HR a kybernetická bezpečnost – je vaše společnost připravena?
Jak spolu souvisí řízení lidských zdrojů v organizaci a kybernetická bezpečnost? Více, než by se na první pohled mohlo zdát.
Řízení lidských zdrojů je jedním ze základních pilířů řízení kybernetické bezpečnosti v organizaci. Řízení lidských zdrojů se protíná jak s organizačně procesní rovinou zajištění kybernetické bezpečnosti, tak i s některými bezpečnostními opatřeními v technické rovině. V následujícím článku se podíváme na základní principy a povinnosti v rámci implementace požadavků směrnice NIS2 a vnitrostátní transpozice v návrhu nového zákona o kybernetické bezpečnosti a souvisejících vyhláškách, které jsou v rámci řízení kybernetické bezpečnosti spojeny s řízením lidských zdrojů.
Bezpečnostní role
Řízení kybernetické bezpečnosti lze chápat jako integrovaný systém, který se dotýká v různé míře všech oblastí fungování organizace. V rámci implementace NIS2 zákonodárce předpokládá vytvoření specifických rolí, jejichž kompetence přímo souvisí se zajištěním kybernetické bezpečnosti v organizaci. První z těchto rolí je manažer kybernetické bezpečnosti. Jeho úkolem je odpovědnost za systém řízení bezpečnosti informací.[1] Výkonem této role může být pověřena osoba s odpovídajícím vzděláním a praxí v řízení kybernetické bezpečnosti a role není slučitelná s výkonem jiné provozní role, např. ředitele IT. Manažer kybernetické bezpečnosti odpovídá za pravidelné informování vrcholného vedení o stavu a kontinuálním zlepšování systému řízení kybernetické bezpečnosti v organizaci. Další rolí je architekt kybernetické bezpečnosti, který je odpovědný za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby. Třetí specifickou rolí je auditor kybernetické bezpečnosti, který odpovídá za nestranné provádění auditu kybernetické bezpečnosti a výkon této role není slučitelný s manažerem ani architektem kybernetické bezpečnosti.
Vyhláška obsahuje rozpad dalších požadavků na bezpečnostní role a pro každou roli popisuje klíčové odpovědnosti, požadované znalosti a zkušenosti, požadavky na vzdělání, výčet relevantních certifikací k prokázání požadovaného vzdělání a praxe a případné další upřesňující podmínky.[2] Uvedené požadavky je třeba mít na paměti při náboru do zmíněných pracovních pozic nebo při obsazování bezpečnostních rolí stávajícími zaměstnanci.
Plán rozvoje bezpečnostního povědomí
Říká se, že organizace je pouze tak úspěšná v obraně před kybernetickými útoky, jak jsou uživatelé schopni reagovat na podezřelé znaky takových útoků – například hlásit podezřelé emaily, které se z uživatelů snaží vylákat přihlašovací údaje do prostředí organizace. Za tímto účelem je nutné stanovit plán rozvoje bezpečnostního povědomí zaměstnanců a případně i dalších pracovníků, kteří přistupují do prostředí organizace.
Plán rozvoje bezpečnostního povědomí musí zohledňovat potřebu různých úrovní znalostí pro různé role v rámci organizace, od vrcholového vedení, přes administrátory a osoby zastávající bezpečnostní role až k běžným uživatelům a třeba i pracovníkům výroby. Plán musí zahrnovat jak teoretická, tak praktická školení, která vhodným způsobem rozvíjí potřebné bezpečnostní povědomí v organizaci. O všech školeních, poučeních, cvičeních a dalších rozvojových aktivitách ke zvyšování bezpečnostního povědomí musí být veden dokumentovaný záznam, minimálně v rozsahu předmět, datum a seznam osob, které danou aktivitu absolvovaly.
Úprava mlčenlivosti a pracovní pohotovosti
Smluvní požadavek na zajištění mlčenlivosti je očekávaným standardem pracovních smluv. Návrh nové regulace kybernetické bezpečnosti zdůrazňuje požadavek na zachování mlčenlivosti u všech relevantních osob jako jsou administrátoři, osoby zastávající bezpečnostní role, osoby přistupující k citlivým údajům nebo pracovníci dodavatele.
Druhým požadavkem v aktuálním znění návrhu nové úpravy, který má potenciál zasáhnout do nastavení pracovní smlouvy, je možnost ředitele NÚKIB za stavu kybernetického nebezpečí[3] nařídit konkrétním pracovníkům zaměstnavatele pracovní pohotovost, pokud je to nezbytné k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru.
Další součinnost
V rámci nastavení systému řízení kybernetické bezpečnosti v organizaci bude nutné vypracovat a schválit bezpečnostní politiku, která bude obsahovat hlavní zásady, cíle, principy, práva a povinnosti ve vztahu k řízení kybernetické bezpečnosti v organizaci.[4] Oddělení HR by se mělo aktivně podílet na vytváření tohoto dokumentu v relevantních oblastech, které se dotýkají činnosti řízení lidských zdrojů.
Všechny aktivity zahrnuté do systému řízení kybernetické bezpečnosti bude povinné pravidelně minimálně jednou ročně vyhodnocovat a reportovat vrcholovému vedení. Za tímto účelem lze očekávat nastavení pravidelného reportingu, na kterém se bude oddělení HR také podílet zejména v rozsahu výše zmíněných povinností.
Součinnost oddělení HR je zákonodárcem předpokládaná také v rámci konzultací relevantních oblastí s manažerem kybernetické bezpečnosti při identifikaci a hodnocení rizik,[5] stejně jako následně při zavádění bezpečnostních opatření ke zvládnutí předepsaných povinností v oblasti kybernetické bezpečnosti.
[1] § 6 odst. 1 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
[2] Příloha 6 Ibid.
[3] § 39 návrhu zákona o kybernetické bezpečnosti: „Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí.“
[4] § 4 odst. 1 Ibid.
[5] § 9 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
Další články
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
Digitální auditní stopa jako „svědek“ činnosti správního orgánu
Digitalizace veřejné správy postupně mění nejen způsob vedení řízení, ale i samotnou povahu dokazování. Tam, kde dříve hrály hlavní roli listiny, doručenky, úřední záznamy nebo svědecké výpovědi, dnes stále častěji vstupují do hry logy, metadata, časová razítka, změnové historie a workflow záznamy informačních systémů.
