Prečo váš IT administrátor nemôže byť zároveň manažérom kybernetickej bezpečnosti?

Manažér kybernetickej bezpečnosti je strategická rola zodpovedná za riadenie a dohľad nad celkovým stavom informačnej bezpečnosti organizácie, vrátane identifikácie rizík, implementácie politík a zabezpečenia súladu s legislatívou. 
Naopak, IT administrátor sa primárne zameriava na prevádzku, údržbu a podporu IT infraštruktúry. Podľa normy ISO/IEC 27001 čl. 4.1, ktorý definuje kontext a rozsah zodpovedností v rámci riadenia, je kľúčové pochopiť, že tieto dve pozície vyžadujú odlišné zručnosti, perspektívy a nezávislosť, čo znemožňuje ich efektívne zlúčenie do jednej osoby.

V dnešnom digitálnom svete, kde kybernetické hrozby neustále rastú na sofistikovanosti a frekvencii, už nestačí spoliehať sa na to, že "niekto z IT" sa postará aj o bezpečnosť. 

Legislatívne požiadavky, ako sú Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, Nariadenie GDPR a smernica NIS 2, kladú na organizácie bezprecedentné nároky na riadenie informačnej bezpečnosti. Tieto predpisy vyžadujú nielen technické zabezpečenie, ale aj komplexný systém riadenia, ktorý zahŕňa strategické plánovanie, riadenie rizík, politiky, procesy a neustále monitorovanie. 
Zveriť túto kritickú úlohu osobe, ktorej primárnou zodpovednosťou je udržiavanie prevádzky systémov, je nielen neefektívne, ale aj rizikové. 

Tento článok objasňuje, prečo je oddelenie týchto dvoch rolí nevyhnutné pre robustnú kybernetickú bezpečnosť a súlad s predpismi.

Rozdiel v rolách a zodpovednostiach: IT administrátor vs. Manažér KB

Podľa normy ISO/IEC 27001 čl. 4.1, ktorý zdôrazňuje potrebu jasného vymedzenia kontextu a rozsahu pôsobnosti v rámci organizácie, je nevyhnutné rozlišovať medzi úlohami IT administrátora a manažéra kybernetickej bezpečnosti. Hoci obe pozície pôsobia v oblasti informačných technológií, ich ciele, zodpovednosti a perspektívy sú zásadne odlišné.

IT administrátor je predovšetkým technický špecialista. Jeho hlavnou úlohou je zabezpečiť bezproblémovú prevádzku, údržbu a podporu IT infraštruktúry. To zahŕňa inštaláciu a konfiguráciu hardvéru a softvéru, správu sietí, serverov, databáz, riešenie technických problémov a zabezpečenie dostupnosti systémov pre koncových používateľov. Zameriava sa na operatívne úlohy a často má rozsiahle prístupové práva k systémom, aby mohol efektívne vykonávať svoju prácu. Jeho primárnym cieľom je funkčnosť a dostupnosť.

Manažér kybernetickej bezpečnosti je naopak strategická rola s manažérskou zodpovednosťou. Jeho úlohou nie je len technická implementácia, ale predovšetkým riadenie celého systému informačnej bezpečnosti (ISMS), často v súlade s normami ako ISO 27001. Zodpovedá za identifikáciu, hodnotenie a riadenie kybernetických rizík, tvorbu a implementáciu bezpečnostných politík a procedúr, dohľad nad ich dodržiavaním, plánovanie a riadenie reakcií na bezpečnostné incidenty a zabezpečenie súladu s relevantnou legislatívou (napr. Zákon o kybernetickej bezpečnosti, GDPR, NIS 2). Jeho perspektíva je holistická a zameraná na ochranu informácií a aktív organizácie pred hrozbami.

Kľúčovým rozdielom je aj potenciálny konflikt záujmov. 

IT administrátor, ktorý má rozsiahle prístupové práva a zodpovednosť za prevádzku, by pri plnení role manažéra KB musel posudzovať a auditovať vlastnú prácu a potenciálne zraniteľnosti, ktoré sám vytvoril alebo prehliadol. Táto situácia narúša princíp nezávislosti a objektívnosti, ktorý je pre efektívne riadenie bezpečnosti kľúčový. 

Manažér KB musí byť schopný kriticky hodnotiť stav bezpečnosti bez ohľadu na to, kto systémy spravuje.

Legislatívny rámec a požiadavky na riadenie rizík

Norma ISO/IEC 27001 Článok 6.1.1-6.1.3 zdôrazňuje nevyhnutnosť systematického prístupu k riadeniu rizík, čo je základný pilier moderných legislatívnych požiadaviek v oblasti kybernetickej bezpečnosti. 
Tieto články, ktoré sa týkajú identifikácie, hodnotenia a ošetrovania rizík, sú priamo aplikovateľné na povinnosti vyplývajúce zo Zákona o kybernetickej bezpečnosti a GDPR, a jasne ukazujú, prečo je pre ich splnenie potrebná špecializovaná rola manažéra KB.

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len "Zákon o KB"), účinný od 1. januára 2019, implementuje smernicu NIS a kladie vysoké nároky na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb.
§ 5 ods. 2 určuje prevádzkovateľom základných služieb povinnosť prijať primerané bezpečnostné opatrenia na riadenie rizík ohrozujúcich bezpečnosť sietí a informačných systémov. To zahŕňa analýzu rizík, implementáciu technických a organizačných opatrení a pravidelné prehodnocovanie ich účinnosti.
§ 6 detailnejšie špecifikuje bezpečnostné opatrenia, ktoré musia byť zavedené, vrátane riadenia bezpečnosti, riadenia ľudských zdrojov, riadenia prístupu, riadenia incidentov a riadenia kontinuity prevádzky. Tieto oblasti si vyžadujú strategické plánovanie a dohľad, nie len technickú implementáciu.
§ 7 sa zameriava na riešenie kybernetických bezpečnostných incidentov, vrátane ich detekcie, analýzy, reakcie a nahlasovania Národnému bezpečnostnému úradu (NBÚ). Manažér KB je kľúčovou osobou pri koordinácii týchto procesov.

Nariadenie GDPR (General Data Protection Regulation), účinné od 25. mája 2018, kladie dôraz na ochranu osobných údajov.
Bezpečnosť spracúvania vyžaduje, aby prevádzkovateľ a sprostredkovateľ prijali primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku. To zahŕňa pseudonymizáciu a šifrovanie osobných údajov, schopnosť zabezpečiť nepretržitú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania, ako aj schopnosť včas obnoviť dostupnosť a prístup k osobným údajom v prípade fyzického alebo technického incidentu.

Splnenie týchto komplexných požiadaviek si vyžaduje niekoho, kto má hlboké znalosti legislatívy, metodík riadenia rizík a schopnosť preložiť právne požiadavky do praktických bezpečnostných opatrení. IT administrátor, hoci je technicky zdatný, zvyčajne nemá potrebnú špecializáciu a manažérsku perspektívu na komplexné riadenie týchto rizík v súlade s právnymi predpismi.

NIS 2: Nové výzvy a rozšírené povinnosti

Smernica NIS 2 prináša rozšírený rozsah pôsobnosti a sprísnené požiadavky na kybernetickú bezpečnosť. NIS 2 vyžaduje proaktívny a systematický prístup k bezpečnosti, ktorý presahuje rámec bežnej IT administrácie.

NIS 2 rozširuje okruh subjektov, na ktoré sa vzťahujú povinnosti, a zahŕňa nielen prevádzkovateľov základných služieb, ale aj široké spektrum "kritických" a "základných" prevádzkovateľov v rôznych sektoroch (napr. energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra, ale aj verejná správa, vesmírny priemysel, výroba potravín a ďalšie). To znamená, že oveľa viac organizácií bude musieť splniť prísne bezpečnostné požiadavky.

Kľúčové zmeny a požiadavky NIS 2 zahŕňajú:

• Komplexné riadenie rizík: Subjekty musia zaviesť a uplatňovať opatrenia na riadenie kybernetických rizík, ktoré zahŕňajú analýzu rizík, riadenie incidentov, riadenie kontinuity prevádzky, bezpečnosť dodávateľského reťazca, bezpečnosť sietí a informačných systémov, ako aj používanie kryptografie a šifrovania.
• Oznamovacia povinnosť: Sprísňujú sa požiadavky na oznamovanie významných kybernetických incidentov príslušným orgánom (na Slovensku NBÚ) v prísnych časových lehotách.
• Zodpovednosť manažmentu: Členovia riadiacich orgánov (napr. predstavenstvo, dozorná rada) nesú priamu zodpovednosť za dodržiavanie opatrení kybernetickej bezpečnosti a môžu byť sankcionovaní za ich nedodržanie. To podčiarkuje potrebu strategického riadenia bezpečnosti na najvyššej úrovni.
• Audit a dohľad: Orgány dohľadu budú mať rozsiahlejšie právomoci na vykonávanie auditov a kontrol dodržiavania smernice.

Tieto požiadavky jasne ukazujú, že kybernetická bezpečnosť už nie je len technickou záležitosťou, ale stáva sa neoddeliteľnou súčasťou riadenia podniku. Vyžaduje si strategické plánovanie, neustále monitorovanie a prispôsobovanie sa meniacim sa hrozbám a legislatíve. Manažér kybernetickej bezpečnosti je kľúčovou osobou, ktorá zabezpečuje, aby organizácia nielen splnila tieto požiadavky, ale aj proaktívne budovala silnú "kultúru kvality" v oblasti bezpečnosti. IT administrátor, hoci je dôležitý pre implementáciu, nemôže niesť túto strategickú a riadiacu zodpovednosť sám.

Nezávislosť a objektívnosť: Kľúč k efektívnej kybernetickej bezpečnosti

Nezávislosť manažéra KB od IT oddelenia teda nie je voľbou, ale podmienkou súladu (compliance) so slovenským právnym poriadkom. Zabezpečuje:

• Objektívny audit: Nezávislé posúdenie rizík bez tlaku na minimalizáciu prevádzkových nákladov.
• Transparentné nahlasovanie: Priamu komunikačnú linku k vedeniu o zraniteľnostiach, ktoré môžu IT tímy (vedome či nevedome) prehliadať

Manažér kybernetickej bezpečnosti musí byť schopný objektívne posudzovať stav bezpečnosti IT systémov a procesov, identifikovať slabé miesta a navrhovať nápravné opatrenia bez akéhokoľvek konfliktu záujmov. Ak by túto rolu zastával IT administrátor, ktorý je zároveň zodpovedný za prevádzku a údržbu týchto systémov, vznikol by inherentný konflikt. Bolo by pre neho náročné kriticky hodnotiť vlastnú prácu, identifikovať chyby alebo nedostatky, ktoré sám vytvoril, alebo pripustiť zraniteľnosti v systémoch, za ktoré je priamo zodpovedný. Táto situácia by mohla viesť k podhodnoteniu rizík, oneskorenému riešeniu problémov a celkovému oslabeniu bezpečnostného postavenia organizácie.

Nezávislosť manažéra KB od IT oddelenia zabezpečuje, že:

• Objektívne hodnotenie rizík: Manažér KB môže nezávisle posúdiť riziká spojené s IT infraštruktúrou a procesmi, bez tlaku na obhajobu existujúcich riešení alebo minimalizáciu problémov.
• Efektívna implementácia politík: Môže presadzovať bezpečnostné politiky a štandardy, ktoré môžu niekedy kolidovať s prevádzkovými požiadavkami IT oddelenia, čím zabezpečuje, že bezpečnosť nie je kompromitovaná v prospech pohodlia alebo rýchlosti.
• Dôveryhodné nahlasovanie: Komunikácia o bezpečnostných incidentoch, zraniteľnostiach a celkovom stave bezpečnosti smerom k vedeniu (ako to vyžaduje napríklad Zákon o KB § 7) je dôveryhodnejšia, ak pochádza z nezávislého zdroja. 
• Dodržiavanie súladu: Nezávislý manažér KB je lepšie pozícii na zabezpečenie súladu s legislatívou (GDPR, Zákon o KB, NIS 2), pretože môže objektívne posúdiť, či sú zavedené opatrenia dostatočné a účinné.

V konečnom dôsledku, nezávislosť manažéra kybernetickej bezpečnosti je základom pre vybudovanie dôveryhodného a efektívneho systému riadenia informačnej bezpečnosti, ktorý je schopný chrániť organizáciu pred neustále sa vyvíjajúcimi hrozbami.

Outsourcing manažéra kybernetickej bezpečnosti: Efektívna stratégia riadenia rizík 

V súlade s princípmi ISO 27001 čl. 6.1.1-6.1.3, ktoré kladú dôraz na komplexné a efektívne riadenie rizík, sa outsourcing manažéra kybernetickej bezpečnosti javí ako strategické a často najefektívnejšie riešenie pre mnohé organizácie. Zabezpečiť interného, kvalifikovaného a nezávislého manažéra KB môže byť pre stredné a menšie podniky, ale aj pre niektoré väčšie, značnou výzvou z hľadiska nákladov, dostupnosti talentov a udržania aktuálnych znalostí.

Prečo je outsourcing strategickým riešením pre riadenie rizík:

1. Prístup k špecializovaným znalostiam a skúsenostiam: Externí manažéri KB (často označovaní ako vCISO – virtual Chief Information Security Officer) prinášajú rozsiahle skúsenosti z práce s rôznymi klientmi a v rôznych odvetviach. Majú hlboké znalosti najnovších hrozieb, technológií, metodík (ako ISO 27001) a legislatívnych požiadaviek (Zákon o KB, GDPR, NIS 2). Tieto znalosti by bolo pre jednu internú osobu extrémne náročné a nákladné neustále udržiavať.
2. Nezávislosť a objektivita: Outsourcovaný manažér KB je prirodzene nezávislý od interných štruktúr a politiky organizácie. To mu umožňuje poskytovať objektívne hodnotenia, identifikovať slabé miesta a navrhovať riešenia bez interného konfliktu záujmov, čo je kľúčové pre efektívne riadenie rizík podľa normy ISO 27001 čl. 6.1.1-6.1.3.
3. Nákladová efektívnosť: Zamestnanie plnohodnotného interného manažéra KB si vyžaduje vysoké mzdové náklady, benefity, náklady na školenia a certifikácie. Outsourcing umožňuje prístup k špičkovým odborníkom za zlomok nákladov, pričom platíte len za služby, ktoré skutočne potrebujete.
4. Flexibilita a škálovateľnosť: Outsourcing umožňuje prispôsobiť úroveň podpory aktuálnym potrebám organizácie. Či už potrebujete plný úväzok, čiastočný úväzok alebo len projektovú podporu, externý poskytovateľ sa dokáže prispôsobiť.
5. Súlad s legislatívou: Externí experti sú neustále v kontakte s najnovšími legislatívnymi zmenami a požiadavkami (napr. NBÚ na Slovensku). Dokážu zabezpečiť, že vaša organizácia je v súlade so Zákonom o KB, GDPR a pripravovanou smernicou NIS 2, čím minimalizujú riziko pokút a reputačných škôd.
6. Zameranie na core business: Outsourcingom kybernetickej bezpečnosti sa organizácia môže plne sústrediť na svoje hlavné podnikateľské aktivity, zatiaľ čo o komplexnú oblasť bezpečnosti sa starajú špecialisti.

Národný bezpečnostný úrad (NBÚ) ako zodpovedný orgán za oblasť kybernetickej bezpečnosti na Slovensku neustále zdôrazňuje dôležitosť riadenia rizík a dodržiavania legislatívy. Outsourcing manažéra KB je praktickým a efektívnym spôsobom, ako splniť tieto požiadavky a zároveň posilniť celkové bezpečnostné postavenie organizácie.

FAQ – Často kladené otázky o manažérovi kybernetickej bezpečnosti

Čo hrozí, ak prevádzkovateľ základnej služby nezavedie bezpečnostné opatrenia podľa Zákona o kybernetickej bezpečnosti?

• Ak prevádzkovateľ základnej služby nezavedie bezpečnostné opatrenia podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, hrozí mu uloženie sankcií. Podľa **§ 15 Zákona č. 69/2018 Z. z.** môže Národný bezpečnostný úrad uložiť pokutu až do výšky 300 000 eur, v závislosti od závažnosti porušenia. Okrem finančných sankcií hrozí aj poškodenie reputácie a potenciálne rozsiahle škody spôsobené kybernetickým incidentom.

Kto je zodpovedný za nahlasovanie incidentov podľa Zákona o kybernetickej bezpečnosti?

• Za nahlasovanie incidentov podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti je zodpovedný prevádzkovateľ základnej služby alebo poskytovateľ digitálnej služby. Podľa **§ 7 Zákona č. 69/2018 Z. z.** sú povinní bezodkladne od zistenia kybernetického bezpečnostného incidentu, ktorý má alebo môže mať závažný vplyv na bezpečnosť sietí a informačných systémov, nahlásiť ho Národnému bezpečnostnému úradu.

Musí mať manažér kybernetickej bezpečnosti (MKB) špecifický certifikát alebo skúšku?

• Áno. Podľa slovenskej legislatívy a štandardov NBÚ (na ktoré odkazuje aj novela 264/2023 Z. z.) sa na túto rolu vyžaduje preukázateľná odborná spôsobilosť. MKB by mal disponovať certifikátom uznávaným na národnej alebo medzinárodnej úrovni (napr. Certifikovaný manažér kybernetickej bezpečnosti podľa schémy NBÚ, prípadne medzinárodné CISM alebo CISSP). 

Je manažér KB osobne zodpovedný za pokuty udelené podniku?

• Nie priamo. Zodpovednosť za kybernetickú bezpečnosť a súlad s predpismi nesie v prvom rade štatutárny orgán (vedenie spoločnosti). Manažér KB je poradný a riadiaci orgán. Ak však štatutár ignoruje písomné upozornenia a analýzy rizík, ktoré mu MKB predložil, celá právna zodpovednosť (vrátane hrozby odvolania alebo náhrady škody) padá na plecia vedenia. MKB „kryje chrbát“ štatutárom tým, že procesy riadi v súlade so zákonom.

Musí byť Manažér KB zamestnancom na plný úväzok?

• Zákon o KB nevyžaduje plný pracovný úväzok (pokiaľ to nie je špecificky určené sektorovými pravidlami pre kritickú infraštruktúru). Rozhodujúci je rozsah a kvalita výkonu činnosti. Pre stredne veľké podniky spadajúce pod NIS 2 je často efektívnejšie mať MKB ako externú službu (outsourcing), pretože objem práce na riadenie rizík a auditov nevyťaží experta na 160 hodín mesačne, ale vyžaduje si vysokú špecializáciu, ktorú interný zamestnanec často nemá.

Zhodnotenie:

Rozdiel medzi rolou IT administrátora a manažéra kybernetickej bezpečnosti je zásadný a v dnešnom komplexnom digitálnom prostredí už nemožno tieto pozície efektívne spájať. Legislatívne požiadavky, ako Zákon o kybernetickej bezpečnosti, GDPR a smernica NIS 2, jasne definujú potrebu strategického riadenia rizík, nezávislého dohľadu a neustáleho súladu. IT administrátor je kľúčový pre prevádzku, no manažér KB je nevyhnutný pre strategickú ochranu a riadenie rizík, pričom jeho nezávislosť a objektívnosť sú základom pre efektívnu bezpečnosť.

Ak vaša organizácia čelí výzvam v oblasti kybernetickej bezpečnosti, nemáte interného špecialistu alebo hľadáte spôsob, ako efektívne splniť legislatívne požiadavky, outsourcing manažéra kybernetickej bezpečnosti je overeným a nákladovo efektívnym riešením. Získate prístup k špičkovým odborným znalostiam, nezávislému pohľadu a zabezpečíte si súlad s predpismi bez potreby budovania drahého interného tímu.

Chcete posilniť svoju kybernetickú bezpečnosť a zabezpečiť súlad s legislatívou? 

Kontaktujte nás cez formulár alebo telefonicky a zistite ako vám môžeme pomôcť s outsourcingom manažéra kybernetickej bezpečnosti.

Zdroje

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti
[https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/69/](https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/69/)
Nariadenie GDPR (General Data Protection Regulation):
 [https://eur-lex.europa.eu/eli/reg/2016/679/oj](https://eur-lex.europa.eu/eli/reg/2016/679/oj)
ISO 27001(Systémy riadenia informačnej bezpečnosti): Informácie o norme sú dostupné prostredníctvom oficiálnych štandardizačných organizácií.
Národný bezpečnostný úrad (NBÚ): Oficiálna webová stránka pre informácie o kybernetickej bezpečnosti na Slovensku.
[https://www.nbusr.sk/](https://www.nbusr.sk/)
Smernica NIS 2: Informácie o smernici sú dostupné na portáli Eur-lex.
[https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX%3A32022L2555](https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX%3A32022L2555)