TECHTERRA SERVICES

+420 606 200 600

ODPOVĚDNOST ZA KYBERNETICKOU BEZPEČNOST

Kdo ji nese a co znamená v praxi digitálního světa

Kybernetická bezpečnost už dávno není pouze technickou otázkou správců sítí a IT specialistů.

V éře digitalizace, regulací, cloudových platforem a hybridního stylu práce je kybernetická bezpečnost především otázkou odpovědnosti – právní, manažerské i provozní.

Útoky jsou častější, sofistikovanější a mnohdy i cílené.

Ať už jde o deepfake CEO, ztracený notebook na home office, špatně zabezpečený cloud nebo nevědomý klik na phishing, dopad na organizaci může být zásadní – finančně, reputačně i právně.

Odpovědnost ≠ vina IT oddělení

Ve skutečnosti platí jednoduché pravidlo:

Bezpečnost informací je odpovědností celé organizace.

Zatímco IT řeší technické zabezpečení, skutečná odpovědnost za systémové nastavení, řízení rizik a reakci na incidenty leží na vedení organizace.

A podle nových evropských směrnic (NIS2, DORA) už nepostačuje „dobrá víra“ – požaduje se prokazatelná aktivita.

📌 Kdo odpovídá za kyberbezpečnost?

Role

CEO / statutár

Právní odpovědnost, strategické řízení rizik, zajištění souladu s legislativou (NIS2, GDPR, zákon o KB)

Role

CISO / manažer kybernetické bezpečnosti

Řízení ISMS, bezpečnostní politiky, školení, dohled a monitoring, reporting incidentů

Role

IT manažer / CIO

Implementace technických opatření, dohled nad systémy, správa přístupů

Role

Právník / DPO

Zajištění souladu s GDPR a DORA, hlášení incidentů, komunikace s úřady

Role

Zaměstnanci

Dodržování bezpečnostních pravidel, školení, hlášení incidentů, bezpečné chování (phishing, BYOD)

Role

Dodavatelé

Zajištění bezpečnosti dat a systémů dle smluv, přístupů a SLA

📘 NIS2: Kyberbezpečnost jako právní povinnost vedení

Směrnice NIS2 přináší:

  • povinnost řídit rizika na úrovni vrcholového managementu,

  • odpovědnost za implementaci bezpečnostních opatření,

  • povinné hlášení incidentů,

  • důkazní břemeno – organizace musí být schopna prokázat, že aktivně řídila rizika.

NIS2 se vztahuje nejen na kritickou infrastrukturu, ale i na:

  • zdravotnictví,

  • digitální služby,

  • výzkumné organizace,

  • veřejnou správu,

  • významné soukromé subjekty (např. nad 250 zaměstnanců / 10 mil. € obratu).

📘 ISO/IEC 27001: Systém odpovědnosti v rámci ISMS

Norma ISO/IEC 27001 vyžaduje:

  • definované role a odpovědnosti v rámci řízení bezpečnosti,

  • politiku schvalovanou vedením,

  • řízení lidských zdrojů (školení, závazky, sankce),

  • auditní stopu pro dohledatelnost rozhodnutí.

📘 GDPR: Odpovědnost za data

Z hlediska ochrany osobních údajů:

  • organizace nese odpovědnost za zpracování osobních údajů (i v cloudu, i přes dodavatele),

  • porušení zabezpečení (např. únik dat) = oznamovací povinnost,

  • pokuty až do výše 20 milionů eur nebo 4 % obratu.

📘 Odpovědnost při využívání moderních technologií

☁️ Cloud

  • organizace není zbavena odpovědnosti za data v cloudu,

  • musí mít smlouvy, šifrování, dohled, přenositelnost dat.

📱 BYOD a home office

  • pokud zaměstnanec zpracovává data na soukromém zařízení nebo doma, odpovědnost zůstává na zaměstnavateli,

  • nutnost školení, kontrolních mechanismů, MDM.

🧠 AI, deepfakes a podvody

  • zaměstnanci i vedení musí být proškoleni v nových hrozbách (voice phishing, podvržená komunikace),

  • organizace má odpovědnost za prevenci a detekci.

🔍 Interní audit = nástroj přenesené odpovědnosti

Interní audit pomáhá:

  • odhalit slabiny dříve, než se stanou incidentem,

  • prokázat aktivní řízení rizik,

  • připravit organizaci na externí kontrolu (ÚOOÚ, NÚKIB, TISAX audit),

  • zmapovat, zda jsou skutečně zajištěny všechny úrovně odpovědnosti.

🔐 Odpovědnost organizace ve 3 rovinách

  1. Strategická – vedení, plánování, soulady s legislativou, řízení dodavatelů

  2. Operační – implementace opatření, dohled, IT správa, školení

  3. Lidská – chování zaměstnanců, vnímání rizik, ochota hlásit incidenty

📣 Co když odpovědnost není plněna?

  • Pokuty a sankce (GDPR, zákon o kybernetické bezpečnosti, DORA)

  • Ztráta důvěry a reputace

  • Finanční ztráty v důsledku útoků nebo výpadků služeb

  • Právní odpovědnost statutárních orgánů

✅ Doporučené kroky pro naplnění odpovědnosti

  • Zajistit formální jmenování bezpečnostních rolí (např. CISO, DPO)

  • Provést risk assessment a mapování aktiv

  • Zavést ISMS dle ISO/IEC 27001 nebo obdobného rámce

  • Vypracovat bezpečnostní politiku a interní směrnice

  • Vytvořit plán reakce na incidenty

  • Pravidelně školit zaměstnance včetně vedení

  • Zajistit dokumentaci, audity a dohledatelnost

  • Zvážit outsourcing rolí nebo 24/7 podporu

Závěr - odpovědnost je sdílená, ale začíná nahoře

Kybernetická bezpečnost není jen o firewallech, antiviru a technice. Je to vědomé řízení rizik, které musí vycházet od vedení organizace a být propojeno s každodenní praxí.

Regulace jako NIS2, GDPR, ISO 27001 nebo DORA přinášejí nejen nároky – ale i rámec, jak odpovědnost spravedlivě rozdělit a efektivně řídit.

Pomáháme organizacím:

  • nastavit odpovědnosti a bezpečnostní rámce,

  • školit zaměstnance a manažery,

  • implementovat ISMS a NIS2 požadavky,

  • realizovat audity a testy,

  • reagovat na incidenty a minimalizovat jejich dopad.

Odpovědnost za bezpečnost je dnes důležitější než kdykoliv dřív.
A my vám ji pomůžeme nést profesionálně.