Rozdíl mezi splněním regulace a skutečnou připraveností
NIS2 i nový Zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) už se z teoretické roviny posunuly do praxe. Regulace rámcuje povinnost registrovat regulovanou službu, zavádět bezpečnostní opatření, hlásit incidenty, řídit rizika, provádět audit a zapojit vrcholové vedení.
Co ale zákon sám o sobě nezajistí, je skutečná připravenost organizace.
Rozdíl mezi „splněním povinnosti“ a „být skutečně připraven“ neovlivní interní směrnice, ale interní kompetence. Záleží na tom, zda firma rozumí svým aktivům, rizikům, odpovědnostem a zda bezpečnost skutečně řídí či ji jen dokumentuje.
Když dnes firmy slyší NIS2 nebo ZKB, nejčastěji řeší:
- Jestli se jich regulace týká
- Do jakého režimu spadají
- Jaké dokumenty musí vytvořit
- Jaké sankce hrozí
Méně často si ale kladou otázku: Máme interně lidi, kteří jsou schopni bezpečnost dlouhodobě řídit?
A právě to je právě to, oč tu běží.
Co ZKB skutečně vyžaduje od vedení
ZKB mění paradigma tím, že výslovně pracuje s požadavky na vrcholné vedení jako součástí bezpečnostních opatření.
Vrcholové vedení nese odpovědnost za:
- Zavedení systému řízení bezpečnosti informací
- Řízení rizik
- Schválení bezpečnostní politiky
- Zajištění zdrojů
- Dohled nad plněním opatření
Co už vedení nemůže delegovat čistě na IT?
- Odpovědnost za řízení rizik
- Rozhodnutí o akceptaci rizika
- Nastavení priorit ochrany aktiv
- Strategii kontinuity činností
- Vztah k dodavatelskému řetězci
Bezpečnost je podle ZKB otázka řízení, nikoliv technická disciplína. Pokud vedení bezpečnost aktivně neřídí, nastávají tři typické scénáře:
- Bezpečnost je izolovaná v IT
- Rizika nejsou skutečně hodnocena, ale pouze „vykazována“
- Incidenty se řeší operativně, nikoliv systémově
Důsledky? Právní odpovědnost, reputační ztráta, finanční dopady a v krajním případě ohrožení samotného fungování organizace.
Každý člen managementu by si měl uvědomit jednu věc:
Kybernetická bezpečnost je součástí jeho fiduciární odpovědnosti.
Nejčastější slabá místa firem
V praxi vidíme několik opakujících se problémů:
1) Projektový přístup
Organizace pojme implementaci jako projekt s deadlinem, vytvoří dokumentaci, nastaví procesy a projde kontrolou. Tím považuje bezpečnost za vyřízenou.
2) Podcenění řízení rizik
Rizika popíše obecně, bez vazby na konkrétní aktiva a skutečné dopady. Stanovený rozsah pak nikdy neaktualizuje.
Bez pravidelného hodnocení a zlepšování dochází k:
- Neaktuálním opatřením
- Neschopnosti reagovat na změny
- Růstové slepotě vůči novým hrozbám
3) Nedostatečné interní kompetence
Externí poradce nastaví systém, interně ale nikdo plně nerozumí jeho logice.
Ve všech těchto případech chybí jeden společný jmenovatel – jasně nastavená interní odpovědnost za řízení bezpečnosti.
Jak vypadá funkční interní tým
Funkční bezpečnostní tým rozhodně není jen jeden IT specialista, na kterého se deleguje „bezpečnost“. Je to kombinace definovaných rolí a odpovědností, které dohromady tvoří systém.
Manažer kybernetické bezpečnosti jako spojnice mezi vedením a praxí
Klíčovou roli zde hraje manažer kybernetické bezpečnosti. Ten musí umět řídit rizika, orientovat se v regulacích a rozumět požadavkům zákona, ale zároveň musí být schopný komunikovat s vedením jazykem dopadů, priorit a odpovědnosti.
Technická znalost nestačí, musí rozumět architektuře organizace, jejím procesům a vazbám mezi technologiemi a businessem. Jeho role není primárně kontrolní, ale propojuje v sobě strategii, rizika a konkrétní opatření.
Fungující model spolupráce je přitom poměrně jasný. Vedení stanoví strategii a rozhoduje o tom, jaké riziko je organizace ochotná přijmout. Manažer bezpečnosti na základě toho navrhuje konkrétní opatření a prioritizuje je. Odpovědné útvary tato opatření realizují a interní audit následně ověřuje jejich účinnost. Pokud některý z těchto článků chybí, systém přestává fungovat jako celek.
Interní audit jako kontrola, že systém skutečně funguje
Interní audit má v tomto modelu zcela zásadní roli. Ověřuje, zda jsou přijatá opatření skutečně účinná, zda jsou rizika správně hodnocena a zda systém funguje i mimo auditní den. Hodnocení bezpečnosti by nemělo probíhat jen těsně před kontrolou nebo certifikací. Musí být pravidelné a systematické.
Architekt kybernetické bezpečnosti jako propojení bezpečnosti a technologií
Vedle toho je velmi důležitá role architekta kybernetické bezpečnosti. To je pozice, která propojuje bezpečnostní požadavky s technologickou realitou. Bez architektonického pohledu často dochází k tomu, že se zavádějí nekompatibilní řešení, nástroje se překrývají a investice nejsou efektivní. Bezpečnost je pak soubor izolovaných opatření namísto fungujícího systému.
Bezpečnost jako součást strategického řízení rizik
Bezpečnost je především otázkou priorit, rozhodování o riziku, alokace zdrojů a zajištění kontinuity činností. Pokud organizace nemá jasno v tom, která aktiva jsou klíčová a jaké dopady by mělo jejich narušení, žádná technologie to sama o sobě nevyřeší.
Jakmile bezpečnost začíná na úrovni vedení, mění se způsob, jakým se o ní mluví i jak se o ní rozhoduje. Diskuse se posouvá z technického detailu do strategického rámce. Rozhodování přestává být reaktivní a stává se preventivním. Investice nejsou nahodilé, ale vycházejí z řízení rizik. Bezpečnost přestává být reakcí na incident a stává se součástí řízené stability organizace.
Reputační a ekonomické dopady
Bezpečnostní incident dnes neznamená jen technický výpadek, ale představuje ztrátu důvěry zákazníků, zpochybnění kompetence vedení, možné smluvní sankce a v některých případech i regulatorní dohled.
Reputační dopad může být výrazně delší než samotné technické obnovení provozu. A právě zde se ukazuje skutečná hodnota interních kompetencí. Návratnost investice do interního know-how spočívá ve snížení pravděpodobnosti incidentu, rychlejší a koordinovanější reakci a nižších celkových dopadech. Zároveň roste důvěryhodnost vůči obchodním partnerům i regulatorním orgánům.
Jaký první krok by měla firma udělat
První otázka by měla znít: Kdo v naší organizaci skutečně nese odpovědnost za řízení kybernetické bezpečnosti a má k tomu odpovídající kompetence?
Prakticky to znamená jasně definovat odpovědnosti, jmenovat odpovědnou osobu s reálnou autoritou, zajistit její přímý reporting na vedení a propojit bezpečnost s řízením rizik celé organizace. Teprve poté má smysl řešit konkrétní technická opatření.
Závěr: Řízená bezpečnost jako součást dlouhodobé stability
Zákon o kybernetické bezpečnosti nastavuje povinnosti v oblasti řízení bezpečnosti, rizik, auditu, kontinuity činností i incident managementu. To jsou dlouhodobé procesy, které nelze uzavřít jednorázovou implementací.
Organizace, která chápe bezpečnost jako řízenou schopnost získává vyšší odolnost, stabilitu a důvěru a v konečném důsledku i konkurenční výhodu. Čím dříve začne systematicky budovat interní kompetence, tím lépe obstojí ve chvíli, kdy bude muset reagovat na reálný incident.
ZKB přináší skvělou příležitost přestat bezpečnost administrativně „plnit“ a začít ji skutečně řídit.
Chcete zlepšit vaše interní kompentence a nabídnout svému týmu potřebné know-how? Vyberte si naší z nabídky školení.
