Podle návrhu nového zákona o kybernetické bezpečnosti (transpozice směrnice NIS2) bude mezi základními povinnostmi vrcholného vedení organizace definování a obsazení role manažera kybernetické bezpečnosti. Tato role (osoba) bude odpovědná za systém řízení bezpečnosti informací. Musí ji proto zastávat osoba s adekvátním vzděláním a prokazatelnou praxí v oblasti kybernetické bezpečnosti či bezpečnosti informací.
Dle NÚKIB bylo podle dosavadního zákona o kybernetické bezpečnosti regulováno několik stovek nejvýznamnějších organizací v ČR. Očekává se, že s implementací nové směrnice NIS2 bude v ČR podléhat regulaci přes 6.000 organizací ze soukromého i veřejného sektoru.
Kolik manažerů kybernetické bezpečnosti budeme potřebovat?
Jaký je odhadovaný počet manažerů kybernetické bezpečnosti, které bude potřeba najít při zavádění NIS2? Při stanovení odhadu je vhodné vzít v úvahu několik rozhodovacích faktorů, zejména:
velikost a složitost organizace
struktura a zaměření skupiny, ve které organizace působí
specifika sektoru, ve kterém organizace působí
komplexnost IT infrastruktury
míra využívání externích dodavatelů v ICT oblasti
stávající kapacity a již obsazené role v oblasti informační bezpečnosti
Při odhadu počtu bezpečnostních manažerů jsem pak vycházel z těchto předpokladů:
Existující role v organizacích: Některé společnosti, zejména ty větší a ty ve specifických sektorech (energetika, bankovnictví, digitální infrastruktura, ústřední státní správa …), již mají roli manažera kybernetické bezpečnosti definovanou a personálně obsazenou. Těchto organizací mohou být v České republice řádově stovky.
Různé úvazky: Role manažera kybernetické bezpečnosti může být naplněna buď na částečný úvazek (např. 20 %) nebo na plný úvazek (100 %). Výše úvazku závisí na velikosti organizace, složitosti její IT infrastruktury a specifických potřebách v oblasti kybernetické bezpečnosti.
Rozdílné potřeby: Ne všechny organizace vyžadují stejnou úroveň odbornosti nebo zkušeností v oblasti kybernetické bezpečnosti.
Outsourcing vs. interní zaměstnanci: Některé organizace mohou dávat přednost interním zaměstnancům, zatímco jiné mohou upřednostňovat outsourcing, zvláště pokud nemají potřebné odborné znalosti nebo zdroje k vybudování interního týmu.
Vývoj trhu: Vzhledem k rostoucím hrozbám kybernetické bezpečnosti a regulatorním požadavkům už nyní roste poptávka po profesionálech v oblasti kybernetické bezpečnosti. To ovlivní počet pozic a kapacitu nabízenou externími dodavateli.
Scénáře odhadů (naplnění) potřeby manažerů kybernetické bezpečnosti jsou následující:
Manažer kybernetické bezpečnosti | ||||
Scénář | Potřeba | Skutečnost | Chybí | Chybí FTE* |
A (katastrofický) | 6.000 | 900 | 5100 | 2861 |
B (umírněný) | 2100 | 3900 | 2188 | |
C (optimistický) | 3000 | 3000 | 2025 | |
|
Odborníků na kybernetickou bezpečnost je málo. Co s tím?
V každém ze scénářů, včetně toho optimistického, budou v brzké době v České republice chybět tisíce expertů, kteří by mohli zastávat roli manažera kybernetické bezpečnosti podle NIS2. A zprávy z trhu práce i od NÚKIB už tento nedostatek potvrzují.
Jaké existují možnosti organizace zajistit dostatečné kapacity pro naplnění role manažera informační bezpečnosti?
Využití současných zaměstnanců
První možností je využít kapacity stávajících pracovníků a (novou) roli manažera kybernetické bezpečnosti naplnit odborníky z vlastních řad. Teoreticky se jedná o nejjednodušší řešení, v praxi však pravděpodobně obtížně realizovatelné, typicky z několika důvodů:
Nedostatečná kvalifikace: Stávající pracovníci nemusí mít potřebné odborné znalosti, dovednosti nebo zkušenosti v oblasti informační bezpečnosti.
Riziko střetu zájmů: Stávající zaměstnanci mohou mít zcela odlišné priority nebo konflikt zájmů mezi svou původní rolí a novými povinnostmi v oblasti informační bezpečnosti.
Změna firemní kultury: Stávající zaměstnanci mohou mít zakořeněné návyky a postupy neslučitelné s nejlepšími postupy v oblasti informační bezpečnosti.
Zvýšená zátěž na stávající pracovníky: Nová odpovědnost (přidání nové kompetence nad rámec stávající) může způsobit přetížení a snížení efektivity práce.
Dlouhodobé náklady: Využití stávajících pracovníků může dlouhodobě vyžadovat více investic do školení a vzdělávání ve srovnání s dalšími variantami.
Trh práce a experti na kybernetickou bezpečnost
Druhou variantou je hledat vhodné zaměstnance na trhu. Pověřená osoba, manažer kybernetické bezpečnosti, musí prokázat odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu nejméně tří let, nebo po dobu jednoho roku, pokud absolvovala studium na vysoké škole.
V České republice existuje více než desítka vysokých škol, které nabízejí programy v oblasti informačních technologií a informační bezpečnosti. Mezi největší patří například České vysoké učení technické v Praze (ČVUT), Masarykova univerzita v Brně, Technická univerzita v Liberci, Technická univerzita Ostrava, Vysoká škola ekonomická v Praze nebo Univerzita Tomáše Bati ve Zlíně.
Z každé větší technické vysoké školy v ČR v oboru informační bezpečnost absolvuje přibližně 25-50 studentů ročně. U menších institucí nebo specializovaných programů může být počet menší, řekněme 10-20 absolventů. Vzhledem k rostoucímu zájmu o oblast kybernetické bezpečnosti lze předpokládat, že počet studentů v těchto oborech stoupá.
Pokud bychom tyto odhady sečetli, dostaneme se něco mezi 250 a 500 absolventy ročně.
Kybernetická bezpečnost jako služba
Obsažení role manažera kybernetické bezpečnosti lze také řešit jako službu
Jak kvalifikovaně odhadnout počet společností v ČR, které mohou nabídnout službu outsourcingu role manažera kybernetické bezpečnosti? V odhadu je nutné zohlednit několik proměnných.
Větší IT společnosti a bezpečnostní konzultanti v ČR často disponují vlastním oddělení kybernetické bezpečnosti, celkový odhadovaný počet nižší desítky. Odhadovaný počet středních a malých firem, které se zabývají informační bezpečností a mohou nabídnout službu outsourcingu role manažera kybernetické bezpečnosti, se pohybuje ve vyšší desítkách. Celkový odhad možných kapacit pro roli externího manažera kybernetické bezpečnosti v ČR by tak mohl být v řádech stovek FTE.
NIS2 jako hrozba i příležitost: Pro organizace i profesionály v informační bezpečnosti
Jedná se jen o odhady, přesto je ale zřejmé, že (nejenom) díky NIS2 poptávka po specialistech v oblasti informační bezpečnosti výrazně (po)roste. Na jednu stranu to představuje komplikace pro společnosti dotčené NIS2, zároveň se však jedná o obrovskou příležitost pro bezpečnostní specialisty.
Kromě požadavku na obsazení role manažera kybernetické bezpečnosti přináší NIS2 požadavky na další (pro některé organizace nové) role, zejména architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. Řada organizací bude muset také zavést nové procesy, práci s informačními aktivy, řízení rizik, ucelený systém zajištění nepřetržitého poskytování služeb (business continuity) atd.
Bude tedy specialistů informační bezpečnosti dostatečný počet? Dle výše uvedených odhadů vypadá, že nikoli. Jsem však lehký optimista, protože „trh si nakonec vždy dříve či později poradí“.
Na závěr je důležité zdůraznit, že manažer kybernetické bezpečnosti je sice důležitým „článkem“ v rámci systému řízení informační bezpečnosti organizace, ale klíčovým faktorem úspěchu je a vždycky bude podpora vedení společnosti.