Experti na kybernetickou bezpečnost budou nedostatkovým zbožím

Manažerů kybernetické bezpečnosti a dalších specialistů je již nyní na trhu málo. S NIS2 se tato situace ještě zhorší. Co s tím?

Experti na kybernetickou bezpečnost budou nedostatkovým zbožím

Podle návrhu nového zákona o kybernetické bezpečnosti (transpozice směrnice NIS2) bude mezi základními povinnostmi vrcholného vedení organizace definování a obsazení role manažera kybernetické bezpečnosti. Tato role (osoba) bude odpovědná za systém řízení bezpečnosti informací. Musí ji proto zastávat osoba s adekvátním vzděláním a prokazatelnou praxí v oblasti kybernetické bezpečnosti či bezpečnosti informací.

Dle NÚKIB bylo podle dosavadního zákona o kybernetické bezpečnosti regulováno několik stovek nejvýznamnějších organizací v ČR. Očekává se, že s implementací nové směrnice NIS2 bude v ČR podléhat regulaci přes 6.000 organizací ze soukromého i veřejného sektoru.

Kolik manažerů kybernetické bezpečnosti budeme potřebovat?

Jaký je odhadovaný počet manažerů kybernetické bezpečnosti, které bude potřeba najít při zavádění NIS2? Při stanovení odhadu je vhodné vzít v úvahu několik rozhodovacích faktorů, zejména:

  • velikost a složitost organizace

  • struktura a zaměření skupiny, ve které organizace působí

  • specifika sektoru, ve kterém organizace působí

  • komplexnost IT infrastruktury

  • míra využívání externích dodavatelů v ICT oblasti

  • stávající kapacity a již obsazené role v oblasti informační bezpečnosti

Při odhadu počtu bezpečnostních manažerů jsem pak vycházel z těchto předpokladů:

  • Existující role v organizacích: Některé společnosti, zejména ty větší a ty ve specifických sektorech (energetika, bankovnictví, digitální infrastruktura, ústřední státní správa …), již mají roli manažera kybernetické bezpečnosti definovanou a personálně obsazenou. Těchto organizací mohou být v České republice řádově stovky.

  • Různé úvazky: Role manažera kybernetické bezpečnosti může být naplněna buď na částečný úvazek (např. 20 %) nebo na plný úvazek (100 %). Výše úvazku závisí na velikosti organizace, složitosti její IT infrastruktury a specifických potřebách v oblasti kybernetické bezpečnosti.

  • Rozdílné potřeby: Ne všechny organizace vyžadují stejnou úroveň odbornosti nebo zkušeností v oblasti kybernetické bezpečnosti.

  • Outsourcing vs. interní zaměstnanci: Některé organizace mohou dávat přednost interním zaměstnancům, zatímco jiné mohou upřednostňovat outsourcing, zvláště pokud nemají potřebné odborné znalosti nebo zdroje k vybudování interního týmu.

  • Vývoj trhu: Vzhledem k rostoucím hrozbám kybernetické bezpečnosti a regulatorním požadavkům už nyní roste poptávka po profesionálech v oblasti kybernetické bezpečnosti. To ovlivní počet pozic a kapacitu nabízenou externími dodavateli.

 Scénáře odhadů (naplnění) potřeby manažerů kybernetické bezpečnosti jsou následující:

Manažer kybernetické bezpečnosti

Scénář

Potřeba

Skutečnost

Chybí

Chybí FTE*

A (katastrofický)

6.000

900

5100

2861

B

(umírněný)

2100

3900

2188

C (optimistický)

3000

3000

2025

  • Odhad chybějících manažerů kybernetické bezpečnosti v jednotkách FTE je vytvořen jako kombinace minimálního (20 %), polovičního (50 %) a plného (30 %) úvazku.

Odborníků na kybernetickou bezpečnost je málo. Co s tím?

V každém ze scénářů, včetně toho optimistického, budou v brzké době v České republice chybět tisíce expertů, kteří by mohli zastávat roli manažera kybernetické bezpečnosti podle NIS2. A zprávy z trhu práce i od NÚKIB už tento nedostatek potvrzují.

Jaké existují možnosti organizace zajistit dostatečné kapacity pro naplnění role manažera informační bezpečnosti?

Využití současných zaměstnanců

První možností je využít kapacity stávajících pracovníků a (novou) roli manažera kybernetické bezpečnosti naplnit odborníky z vlastních řad. Teoreticky se jedná o nejjednodušší řešení, v praxi však pravděpodobně obtížně realizovatelné, typicky z několika důvodů:

  • Nedostatečná kvalifikace. Stávající pracovníci nemusí mít potřebné odborné znalosti, dovednosti nebo zkušenosti v oblasti informační bezpečnosti.

  • Riziko střetu zájmů: Stávající zaměstnanci mohou mít zcela odlišné priority nebo konflikt zájmů mezi svou původní rolí a novými povinnostmi v oblasti informační bezpečnosti.

  • Změna firemní kultury: Stávající zaměstnanci mohou mít zakořeněné návyky a postupy neslučitelné s nejlepšími postupy v oblasti informační bezpečnosti.

  • Zvýšená zátěž na stávající pracovníky: Nová odpovědnost (přidání nové kompetence nad rámec stávající) může způsobit přetížení a snížení efektivity práce.

  • Dlouhodobé náklady: Využití stávajících pracovníků může dlouhodobě vyžadovat více investic do školení a vzdělávání ve srovnání s dalšími variantami.

Trh práce a experti na kybernetickou bezpečnost

Druhou variantou je hledat vhodné zaměstnance na trhu. Pověřená osoba, manažer kybernetické bezpečnosti, musí prokázat odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu nejméně tří let, nebo po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

V České republice existuje více než desítka vysokých škol, které nabízejí programy v oblasti informačních technologií a informační bezpečnosti. Mezi největší patří například České vysoké učení technické v Praze (ČVUT), Masarykova univerzita v Brně, Technická univerzita v Liberci, Technická univerzita Ostrava, Vysoká škola ekonomická v Praze nebo Univerzita Tomáše Bati ve Zlíně.

Z každé větší technické vysoké školy v ČR v oboru informační bezpečnost absolvuje přibližně 25-50 studentů ročně. U menších institucí nebo specializovaných programů může být počet menší, řekněme 10-20 absolventů. Vzhledem k rostoucímu zájmu o oblast kybernetické bezpečnosti lze předpokládat, že počet studentů v těchto oborech stoupá.

Pokud bychom tyto odhady sečetli, dostaneme se něco mezi 250 a 500 absolventy ročně.

Kybernetická bezpečnost jako služba

Obsažení role manažera kybernetické bezpečnosti lze také řešit jako službu

Jak kvalifikovaně odhadnout počet společností v ČR, které mohou nabídnout službu outsourcingu role manažera kybernetické bezpečnosti? V odhadu je nutné zohlednit několik proměnných.

Větší IT společnosti a bezpečnostní konzultanti v ČR často disponují vlastním oddělení kybernetické bezpečnosti, celkový odhadovaný počet nižší desítky. Odhadovaný počet středních a malých firem, které se zabývají informační bezpečností a mohou nabídnout službu outsourcingu role manažera kybernetické bezpečnosti, se pohybuje ve vyšší desítkách. Celkový odhad možných kapacit pro roli externího manažera kybernetické bezpečnosti v ČR by tak mohl být v řádech stovek FTE.

NIS2 jako hrozba i příležitost: Pro organizace i profesionály v informační bezpečnosti

Jedná se jen o odhady, přesto je ale zřejmé, že (nejenom) díky NIS2 poptávka po specialistech v oblasti informační bezpečnosti výrazně (po)roste. Na jednu stranu to představuje komplikace pro společnosti dotčené NIS2, zároveň se však jedná o obrovskou příležitost pro bezpečnostní specialisty.

Kromě požadavku na obsazení role manažera kybernetické bezpečnosti přináší NIS2 požadavky na další (pro některé organizace nové) role, zejména architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. Řada organizací bude muset také zavést nové procesy, práci s informačními aktivy, řízení rizik, ucelený systém zajištění nepřetržitého poskytování služeb (business continuity) atd.

Bude tedy specialistů informační bezpečnosti dostatečný počet? Dle výše uvedených odhadů vypadá, že nikoli. Jsem však lehký optimista, protože „trh si nakonec vždy dříve či později poradí“.

Na závěr je důležité zdůraznit, že manažer kybernetické bezpečnosti je sice důležitým „článkem“ v rámci systému řízení informační bezpečnosti organizace, ale klíčovým faktorem úspěchu je a vždycky bude podpora vedení společnosti.