Proč váš IT administrátor nemůže být zároveň manažerem kybernetické bezpečnosti?

KATEGORIE
Zákony
|
AUTOR
Ing. Denis Barborík

 

Manažer kybernetické bezpečnosti je strategická role odpovědná za řízení a dohled nad celkovým stavem informační bezpečnosti organizace, včetně identifikace rizik, implementace politik a zajištění souladu s legislativou.
Naopak IT administrátor se primárně zaměřuje na provoz, údržbu a podporu IT infrastruktury. Podle normy ISO/IEC 27001 čl. 4.1, který definuje kontext a rozsah odpovědností v rámci řízení, je klíčové pochopit, že tyto dvě pozice vyžadují odlišné dovednosti, perspektivy a míru nezávislosti, což znemožňuje jejich efektivní sloučení do jedné osoby.

V dnešním digitálním světě, kde kybernetické hrozby neustále rostou na sofistikovanosti a frekvenci, již nestačí spoléhat se na to, že „někdo z IT“ se postará i o bezpečnost.

 

Legislativní požadavky, jako je Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, nařízení GDPR a směrnice NIS 2, kladou na organizace bezprecedentní nároky na řízení informační bezpečnosti. Tyto předpisy vyžadují nejen technické zabezpečení, ale i komplexní systém řízení, který zahrnuje strategické plánování, řízení rizik, politiky, procesy a neustálé monitorování.

Svěřit tuto kritickou úlohu osobě, jejíž primární odpovědností je udržování provozu systémů, je nejen neefektivní, ale i rizikové.

Tento článek objasňuje, proč je oddělení těchto dvou rolí nezbytné pro robustní kybernetickou bezpečnost a soulad s předpisy.

 

Rozdíl v rolích a odpovědnostech: IT administrátor vs. Manažer kybernetické bezpečnosti

Podle normy ISO/IEC 27001, čl. 4.1, který zdůrazňuje potřebu jasného vymezení kontextu a rozsahu působnosti v rámci organizace, je nezbytné rozlišovat mezi úlohami IT administrátora a manažera kybernetické bezpečnosti. Přestože obě pozice působí v oblasti informačních technologií, jejich cíle, odpovědnosti a perspektivy jsou zásadně odlišné.

IT administrátor je především technický specialista. Jeho hlavní úlohou je zajistit bezproblémový provoz, údržbu a podporu IT infrastruktury. To zahrnuje instalaci a konfiguraci hardwaru a softwaru, správu sítí, serverů, databází, řešení technických problémů a zajištění dostupnosti systémů pro koncové uživatele. Zaměřuje se na operativní úkoly a často má rozsáhlá přístupová práva k systémům, aby mohl efektivně vykonávat svou práci. Jeho primárním cílem je funkčnost a dostupnost.

Manažer kybernetické bezpečnosti je naopak strategická role s manažerskou odpovědností. Jeho úlohou není jen technická implementace, ale především řízení celého systému informační bezpečnosti (ISMS), často v souladu s normami jako ISO 27001. Odpovídá za identifikaci, hodnocení a řízení kybernetických rizik, tvorbu a implementaci bezpečnostních politik a procedur, dohled nad jejich dodržováním, plánování a řízení reakcí na bezpečnostní incidenty a zajištění souladu s relevantní legislativou (např. Zákon o kybernetické bezpečnosti, GDPR, směrnice NIS 2). Jeho perspektiva je holistická a zaměřená na ochranu informací a aktiv organizace před hrozbami.

Klíčovým rozdílem je i potenciální konflikt zájmů.

IT administrátor, který má rozsáhlá přístupová práva a odpovědnost za provoz, by při plnění role manažera KB musel posuzovat a auditovat vlastní práci a potenciální zranitelnosti, které sám vytvořil nebo přehlédl. Tato situace narušuje princip nezávislosti a objektivity, který je pro efektivní řízení bezpečnosti klíčový.

Manažer KB musí být schopen kriticky hodnotit stav bezpečnosti bez ohledu na to, kdo systémy spravuje.

 

Legislativní rámec a požadavky na řízení rizik

Norma ISO/IEC 27001, čl. 6.1.1–6.1.3, zdůrazňuje nezbytnost systematického přístupu k řízení rizik, což je základní pilíř moderních požadavků v oblasti kybernetické bezpečnosti. Tyto principy, týkající se identifikace, hodnocení a ošetřování rizik, jsou přímo aplikovatelné na povinnosti vyplývající ze Zákona č. 264/2025 Sb. o kybernetické bezpečnosti a nařízení GDPR. Ukazují, proč je pro jejich plnění potřebná specializovaná role manažera kybernetické bezpečnosti.

 

Zákon č.264/2025 Sb., ukládá povinnosti provozovatelům regulovaných služeb (v režimu vyšších a nižších povinností): 

  • Provozovatelé musí přijmout bezpečnostní opatření na ochranu sítí a informačních systémů, která zahrnují jak technické, tak organizační kroky. To zahrnuje řízení přístupu, ochranu dat, správu incidentů a zajištění kontinuity provozu.

  • Povinností je také řízení kybernetických rizik – tj. identifikace a hodnocení rizik a pravidelné přehodnocování účinnosti opatření.

  • V případě kybernetických bezpečnostních incidentů je nutné zajistit jejich detekci, reakci a hlášení Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Manažer kybernetické bezpečnosti koordinuje tyto procesy a zajišťuje, aby byly incidenty řešeny efektivně a v souladu se zákonem.

 

Nařízení GDPR (General Data Protection Regulation), účinné od 25. května 2018, klade důraz na ochranu osobních údajů. Bezpečnost zpracování vyžaduje, aby správce a zpracovatel přijali přiměřená technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající riziku. To zahrnuje pseudonymizaci a šifrování osobních údajů, schopnost zajistit nepřetržitou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, stejně jako schopnost včas obnovit dostupnost a přístup k osobním údajům v případě fyzického nebo technického incidentu.

Splnění těchto komplexních požadavků vyžaduje osobu s hlubokými znalostmi legislativy, metodik řízení rizik a schopností převést právní požadavky do praktických bezpečnostních opatření. IT administrátor, i když je technicky zdatný, obvykle nemá potřebnou specializaci ani manažerskou perspektivu pro komplexní řízení těchto rizik v souladu s právními předpisy.

 

NIS 2: Nové výzvy a rozšířené povinnosti

Zákon č. 264/2025 Sb., který plně implementuje směrnici NIS 2 přináší rozšířený rozsah působnosti a zpřísněné požadavky na kybernetickou bezpečnost. NIS 2 vyžaduje proaktivní a systematický přístup k bezpečnosti, který přesahuje rámec běžné IT administrace.

Zákon rozšiřuje okruh subjektů, na které se povinnosti vztahují, a zahrnuje široké spektrum subjektů v odvětvích s vysokou kritičností a v ostatních kritických odvětvích (např. energetika, doprava, bankovnictví, zdravotnictví, digitální infrastruktura, ale i veřejná správa, kosmický průmysl, výroba potravin a další). To znamená, že mnohem více organizací bude muset splnit přísné bezpečnostní požadavky.

 

Klíčové změny a požadavky NIS 2 zahrnují:

  • Komplexní řízení rizik: Subjekty musí zavést a uplatňovat opatření pro řízení kybernetických rizik, která zahrnují analýzu rizik, řízení incidentů, řízení kontinuity provozu, bezpečnost dodavatelského řetězce, bezpečnost sítí a informačních systémů, stejně jako využívání kryptografie a šifrování.
  • Povinnost hlášení: Zpřísňují se požadavky na oznamování významných kybernetických incidentů příslušným orgánům (v ČR Národní úřad pro kybernetickou a informační bezpečnost – NÚKIB) v přísně stanovených časových lhůtách.
  • Odpovědnost vedení: Členové řídících orgánů (např. představenstvo, dozorčí rada, statutární zástupci) nesou přímou odpovědnost za dodržování opatření kybernetické bezpečnosti a mohou být sankcionováni za jejich nedodržení. To podtrhuje potřebu strategického řízení bezpečnosti na nejvyšší úrovni.
  • Audit a dohled: Orgány dohledu mají rozšířená pravomoc provádět audity a kontroly dodržování zákona.

Tyto požadavky jasně ukazují, že kybernetická bezpečnost již není jen technickou záležitostí, ale stává se nedílnou součástí řízení podniku. Vyžaduje strategické plánování, nepřetržité monitorování a přizpůsobování se měnícím hrozbám a legislativě. Manažer kybernetické bezpečnosti je klíčovou osobou, která zajišťuje, že organizace nejen splní tyto požadavky, ale také proaktivně buduje silnou „kulturu kvality“ v oblasti bezpečnosti. IT administrátor, i když je důležitý pro implementaci, nemůže nést tuto strategickou a řídicí odpovědnost sám.

 

Nezávislost a objektivita: Klíč k efektivní kybernetické bezpečnosti

Nezávislost manažera kybernetické bezpečnosti od IT oddělení není volbou, ale podmínkou souladu s právním řádem. Zajišťuje:

  • Objektivní audit: Nezávislé posouzení rizik bez tlaku na minimalizaci provozních nákladů.
  • Transparentní hlášení: Přímou komunikační linku s vedením o zranitelnostech, které mohou IT týmy (vědomě či nevědomě) přehlížet.

Manažer kybernetické bezpečnosti musí být schopen objektivně hodnotit stav bezpečnosti IT systémů a procesů, identifikovat slabá místa a navrhovat nápravná opatření bez jakéhokoli konfliktu zájmů. Pokud by tuto roli zastával IT administrátor, který je zároveň odpovědný za provoz a údržbu systémů, vznikl by inherentní konflikt. Bylo by pro něj obtížné kriticky posoudit vlastní práci, identifikovat chyby nebo nedostatky, které sám způsobil, či připustit zranitelnosti v systémech, za něž je přímo zodpovědný. Tato situace by mohla vést k podhodnocení rizik, opožděnému řešení problémů a celkovému oslabení bezpečnostního postavení organizace.

 

Nezávislost manažera kybernetické bezpečnosti od IT oddělení zajišťuje, že:

  • Objektivní hodnocení rizik: Manažer KB může nezávisle posoudit rizika spojená s IT infrastrukturou a procesy, bez tlaku na obhajobu stávajících řešení nebo minimalizaci problémů.
  • Efektivní implementace politik: Může prosazovat bezpečnostní politiky a standardy, které mohou někdy kolidovat s provozními požadavky IT oddělení, čímž zajišťuje, že bezpečnost není kompromitována ve prospěch pohodlí nebo rychlosti.
  • Důvěryhodné hlášení: Komunikace o bezpečnostních incidentech, zranitelnostech a celkovém stavu bezpečnosti směrem k vedení je důvěryhodnější, pokud pochází z nezávislého zdroje, jak vyplývá z českého Zákona č. 264/2025 Sb., konkrétně z ustanovení o hlášení kybernetických bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
  • Dodržování souladu: Nezávislý manažer KB je lépe postaven k zajištění souladu s legislativou (GDPR, Zákon o kybernetické bezpečnosti, NIS 2), protože může objektivně posoudit, zda jsou zavedená opatření dostatečná a účinná.

V konečném důsledku je nezávislost manažera kybernetické bezpečnosti základem pro vybudování důvěryhodného a efektivního systému řízení informační bezpečnosti, který je schopný chránit organizaci před neustále se vyvíjejícími hrozbami.

 

Outsourcing manažera kybernetické bezpečnosti: Efektivní strategie řízení rizik

V souladu s principy ISO/IEC 27001, čl. 6.1.1–6.1.3, které kladou důraz na komplexní a efektivní řízení rizik, se outsourcing manažera kybernetické bezpečnosti jeví jako strategické a často nejefektivnější řešení pro mnohé organizace. Zajistit interního, kvalifikovaného a nezávislého manažera KB může být pro střední a menší podniky, ale i pro některé větší, značnou výzvou z hlediska nákladů, dostupnosti talentů a udržení aktuálních znalostí.

 

Proč je outsourcing strategickým řešením pro řízení rizik:

  • Přístup ke specializovaným znalostem a zkušenostem: Externí manažeři KB (často označovaní jako vCISO – virtual Chief Information Security Officer) přinášejí rozsáhlé zkušenosti z práce s různými klienty a v různých odvětvích. Mají hluboké znalosti nejnovějších hrozeb, technologií, metodik (např. ISO 27001) a legislativních požadavků (Zákon o kybernetické bezpečnosti, GDPR, NIS 2). Tyto znalosti by bylo pro jednu interní osobu extrémně náročné a nákladné neustále udržovat.
  • Nezávislost a objektivita: Outsourcovaný manažer KB je přirozeně nezávislý na interních strukturách a politice organizace. To mu umožňuje poskytovat objektivní hodnocení, identifikovat slabá místa a navrhovat řešení bez interního konfliktu zájmů, což je klíčové pro efektivní řízení rizik podle ISO 27001 čl. 6.1.1–6.1.3.
  • Nákladová efektivita: Zaměstnání plnohodnotného interního manažera KB vyžaduje vysoké mzdové náklady, benefity, školení a certifikace. Outsourcing umožňuje přístup k špičkovým odborníkům za zlomek nákladů a platíte jen za služby, které skutečně potřebujete.
  • Flexibilita a škálovatelnost: Outsourcing umožňuje přizpůsobit úroveň podpory aktuálním potřebám organizace. Ať už potřebujete plný úvazek, částečný úvazek nebo jen projektovou podporu, externí poskytovatel se dokáže přizpůsobit.
  • Soulad s legislativou: Externí experti jsou neustále v kontaktu s nejnovějšími legislativními změnami a požadavky (v ČR NÚKIB). Dokáží zajistit, že vaše organizace je v souladu se Zákonem o kybernetické bezpečnosti, GDPR a směrnicí NIS 2, čímž minimalizují riziko pokut a reputačních škod.
  • Zaměření na core business: Outsourcingem kybernetické bezpečnosti se organizace může plně soustředit na své hlavní podnikatelské aktivity, zatímco o komplexní oblast bezpečnosti se starají specialisté.

 

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) jako odpovědný orgán neustále zdůrazňuje důležitost řízení rizik a dodržování legislativy. Outsourcing manažera KB je praktickým a efektivním způsobem, jak tyto požadavky splnit a zároveň posílit celkové bezpečnostní postavení organizace.

 

FAQ – Často kladené otázky o manažerovi kybernetické bezpečnosti

Co hrozí, pokud povinný subjekt nezavede bezpečnostní opatření podle zákona o kybernetické bezpečnosti?

  • Pokud poskytovatel regulované služby nezavede bezpečnostní opatření podle českého zákona č. 264/2025 Sb., hrozí mu uložení drastických sankcí. Podle nové legislativy může NÚKIB uložit pokutu až do výše 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu za předchozí finanční rok. Kromě finančních sankcí hrozí i poškození reputace a v případě subjektů v režimu vyšších povinností i pozastavení certifikace nebo výkonu řídicí funkce statutárních orgánů.

 

Kdo je odpovědný za hlášení incidentů podle zákona o kybernetické bezpečnosti?

  • Za hlášení incidentů je odpovědný poskytovatel regulované služby. Podle zákona č. 264/2025 Sb. je povinen nahlásit incident ve více fázích (prvotní varování do 24 hodin, hlášení do 72 hodin a závěrečná zpráva do jednoho měsíce) Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

 

Musí mít manažer kybernetické bezpečnosti (MKB) specifický certifikát nebo zkoušku?

  • Ano. Podle české legislativy a prováděcí vyhlášky k zákonu č. 264/2025 Sb. se na tuto roli vyžaduje prokazatelná odborná způsobilost. MKB musí disponovat odpovídajícím vzděláním, praxí a certifikátem uznávaným na národní nebo mezinárodní úrovni, např. certifikací podle standardů NÚKIB, případně mezinárodní certifikací CISM nebo CISSP.

 

Je manažer KB osobně odpovědný za pokuty uložené podniku?

  • Ne přímo. Odpovědnost za kybernetickou bezpečnost a soulad s předpisy nese podle zákona č. 264/2025 Sb. přímo statutární orgán (vedení společnosti), který nese osobní odpovědnost za schválení a dohled nad bezpečnostními opatřeními. Manažer KB má poradní a řídící roli. Pokud však vedení ignoruje písemná upozornění a analýzy rizik předložené MKB, právní odpovědnost (včetně hrozby odvolání nebo náhrady škody) padá na vedení. MKB „chrání záda“ vedení tím, že procesy řídí v souladu se zákonem.

 

Musí být manažer KB zaměstnancem na plný úvazek?

  • Zákon o KB nevyžaduje plný pracovní úvazek (pokud to není specificky určeno sektorovými pravidly pro kritickou infrastrukturu). Rozhodující je rozsah a kvalita vykonávané činnosti. Pro střední podniky spadající pod NIS 2 je často efektivnější mít MKB jako externí službu (outsourcing), protože objem práce na řízení rizik a auditů nevyužije experta na plný úvazek, ale vyžaduje vysokou specializaci, kterou interní zaměstnanec často nemá.

 

Shrnutí:

Rozdíl mezi rolí IT administrátora a manažera kybernetické bezpečnosti je zásadní a v dnešním komplexním digitálním prostředí nelze tyto pozice efektivně spojovat. Legislativní požadavky, jako zákon o kybernetické bezpečnosti, GDPR a směrnice NIS 2, jasně definují potřebu strategického řízení rizik, nezávislého dohledu a neustálého souladu. IT administrátor je klíčový pro provoz, ale manažer KB je nezbytný pro strategickou ochranu a řízení rizik, přičemž jeho nezávislost a objektivita jsou základem pro efektivní bezpečnost.

Pokud vaše organizace čelí výzvám v oblasti kybernetické bezpečnosti, nemáte interního specialistu nebo hledáte způsob, jak efektivně splnit legislativní požadavky, outsourcing manažera kybernetické bezpečnosti je prověřené a nákladově efektivní řešení. Získáte přístup k špičkovým odborným znalostem, nezávislému pohledu a zajistíte soulad s předpisy bez nutnosti budovat drahý interní tým.

 

Chcete posílit svou kybernetickou bezpečnost a zajistit soulad s legislativou?

Kontaktujte nás prostřednictvím formuláře nebo telefonicky a zjistěte, jak vám můžeme pomoci s outsourcingem manažera kybernetické bezpečnosti.

 

Zdroje

 

 

Doporučená školení:

Název školení Délka školení Volné termíny Cena
2 dny
23.02.2026 + 5 dostupných termínů
9 900,00 CZK
11 979,00 CZK s DPH
 Více o školení
3 dny
02.03.2026 + 4 dostupné termíny
14 900,00 CZK
18 029,00 CZK s DPH
 Více o školení
2 dny
23.03.2026 + 4 dostupné termíny
9 900,00 CZK
11 979,00 CZK s DPH
 Více o školení
1 den
23.03.2026 + 4 dostupné termíny
7 500,00 CZK
9 075,00 CZK s DPH
 Více o školení
2 dny
28.04.2026 + 2 dostupné termíny
9 900,00 CZK
11 979,00 CZK s DPH
 Více o školení
2 dny
18.05.2026 + 2 dostupné termíny
9 500,00 CZK
11 495,00 CZK s DPH
 Více o školení
2 dny
Podle Vás
Na vyžádání Více o školení
1 den
Podle Vás
Na vyžádání Více o školení
1 den
Podle Vás
Na vyžádání Více o školení

Mohlo by Vás zajímat:

Podobné články

Zákony

Směrnice NIS 2 a nová pravidla kybernetické bezpečnosti: Co je třeba vědět?

V digitální éře, kde kybernetické útoky ohrožují stabilitu celých sektorů, se ochrana sítí a informačních systémů stává prioritou číslo jedna. Evropská unie reaguje na tuto eskalující hrozbu zpřísněním legislativy.

Zákony

NIS 2 a zákon o kybernetické bezpečnosti – nejdůležitější informace

Česká republika stojí před významnou změnou v oblasti kybernetické bezpečnosti. Novela zákona o kybernetické bezpečnosti, která vstoupí v platnost v polovině roku 2025, přinese několik důležitých změn pro firmy i veřejné instituce.

Quishing

Quishing je novodobý nástroj pro kyberzločince. Je to pokročilá forma phishingového útoku, která zneužívá QR kódy s cílem získat citlivá data, pomocí naskenovaného QR kódu, do vašeho chytrého telefonu. Po naskenování takového kódu QR může uživatel skončit na webu, který se tváří důvěryhodně, ale slouží ke sběru osobních údajů, jako jsou zadání a hesla nebo platební údaje.