Požadavky na vrcholné vedení

Jednou z velkých změn v právní úpravě kybernetické bezpečnosti je požadavek na zapojení vrcholného vedení do řízení kybernetické bezpečnosti.

Co je potřeba učinit

1. Určení osoby pověřené kybernetickou bezpečností, která bude mít pravomoci potřebné k řízení a rozvoji kybernetické bezpečnosti, dohledu nad stavem kybernetické bezpečnosti a komunikaci s vrcholným vedením (viz dále).

2. Prokazatelné absolvování školení podle § 5 odst. 2 písm. a) vyhlášky je ustanovena povinnost vzdělávání vrcholného vedení v oblasti kybernetické bezpečnosti. Součástí tohoto školení by mělo být poučení vrcholného vedení o jeho povinnostech a o bezpečnostní politice, zejména v oblasti zajišťování kybernetické bezpečnosti. Touto formou by mělo proběhnout vstupní a následně i pravidelná školení.

  • Absolvování školení může být prokázáno například pomocí podpisu na prezenční listině, certifikátem o absolvování školení nebo jiným záznamem o jeho absolvování.

Příklady plnění:

  • Členové vrcholného vedení pravidelně absolvují školení zaměřená na kybernetickou bezpečnost, která jsou přizpůsobená jejich roli.
  • Mezi zahrnutá témata školení patří jak samotná odpovědnost vrcholného vedení, tak i hlavní rizika spojená s kybernetickými hrozbami a strategické kroky k omezení těchto hrozeb. Kromě těchto základních témat řeší také aktuální hrozby a trendy v oblasti kybernetické bezpečnosti.

3. Prokazatelné seznamování se se stavem plnění bezpečnostních opatření uvedených v přehledu bezpečnostních opatření podle § 3 odst. 2 písm. a) vyhlášky.

Příklady plnění:

  • Vrcholné vedení je vždy na začátku roku seznámeno s přehledem bezpečnostních opatření v excelové tabulce, za který nese odpovědnost osoba pověřená kybernetickou bezpečností.
  • Vrcholné vedení se aktivně zajímá o stav kybernetické bezpečnosti a má přehled o všech zavedených bezpečnostních opatřeních, včetně jejich aktuálního stavu a účinnosti.

4. Zajištění dostupnosti zdrojů potřebných pro zajišťování kybernetické bezpečnosti v souladu s přehledem bezpečnostních opatření.

  • Bez zajištění dostatečných zdrojů není možné naplnit požadavky vyhlášky a zajistit kybernetickou bezpečnost v organizaci.

Příklady plnění:

  • Vrcholné vedení zajišťuje dostatečné finanční, personální a technické zdroje potřebné k dosažení požadované úrovně kybernetické bezpečnosti.
  • Alokuje rozpočty na nákup bezpečnostních technologií, jako jsou firewally, systémy pro detekci narušení nebo antivirové programy, a zajišťuje financování školení zaměstnanců.

5. Prosazování neustálého zlepšování zajišťování kybernetické bezpečnosti – z toho plyne, že má vrcholné vedení podporovat osobu pověřenou kybernetickou bezpečností a další relevantní osoby.

Příklady plnění:

  • Vrcholné vedení aktivně podporuje zlepšování systému kybernetické bezpečnosti tím, že zajišťuje dostatek pravomocí pro osobu pověřenou kybernetickou bezpečností.
  • Motivuje zaměstnance k dodržování pravidel a zajišťuje implementaci nových bezpečnostních opatření, jako je vícefaktorová autentizace nebo segmentace sítě.
  • Zaměřuje se na budování kultury kybernetické bezpečnosti v organizaci.

6. Stanovení priorit obnovy primárních aktiv – právě vrcholné vedení by mělo mít nejlepší přehled o primárních aktivech z hlediska jejich dopadu na předmět podnikání a na poskytovanou regulovanou službu. Toto stanovení priorit musí být zdokumentováno, pravidelně revidováno a zahnuto do plánu obnovy.

Příklady plnění:

  • Vrcholné vedení definuje jasné priority pro obnovu informací a služeb v případě kybernetického bezpečnostního incidentu.
  • Stanovuje, že nejdříve budou obnoveny systémy kritické pro zákaznické služby, následně interní systémy, jako jsou účetní a personální databáze.
  • Plány obnovy jsou pravidelně aktualizovány a testovány prostřednictvím simulací.

Osoba pověřená kybernetickou bezpečností

  • Odpovídá za kybernetickou bezpečnost, koordinuje kybernetickou bezpečnost v organizaci, konkrétně pak:
    • má odpovědnost za provedení jednotlivých činností,
    • má odpovědnost za celkový rozvoj kybernetické bezpečnosti,
    • má dohled nad stavem samotné kybernetické bezpečnosti,
    • komunikuje s vrcholným vedením o stavu kybernetické bezpečnosti.
  • Osobu pověřenou kybernetickou bezpečností určuje vrcholné vedení organizace, které jí současně svěřuje i pravomoci nezbytné pro výkon této funkce.
  • Je nutné, aby byla osoba vhodně zařazena v organizační struktuře a disponovala dostatečnými pravomocemi.
  • Musí bez zbytečného odkladu absolvovat potřebná teoretická i praktická školení v souladu s pracovní náplní dle § 5 odst. 2 písm. d) vyhlášky,

                                   NEBO

  • musí prokázat odbornou znalost v oblasti kybernetické bezpečnosti.

Je důležité, aby si vrcholné vedení bylo vědomo své odpovědnosti v oblasti kybernetické bezpečnosti, a svými činy tak vytvářelo vhodné prostředí pro kontinuální zlepšování kybernetické odolnosti.

Příklady plnění:

  • Vrcholné vedení určí osobu pověřenou kybernetickou bezpečností.
  • Požadavek na určení osoby pověřené kybernetickou bezpečností může být ukotven například v bezpečnostní politice, kde jsou stanovena také práva a povinnosti této osoby.
  • Pověřenou osobou je nejlépe interní zaměstnanec s dostatečným přehledem o fungování organizace. Jako osoba pověřená kybernetickou bezpečností může být například určen jeden ze zaměstnanců IT.
  • Pověřená osoba je přímo podřízena vrcholnému vedení organizace, např. na úrovni bezpečnostního ředitele.
  • Klíčové je, aby tato osoba měla dostatečnou podporu vrcholného vedení a mohla aktivně ovlivňovat bezpečnostní strategii organizace.