Řízení lidských zdrojů a kybernetická bezpečnost
Zdroj: Právníprostor.cz
Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. Romana Szuťányi, Mgr. Michaela Holíková
Jak spolu souvisí řízení lidských zdrojů v organizaci a kybernetická bezpečnost? Více, než by se na první pohled mohlo zdát. Řízení lidských zdrojů je jedním ze základních pilířů řízení kybernetické bezpečnosti v organizaci. Řízení lidských zdrojů se protíná jak s organizačně procesní rovinou zajištění kybernetické bezpečnosti, tak i s některými bezpečnostními opatřeními v technické rovině. V následujícím článku se podíváme na základní principy a povinnosti v rámci implementace požadavků směrnice NIS2. Zaměříme se také na vnitrostátní transpozici v návrhu nového zákona o kybernetické bezpečnosti. Dále prozkoumáme související vyhlášky, které jsou spojeny s řízením kybernetické bezpečnosti. Tyto vyhlášky se týkají zejména řízení lidských zdrojů.
Bezpečnostní role
Řízení kybernetické bezpečnosti lze chápat jako integrovaný systém, který se dotýká v různé míře všech oblastí fungování organizace. V rámci implementace NIS2 zákonodárce předpokládá vytvoření specifických rolí, jejichž kompetence přímo souvisí se zajištěním kybernetické bezpečnosti v organizaci. První z těchto rolí je manažer kybernetické bezpečnosti. Jeho úkolem je odpovědnost za systém řízení bezpečnosti informací.[1] Výkonem této role může být pověřena osoba s odpovídajícím vzděláním a praxí v řízení kybernetické bezpečnosti a role není slučitelná s výkonem jiné provozní role, např. ředitele IT. Manažer kybernetické bezpečnosti odpovídá za pravidelné informování vrcholného vedení o stavu a kontinuálním zlepšování systému řízení kybernetické bezpečnosti v organizaci.
Další rolí je architekt kybernetické bezpečnosti, který je odpovědný za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby. Třetí specifickou rolí je auditor kybernetické bezpečnosti, který odpovídá za nestranné provádění auditu kybernetické bezpečnosti a výkon této role není slučitelný s manažerem ani architektem kybernetické bezpečnosti.
Vyhláška obsahuje rozpad dalších požadavků na bezpečnostní role a pro každou roli popisuje klíčové odpovědnosti, požadované znalosti a zkušenosti, požadavky na vzdělání, výčet relevantních certifikací k prokázání požadovaného vzdělání a praxe a případné další upřesňující podmínky.[2] Uvedené požadavky je třeba mít na paměti při náboru do zmíněných pracovních pozic nebo při obsazování bezpečnostních rolí stávajícími zaměstnanci.
Plán rozvoje bezpečnostního povědomí
Organizace je úspěšná v obraně před kybernetickými útoky tak, jak jsou uživatelé schopni reagovat na podezřelé znaky. Uživatelé musí například hlásit podezřelé emaily, které se snaží vylákat přihlašovací údaje do prostředí organizace. Proto je nutné stanovit plán rozvoje bezpečnostního povědomí zaměstnanců. Tento plán se může týkat i dalších pracovníků, kteří přistupují do prostředí organizace.
Plán rozvoje bezpečnostního povědomí musí zohledňovat potřebu různých úrovní znalostí pro různé role v rámci organizace, od vrcholového vedení, přes administrátory a osoby zastávající bezpečnostní role až k běžným uživatelům a třeba i pracovníkům výroby. Plán musí zahrnovat jak teoretická, tak praktická školení, která vhodným způsobem rozvíjí potřebné bezpečnostní povědomí v organizaci. O všech školeních, poučeních, cvičeních a dalších rozvojových aktivitách ke zvyšování bezpečnostního povědomí musí být veden dokumentovaný záznam, minimálně v rozsahu předmět, datum a seznam osob, které danou aktivitu absolvovaly.
Úprava mlčenlivosti a pracovní pohotovosti
Smluvní požadavek na zajištění mlčenlivosti je očekávaným standardem pracovních smluv. Návrh nové regulace kybernetické bezpečnosti zdůrazňuje požadavek na zachování mlčenlivosti u všech relevantních osob jako jsou administrátoři, osoby zastávající bezpečnostní role, osoby přistupující k citlivým údajům nebo pracovníci dodavatele.
Druhým požadavkem v návrhu nové úpravy je možnost ředitele NÚKIB nařídit pracovní pohotovost konkrétním pracovníkům zaměstnavatele. Tento požadavek může zasáhnout do nastavení pracovní smlouvy. Ředitel NÚKIB může nařídit pohotovost za stavu kybernetického nebezpečí.[3] Pohotovost je nezbytná k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru.
Další součinnost řízení lidských zdrojů a kybernetické bezpečnosti
V rámci nastavení systému řízení kybernetické bezpečnosti v organizaci bude nutné vypracovat a schválit bezpečnostní politiku. Tato politika bude obsahovat hlavní zásady, cíle a principy. Dále bude zahrnovat práva a povinnosti ve vztahu k řízení kybernetické bezpečnosti v organizaci.[4] Oddělení HR by se mělo aktivně podílet na vytváření tohoto dokumentu v relevantních oblastech, které se dotýkají činnosti řízení lidských zdrojů.
Všechny aktivity v systému řízení kybernetické bezpečnosti bude nutné pravidelně vyhodnocovat a reportovat vrcholovému vedení. Toto vyhodnocení musí proběhnout minimálně jednou ročně. Lze očekávat nastavení pravidelného reportingu. Oddělení HR se na tomto reportingu bude také podílet. Podílí se zejména v rozsahu výše zmíněných povinností.
Součinnost oddělení HR je zákonodárcem předpokládaná také v rámci konzultací relevantních oblastí s manažerem kybernetické bezpečnosti při identifikaci a hodnocení rizik,[5] stejně jako následně při zavádění bezpečnostních opatření ke zvládnutí předepsaných povinností v oblasti kybernetické bezpečnosti.
- § 6 odst. 1 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
- Příloha 6 Ibid.
- § 39 návrhu zákona o kybernetické bezpečnosti: „Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí.“
- § 4 odst. 1 Ibid.
- § 9 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
