nZKB klade jisté nároky (nejen) na lidské zdroje. Ve vyšším režimu regulace je vyžadováno, aby regulované firmy zajistily bezpečnostní role jako jsou manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. V nižším režimu regulace je obecně vyžadováno mít osobu odpovědnou za kyberbezpečnost organizace. Vzhledem k tomu, že nyní kyberzákon reguluje asi 500 firem v ČR, ale nový kyberzákon bude regulovat až 10.000+ firem, firmy budou s největší pravděpodobností čelit nedostatku lidských zdrojů v oblasti kybernetické bezpečnosti. Pokud firmy mají vlastního zaměstnance, kterému by některou z bezpečnostních rolí přiřadily, tak mohou narazit na skutečnost, že tito zaměstnanci nemusí splňovat kvalifikační / znalostní předpoklady - to je důvod k hledání externí podpory - např. vCISO / MKBaaS.

Úkoly manažera kybernetické bezpečnosti

Nejprve se pojďme zaměřit na vybrané úkoly manažera kybernetické bezpečnosti obecně. Jsou jimi např.:

• Porozumění kontextu organizace a jejím strategickým a obchodním cílům.

• Podpora při stanovení rozsahu, hodnocení aktiv a jejich vazeb na ostatní aktiva a tím i na poskytování regulovaných služeb.

• Mapování současného stavu řízení kybernetické bezpečnosti organizace.

• Zajištění procesu řízení rizik a podpora s identifikací a hodnocením rizik.

• S ohledem na rizika, sestavení plánu zvládání rizik (RTP) a prohlášení o aplikovatelnosti (SoA) (přehled bezpečnostních opatření).

• V návaznosti na předchozí kroky, sestavení/aktualizace bezpečnostní strategie kybernetické bezpečnosti.

• Odpovědnost za projekt zavádění jednotlivých bezpečnostních opatření.

  • Podpora při výběru vhodných technologických partnerů, dodavatelů bezpečnostních řešení (end-point protection, ZTNA, log management, SIEM/SOAR atd.).

• U vyššího režimu regulace, spolupráce s architektem kybernetické bezpečnosti na definici cílové bezpečnostní architektury organizace.

• Spolupráce na zavádění a testování bezpečnostních procesů (např. incident management, řízení přístupů atd.).

• Komunikace s NÚKIB a příslušným CERT týmem ve věcech regulace.

• Podpora při zajišťování kyberbezpečnostních školení a zvyšování úrovně bezpečnostního povědomí.

• Reporting směrem k vedení organizace.

• Koordinace schůzek výboru pro řízení KB (vyšší režim).

• ...

Kompetence MKB

Z výše uvedeného výčtu úkolů jsou patrné i jisté kompetence, které by osoba zastávající roli MKB měla mít. NÚKIB v oblasti kompetencí definuje určité požadavky, u MKB jsou jimi:

Znalosti:

• Normy řady ISO/IEC 27000 (ISMS) a obdobné normy z oblasti bezpečnosti a ICT.

• Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost.

• Řízení rizik, řízení kontinuity činností.

• Relevantní právní a regulatorní požadavky, zejména zákon.

• Kontext povinné osoby.

Zkušenosti:

• Prosazování ISMS.

• Porozumění definicím rizik a rizikovým scénářům, řízení rizik.

• Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.

Vzdělání a praxe:

• Min. 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo VŠ a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.

Relevantní certifikace:

• CISM (ISACA), CRISC (ISACA), CISSP (ISC2) a obdobné.

BTW: ke získání těchto kompetencí vám jako MKB pomůže i naše nZKB akademie.

Zařazení MKB v organizační struktuře

“Kam MKB zařadit v organizační struktuře firmy?” To je častá otázka, kterou dostáváme. Bohužel toto upraveno v regulaci není. Jediné omezení se týká SoD (segregation of duties), konkrétně toho, že MKB nesmí být odpovědný i za provozní aspekty regulované služby. Tato role by zkrátka měla odpovídat jen za kybernetickou bezpečnost.

Otázka umístění MKB v organizační struktuře souvisí s kulturou firmy. Máte li kulturu organizace takovou, že se u vás hodně “hraje” na tituly a postavení v orgchartu" (typicky univerzitní prostředí, zdravotnictví, státní správa, bezpečnostní složky), pak doporučujeme MKB zařadit pod úroveň vrcholného vedení. U MKB role je obecně klíčová vazba na business (garanty aktiv) a na vrcholné vedení a v neposlední řadě velmi úzká spolupráce s ICT / OT týmy.

Kdy MKB outsourcovat a kdy nikoliv

Pár situací, kdy dává smysl MKB outsourcovat a kdy nikoliv. Vnímejte však prosím, že jde o časté případy, se kterými se setkáváme, které však nutně nemusí platit všude. Pro podrobné posouzení ve vaší organizaci bude vhodné posoudit outsourcing vůči využití vlastních zdrojů individuálně (na úrovni strategického řízení vaší firmy, CFO apod.).

Kdy se pravděpodobně hodí/vyplatí MKB outsourcovat:

• Pokud jste malá / střední firma bez vlastních security týmů.

• “Zelená louka” v oblasti řízení KB.

• Jste např. úspěšný startup, uplatňujete security by default/by design principy, ale nemáte dostatek vlastních lidských zdrojů na MKB roli.

• Z důvodu finanční optimalizace (tlak investora, založení vlastní firmy coby kompetenčního centra / centra sdílených služeb apod.).

• …

Kdy outsourcing MKB nemusí být vhodný nebo se nemusí vyplácet:

• Pokud jste velká korporace bez vlastních security týmů, bude pro vás MKBaaS s největší pravděpodobností natolik nákladná, že budete zvažovat, zda se Vám více vyplatí vlastní zdroje.

• Pokud jste velká korporace s vlastními security týmy.

• Pokud jste firma se zahraničním vlastníkem a přesahem do zahraničí (váš poskytovatel MKBaaS nemusí vždy znát specifika regulací v jiných členských státech).

• Typ businessu, kdy se vám ze strategického hlediska nehodí, aby vaši bezpečnost řešil jen externí dodavatel.

• …

Výhody

V čem pro vás může být outsourcing MKB výhodný:

• Expertní, nezávislý pohled.

  • Zkušenosti, které poskytovatel MKBaaS získá během jednoho roku získá vlastní zaměstnanec až v průběhu několika let (pokud vůbec).

  • Expertíza - Znalost trendů a best-practices.

  • Kontakty na kolegy z oboru a dodavatele security služeb a vendory.

• Úspora nákladů.

  • Škálovatelnost služby v čase dle potřeb klienta (zpravidla při zahájení spolupráce, kdy se začíná se zaváděním požadavků nZKB jsou vyšší nároky na čas poskytovatele, což se v čase může snižovat).

  • Úspora na vlastních zdrojích (náklady na zaměstnance vs. outsourcing).

• Nezávislost na vendorech.

  • MKBaaS je většinou služba, která není závislá na konkrétním vendorovi bezpečnostního řešení. I když vám pravděpodobně MKB bude schopen doporučit určitá řešení, se kterými má dobré zkušenosti a se kterými může mít uzavřená partnerství.

• Možnost téměř okamžitého poskytování služeb (snadný onboarding).

  • Onboarding MKBaaS může být poměrně rychlý, zpravidla se skládá s předání potřebných kontaktů a provedení úvodní analýzy současného stavu (chcete li - gap analýzy). Následně se zahajuje samotné poskytování MKBaaS.

Nevýhody

Jaké jsou nevýhody outsourcingu MKB:

• MKBaaS = Nový významný dodavatel.

• Omezené kapacity a tím i dostupnost (definované ve smlouvě).

• MKBaaS není totéž, co vlastní zaměstnanec.

  • Nezná nebo není součástí vaší firemní kultury a nemusí být dostupný tak, jako vlastní zaměstnanec.

  • Tím, že externí MKB netráví všechen svůj čas jen ve vaší firmě, je hodně závislý informacích, které mu poskytnete.

• Co když se stane kritický incident u více zákazníků poskytovatele MKBaaS, zvládne se všem současně věnovat?

• MKBaaS nemusí být výhodný pro velké korporace s vlastními security týmy - viz kapitola “Kdy MKB outsourcovat a kdy nikoliv“.

• Pokud je MKB závislý na vendorech může se vám stát, že nezná konkrétní bezpečnostní aspekty vašich technologií, pokud jsou odlišné od jeho partnerských vendorů. Prověřujte si to.

Mylná očekávání

Myslete prosím na to, že u využití MKBaaS NEPLATÍ, že:

• MKB udělá vše za regulovanou firmu (bez součinnosti).

• Outsourcingem MKB se firma zbavuje odpovědnosti.

• Regulovaná firma nebude muset zajistit další zdroje (HR, finance, nástroje atd.).

• MKB bude provozovat a konfigurovat bezpečnostní nástroje.

• MKB bude analyzovat podezřelé emaily a malware.

Úskalí

Vybraná úskalí MKBaaS, která byste měli vnímat:

• I když outsourcujete MKB, je nutné počítat s tím, že MKB vezme hodně času i vašim ostatním zaměstnancům - bude usilovně komunikovat s vrcholným vedením, s garanty aktiv a s ICT/OT týmy atd.

• Exit strategie - Co když se po půl roce, kdy vám externí MKB pomáhá zajišťovat shodu s nZKB, rozhodnete spolupráci ukončit? Startujete znovu na zelené louce?

• GRC a obdobné nástroje a jejich vlastnictví.

• Komunikace - zákazník - MKB - vendoři.

• Pozor na kompetence zaměstnanců dodavatele! Dejte si pozor na to, aby u vás poskytovatel MKB nevyhrál zakázku jen proto, že má jednoho externího experta, který má požadovanou praxi, certifikace atd., kterého k vám však po získání zakázky “nepustí”. To si ošetřujte už při výběrových řízeních. Stává se to opravdu často.

• Nedostatečná transparentnost poskytování MKBaaS.

• “Hope is not enough strategy” aneb, když statutár prohlásí: “Já doufám, že když tu máme podepsanou smlouvu na MKBaaS, kyber útok nám už nehrozí.”

• Definice shared responsibility modelu ve smlouvě na MKBaaS, definice zákonem požadovaných smluvních požadavků s tímto významným dodavatelem.

• Pozor na hybridní/centrální řízení KB ze strany zahraničních mateřských společností.

• Metriky související s MKBaaS (jako alespoň míra zajištění shody v čase).

Výběr dodavatele MKBaaS

Na co se soustředit:

• Prokazatelné reference - jednotlivců i týmu (dodavatelské firmy).

• Odborné certifikace členů týmu - jsou důležité, ale měly by se hodnotit v kombinaci s praxí.

• Certifikace společnosti dodavatele podle ISO/IEC 27001 je základní minimum, ale nespoléhejte jen na to a myslete např. i na zákaznické audity.

• Kompetence jednotlivců v týmu dodavatele.

• Dostupnost (zastupitelnost týmu dodavatele + pohotovost).

• Transparentnost a podpora při exit strategii!

• Definice smlouvy a shared responsibility modelu ve smlouvě.

• Vhodné nastavení hodnotících kritérií (výběr pouze na základě ceny nedoporučujeme).

V GUARDIANS.cz je MKBaaS jedna z našich standardních služeb, proto vám rádi s rolí MKB pomůžeme.

Na co se můžete těšit v naší CyberSecurityPlatform.cz

nZKB akademie 2025

Ještě jste o naší nZKB akademii neslyšeli? Jelikož čtete tento newsletter, tak vás můžeme ujistit, že nZKB akademie je pro vás relevantní a nabízí zcela unikátní vzdělávání v oblasti nového kybernetického zákona!

Proč je nZKB akademie 2025 unikátní?

• Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.

• Akademie se skládá z výukové, tréninkové a komunitní fáze.

• V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.

• Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.

• A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!

V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!

#CyberPivo

3. dubna od 18:00 v Immigrant v Brně! 🍺

Tentokrát se můžete těšit na přednášku Mgr. Jiřího Císka a Mgr. Jana Přívory z AK Císek, kteří se nedávno stali komerčním partnerem naší platformy. Kolegové představí case study reálného bezpečnostního incidentu, který postihl jednoho z jejich klientů.

#CyberPanel

14. dubna od 18:00 v event prostoru Clubco, Vlněna 5, Brno.

Minulý rok kolegyně

Vybrané novinky a zajímavosti

• NÚKIB aktualizoval nové požadavky na kryptografické algoritmy, což musí zohlednit i regulované subjekty již regulované současným kyberzákonem.

• Zatím jen 7 z 27 zemí EU stihlo transponovat NIS2. Jak jistě víte, ČR mezi nimi bohužel není.

• nZKB je u Garančního výboru a čeká ho třetí čtení.

• NÚKIB varuje před podvodnými telefonáty, mezi případy je i zneužívání pohotovostního čísla, které využívá k hlášení incidentů.

• Evropská komise zveřejnila pokyny k zakázaným praktikám AI podle AI Act.

• Americká CISA publikovala nové doporučení v souvislosti s Ghost (Cring) Ransomware.

BTW víte, že za paywallem našeho newsletteru najdete…

• Případovky nebo podrobnější články, jako je dnešní díl.

• Relevantní články i v angličtině.

Feedback

Poskytněte prosím svůj feedback k našemu newsletteru a zvyšte s námi jeho kvalitu! ⬇️

Jelikož do tvorby newsletteru investujeme poměrně velké úsilí, rádi bychom se dozvěděli, co se vám na něm líbí nebo co bychom naopak měli zlepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Respondentům, kteří budou mít zájem, pošleme na oplátku emailem slevový kód do naší nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru (dle výběru).