K zajištění kybernetické bezpečnosti je nezbytné přijmout odpovídající organizační opatření, a to s ohledem na stanovený rozsah řízení KB. Organizace musí mít určené a přidělené odpovědnosti a pravomoci ve vztahu k ISMS. To se týká jak vrcholného vedení, tak výboru pro řízení kybernetické bezpečnosti a bezpečnostních rolí, jejichž stanovení ukládá vyhláška. V rámci nové právní úpravy je kladen důraz na zapojení vrcholného vedení do řízení kybernetické bezpečnosti. Vzhledem k rozhodovací pravomoci vrcholného vedení by spolu měli vrcholné vedení a manažer kybernetické bezpečnosti úzce komunikovat.

Ze strany vrcholného vedení organizace je vyžadována zejména níže popsané aktivity:

• Podpora a závazek vůči ISMS: Vrcholné vedení musí zajistit a podporovat efektivitu a neustálé zlepšování ISMS.
• Stanovení bezpečnostní politiky: Je nutné zajistit stanovení bezpečnostní politiky a cílů ISMS, které musí být slučitelné se strategickým směřováním poskytovatele regulované služby.
• Vzdělávání: Členové vrcholného vedení se musí prokazatelně účastnit školení v oblasti kybernetické bezpečnosti. Tato školení mají být vstupní a pravidelná, s cílem získat dovednosti pro určování rizik a posouzení vhodnosti postupů pro řízení rizik a jejich dopadů na regulovanou službu.
• Zdroje a vedení: Vrcholné vedení musí zajistit dostupnost potřebných zdrojů (lidských, finančních a technických) pro ISMS. Dále musí zajistit stanovení pravidel pro určení administrátorů a bezpečnostních rolí a zajistit jejich zastupitelnost (konkrétně manažera a architekta kybernetické bezpečnosti).
• Řízení kontinuity: Vrcholné vedení se podílí na vypracování analýzy dopadů a musí zajistit testování plánů kontinuity činností a plánů obnovy.

Vrcholné vedení se musí prokazatelně seznamovat s klíčovými dokumenty, které prokazují stav kybernetické bezpečnosti a řízení rizik:

• zpráva o přezkoumání ISMS,
• zpráva o hodnocení rizik a plán zvládání rizik,
• výsledky analýzy dopadů,
• výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.

Výbor pro řízení kybernetické bezpečnosti

---

Výbor pro řízení kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj ISMS a osobami významně se podílejícími na ISMS a koordinaci souvisejících činností. Alespoň jedním z členů výboru musí být zástupce vrcholného vedení organizace nebo jím pověřená osoba a manažer kybernetické bezpečnosti.

Do výboru je vhodné nominovat další osoby, které se dostatečně orientují v oblasti IT a kybernetické bezpečnosti, aby byl výbor schopen přijímat kvalifikovaná rozhodnutí bez zbytečných prodlev. Složení výboru může být podle potřeb organizace doplněno zejména o zástupce IT oddělení či dalších relevantních útvarů.

Výbor pro řízení kybernetické bezpečnosti je možné za určitých podmínek sdílet (např. v rámci holdingových struktur), je však potřeba zajistit, aby výbor skutečně plnil funkci, pro kterou byl zřízen, a aby jeho členové všechny řízené organizace znali.

Bezpečnostní role

---

Vyhláška definuje tyto bezpečnostní role:

• manažer kybernetické bezpečnosti,
• architekt kybernetické bezpečnosti,
• auditor kybernetické bezpečnosti,
• garant aktiva.

Pro splnění požadavků vyhlášky vrcholné vedení určí všechny bezpečnostní role, přičemž zajistí zastupitelnost u bezpečnostních rolí manažera kybernetické bezpečnosti a architekta kybernetické bezpečnosti.

Pro zajištění dostatečné zastupitelnosti je možné rozložit povinnosti a kompetence příslušné role mezi více osob. U osob vykonávajících roli jako zástup se požadavky na odbornou způsobilost a praxi uplatňují přiměřeně, s ohledem na rozsah jejich povinností

Požadavek na zastupitelnost reaguje na poznatky z prováděných kontrol dodržování zákona a prováděcích vyhlášek, kdy bylo zjištěno, že osoby zajišťující výkon povinných bezpečnostních rolí nemají v organizaci adekvátní zástup. Tato skutečnost může mít mimo jiné vliv na zajištění kontinuity některých činností organizace.

Outsourcing bezpečnostních rolí

---

Obecně je možné roli manažera kybernetické bezpečnosti (i další bezpečnostní role) outsourcovat, a to včetně stanovených povinností za řízení ISMS. Avšak např. manažer kybernetické bezpečnosti musí mít dostatečnou znalost prostředí organizace a mít zajištěny dostatečné kompetence, aby mohl roli adekvátně naplňovat. Stejně jako v případě interního manažera kybernetické bezpečnosti musí být i u externího výkonu této role povinnosti a práva dostatečně smluvně upraveny, a zároveň je třeba interními předpisy organizace zakotvit, že stanovisko manažera kybernetické bezpečnosti bude v relevantních otázkách pro vrcholné vedení závazné. Tento příkladný popis se samozřejmě vztahuje i na další bezpečnostní role v organizaci.