Manažer kybernetické bezpečnosti jako povinná role
Podle vyhlášky č. 409/2025 Sb. je povinností vrcholového vedení určit roli manažera kybernetické bezpečnosti tehdy, pokud je poskytovatel regulované služby zařazen do režimu vyšších povinností. Pokud tedy jste v režimu vyšších povinností, roli manažera musíte obsadit. Neplnění takové povinnosti může vést k nápravným opatřením NÚKIBu či k vysokým sankcím. Roli manažera kybernetické bezpečnosti však není nutné obsazovat novým člověkem. V praxi může jít o interního zaměstnance, případně tato role může být zajištěna externě. Manažer však nesmí být pověřen další rolí odpovědnou za provoz technických aktiv regulované služby (tj. správou a zajišťováním chodu techniky a softwaru, na kterých regulovaná služba běží).
Kdo odpovídá za kybernetickou bezpečnost v režimu nižších povinností
I v režimu nižších povinností musí být kybernetická bezpečnost jednoznačně někomu svěřena. Formálně se však nejedná o manažera kybernetické bezpečnosti. V tomto případu vyhláška mluví o osobě pověřené kybernetickou bezpečností. Vedení musí pověřit osobu řízením a rozvojem kybernetické bezpečnosti. Tento člověk musí prokázat odbornou znalost, nebo bez zbytečného odkladu absolvovat školení. Požadavky jsou v tomto směru tedy nižší. V praxi je to pozice, která vykonává více činností v oblasti kybernetické bezpečnosti současně. Stejně jako u manažera to může být interní zaměstnanec nebo lze roli zajistit externě.
Pokud pro vás platí, že jste poskytovatelem regulované služby, odpovědnost za kybernetickou bezpečnost musí být vždy jasně určena. V režimu vyšších povinností je nutné obsadit roli manažera kybernetické bezpečnosti. Režim nižších povinností je organizačně jednodušší, ale i tak musí být kybernetická bezpečnost výslovně svěřena pověřené osobě.
