1. Nová legislativa v kybernetické bezpečnosti

Nařízení DORA, směrnice NIS2 a nový zákon o kybernetické bezpečnosti (označovaný jako nZKB), který vstoupí v platnost v roce 2025, zavádějí přísnější požadavky na kybernetickou ochranu. Mnozí manažeři se mylně domnívají, že veškerá zodpovědnost spadá pod IT. NIS2 však požaduje, aby ochrana digitálních aktiv zahrnovala celou organizaci. Závislost pouze na IT může vést k legislativnímu nesouladu a zvýšenému riziku bezpečnostních incidentů. 

2. IT jako poskytovatel služeb

Úlohou IT oddělení je poskytovat technické nástroje a podporu, nikoli rozhodovat o bezpečnostní strategii. Ta by měla být určena managementem ve spolupráci s garanty aktiv. IT přináší technické řešení, ale bezpečnostní politiku určuje vedení, které má přehled o citlivosti dat a obchodních procesech. 

3. Klíčové role a odpovědnost

Podívejme se tedy na klíčové role v implementaci NIS2 či DORA a jejich zodpovědnosti.

Management

  • Definuje strategii kybernetické bezpečnosti 
  • Schvaluje rozpočet a alokuje zdroje

Manažer kybernetické bezpečnosti

  • Koordinuje aktivity v oblasti kybernetické ochrany napříč organizací
  • Aktualizuje politiky
  • Reportuje vedení o stavu kybernetické bezpečnosti

Garanti aktiv

  • Garanti aktiv identifikují klíčová aktiva a data
  • Určují požadavky na ochranu a dostupnost systémů
  • Spolupracují s IT na implementaci bezpečnostních opatření

IT oddělení

  • Implementuje technická a bezpečnostní opatření 
  • Spravuje a monitoruje IT služby, aby byly dostupné, bezpečné, v souladu s dohodnutými úrovněmi služeb.
  • Poskytuje odborné znalosti a doporučení 

4. Význam jasného rozdělení kompetencí a odpovědností

Pro úspěšnou implementaci je nezbytné mít jasně vymezené kompetence. Každý člen týmu musí znát své úkoly, aby se vyhnul duplicitě či opomenutí klíčových úkolů. Správné rozdělení odpovědností přispívá k efektivnímu řízení a minimalizaci chyb.

5. Proč nemůže IT samo rozhodovat o bezpečnostních opatřeních

IT oddělení má technické know-how, ale postrádá přehled o obchodních procesech a strategických cílech firmy. Bezpečnostní opatření musí být vyvážená a přiměřená rizikům. Pouze management ve spolupráci s garanty aktiv a IT dokáže správně posoudit, jaká úroveň ochrany je adekvátní vzhledem k hodnotě dat a potenciálním dopadům incidentu.

6. Rizika plynoucí z přenechání veškeré odpovědnosti na IT

Přenechání kybernetické bezpečnosti pouze na IT vede k následujícím rizikům: 

  • Nedostatečné zohlednění business potřeb a procesů
  • Přehlížení netechnických aspektů bezpečnosti (např. školení zaměstnanců)
  • Neefektivní alokace zdrojů
  • Nedostatečná podpora ze strany managementu

7. Efektivní komunikace a spolupráce

Pravidelná komunikace mezi managementem, IT a garanty aktiv je klíčem k úspěšné implementaci kybernetické bezpečnosti (NIS2, DORA).

Doporučuje se: 

  • Pravidelné schůzky např. bezpečnostního výboru
  • Jasné komunikační kanály pro hlášení incidentů a rizik
  • Sdílení znalostí a osvědčených postupů (best practices) napříč organizací

8. Budoucí trendy v oblasti kybernetické bezpečnosti a jejich dopad na roli IT

Role IT se bude dále vyvíjet s příchodem nových technologií, jako jsou umělá inteligence nebo cloudová řešení.

Manažeři by měli být připraveni na: 

  • Větší důraz na automatizaci a umělou inteligenci v detekci hrozeb
  • Rostoucí význam cloudových řešení a s tím spojené nové bezpečnostní výzvy
  • Potřebu kontinuálního vzdělávání a adaptace na nové technologie

9. Klíčové body pro úspěšnou implementaci NIS2 a DORA s důrazem na správné zapojení IT

  1. Vytvořte vhodný tým pro implementaci nařízení DORA nebo směrnice NIS2
  2. Jasně definujte role a odpovědnosti všech zúčastněných stran
  3. Zajistěte pravidelnou komunikaci mezi IT, garanty aktiv a managementem
  4. Investujte do vzdělávání a zvyšování povědomí o kybernetické bezpečnosti napříč organizací
  5. Pravidelně přezkoumávejte a aktualizujte bezpečnostní politiky a postupy
  6. Využívejte IT jako strategického partnera, nikoli jen jako technického dodavatele

Závěr

Implementace NIS2 a DORA je komplexní proces, který vyžaduje zapojení celé organizace. IT oddělení hraje klíčovou roli, ale nenese veškerou odpovědnost. Pouze společným úsilím managementu, garantů aktiv a IT lze dosáhnout skutečně efektivní ochrany před kybernetickými hrozbami a souladu s novou legislativou.