V dnešní „digitální době“, kdy se soukromá i veřejná sféra stále více spoléhá na informační systémy a technologie, se kybernetická bezpečnost stává klíčovým tématem pro organizace různé velikost a různého oboru činnosti či podnikání.
Směrnice NIS2, a související návrhy zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek, představují jeden z kroků, kterým Evropská unie reaguje na rostoucí kybernetické hrozby. Uvedená směrnice mimo jiné přináší (nové) povinnosti pro vrcholné vedení společností a, pro český právní řád, novinku spočívající v možnosti zakázat výkon funkce manažerovi, který své povinnosti plynoucí z regulace kybernetické bezpečnosti významně zanedbal či přímo ignoroval.
Jak směrnice NIS2 a nový zákon o kybernetické bezpečnosti ovlivní role a odpovědnosti vedení regulovaných organizací?
Za které části NIS2 je top management odpovědný?
Směrnice NIS2 klade zvýšené nároky na vrcholné vedení, které má nyní na starosti nejen strategické řízení firmy, ale také kybernetickou bezpečnost. Podívejme se blíže na konkrétní požadavky:
Stanovení bezpečnostní politiky: Vytváření a udržování aktuální bezpečnostní politiky a cílů systému řízení bezpečnosti informací nyní patří mezi základní povinností vrcholného vedení. Bezpečnostní politika by měla být v souladu s celkovou strategií firmy a měla by reflektovat aktuální bezpečnostní hrozby a rizika. Je nezbytné, aby bezpečnostní politika byla pravidelně aktualizována a reflektovala měnící se kybernetické prostředí.
Integrace bezpečnosti do všech procesů: NIS2 zdůrazňuje nutnost integrovat systém řízení bezpečnosti informací do celkových procesů organizace. Tím se bezpečnost stává nedílnou součástí každodenního provozu , což pomáhá zvyšovat celkovou úroveň bezpečnosti. Uvedeným přístupem je zvyšována nejen celková úroveň bezpečnosti, ale rovněž je podporována bezpečnostní kultura a povědomí zaměstnanců společnosti.
Alokace zdrojů: Alokace dostatečných zdrojů pro správu a udržování sytému řízení bezpečnosti je pro řízení bezpečnosti je pro účinnou ochranu před kybernetickými hrozbami zcela zásadní. Jedná se nejen o finanční zdroje, ale rovněž o lidské zdroje a technické prostředky potřebné pro zajištění bezpečnosti. Vedení společnosti je nejen odpovědné za to, že organizace bude mít k dispozici dostatek zdrojů pro zajištění kybernetické bezpečnosti a odolnosti, ale také by mělo pravidelně hodnotit efektivitu alokace zdrojů a přizpůsobovat alokaci zdrojů podle měnících se potřeb a nových hrozeb.
Vytvoření bezpečnostních rolí: NIS2 dále definuje jednoznačné požadavky na ustavení klíčových rolí informační bezpečnosti. Vrcholné vedení musí určit osoby, které budou zastávat bezpečnostní role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a v neposlední řadě auditora kybernetické bezpečnosti. Definice a obsazení klíčových bezpečnostních rolí je pro vytvoření robustního a efektivního systému řízení bezpečnosti klíčová.
Výbor pro řízení kybernetické bezpečnosti: Nedílnou součástí systému řízení bezpečnosti je ustanovení výboru pro řízení kybernetické bezpečnosti. Vrcholné vedení v rámci systému řízení bezpečnosti informací určuje složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací. Jednání výboru pro řízení kybernetické bezpečnosti probíhají v pravidelném intervalu (schází se minimálně kvartálně). Výbor je odpovědný za hodnocení a revizi bezpečnostní politiky a postupů společnosti, monitorování a hodnocení kybernetických rizik a incidentů, a zajištění souladu s regulatorními a právními požadavky. Výbor může také navrhovat strategické iniciativy a investice pro zlepšení kybernetické bezpečnosti a odolnosti organizace.
Komunikace a podpora: Komunikace a podpora ze strany vrcholného vedení jsou nezbytné pro úspěch jakékoliv bezpečnostní politiky. Vedení musí zajistit, že všichni zaměstnanci jsou informováni o významu bezpečnosti a jsou podporováni v dosažení bezpečnostních cílů. Efektivní komunikace o bezpečnostních politikách a postupech, stejně jako o potenciálních kybernetických hrozbách a rizicích, je klíčová pro budování kultury bezpečnosti ve společnosti. Klíčové je, aby vedení nejen formálně komunikovalo o významu kybernetické bezpečnosti, ale také jednalo v souladu s tím, co říká.
Aktivní zapojení vrcholného vedení do řízení bezpečnosti Pouze aktivní a skutečné, nikoliv pouze formální, zapojení podporuje transparentnost a umožňuje vedení, aby činilo informovaná rozhodnutí ohledně alokace zdrojů a dalších strategických opatření k zajištění kybernetické bezpečnosti. Kromě toho pravidelná revize a analýza klíčových dokumentů (např. zpráva o hodnocení rizik, výsledky kontrol v oblasti kybernetické bezpečnosti, zpráva o celkovém stavu kybernetické bezpečnosti atd.) ze strany top managementu zajišťuje, že bezpečnostní opatření společnosti zůstanou aktuální a efektivní v reakci na nové a vyvíjející se hrozby.
Školení: Je nezbytné, aby se všichni členové vrcholného vedení regulovaných subjektů prokazatelně účastnili školení v oblasti kybernetické bezpečnosti. Tímto požadavkem je cíleno na posílení povědomí vedení o kybernetických hrozbách a relevantních ochranných opatřeních. Školení by mělo být navrženo tak, aby poskytovalo vedení dostatečné informace a nástroje potřebné pro efektivní řízení systému kybernetické bezpečnosti, alokování zdrojů a vhodné reagování na kybernetické incidenty. Navíc, pravidelné aktualizace školení a následné recertifikace zajistí, že vedení bude kontinuálně informováno o nejnovějších vývojových trendech a nejlepších postupech v oblasti kybernetické bezpečnosti.
Proč je pro vrcholné vedení obtížné věnovat informační bezpečnosti pozornost?
Problematika kybernetické bezpečnosti může být pro vrcholné vedení obtížně uchopitelná, a to z několika důvodů:
Tradiční rozdělení rolí, kdy se vedení soustředí na strategické řízení: Klasické rozdělení rolí v organizacích často vytyčuje specifické, a do jisté míry oddělené, sféry odpovědnosti. V tomto kontextu se vrcholné vedení, které zahrnuje pozice jako jsou generální ředitel (CEO), finanční ředitel (CFO), nebo provozní ředitel (COO). Oblast informační/kybernetické bezpečnosti, která není a nemůže být ze své podstaty takto jednoznačně vymezena, nebývá výlučně v odpovědnosti (oblasti zájmu) jednoho konkrétního člena vrcholného vedení společnosti, a proto může být obtížné tuto problematiku na úrovni vrcholového vedení řešit systematicky.
Obtížně vysvětlitelné (business) přínosy: Kybernetická bezpečnost je často vnímána jako oblast, která organizaci nepřináší žádný zisk, ale spíše zabraňuje ztrátám (a neustále generuje nemalé náklady na udržení požadované úrovně). Pro vrcholné vedení může být obtížné kvantifikovat přínosy provozních nákladů a investic do kybernetické bezpečnosti ve srovnání s jinými obchodními příležitostmi a prioritami. Prokazování návratnosti investic (ROI) v oblasti kybernetické bezpečnosti může být složité, zejména pokud společnost dosud nezažila vážný bezpečnostní incident.
Nedostatečné porozumění kybernetickým hrozbám, zranitelnostem a opatřením: Vedení společnosti, resp. jeho jednotliví členové, mohou disponovat limitovanými technickými znalostmi nebo pochopením kybernetických hrozeb a zranitelností . To v praxi často vede k nedostatečnému porozumění důležitosti a naléhavosti opatření pro kybernetickou bezpečnost.
Informační bezpečnost je brána jako „nutné zlo“: V některých organizacích je informační bezpečnost vnímána vrcholným vedením jako 'nutné zlo', jen pro splnění právních požadavků, často bez uznání jejích dlouhodobých přínosů v ochraně dat a udržování reputace společnosti. Tento postoj může vést k vnímání snah o zlepšení bezpečnosti jako překážek pro obchodní cíle.
Právní důsledky neplnění povinností managementu v oblasti kybernetické bezpečnosti
Pokud členové top managementu regulovaných subjektů v režimu vyšších povinností nezajistí splnění povinností plynoucích z NIS2, resp. zákona o kybernetické bezpečnosti, může to pro ně mít dva hlavní negativní důsledky.
Tím prvním je, že jim může být soudem zakázáno vykonávat činnost ve statutárních orgánech. Toto opatření může být reakcí na opakované nebo závažné porušení povinností, které vedou k nedodržení rozhodnutí NÚKIBu a zmaření nápravy zjištěných nedostatků. Soud může rozhodnout o pozastavení řídicí funkce na minimálně šest měsíců, dokud nedojde k odstranění nedostatků. Úřad má právo tuto informaci zveřejnit a následně prověřit, zda byly nedostatky odstraněny. Je to zásadní krok k posílení odpovědnosti a zajištění dodržování předpisů v oblasti kybernetické bezpečnosti.
Vrcholný management je odpovědný za celkové řízení společnosti včetně oblasti kybernetické bezpečnosti. Členové statutárního orgánu musí vystupovat s péčí řádného hospodáře, mj. zajistit plnění všech právních a regulatorních povinností, nesou tedy i osobní odpovědnost za případné ztráty společnosti, které byly způsobeny jejich nedostatečnou péčí. Za závažné a systematické porušení povinností plynoucích z nového zákona o kybernetické bezpečnosti bude moci NÚKIB, podle současné verze návrhu zákona, uložit pokuty až do výše 250 milionů korun nebo 2 % čistého celosvětového ročního obratu podniku nebo skupiny podniků.
I když lze předpokládat, že bezprostředně po účinnosti nového zákona o kybernetické bezpečnosti NÚKIB k takto tvrdým trestům přistupovat nebude, i řádově nižší pokuta může být pro právnickou osobu velmi citelná. Pro člena vedení, který zanedbal své povinnosti a bude ji muset následně uhradit, možná ještě citelnější.
Kybernetická bezpečnost jako strategická priorita
V současném kybernetickém prostředí plném hrozeb je klíčové, aby vrcholné vedení společnosti považovalo kybernetickou bezpečnost za strategickou prioritu, podporovanou směrnicí NIS2. Aktivní zapojení vedení do řízení kybernetické bezpečnosti je zásadní pro budování kultury bezpečnosti a dlouhodobé odolnosti organizace.
Kybernetická bezpečnost zahrnuje technologie, lidi a procesy. Proto je nezbytné, aby vedení bylo plně zapojeno do rozhodovacích procesů týkajících se bezpečnostních strategií. Směrnice NIS2 je v tomto ohledu významným krokem k posílení odpovědnosti vedení v digitalizovaném světě.