Řízení lidských zdrojů je jedním ze základních pilířů řízení kybernetické bezpečnosti v organizaci. Řízení lidských zdrojů se protíná jak s organizačně procesní rovinou zajištění kybernetické bezpečnosti, tak i s některými bezpečnostními opatřeními v technické rovině. V následujícím článku se podíváme na základní principy a povinnosti v rámci implementace požadavků směrnice NIS2 a vnitrostátní transpozice v návrhu nového zákona o kybernetické bezpečnosti a souvisejících vyhláškách, které jsou v rámci řízení kybernetické bezpečnosti spojeny s řízením lidských zdrojů.
Bezpečnostní role
Řízení kybernetické bezpečnosti lze chápat jako integrovaný systém, který se dotýká v různé míře všech oblastí fungování organizace. V rámci implementace NIS2 zákonodárce předpokládá vytvoření specifických rolí, jejichž kompetence přímo souvisí se zajištěním kybernetické bezpečnosti v organizaci. První z těchto rolí je manažer kybernetické bezpečnosti. Jeho úkolem je odpovědnost za systém řízení bezpečnosti informací.[1] Výkonem této role může být pověřena osoba s odpovídajícím vzděláním a praxí v řízení kybernetické bezpečnosti a role není slučitelná s výkonem jiné provozní role, např. ředitele IT. Manažer kybernetické bezpečnosti odpovídá za pravidelné informování vrcholného vedení o stavu a kontinuálním zlepšování systému řízení kybernetické bezpečnosti v organizaci. Další rolí je architekt kybernetické bezpečnosti, který je odpovědný za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby. Třetí specifickou rolí je auditor kybernetické bezpečnosti, který odpovídá za nestranné provádění auditu kybernetické bezpečnosti a výkon této role není slučitelný s manažerem ani architektem kybernetické bezpečnosti.
Vyhláška obsahuje rozpad dalších požadavků na bezpečnostní role a pro každou roli popisuje klíčové odpovědnosti, požadované znalosti a zkušenosti, požadavky na vzdělání, výčet relevantních certifikací k prokázání požadovaného vzdělání a praxe a případné další upřesňující podmínky.[2] Uvedené požadavky je třeba mít na paměti při náboru do zmíněných pracovních pozic nebo při obsazování bezpečnostních rolí stávajícími zaměstnanci.
Plán rozvoje bezpečnostního povědomí
Říká se, že organizace je pouze tak úspěšná v obraně před kybernetickými útoky, jak jsou uživatelé schopni reagovat na podezřelé znaky takových útoků – například hlásit podezřelé emaily, které se z uživatelů snaží vylákat přihlašovací údaje do prostředí organizace. Za tímto účelem je nutné stanovit plán rozvoje bezpečnostního povědomí zaměstnanců a případně i dalších pracovníků, kteří přistupují do prostředí organizace.
Plán rozvoje bezpečnostního povědomí musí zohledňovat potřebu různých úrovní znalostí pro různé role v rámci organizace, od vrcholového vedení, přes administrátory a osoby zastávající bezpečnostní role až k běžným uživatelům a třeba i pracovníkům výroby. Plán musí zahrnovat jak teoretická, tak praktická školení, která vhodným způsobem rozvíjí potřebné bezpečnostní povědomí v organizaci. O všech školeních, poučeních, cvičeních a dalších rozvojových aktivitách ke zvyšování bezpečnostního povědomí musí být veden dokumentovaný záznam, minimálně v rozsahu předmět, datum a seznam osob, které danou aktivitu absolvovaly.
Úprava mlčenlivosti a pracovní pohotovosti
Smluvní požadavek na zajištění mlčenlivosti je očekávaným standardem pracovních smluv. Návrh nové regulace kybernetické bezpečnosti zdůrazňuje požadavek na zachování mlčenlivosti u všech relevantních osob jako jsou administrátoři, osoby zastávající bezpečnostní role, osoby přistupující k citlivým údajům nebo pracovníci dodavatele.
Druhým požadavkem v aktuálním znění návrhu nové úpravy, který má potenciál zasáhnout do nastavení pracovní smlouvy, je možnost ředitele NÚKIB za stavu kybernetického nebezpečí[3] nařídit konkrétním pracovníkům zaměstnavatele pracovní pohotovost, pokud je to nezbytné k řešení značného ohrožení nebo narušení bezpečnosti informací v kybernetickém prostoru.
Další součinnost
V rámci nastavení systému řízení kybernetické bezpečnosti v organizaci bude nutné vypracovat a schválit bezpečnostní politiku, která bude obsahovat hlavní zásady, cíle, principy, práva a povinnosti ve vztahu k řízení kybernetické bezpečnosti v organizaci.[4] Oddělení HR by se mělo aktivně podílet na vytváření tohoto dokumentu v relevantních oblastech, které se dotýkají činnosti řízení lidských zdrojů.
Všechny aktivity zahrnuté do systému řízení kybernetické bezpečnosti bude povinné pravidelně minimálně jednou ročně vyhodnocovat a reportovat vrcholovému vedení. Za tímto účelem lze očekávat nastavení pravidelného reportingu, na kterém se bude oddělení HR také podílet zejména v rozsahu výše zmíněných povinností.
Součinnost oddělení HR je zákonodárcem předpokládaná také v rámci konzultací relevantních oblastí s manažerem kybernetické bezpečnosti při identifikaci a hodnocení rizik,[5] stejně jako následně při zavádění bezpečnostních opatření ke zvládnutí předepsaných povinností v oblasti kybernetické bezpečnosti.
[1] § 6 odst. 1 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
[2] Příloha 6 Ibid.
[3] § 39 návrhu zákona o kybernetické bezpečnosti: „Stav kybernetického nebezpečí lze vyhlásit v případě, kdy je značně ohrožena nebo narušena bezpečnost informací v kybernetickém prostoru, což může mít za následek negativní dopady na poskytování regulovaných služeb nebo na zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, majetku nebo životního prostředí.“
[4] § 4 odst. 1 Ibid.
[5] § 9 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
Diskuze k článku ()