Z praxe vyplývá, že mnohé organizace ještě i v současnosti podceňují a odkládají řešení bezpečnosti a spoléhají se na to, že mají k dispozici čas až do prosince 2026. Setkáváme i se situacemi, kdy se zákazník po roce opětovně ozve s požadavkem na obnovení původní cenové nabídky. Takový moment často naznačuje, že organizace v mezidobí neučinila žádné kroky a řešení odkládala. Výsledkem je návrat na začátek, ale s menším časovým prostorem a vyšším tlakem na realizaci. Právě odsouvání a ponechání si zahájení činností v oblasti bezpečnosti organizace až na poslední kvartál, rozhodně nepatří k přístupům, který doporučujeme.
Vzhledem k tomu, že kybernetická bezpečnost není jednorázový krok, který lze „dokončit na poslední chvíli“, ale komplexní proces, který vyžaduje čas, koordinaci a postupné zavádění opatření se v AXENTA vždy snažíme upozorňovat na rizika plynoucí z odkládání povinností a celkové nečinnosti organizací.
Na druhé straně však existují organizace, které chtějí postupovat systematicky a bez zbytečného odkládání. V úvodní fázi je třeba zvládnout první kroky, včetně registračních úkonů a komunikace s regulátorem, kde umíme zákazníka podpořit například podáním přes datovou schránku. V další části se proto podíváme na základní kroky, očekávání a výběr vhodného partnera.
První kontakt – snaha pochopit vlastní situaci a povinnosti
Poté, co má organizace potvrzeno, že je zařazena mezi povinné subjekty a zapsána v registru provozovatele základních služeb, přirozeně následuje fáze hledání partnera. Obvykle si zákazník provede základní průzkum trhu a osloví několik společností, které poskytují služby v oblasti kybernetické bezpečnosti.
Volba vhodného partnera pro spolupráci by neměla být postavena výlučně na ceně, protože výrazně nízká cenová nabídka zpravidla neznamená kvalitní řešení. Nabízené řešení musí vycházet z aktuální legislativy (Zákon o kybernetické bezpečnosti) v ČR a SR a požadavků z ní plynoucích, nikoli ze všeobecných rámců přijatých v NIS2 nebo interpretací na které se ještě množství společností odvolává. Je klíčové zaměřit se i na detaily v komunikaci jako například používání nesprávné terminologie, které mohou být varovným prstem, zda si vybíráte partnera, který skutečně má znalosti a zkušenosti, nebo pracuje spíše s obecnými pojmy než s reálnou znalostí legislativních a technických souvislostí. Zásadní roli hrají při výběru budoucího partnera i reference, které je vhodné si nejen vyhledat, ale i ověřit.
Vybral jsem si partnera – přicházejí otázky, obavy, ale i řešení
První setkání je v tomto kontextu klíčové, protože nejde jen o představení služby, ale o vzájemné pochopení situace, v jaké se organizace nachází. Úvodní komunikace probíhá nejen s vedením společnosti, které je přímo zodpovědné za plnění legislativních požadavků, ale také s jednotlivými útvary, které vstupují do procesu přípravy analýzy rizik. V mnoha případech se ukazuje, že organizace nemají samostatně definovanou oblast bezpečnosti, a proto je třeba vysvětlit, proč se diskuse začíná na úrovni IT a postupně se rozšiřuje směrem k managementu. Kybernetická bezpečnost se totiž dotýká celé organizace, nikoli pouze technického oddělení.
Správný postup začíná nastavením jasného harmonogramu činností, který je důkladně komunikován se zákazníkem a reflektuje jeho konkrétní situaci a potřeby. Následně probíhají setkání na úrovni lokálního IT, případně ICT, a postupně i s vyšším řízením nebo skupinovým CISO, je-li součástí struktury organizace. Již v této fázi je důležité nastavit realistická očekávání.
Klíčovým při zahájení celého procesu je zvolit si správné pořadí kroků. Na začátku je třeba vypracovat a nechat schválit vedením společnosti strategii kybernetické bezpečnosti, která určuje směr a základní principy a současně je nezbytné její komunikování dovnitř organizace. Navazuje na ni zpracování řízení aktiv, které poskytuje přehled o tom, co je třeba chránit. Teprve na tomto základě lze provést analýzu rizik, která představuje nejdůležitější vstup pro další rozhodování. Právě analýza rizik je z pohledu praxe klíčovým dokumentem. Na základě jejích výstupů se navrhují, přijímají a provádějí bezpečnostní opatření tak, aby ošetřily všechna identifikovaná rizika a zároveň naplňovaly požadavky strategie kybernetické bezpečnosti. Bez kvalitně zpracované analýzy nelze přijímat správná a efektivní opatření.
Až následně přicházejí na řadu technická opatření, která tato rozhodnutí přetavují do praxe a umožňují včasnou detekci, vyhodnocení a reakci na bezpečnostní události.
Kybernetická bezpečnost v kontextu zákonných povinností tak není otázkou jednoho rozhodnutí nebo jednoho projektu. Je to proces, který začíná pochopením vlastní situace, pokračuje systematickým nastavením kroků a vyžaduje aktivní přístup od prvního momentu, a proto je zde AXENTA, která vás provede celým procesem.
