Role statutárního orgánu v kybernetické bezpečnosti
Statutární orgán nemusí rozumět detailům technologií. Zákon o kybernetické bezpečnosti však předpokládá, že bude kybernetickou bezpečnost řídit jako součást celkového řízení společnosti – tedy obdobně jako finance, compliance nebo kontinuitu provozu. Prakticky to znamená tři věci:
jasně určit odpovědnosti a pravomoci (kdo bezpečnost zajišťuje, komu reportuje, jak se řeší případné incidenty či zjištění z auditu),
zajistit přiměřené zdroje a priority (aby opatření nebyla jen na papíře, ale byla skutečně realizována a průběžně vyhodnocována),
vykonávat pravidelný dohled (aby vedení mělo přehled o rizicích, incidentech a stavu plnění přijatých opatření).
Lidský faktor a odpovědnost vedení
Důležité je i to, že významná část incidentů má organizační příčiny (např. lidskou chybu nebo sociální inženýrství). Z toho důvodu musí být kybernetická bezpečnost řízena nejen prostřednictvím technických opatření, ale také prostřednictvím odpovídajících procesů, kontrol a průběžného vzdělávání zaměstnanců, protože i nejrobustnější IT řešení může selhat v důsledku selhání lidského faktoru., protože i nejrobustnější IT řešení může selhat v důsledku selhání lidského faktoru.
Pro statutární orgán a jeho členy vyplývá povinnost aktivně dohlížet na zavedení procesů, dohledu, řízení rizik a stanovení odpovědnosti za účelem dosažení kybernetické bezpečnosti, jelikož selhání společnosti v této oblasti může vést k přímým finančním ztrátám, nákladům na obnovu, smluvním sankcím a v regulovaných režimech i k pokutě. Nestačí tedy formální přijetí interních pravidel, podstatné je, aby nastavená opatření fungovala v praxi, byla pravidelně přezkoumávána a odpovídala reálným rizikům společnosti.
Více k osobní odpovědnosti statutárního orgánu se dočtete v našem navazujícím článku zde.
