Dne 26. 6. 2025 prezident republiky podepsal nový zákon o kybernetické bezpečnosti. Co to tedy teď znamená? Zejména vznik povinností pro tisíce nových subjektů, a to zejména v tzv. nižším režimu povinností. Tyto subjekty z řad podniků, ale také obcí z rozšířenou působností anebo některých škol budou nově muset začít povinně řešit kybernetickou bezpečnost a také tuto činnost zastřešit konkrétním člověkem.
Pověřená osoba je obligatorně určována osobami v režimu nižších povinností. Povinnost určit pověřenou osobu náleží statutárnímu orgánu nebo jinému subjektu v postavení vrcholového vedení.
Jejím primárním úkolem je řízení a koordinace systému zajišťování minimální kybernetické bezpečnosti v organizaci, a to včetně:
rozvoje a strategického řízení kybernetické bezpečnosti,
dohledu nad plněním bezpečnostních opatření,
pravidelné komunikace s vrcholovým vedením,
spolupráce na vyhodnocování a aktualizaci přehledu bezpečnostních opatření dle § 4 vyhlášky,
účasti na řešení kybernetických bezpečnostních incidentů, včetně podílu na jejich detekci, hlášení a řešení.
Pověřenou osobou může být buď osoba, která prokáže odbornou znalost v oblasti kybernetické bezpečnosti, nebo osoba, která bez zbytečného odkladu absolvuje odborné školení v rozsahu stanoveném vyhláškou.
Postavení v organizační struktuře
Efektivní výkon role pověřené osoby předpokládá nejen formální jmenování, ale i reálné postavení v rámci organizace. Z hlediska systematiky řízení bezpečnosti musí pověřená osoba:
disponovat adekvátními pravomocemi a přístupem k informacím,
být podporována vrcholovým vedením, zejména v oblasti přidělení potřebných finančních, technických a lidských zdrojů,
mít možnost aktivně se podílet na rozhodovacích procesech týkajících se bezpečnostní politiky, řízení rizik a incidentů.
Vyhláška výslovně stanovuje povinnost vedení organizace zajistit, že se pověřená osoba pravidelně seznamuje se stavem bezpečnostních opatření a má přístup k tzv. přehledu bezpečnostních opatření.
Odpovědnost a limity
Je nutné zdůraznit, že odpovědnost pověřené osoby se vztahuje k provádění a koordinaci činností, nikoli k plnění zákonných povinností organizace jako celku. Za plnění zákonných povinností nese odpovědnost vždy statutární orgán nebo vrcholové vedení. Pověřená osoba tedy odpovídá za odbornou stránku řízení kybernetické bezpečnosti, nikoli za odpovědnost právní.
Nicméně v praxi může výkon této role být značně zatěžující a vyžaduje jak technické znalosti, tak schopnost manažerské komunikace, organizační dovednosti a schopnost vyjednávat a prosazovat změny v rámci zavedené firemní kultury.
Role v systému bezpečnostních opatření
Podle vyhlášky pověřená osoba spolupracuje na zavádění a vyhodnocování řady klíčových oblastí, jako jsou:
bezpečnost lidských zdrojů a rozvoj bezpečnostního povědomí (včetně školení a kontrol),
řízení kontinuity činností a plánování obnovy primárních aktiv,
detekce incidentů a jejich evidence a analýza,
řízení přístupových práv a identit,
kontrola plnění bezpečnostních požadavků vůči externím dodavatelům.
Pověřená osoba by měla být také připravena aktivně komunikovat s dozorovými orgány v případě potřeby, např. při šetření incidentů nebo auditech.
Harmonogram
Účinnost povinností dle nového zákona o kybernetické bezpečnosti a navazující vyhlášky o bezpečnostních opatřeních v režimu nižších povinností je nastavena s ohledem na nutnost umožnit dotčeným subjektům adekvátní čas na implementaci. Povinné osoby, tedy poskytovatelé regulovaných služeb, jsou identifikovány buď na základě automatické klasifikace (např. přímo ze zákona nebo seznamu služeb), nebo prostřednictvím samoregistrace, kterou musí provést bez zbytečného odkladu po zjištění, že naplňují kritéria stanovená zákonem. Po identifikaci jim začíná běžet přechodné období, zpravidla v délce 1 roku, v jehož rámci jsou povinny implementovat minimální soubor bezpečnostních opatření, včetně určení pověřené osoby, zpracování přehledu opatření, zavedení bezpečnostní politiky a zahájení školení. Smyslem přechodného období je poskytnout rozumný čas na úvodní organizační a technické úpravy, nikoli však možnost odkladu bez sankce – po uplynutí lhůty se na organizaci plně vztahují požadavky zákona a její nečinnost může být předmětem kontroly a sankčního řízení.
Závěr
Zavedení role pověřené osoby pro kybernetickou bezpečnost představuje zásadní krok směrem k profesionalizaci řízení informační bezpečnosti v organizacích. Tato pozice však nesmí být chápána jako formální – její smysl a účinnost závisí na reálné podpoře vedení, správném ukotvení v organizační struktuře a především na kompetenci a pravomocích konkrétní osoby, která je touto rolí pověřena. Rozhodně nemá jít jen o pasivní a formální obsazení pozice.
Organizace, které budou tuto roli podceňovat, riskují nejen nesoulad s právními předpisy, ale především zvýšenou zranitelnost vůči kybernetickým hrozbám, jejichž důsledky mohou mít dopad jak na provozní, tak na reputační úrovni.
