Bezpečnostní role a odpovědnost vedení: kdo ve firmě ručí za kyberbezpečnost?
Víte, kdo ve vaší firmě skutečně ručí za kybernetickou bezpečnost? Mnoho jednatelů si myslí, že je to věc IT oddělení, ale zákon to vidí jinak. Přečtěte si, jaké bezpečnostní role musíte nastavit a proč odpovědnost nese především vedení firmy.
Stručné shrnutí
Nový zákon o kybernetické bezpečnosti klade odpovědnost za kyberbezpečnost přímo na vedení firmy, nikoli na IT oddělení. Firmy musí nastavit jasné bezpečnostní role a určit, kdo za co ručí. Klíčovou rolí je manažer kybernetické bezpečnosti, kterého lze zajistit interně nebo jako externí službu. Role a odpovědnosti musí být zdokumentovány v souladu s vyhláškou 410/2025 Sb.
Proč zákon řeší bezpečnostní role a odpovědnost vedení
Kybernetická bezpečnost není jen otázka technologií. Stojí a padá s tím, jak jsou ve firmě rozdělené odpovědnosti a kdo má jednotlivé oblasti na starosti. Právě proto zákon o kybernetické bezpečnosti věnuje rolím a odpovědnosti vedení samostatnou pozornost.
Co se změnilo s novým zákonem o kybernetické bezpečnosti
S příchodem zákona 264/2025 Sb. se kybernetická bezpečnost stala povinností danou zákonem, nikoli jen dobrovolným standardem. Vyhláška 410/2025 Sb. mezi neopominutelná opatření výslovně řadí požadavky na vrcholné vedení.
To v praxi znamená, že vedení firmy musí kybernetickou bezpečnost aktivně řídit, schvalovat klíčové dokumenty a nést za ni odpovědnost. Nejde o formalitu, ale o jeden ze základních pilířů celé regulace.
Proč kyberbezpečnost není starost jen IT oddělení
Rozšířená představa, že kybernetická bezpečnost je čistě technická záležitost, kterou vyřeší IT, je dnes překonaná. Síťový administrátor nebo IT správce není totéž co osoba odpovědná za řízení bezpečnosti.
IT oddělení sice zavádí technická opatření, ale o prioritách, rozpočtu a odpovědnostech rozhoduje vedení. Kybernetická bezpečnost se dotýká procesů, lidí i dodavatelů napříč celou firmou, a proto ji nelze delegovat pouze na techniky.
Kdo ve firmě ručí za kyberbezpečnost
Otázka odpovědnosti je u nového zákona zásadní. Zákon nenechává prostor pro nejasnosti a jednoznačně určuje, kdo je za plnění povinností odpovědný.
Odpovědnost vedení společnosti za kyberbezpečnost
Za splnění povinností podle zákona odpovídá vedení společnosti. Statutární orgán, tedy typicky jednatel nebo představenstvo, je tím, kdo ručí za to, že firma zavedla potřebná opatření a má hotovou dokumentaci.
Vedení nemůže tuto odpovědnost přenést na IT oddělení ani na externího dodavatele. Může pověřit konkrétní osoby výkonem jednotlivých úkolů, konečná odpovědnost ale zůstává na něm. Tím zákon zajišťuje, že se kybernetická bezpečnost stane skutečnou prioritou na nejvyšší úrovni řízení.
Co hrozí vedení při nesplnění povinností
Nesplnění povinností není jen firemní problém. Zákon výslovně počítá s osobní odpovědností členů vedení.
Hrozí nejen pokuty, které v nižším režimu dosahují u nejzávažnějších porušení až 175 milionů korun nebo 1,4 procenta obratu, ale také dočasný zákaz výkonu funkce člena statutárního orgánu. To je sankce, která dopadá přímo na konkrétní osobu, nikoli pouze na firmu.
Jaké bezpečnostní role musí firma nastavit
Aby firma splnila požadavky zákona, musí mít jasně rozdělené odpovědnosti. Nestačí vědět, že za bezpečnost ručí vedení. Je potřeba určit konkrétní role a jejich úkoly.
Klíčové role a jejich odpovědnosti
Firma by měla mít jasně definováno, kdo má na starosti jednotlivé oblasti bezpečnosti. Mezi základní role patří:
- Vedení společnosti, které schvaluje bezpečnostní politiku a nese celkovou odpovědnost.
- Manažer kybernetické bezpečnosti, který koordinuje jednotlivá opatření.
- Správci aktiv a systémů, kteří odpovídají za konkrétní technologie.
- Běžní uživatelé, kteří dodržují stanovená pravidla.
Každá role má své povinnosti a všechny společně tvoří funkční systém řízení bezpečnosti.
Manažer kybernetické bezpečnosti a jeho úloha
Ústřední rolí je manažer kybernetické bezpečnosti. Tato osoba koordinuje zavádění opatření, dohlíží na dokumentaci a slouží jako spojnice mezi vedením a techniky.
Manažer kybernetické bezpečnosti nemusí být nutně technik. Důležitější je, aby rozuměl požadavkům zákona, uměl řídit rizika a dokázal komunikovat s vedením i s IT. Jeho úkolem je zajistit, aby bezpečnost fungovala jako trvalý proces.
Jak role obsadit a zajistit potřebné znalosti
Nastavit role je jedna věc, obsadit je správnými lidmi s potřebnými znalostmi je věc druhá. Firmy mají k dispozici několik cest, jak to zvládnout.
Manažer kybernetické bezpečnosti jako služba
Ne každá firma má interně člověka, který může roli manažera kybernetické bezpečnosti zastat. Řešením je manažer kybernetické bezpečnosti jako služba, tedy externí odborník, který tuto roli převezme.
Tato varianta dává smysl zejména pro menší a střední firmy, které nechtějí nebo nemohou vytvářet samostatnou pozici. Externí manažer přináší zkušenosti z více firem a firma tak získá odbornost bez nutnosti budovat vlastní tým.
Školení manažera kybernetické bezpečnosti
Druhou cestou je školení manažera kybernetické bezpečnosti z řad vlastních zaměstnanců. Firma tak rozvíjí interní kapacitu a odbornost zůstává uvnitř organizace.
Školení je vhodné zejména tehdy, když firma plánuje řešit kybernetickou bezpečnost dlouhodobě a chce mít odpovědnou osobu přímo u sebe. Obě varianty, interní i externí, jsou legitimní a záleží na možnostech a potřebách konkrétní firmy.
Jak role a odpovědnosti správně zdokumentovat
Nastavené role je nutné nejen zavést, ale také doložit. Dokumentace je tím, co při kontrole prokáže, že firma má odpovědnosti skutečně rozdělené.
Vyhláška 410/2025 Sb. vyžaduje, aby firma měla role a odpovědnosti zachyceny v dokumentaci, zejména v bezpečnostní politice. Z ní musí být jasné, kdo za co ručí, kdo schvaluje klíčová rozhodnutí a jak jsou jednotlivé role provázané.
Připravit takovou dokumentaci ručně je náročné a snadno v ní vzniknou mezery. Právě s tím pomáhá Compligen. Online průvodce vás provede nastavením rolí i přípravou bezpečnostní politiky a celé to převede do dokumentace v souladu s vyhláškou. Stačí odpovědět na srozumitelné otázky o vaší firmě a o zbytek se postará průvodce.
Závěr
Bezpečnostní role a odpovědnost vedení jsou základem celého systému kybernetické bezpečnosti podle nového zákona. Za splnění povinností ručí vedení společnosti, které nemůže odpovědnost přenést na IT oddělení ani na externího dodavatele. Firma musí nastavit jasné role, obsadit je odborně způsobilými lidmi a celé to zdokumentovat v souladu s vyhláškou 410/2025 Sb. Manažera kybernetické bezpečnosti lze zajistit interně i jako externí službu. S přípravou potřebné dokumentace vám pomůže Compligen.
Přečtěte si také
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.
- Samoidentifikace NIS2: jak zjistíte, jestli se vás ZoKB týkáTýká se vaší firmy nový zákon o kybernetické bezpečnosti? Přečtěte si, jak správně a včas provést samoidentifikaci NIS2 krok za krokem.