Implementace Zákona vyžaduje systematický přístup. Každý poskytovatel regulované služby se musí řídit při provozování a poskytování této služby nebo služeb příslušnou Vyhláškou, která se vztahuje k určenému režimu.

Nejprve je tedy vhodné určit okruh osob, které se implementaci budou věnovat. Definovat tedy:

1. Obsazení Výboru pro řízení kybernetické bezpečnosti - Identifikace a jmenování klíčových členů výboru s jasně definovanými kompetencemi a odpovědnostmi v oblasti kybernetické bezpečnosti.
2. Jednací řád - Vypracování formálního jednacího řádu definujícího frekvenci schůzek, rozhodovací procesy a systém eskalace bezpečnostních incidentů.
3. Kontaktní osoba - Jmenování oficiální kontaktní osoby pro komunikaci s Národním úřadem pro kybernetickou a informační bezpečnost (NUKIB).
4. Definování obsazení bezpečnostních rolí - Jmenování bezpečnostních rolí definovaných legislativou.

---

Výbor pro kybernetickou bezpečnost

Výbor pro řízení kybernetické bezpečnosti je tedy organizovaná skupina tvořená osobami, které se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností ve firmě, nebo jsou pověřeny celkovým řízením a rozvojem informačních systémů.

Doporučené složení výboru pro kybernetickou bezpečnost

Zástupci vedení:

• Vrcholové vedení (Executive Leadership): Zástupce nejvyššího vedení (CEO, generální ředitel nebo jeho přímý zástupce): Jeho přítomnost signalizuje důležitost kybernetické bezpečnosti pro celou organizaci a zajišťuje potřebnou autoritu pro schvalování strategií a alokaci zdrojů. Měl by mít přehled o obchodních cílech a rizicích organizace.
• Finanční ředitel (CFO): Kybernetické incidenty mohou mít významné finanční dopady. CFO by měl rozumět finančním rizikům a nákladům spojeným s kybernetickou bezpečností a investicemi do ní.
• Provozní ředitel (COO): Kybernetické incidenty mohou narušit provozní činnosti. COO by měl zajistit, aby opatření kybernetické bezpečnosti podporovala kontinuitu podnikání.

Odborníci na kybernetickou bezpečnost:

• Manažer kybernetické bezpečnosti (CISO / Head of Cybersecurity): Je klíčovou osobou, která zodpovídá za operativní řízení kybernetické bezpečnosti a měl by být stálým členem výboru, poskytovat odborné znalosti a reportovat o aktuálním stavu a rizicích.
• Architekt kybernetické bezpečnosti (pokud existuje jako samostatná role): Může přinést technický pohled na bezpečnostní architekturu a implementaci opatření.

Zástupci klíčových obchodních a funkčních oblastí:

• Vedoucí IT oddělení: Úzce spolupracuje s oddělením kybernetické bezpečnosti a zajišťuje technickou implementaci bezpečnostních opatření.
• Vedoucí právního oddělení: Zajišťuje soulad s právními a regulatorními požadavky v oblasti kybernetické bezpečnosti a ochrany osobních údajů.
• Vedoucí oddělení lidských zdrojů: Hraje klíčovou roli v oblasti školení a osvěty zaměstnanců v oblasti kybernetické bezpečnosti a řešení interních bezpečnostních incidentů.
• Zástupci dalších klíčových obchodních jednotek: V závislosti na specifickém podnikání firmy mohou být relevantní zástupci prodeje, marketingu, vývoje produktů apod., kteří mohou mít specifické bezpečnostní požadavky a rizika.

Další doporučení

• Přiměřená velikost: Výbor by neměl být příliš velký, aby byl schopen efektivně jednat a rozhodovat. Doporučuje se obvykle 5-10 členů.
• Pravidelné schůzky: Frekvence schůzek by měla být stanovena podle potřeb organizace a aktuálních rizik (např. měsíčně, čtvrtletně).
• Jasně definované role a odpovědnosti: Každý člen by měl mít jasně stanovené své role a odpovědnosti v rámci výboru.
• Záznamy z jednání: Měly by být vedeny podrobné zápisy z jednání, včetně přijatých rozhodnutí a akčních plánů.
• Flexibilita: Složení výboru se může časem měnit v závislosti na vývoji organizace a hrozbového prostředí.
• Podpora externích odborníků (v případě potřeby): Výbor může v případě potřeby přizvat externí odborníky na kybernetickou bezpečnost pro specifické konzultace.

Odpovědnosti

• Odpovědnost za celkovou úroveň kybernetické bezpečnosti organizace na strategické úrovni.
• Odpovědnost za klíčová rozhodnutí a směřování v oblasti kybernetické bezpečnosti.
• Odpovědnost za důsledky závažných kybernetických bezpečnostních incidentů, pokud byly zanedbány strategické aspekty.

Pravomoci

• Schvalování strategií, politik a směrnic kybernetické bezpečnosti organizace.
• Rozhodování o klíčových investicích a alokaci zdrojů v oblasti kybernetické bezpečnosti.
• Stanovování priorit a cílů v oblasti kybernetické bezpečnosti.
• Nařizování provedení nápravných opatření v případě zjištění závažných nedostatků.
• Dohled nad činností manažera kybernetické bezpečnosti a dalších rolí.
• Schvalování plánů reakce na kybernetické bezpečnostní incidenty.

Povinnosti

• Zajištění, že kybernetická bezpečnost je integrována do celkové strategie a řízení rizik organizace.
• Pravidelné přezkoumávání a hodnocení stavu kybernetické bezpečnosti organizace.
• Zajištění dostatečných zdrojů pro implementaci a údržbu opatření kybernetické bezpečnosti.
• Podpora kultury kybernetické bezpečnosti v organizaci.
• Zajištění souladu s právními a regulatorními požadavky v oblasti kybernetické bezpečnosti.

---

---

Bezpečnostní role

Zákon o kybernetické bezpečnosti definuje několik klíčových bezpečnostních rolí, které musí být obsazeny v organizacích, které spadají do režimu vyšších povinností:

• Manažer kybernetické bezpečnosti
• Architekt kybernetické bezpečnosti
• Auditor kybernetické bezpečnosti
• Garant aktiva
• Správce aktiva

Outsourcing MKB a AKB

Obecně je možné roli manažera kybernetické bezpečnosti (i dalších bezpečnostních rolí) outsourcovat, a to včetně odpovědnosti za řízení ISMS. Takový manažer kybernetické bezpečnosti musí mít dostatečnou znalost prostředí organizace a mít zajištěny dostatečné kompetence, aby mohl roli reálně >naplňovat. Stejně jako manažer interní. U externisty musí být odpovědnosti a kompetence dostatečně smluvně ošetřeny, stejně jako je třeba interními předpisy organizace stanovit, že stanovisko >manažera kybernetické bezpečnosti bude v relevantních otázkách pro management závazné.

Roli Auditora kybernetické bezpečnosti je vhodné outsourcovat.

Neslučitelnost rolí

MKB není možnost sloučit s rolí ICT manažera, neslučitelnost AKB s ICT naštěstí v posledním návrhu vyhlášky vypadla, což by bylo logické a dovolilo by pro >Architekta využít odborníka z ICT útvaru nebo Manažera ICT.

Auditor KB není slučitelný jak s ICT, tak s rolí člena Výboru IKB.

Rizika/Úskalí

Minimum osob na trhu práce - může vést k potřebě outsourcingu

Potřebné kompetence nejsou vždy splnitelné pro dostupné osoby ve firmě (školení, praxe)

Manažer kybernetické bezpečnosti

Hlavní úlohou manažera kybernetické bezpečnosti je strategické řízení a dohled. Tato role se zaměřuje spíše na “proč” a “co” je potřeba udělat, aby byla firma v bezpečí.

MKB je jakýmsi mezistupněm mezi vrcholovým vedením (strategickou úrovní managementu) a operativní úrovní. Výkon role manažera kybernetické bezpečnosti musí být oddělen od rolí, které jsou odpovědné za provoz informačního a komunikačního systému a od dalších provozních nebo řídicích rolí.

Obsazení role manažera kybernetické bezpečnosti je povinné pro regulované organizace v režimu vyšších povinností.

Umístění MKB v organizační struktuře souvisí s kulturou firmy. Pokud se v kultuře organizace hodně “hraje” na tituly a postavení v “orgchartu” (typicky univerzitní prostředí, zdravotnictví, státní správa, bezpečnostní složky), pak se doporučujeme MKB zařadit pod úroveň vrcholného vedení. U MKB role je obecně klíčová vazba na business (garanty aktiv) a na vrcholné vedení a v neposlední řadě velmi úzká spolupráce s ICT / OT týmy.

Odpovědnosti

• Odpovědnost za operativní řízení kybernetické bezpečnosti v organizaci.
• Odpovědnost za implementaci a účinnost zavedených bezpečnostních opatření.
• Odpovědnost za správné řešení kybernetických bezpečnostních incidentů.

Pravomoci

• Řízení a koordinace všech činností souvisejících s kybernetickou bezpečností v organizaci.
• Navrhování a implementace strategií, politik a směrnic kybernetické bezpečnosti.
• Rozhodování o technických a organizačních opatřeních v oblasti kybernetické bezpečnosti v rámci schváleného rozpočtu a strategií.
• Vedení týmu kybernetické bezpečnosti (pokud existuje).
• Komunikace s vrcholovým vedením a výborem pro kybernetickou bezpečnost o stavu a rizicích kybernetické bezpečnosti.
• Spolupráce s externími subjekty (NÚKIB, dodavatelé bezpečnostních řešení apod.).

Povinnosti

• Mapování současného stavu řízení kybernetické bezpečnosti organizace.
• V návaznosti na předchozí kroky, sestavení/aktualizace bezpečnostní strategie kybernetické bezpečnosti.
• Vytváření, implementace a údržba systému řízení kybernetické bezpečnosti
• Provádění analýz rizik a navrhování opatření k jejich mitigaci. Zajištění procesu řízení rizik a podpora s identifikací a hodnocením rizik.
• S ohledem na identifikovaná rizika, sestavení plánu zvládání rizik (RTP) a prohlášení o aplikovatelnosti (SoA) (přehled bezpečnostních opatření).
• Řízení bezpečnostních incidentů a koordinace reakce na ně.
• Zajištění školení a osvěty zaměstnanců v oblasti kybernetické bezpečnosti.
• Monitorování a vyhodnocování účinnosti zavedených bezpečnostních opatření.
• Zajištění souladu s právními a regulatorními požadavky.
• Pravidelné reportování o stavu kybernetické bezpečnosti výboru a vedení.
• Komunikace s NUKIB.

Znalosti, zkušenosti, vzdělání a praxe

• Porozumění kontextu organizace a jejím strategickým a obchodním cílům.
• Normy řady ISO/IEC 27000 (ISMS) a obdobné normy z oblasti bezpečnosti a ICT.
• Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost.
• Řízení rizik, řízení kontinuity činností.
• Relevantní právní a regulatorní požadavky, zejména zákon.
• Kontext povinné osoby.
• Prosazování ISMS.
• Porozumění definicím rizik a rizikovým scénářům, řízení rizik.
• Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.
• Min. 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo VŠ a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.

**Relevantní certifikace:

• CISM (ISACA), CRISC (ISACA), CISSP (ISC2) a obdobné.

Architekt kybernetické bezpečnosti:

Architekt se soustředí na technickou stránku a návrh řešení. Jeho rolí je “jak” to udělat. Architekt přetváří strategii manažera do konkrétní technické podoby. Je osoba zajišťující návrh implementace bezpečnostních opatření (pro zajištění bezpečné architektury informačního a komunikačního systému).

V praxi je architekt odpovědný za návrh implementace bezpečné architektury (např. od infrastruktury až po bezpečnost na aplikační úrovni).

Odpovědnosti

• Odpovědnost za návrh a správnou implementaci bezpečnostních prvků v IT architektuře organizace.
• Odpovědnost za bezpečnostní aspekty nových a stávajících informačních systémů.

Pravomoci

• Navrhování a plánování bezpečnostní architektury informačních systémů a sítí organizace.
• Stanovování bezpečnostních požadavků pro vývoj a implementaci nových systémů a služeb.
• Výběr a doporučování vhodných bezpečnostních technologií a řešení.
• Dohled nad implementací bezpečnostních prvků v IT infrastruktuře.
• Posuzování bezpečnostních aspektů navrhovaných změn v IT infrastruktuře.

Povinnosti

• Tvorba a údržba bezpečnostní architektury organizace.
• Spolupráce s vývojovými týmy a IT architekty při návrhu bezpečných systémů.
• Hodnocení bezpečnostních rizik spojených s architekturou systémů.
• Definování bezpečnostních standardů a best practices pro IT infrastrukturu.
• Sledování nových bezpečnostních hrozeb a trendů a jejich implementace do architektury.

Rozdělení rolí manažera a architekta kybernetické bezpečnosti

Rozdělení rolí manažera a architekta kybernetické bezpečnosti mezi dvě osoby má několik výhod, ale i nevýhod. Stejně tak sloučení do jedné pozice může mít své opodstatnění, zejména v menších organizacích. Zde je srovnání, které vám pomůže se rozhodnout, co je pro vaši firmu lepší:

Dvě osoby (manažer a architekt) – doporučeno pro větší a složitější firmy

Výhody:

Lepší zaměření a specializace: Manažer se může plně soustředit na strategické řízení, dodržování předpisů, rozpočet a komunikaci s vedením. Architekt se >naopak může specializovat na hloubkovou technickou stránku, návrh složitých architektur a testování systémů. Každý tak může být odborníkem ve své oblasti, >což zvyšuje efektivitu a kvalitu práce. *Efektivní kontrola: Oddělení rolí vytváří přirozený systém kontroly a rovnováhy. Architekt navrhuje řešení, zatímco manažer posuzuje, zda tato řešení splňují >strategické cíle, jsou v rámci rozpočtu a odpovídají rizikovému profilu firmy. Tím se snižuje riziko, že by se přehlížely slabiny nebo by se implementovala >neoptimální řešení. Snížení rizika vyhoření: Obě role jsou velmi náročné na čas i znalosti. Sloučení do jedné pozice může vést k přetížení a snížení pozornosti věnované detailům, >což je v kybernetické bezpečnosti kritické.

Nevýhody:

Vyšší náklady: Platit dva vysoce kvalifikované odborníky je dražší než platit jednoho. *Potenciál pro neshody: Mezi manažerem a architektem může dojít k neshodám ohledně priorit, rozpočtu a technických řešení, což může zpomalit rozhodování.

Jedna osoba (manažer a architekt v jedné osobě) – vhodné pro menší firmy

Výhody:

Rychlost a efektivita: Jedna osoba má kompletní přehled jak o strategii, tak o technické realizaci. To umožňuje rychlejší rozhodování a implementaci, protože >odpadá nutnost koordinace mezi dvěma oddělenými rolemi. Nižší náklady: Spojení pozic je ekonomicky výhodnější, což je pro menší firmy s omezeným rozpočtem klíčové. Jednotný pohled na bezpečnost: Eliminuje se riziko neshod, protože stejná osoba je zodpovědná za strategii i za technický návrh. Nevýhody:

Široký záběr s rizikem povrchnosti: Role manažera vyžaduje silné manažerské dovednosti a znalost byznysu, zatímco role architekta vyžaduje hluboké technické >znalosti. Zastávat obě pozice na vysoké úrovni je velmi obtížné a může vést k tomu, že se jedna z oblastí zanedbává. Nedostatečná kontrola: Chybí nezávislá kontrola, protože si “jeden člověk” kontroluje “vlastní práci”. To může vést k přehlédnutí rizik. Vyšší riziko pro firmu: Pokud jedna osoba nese plnou odpovědnost za strategii i realizaci, je firma zranitelnější v případě, že tato osoba odejde, nebo pokud >dojde k chybě. Závěr

Pro větší organizace s komplexní IT infrastrukturou je lepší mít dvě oddělené role. Zajišťuje to specializaci, lepší kontrolu a snižuje riziko přetížení, což se dlouhodobě vyplácí.

V menších firmách, kde je rozpočet a počet IT systémů omezený, může být kombinace rolí do jedné pozice efektivní. V takovém případě je klíčové, aby si tato >osoba byla vědoma rizika střetu zájmů a měla podporu externího auditu, aby se zajistila objektivní kontrola. Důležité také je, aby tato osoba nebyla zároveň >zodpovědná za provoz IT systémů, což by byl největší střet zájmů.

Auditor kybernetické bezpečnosti:

jJe osoba, provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu jiných bezpečnostních rolí.

Odpovědnosti

• Odpovědnost za objektivní a nezávislé posouzení stavu kybernetické bezpečnosti organizace.
• Odpovědnost za správnost a úplnost zjištění a doporučení z auditů.

Pravomoci

• Provádění nezávislých auditů a hodnocení stavu kybernetické bezpečnosti organizace.
• Přístup ke všem relevantním informacím, systémům a zaměstnancům pro účely auditu.
• Formulování zjištění a doporučení pro zlepšení kybernetické bezpečnosti.
• Ověřování souladu s interními politikami, standardy a externími požadavky.

Povinnosti

• Plánování a provádění auditů kybernetické bezpečnosti v souladu s dohodnutým plánem a metodikami.
• Objektivní hodnocení účinnosti zavedených bezpečnostních opatření.
• Identifikace slabých míst a nedostatků v systémech a procesech kybernetické bezpečnosti.
• Příprava zpráv z auditů a prezentace zjištění vedení a výboru.
• Sledování implementace doporučení z předchozích auditů.

Garant aktiva

Je fyzická osoba pověřená organizací k zajištění rozvoje, použití a bezpečnosti aktiva (zajištění důvěrnosti, dostupnosti a integrity aktiva).

Odpovědnosti

• Odpovědnost za bezpečnost a správné nakládání se svěřeným aktivem z pohledu jeho obchodní hodnoty a důležitosti pro organizaci.

  Pravomoci

• Rozhodování o způsobu využití a ochrany svěřeného aktiva.

• Stanovování požadavků na bezpečnost svěřeného aktiva.

• Schvalování přístupových práv k danému aktivu.

• Informování správce aktiva o bezpečnostních požadavcích a změnách.

Povinnosti

• Identifikace a klasifikace svěřeného aktiva z hlediska jeho kritičnosti a hodnoty.
• Definování bezpečnostních požadavků pro svěřené aktivum.
• Zajištění, že je s aktivem nakládáno v souladu s bezpečnostními politikami a postupy.
• Spolupráce se správcem aktiva na zajištění jeho bezpečnosti.

Správce Aktiva

Role správce Aktiva není v Zákoně definována, ale pro fungování KB je nezbytná, proto je zde uvedena.

Odpovědnosti

• Odpovědnost za technickou bezpečnost a správnou konfiguraci svěřeného aktiva.
• Odpovědnost za dodržování bezpečnostních politik a postupů při správě aktiva.

Pravomoci

• Implementace a správa bezpečnostních opatření pro svěřené aktivum v souladu s požadavky garanta aktiva a bezpečnostními politikami.
• Řízení přístupových práv k danému aktivu.
• Provádění údržby a aktualizací svěřeného aktiva.
• Monitorování stavu a bezpečnosti svěřeného aktiva.

Povinnosti

• Technické zabezpečení svěřeného aktiva.
• Správa uživatelských účtů a přístupových práv.
• Implementace a dodržování bezpečnostních konfigurací.
• Pravidelné zálohování a obnova dat (pokud se týká daného aktiva).
• Hlášení bezpečnostních incidentů týkajících se svěřeného aktiva.

Garant a Správce Aktiva je zpravidla určen až v průběhu definování Rozsahu ISMS