Kybernetická bezpečnost přestala být záležitostí pouze velkých korporací. Ransomware útočí na výrobní podniky, nemocnice, logistické firmy i účetní kanceláře. Regulace NIS2 rozšiřuje povinnosti na tisíce středních podniků. A přitom většina z nich nemá jediného dedikovaného bezpečnostního specialistu, natož ředitele informační bezpečnosti.
Model CISO as a Service (CISOaaS) na tuto mezeru přímo odpovídá: organizace získává zkušeného bezpečnostního lídra na částečný úvazek nebo jako sdílenou službu — s veškerou odborností a autoritou pozice, bez nákladů na fulltime zaměstnání.
Co dělá CISO a proč je tato role klíčová
Chief Information Security Officer není technický specialista, který sedí u konzole a monitoruje logy. CISO je strategická pozice na průsečíku technologie, byznysu a práva. Jeho odpovědnosti zahrnují:
- Bezpečnostní strategie — definice vize, cílového stavu a roadmapy bezpečnosti v souladu s firemními cíli
- Řízení rizik — systematická identifikace, hodnocení a ošetřování bezpečnostních rizik
- Compliance — zajištění souladu s regulacemi (NIS2, GDPR, ISO 27001, odvětvové standardy)
- Řízení bezpečnostního programu — koordinace technických opatření, školení, auditů a dodavatelů
- Komunikace s vedením — překlad technických rizik do obchodního jazyka pro board a management
- Reakce na incidenty — vedení a koordinace v případě kybernetického útoku
- Bezpečnostní kultura — budování organizace, kde bezpečnost není překážkou, ale součástí práce
Klíčové je porozumět, že CISO je most mezi technickým IT týmem a vedením firmy. Bez něj bezpečnostní témata buď nedosáhnou vedení vůbec, nebo dorazí v podobě, které management nerozumí a nedokáže o nich rozhodovat.
Proč si středně velká firma fulltime CISO nemůže dovolit
Zkušený CISO s certifikacemi CISSP, CISM nebo CISA a relevantní praxí požaduje v ČR hrubou mzdu 150 000 až 300 000 Kč měsíčně. K tomu pojistné zaměstnavatele, benefity, vzdělávání a náklady na nábor. Celkové roční náklady snadno překračují 3 miliony korun.
Pro firmu s obratem 200–500 milionů korun to představuje neúměrnou zátěž — zejména proto, že CISO v takové firmě nebude plně vytížen osm hodin denně. Strategická práce, řízení rizik a compliance vyžadují v menší organizaci typicky 10–20 hodin týdně. Platit fulltime za 20 hodin smysluplné práce nedává ekonomický smysl.
Problém delegování na IT ředitele
Mnoho firem řeší absenci CISO tak, že bezpečnostní odpovědnost přidá IT řediteli nebo systémovému administrátorovi. To je problematické z několika důvodů:
- Bezpečnost a IT mají přirozeně různé — a někdy protichůdné — priority (dostupnost vs. bezpečnost)
- IT ředitel postrádá specializované bezpečnostní vzdělání a certifikace
- Bezpečnostní agenda se utopí v operativě IT
- Chybí nezávislý pohled — IT ředitel nemůže efektivně auditovat sám sebe
- V případě incidentu nebo auditu firma nemůže prokázat odbornou způsobilost garanta bezpečnosti
Co zahrnuje model CISOaaS
CISOaaS není jednorázové poradenství ani prodej bezpečnostního softwaru. Jde o kontinuální službu s jasně definovaným rozsahem. Typická nabídka CISOaaS od SecureOn.cz zahrnuje:
Strategická rovina
- Zpracování bezpečnostní strategie a politiky ISMS
- Pravidelné řízení rizik (risk assessment, risk treatment plán)
- Pravidelné reporty pro vedení (dashboard, KPI, trend)
- Zastoupení firmy při komunikaci s regulátory (NÚKIB, dozorové orgány)
- Koordinace s DPO a právním oddělením
Operativní rovina
- Správa bezpečnostních incidentů (Incident Response plán, koordinace při útoku)
- Dohled nad patch managementem a vulnerability assessmentem
- Koordinace penetračních testů a auditů
- Řízení bezpečnostních školení a phishingových simulací
- Správa dokumentace a evidence (ISMS dokumenty, záznamy o zpracování)
Compliance a certifikace
- Průběžný soulad s NIS2, GDPR a relevantními standardy
- Příprava na ISO 27001 certifikaci nebo NÚKIB audit
- Správa dodavatelského řetězce (bezpečnostní požadavky na subdodavatele)
NIS2 a požadavek na odborného garanta bezpečnosti
Zákon č. 181/2014 Sb. ve znění implementujícím NIS2 směrnici explicitně vyžaduje, aby povinné osoby zajistily řízení bezpečnosti ICT odborně způsobilou osobou. Vyhláška NÚKIB specifikuje požadavky na vzdělání, praxi a prokázání odborné způsobilosti garanta kybernetické bezpečnosti.
Pro firmy v rozsahu NIS2 (kritická infrastruktura, důležité a základní subjekty) to znamená: nestačí, aby bezpečnost měl „na starosti" IT administrátor bez formálního vzdělání v oblasti bezpečnosti. Je nutné prokázat odbornost — a ta musí být doložitelná.
CISOaaS tento požadavek splňuje elegantně: poskytovatel služby dodá certifikovaného odborníka s prokazatelnou praxí, jehož odbornost lze doložit při auditu NÚKIB. Firma zároveň nemusí procházet zdlouhavým a nejistým náborním procesem.
Jak vybrat poskytovatele CISOaaS
Při výběru poskytovatele CISOaaS sledujte:
- Certifikace konkrétního CISO — CISSP, CISM, CISA nebo ekvivalentní
- Relevantní odvětvová zkušenost — ideálně z vašeho sektoru nebo podobně regulovaného prostředí
- Jasný rozsah služby — smlouva musí definovat počet hodin, dostupnost a eskalační postupy
- Kontinuita — co se stane, pokud konkrétní CISO onemocní nebo odejde?
- Reference — ověřitelné reference od existujících klientů
- Soulad s NIS2 — schopnost doložit odbornou způsobilost při regulatorním auditu
CISOaaS není kompromis — je to pragmatické řešení pro firmy, které potřebují seriózní bezpečnostní vedení bez seriózních personálních nákladů. Pokud stojíte před rozhodnutím, jak bezpečnostní roli ve firmě obsadit, kontaktujte nás — rádi vysvětlíme, jak konkrétně model CISOaaS funguje v praxi a co by zahrnoval pro vaši organizaci.