Zákon definuje povinné subjekty podle odvětví a velikosti firmy a dělí je do dvou režimů povinností (vyšší a nižší). Každý režim má jiný rozsah toho, co musí firma splnit. První otázka pro vedení tedy nezní „jaká opatření zavést“, ale „spadáme vůbec pod zákon, a pokud ano, do kterého režimu?“ Bez této odpovědi firma řeší něco, co se jí třeba vůbec netýká, nebo naopak podceňuje rozsah povinností. První krok je proto jednoduchý: zjistit, jestli a jak se vás zákon týká. Trvá to řádově hodiny, ne týdny.

Odpovědnost za řízení kybernetické bezpečnosti se ze zákona přesouvá na statutární orgán. Není to záležitost IT oddělení ani externího dodavatele. Vedení musí být schopno doložit, že rizika zná, řídí je a kontroluje, jestli zavedená opatření skutečně fungují. Při kontrole se nezkoumá jen to, co je napsané v dokumentech, ale i to, jak firma reálně funguje.

Konkrétní rozsah povinností závisí na tom, v jakém režimu firma je. Zákon rozlišuje vyšší a nižší režim a požadavky se liší. Společné jádro pro vedení ve všech případech:

• Znát rozsah povinností, které se na firmu vztahují.
• Schválit a zavést bezpečnostní opatření v rozsahu daném režimem (vyšší režim navíc vyžaduje řízení rizik podle vyhlášky).
• Pravidelně kontrolovat, že opatření skutečně fungují.
• Hlásit incidenty ve lhůtách stanovených zákonem.

Odpovědnost je osobní. Týká se konkrétních členů statutárního orgánu, ne abstraktně „firmy“.

Zákon počítá s pokutami pro firmu, osobní odpovědností členů vedení, omezením činnosti a reputačními dopady. Kontrolní orgán při auditu nezkoumá, jestli firma chtěla zákon dodržet. Zkoumá, jestli má doklady o tom, že bezpečnost řídí. Pokud chybí, je firma v důkazní nevýhodě bez ohledu na to, jak je technicky zabezpečená.

Protože dokumentace neřídí firmu. Lidé ano. Audit ověřuje, jestli procesy popsané v dokumentech skutečně fungují: jestli někdo opatření kontroluje, jestli vedení o věcech rozhoduje, jestli hlášení incidentů má funkční postup. Nejčastější příčina neúspěchu při auditu je právě tento rozpor: papír říká jedno, realita druhé.

Tři opakující se problémy:

• Vedení nezná své povinnosti, bere to jako IT téma.
• Odpovědnost není přidělena konkrétní osobě, „to dělá někdo“.
• Kontrola opatření neprobíhá. Opatření se zavedla a dál se k nim nikdo nevrátil.

Žádný z těchto bodů není o technologii. Všechny jsou o řízení.

Implementaci ano. Odpovědnost ne. Externí dodavatel může zajistit technický provoz, dokumentaci i školení. Vedení ale musí být schopné při kontrole doložit, že o stavu ví, rozhoduje a kontroluje plnění. To se delegovat nedá. Nejčastější nepříjemné překvapení při auditu je situace, kdy vedení odpoví „to řeší náš dodavatel“ a kontrolor se zeptá, kdy a jak to vedení naposledy ověřilo.

Vstupní analýza pro určení režimu a rozsahu povinností. Gap analýza proti požadavkům zákona. Návrh opatření a přidělení odpovědností. Implementace s definovanými kontrolami. Pravidelná revize a hlášení. Cílem není certifikát na zdi. Cílem je doložitelné řízení bezpečnosti, které obstojí při kontrole.

Závisí na výchozím stavu. Firmy, které už mají funkční řízení bezpečnosti, řeší doplnění chybějících bodů, týdny až měsíce. Firmy, které začínají od nuly, počítají v měsících. Reálný harmonogram vychází ze vstupní analýzy a priorit vedení, ne z univerzální šablony.