Kybernetická bezpečnost není jen úkolem IT - průvodce pro management - NIS2 a DORA
Aktualizováno: 20.11.2024
NIS2 a DORA přináší revoluci v kybernetické bezpečnosti a mění zažité představy o tom, kdo je za ni zodpovědný. Zjistěte, proč nemůže být zajištění bezpečnosti pouze na bedrech IT oddělení a jaký význam mají manažeři a další klíčové role v ochraně vaší organizace. Tento průvodce vám ukáže, jak správně přistoupit k implementaci NIS2 a minimalizovat rizika.
1. Nová legislativa v kybernetické bezpečnosti
Nařízení DORA, směrnice NIS2 a nový zákon o kybernetické bezpečnosti (označovaný jako nZKB), který vstoupí v platnost v roce 2025, zavádějí přísnější požadavky na kybernetickou ochranu. Mnozí manažeři se mylně domnívají, že veškerá zodpovědnost spadá pod IT. NIS2 však požaduje, aby ochrana digitálních aktiv zahrnovala celou organizaci. Závislost pouze na IT může vést k legislativnímu nesouladu a zvýšenému riziku bezpečnostních incidentů.
2. IT jako poskytovatel služeb
Úlohou IT oddělení je poskytovat technické nástroje a podporu, nikoli rozhodovat o bezpečnostní strategii. Ta by měla být určena managementem ve spolupráci s garanty aktiv. IT přináší technické řešení, ale bezpečnostní politiku určuje vedení, které má přehled o citlivosti dat a obchodních procesech.
3. Klíčové role a odpovědnost
Podívejme se tedy na klíčové role v implementaci NIS2 či DORA a jejich zodpovědnosti.
Management
- Definuje strategii kybernetické bezpečnosti
- Schvaluje rozpočet a alokuje zdroje
Manažer kybernetické bezpečnosti
- Koordinuje aktivity v oblasti kybernetické ochrany napříč organizací
- Aktualizuje politiky
- Reportuje vedení o stavu kybernetické bezpečnosti
Garanti aktiv
- Garanti aktiv identifikují klíčová aktiva a data
- Určují požadavky na ochranu a dostupnost systémů
- Spolupracují s IT na implementaci bezpečnostních opatření
IT oddělení
- Implementuje technická a bezpečnostní opatření
- Spravuje a monitoruje IT služby, aby byly dostupné, bezpečné, v souladu s dohodnutými úrovněmi služeb.
- Poskytuje odborné znalosti a doporučení
4. Význam jasného rozdělení kompetencí a odpovědností
Pro úspěšnou implementaci je nezbytné mít jasně vymezené kompetence. Každý člen týmu musí znát své úkoly, aby se vyhnul duplicitě či opomenutí klíčových úkolů. Správné rozdělení odpovědností přispívá k efektivnímu řízení a minimalizaci chyb.
5. Proč nemůže IT samo rozhodovat o bezpečnostních opatřeních
IT oddělení má technické know-how, ale postrádá přehled o obchodních procesech a strategických cílech firmy. Bezpečnostní opatření musí být vyvážená a přiměřená rizikům. Pouze management ve spolupráci s garanty aktiv a IT dokáže správně posoudit, jaká úroveň ochrany je adekvátní vzhledem k hodnotě dat a potenciálním dopadům incidentu.
6. Rizika plynoucí z přenechání veškeré odpovědnosti na IT
Přenechání kybernetické bezpečnosti pouze na IT vede k následujícím rizikům:
- Nedostatečné zohlednění business potřeb a procesů
- Přehlížení netechnických aspektů bezpečnosti (např. školení zaměstnanců)
- Neefektivní alokace zdrojů
- Nedostatečná podpora ze strany managementu
7. Efektivní komunikace a spolupráce
Pravidelná komunikace mezi managementem, IT a garanty aktiv je klíčem k úspěšné implementaci kybernetické bezpečnosti (NIS2, DORA).
Doporučuje se:
- Pravidelné schůzky např. bezpečnostního výboru
- Jasné komunikační kanály pro hlášení incidentů a rizik
- Sdílení znalostí a osvědčených postupů (best practices) napříč organizací
8. Budoucí trendy v oblasti kybernetické bezpečnosti a jejich dopad na roli IT
Role IT se bude dále vyvíjet s příchodem nových technologií, jako jsou umělá inteligence nebo cloudová řešení.
Manažeři by měli být připraveni na:
- Větší důraz na automatizaci a umělou inteligenci v detekci hrozeb
- Rostoucí význam cloudových řešení a s tím spojené nové bezpečnostní výzvy
- Potřebu kontinuálního vzdělávání a adaptace na nové technologie
9. Klíčové body pro úspěšnou implementaci NIS2 a DORA s důrazem na správné zapojení IT
- Vytvořte vhodný tým pro implementaci nařízení DORA nebo směrnice NIS2
- Jasně definujte role a odpovědnosti všech zúčastněných stran
- Zajistěte pravidelnou komunikaci mezi IT, garanty aktiv a managementem
- Investujte do vzdělávání a zvyšování povědomí o kybernetické bezpečnosti napříč organizací
- Pravidelně přezkoumávejte a aktualizujte bezpečnostní politiky a postupy
- Využívejte IT jako strategického partnera, nikoli jen jako technického dodavatele
Závěr
Implementace NIS2 a DORA je komplexní proces, který vyžaduje zapojení celé organizace. IT oddělení hraje klíčovou roli, ale nenese veškerou odpovědnost. Pouze společným úsilím managementu, garantů aktiv a IT lze dosáhnout skutečně efektivní ochrany před kybernetickými hrozbami a souladu s novou legislativou.
