Evropská směrnice NIS2 a nový zákon o kybernetické bezpečnosti chystají na firmy nové povinnosti. Některé z nich budou muset mít manažera kybernetické bezpečnosti. Zjistěte, pro koho bude povinný a co má vůbec dělat.
Manažer kybernetické bezpečnosti je pozice odpovědná za řízení kybernetické bezpečnosti v celé její šíři. Měl by vést plánování projektů a opatření, koordinovat konkrétní aktivity, hlídat rozpočty a nést za práci kyberbezpečnostního týmu odpovědnost.
Jeho úkolem je také propojení komunikace mezi IT odborníky a vedením. Pokud má firma povinnosti podle zákona o kybernetické bezpečnosti, tak dohlíží na jejich dodržování.
Přínosy manažera kybernetické bezpečnosti:
- Koordinuje kyberbezpečnostní aktivity jako celek.
- Vidí téma komplexně, z širšího pohledu než jednotliví IT specialisté nebo vedení.
- Zná nejnovější trendy, hrozby a způsoby ochrany.
- Komunikuje témata kyberbezpečnosti napříč firmou.
- Pokud vám ho nařizuje zákon, nemáte na vybranou.
Pro firmy podléhající zákonu o kybernetické bezpečnost je povinný už i teď. Ale s novým zákonem se počet takových společností dramaticky zvýší a je možné, že i vy si manažera budete muset pořídit.
Manažer kybernetické bezpečnosti podle NIS2
Chystaný zákon o kybernetické bezpečnosti plánuje povinnou roli manažera kybernetické bezpečnosti pro firmy v přísnějším režimu. Které to jsou a jak zjistit, jestli tam náhodou nepatříte právě vy, si přečtěte v dřívějším článku.
Zákon mimochodem vymezuje také další tzv. bezpečnostní role, a to architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.
Náplň práce manažera kyberbezpečnosti vyčerpávajícím způsobem stanoví prováděcí vyhláška a její příloha, která nyní vzniká společně se zákonem.
Důležité je, že člověk na této pozici nesmí současně zastávat provozní a jiné vedoucí pozice, ať už v IT nebo v jiné oblasti v rámci firmy. Zákon také určuje požadavky na odborné vzdělání, znalosti a praxi takového pracovníka, nemůžete jím tedy pro forma jmenovat sekretářku jen proto, že umí rozchodit tiskárnu.
Nicméně. Zaměstnat takového manažera má jednu velkou nevýhodu. Zkušený odborník si řekne o tučnou výplatu. Nemůžete si ho dovolit? Pozici outsourcujte.
Outsourcing manažera kybernetické bezpečnosti
Proč se vám outsourcing tohoto odborníka vyplatí?
- Vyřeší vysoké náklady: Při outsourcingu neživíte „celého zaměstnance“, ale hradíte jen pravidelné poplatky za službu. Což je úplně jiná suma, kterou váš rozpočet snadněji unese. Podobně, jako si firmy najímají pověřence pro ochranu osobních údajů podle GDPR.
- Vyřeší požadavky NIS2 a zákona: Pokud musíte manažera kybernetické bezpečnosti jmenovat, neodkládejte to, jinak se vystavujete hrozbě sankcí.
- Vyřeší problémy s kybernetickou bezpečností: Získáte kvalitní zabezpečení v souladu s nejnovějšími trendy. Bude se o vás starat člověk, který se na security specializuje. Od tématu ho nerozptyluje zakládání e-mailů pro nové zaměstnance a řešení nefungujících notebooků.
Ostatně, taková komplexní, zastřešovací role se hodí každé střední a větší firmě, která bere svou kybernetickou bezpečnost vážně. Bez ohledu na to, co stanoví zákon.
Externí manažer kybernetické bezpečnosti se vám věnuje v domluveném rozsahu, např. jeden, dva nebo tři dny v měsíci, případně zčásti u vás na firmě a zčásti na dálku. Jeho role je koordinační, poradní a propojující. Neměl by zastávat konkrétní provozní úkoly, a tedy lézt do zelí vašemu firemnímu ajťákovi. Stane se spíš jeho partnerem a doplní ho tam, kam nesahá jeho odbornost nebo časové možnosti.
Potřebujete poradit s novými povinnostmi, které přinese NIS2 a nový zákon o kybernetické bezpečnosti? Od toho jsme tu my! Zavolejte, rádi vám podáme pomocnou ruku.