pohled zvenku.

V řadě případů se osvědčilo řešení „na přechodnou dobu“ – externí manažer nastaví základ, pomůže společnosti se zorientovat v nových požadavcích i celém systému a zároveň mentoruje interního člověka, který si roli převezme. Výhodou je, že získáte systém i znalosti.

Příklad: Startup z oblasti IT služeb si najal externího manažera kybernetické bezpečnosti na 6 měsíců. Během té doby proběhla analýza rizik, vytvořily se bezpečnostní politiky a začala příprava na ISO 27001. V mezičase se školil interní zaměstnanec, který se do přípravy postupně zapojoval a po 6 měsících roli manažera kybernetické bezpečnosti převzal.

Kolik stojí manažer kybernetické bezpečnosti?

Rozhodnutí by nemělo být jen o penězích, ale rozpočet samozřejmě hraje roli. U menších firem je často výhodnější externí forma, kde si koupíte konkrétní výsledek a nemusíte řešit nábor. Do kalkulace byste měli počítat s tímto základním balíčkem nákladů:

  • Interní manažer = fixní náklady (mzda, benefity, vzdělávání) 
  • Outsourcovaný manažer = náklady podle rozsahu (např. 3 dny měsíčně, projektově) 

Co říká zákon o kybernetické bezpečnosti

Společnosti spadající do režimu vyšších povinností budou muset jmenovat manažera kybernetické bezpečnosti. V režimu nižších povinností sice tato povinnost není, ale i tam musí být jasně určena osoba odpovědná za kybernetickou bezpečnost, která bude řešit obdobné úkoly, i když v menším rozsahu.

Zákon nevyžaduje, aby manažer kybernetické bezpečnosti byl nutně interní zaměstnanec. Může jít o externistu, důležité ale je, aby měl:

  • jasně definovanou roli a odpovědnosti, 
  • přístup k informacím ve společnosti, 
  • podporu vedení,
  • odpovídající znalosti a zkušenosti.

Pozor na formální „outsourcing“ jen kvůli tomu, abyste měli jméno manažera kybernetické bezpečnosti někde uvedené. Pokud manažer kyberbezpečnosti nemá reálný vliv na nastavování systému informační bezpečnosti a řízení kybernetické bezpečnosti, je to papír bez hodnoty a často problém při kontrole nebo auditu.

Jak se rozhodnout?

Každá varianta má svá pro a proti. Důležité je vědět, co od role očekáváte – a podle toho vybírat. Manažer kybernetické bezpečnosti není technik. Je to strategická role, která propojuje bezpečnost s byznysem.

Nejlepší řešení často nebývá černobílé. V řadě případů dává smysl začít externě a postupně si roli připravit interně tak, aby se s ní společnost ztotožnila a mohla s ní dál pracovat. Při rozhodování:

  • Zmapujte aktuální i budoucí potřeby společnosti v oblasti kybernetické bezpečnosti. Zohledněte typ služeb i Vaši velikost.
  • Zvažte náklady na mzdu, školení, benefity a časovou náročnost náboru.
  • U outsourcingu si ověřte reference a kompetence dodavatele, nastavte jasná SLA (dostupnost, reakční doby).
  • U interního manažera počítejte s potřebou kontinuálního vzdělávání a plánem pro zástup v případě výpadku.

Nabízíme outsourcing rolí

Nemáte vlastní tým? Zajistíme pro Vás zkušeného manažera, architekta i auditora kybernetické bezpečnosti.
Kontaktujte nás

Další články

businessman-illustrating-cybersecurity-concepts-office-setting
7 lekcí z roku 2025: co všechno se může pokazit v kyberbezpečnosti
Reálné incidenty, které nám v roce 2025 ukázaly, že problémy v kyberbezpečnosti nezpůsobují jen hackeři. Někdy k tomu stačí běžné procesní a lidské chyby.

ČÍST VÍCE

Customer care and support concept background faq question mark icon on a wooden cube closeup view laptop on a white office table photo
SOS: „Řeším nový kyberzákon na poslední chvíli“ – 8 užitečných otázek z praxe
Řešíte nový zákon o kybernetické bezpečnosti na poslední chvíli a hledáte odpovědi? Zodpověděli jsme časté dotazy, které Vám pomohou zorientovat se v nových povinnostech.

ČÍST VÍCE

Jak ohlásit regulovanou službu: Návod krok za krokem
Dopadá na vás nový zákon o kybernetické bezpečnosti a řešíte, jak ohlásit regulované služby? Máme pro vás návod, jak splnit povinnost krok za krokem.

ČÍST VÍCE

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odebírat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.