„Musíme najímat manažera, architekta i auditora kybernetické bezpečnosti? Tři nové lidi?" Tahle otázka padá často, když firmy čtou nový zákon o kybernetické bezpečnosti.
Dobrá zpráva: Nemusíte najmout tři (nebo více) nových zaměstnanců. Zákon vyžaduje bezpečnostní role, ne pracovní pozice. A existuje mnoho způsobů, jak je obsadit – od interních řešení přes outsourcing až po chytré kombinace.
V tomto článku se dozvíte:
- Jaké bezpečnostní role zákon skutečně vyžaduje
- Jak je můžete obsadit (a kolik to stojí)
- Kdy má smysl najímat dedikovaného člověka vs. outsourcing
Role vs. pozice: Důležitý rozdíl
Nejprve klíčová věc, která způsobuje zmatek:
Role ≠ Pracovní pozice
- Role = soubor odpovědností a úkolů (co je potřeba dělat)
- Pozice = pracovní místo v organizaci (kdo to dělá)
Příklad: Firma potřebuje roli „manažera kybernetické bezpečnosti" (odpovídá za ISMS). Tuto roli může vykonávat:
- IT manažer (má to jako část své práce)
- Externí konzultant (outsourcing)
- Dedikovaný zaměstnanec na pozici „manažer kybernetické bezpečnosti"
- Dokonce i ředitel firmy (pokud má čas a odbornost)
Klíčové: Jedna osoba může vykonávat více rolí najednou (s výjimkou auditora – viz níže).
Co nový zákon skutečně vyžaduje
Pro organizace v REŽIMU VYŠŠÍCH POVINNOSTÍ:
Musíte určit tyto bezpečnostní role:
1. Manažer kybernetické bezpečnosti
Odpovědnost: Řízení celého systému řízení bezpečnosti informací (ISMS)
Konkrétně: Vytváří bezpečnostní politiky, řídí implementaci opatření, reportuje vedení, koordinuje bezpečnostní projekty
Požadavky:
- Minimálně 3 roky praxe s řízením kybernetické bezpečnosti nebo bezpečnosti informací
- Řádné školení
- Nesmí současně vykonávat role odpovědné za provoz technických aktiv
- Musí být zajištěna zastupitelnost této role
2. Architekt kybernetické bezpečnosti
Odpovědnost: Návrh a implementace bezpečnostních opatření
Konkrétně: Navrhuje bezpečnou architekturu systémů, segmentaci sítě, monitoring, technická opatření
Požadavky:
- Minimálně 3 roky praxe s navrhováním bezpečnostní architektury
- Řádné školení
- Musí být zajištěna zastupitelnost této role
3. Auditor kybernetické bezpečnosti
Odpovědnost: Provádění interních auditů kybernetické bezpečnosti
Konkrétně: Kontroluje, zda opatření fungují, identifikuje nedostatky, píše auditní zprávy
Požadavky:
- Minimálně 3 roky praxe s prováděním auditů kybernetické bezpečnosti nebo ISMS
- Řádné školení
- DŮLEŽITÉ: Musí být NESTRANNÝ – nemůže vykonávat role manažera ani architekta
4. Garanti aktiv
Odpovědnost: Zajišťují rozvoj, použití a bezpečnost konkrétních primárních aktiv (služeb, informací)
Konkrétně: Každé klíčové primární aktivum má svého garanta (např. garant zákaznické databáze, garant fakturačního systému jako služby)
Požadavky: Žádné speciální – jmenujete osoby, které se daným aktivem zabývají
5. Výbor pro řízení kybernetické bezpečnosti
Pozor – často opomíjený požadavek!
Vrcholné vedení musí zřídit výbor pro řízení KB, přičemž:
- Členem musí být alespoň 1 člen vrcholného vedení (nebo jím pověřená osoba) a manažer KB
- Výbor se musí scházet minimálně 1× ročně
- Z jednání se musí vést záznamy
6. Školení vrcholného vedení
Vrcholné vedení (statutární orgán) musí prokazatelně absolvovat školení zaměřené na:
- Povinnosti v oblasti ISMS
- Řízení rizik
- Řízení kontinuity činností
Pro organizace v REŽIMU NIŽŠÍCH POVINNOSTÍ:
Požadavky jsou jednodušší:
1. Osoba pověřená kybernetickou bezpečností
Odpovědnost: Řídí a rozvíjí kybernetickou bezpečnost, dohlíží nad stavem, komunikuje s vedením
Požadavky:
- BEZ požadavku na tříletou praxi! (hlavní rozdíl oproti vyššímu režimu)
- Stačí absolvovat odborné školení NEBO prokázat odbornou znalost v kybernetické bezpečnosti
2. Školení vrcholného vedení
I v nižším režimu musí vrcholné vedení absolvovat školení o svých povinnostech a bezpečnostní politice.
Poznámka: V režimu nižších povinností zákon nevyžaduje formální určení garantů aktiv jako samostatné bezpečnostní role.
Jak role obsadit: 5 reálných variant
Teď k praktické otázce: Jak tyto role zajistit?
Varianta 1: Jedna osoba = více rolí (nejčastější u menších firem)
Pro koho: Malé až střední firmy v režimu vyšších povinností (50–150 zaměstnanců)
Jak to funguje:
- Jedna osoba vykonává role manažera + architekta kybernetické bezpečnosti
- Druhá osoba (nebo externí dodavatel) vykonává roli auditora
- Zajistíte zástupce pro manažera a architekta KB
Příklad:
- Váš IT manažer se stane manažerem + architektem KB (projde školením + má praxi)
- Určíte zástupce (např. senior IT specialista)
- Najdete externího auditora (audit 1× za 2 roky)
Náklady:
- Školení IT manažera: 50 000 – 80 000 Kč (jednorázově)
- Školení zástupce: 30 000 – 50 000 Kč (jednorázově)
- Školení vrcholného vedení: 15 000 – 30 000 Kč (jednorázově)
- Externí auditor: 30 000 – 60 000 Kč za audit (1× za 2 roky = 15–30 tis./rok v průměru)
- Celkem první rok: ~130–220 tis. Kč
- Následující roky: ~30–50 tis. Kč/rok (bez nákladů na vlastního zaměstnance, který už ve firmě je)
Výhody:
- ✅ Nejlevnější varianta
- ✅ IT manažer už zná firmu
- ✅ Rychlé rozhodování
Nevýhody:
- ❌ IT manažer musí mít čas (typicky potřebuje 20–30 % své pracovní doby navíc)
- ❌ Může chybět hloubka odbornosti v komplexnějších oblastech
- ❌ Nutnost zajistit zastupitelnost
Kdy to funguje:
- Firma má schopného IT manažera s bezpečnostním povědomím
- IT infrastruktura není příliš složitá
- Vedení je ochotné uvolnit IT manažerovi čas
Varianta 2: Interní tým bezpečnostních rolí
Pro koho: Větší střední firmy (200+ zaměstnanců) nebo firmy s vysokým rizikem
Jak to funguje:
- Najdete dedikovaného zaměstnance na pozici „manažer kybernetické bezpečnosti" (full-time nebo part-time)
- Architekt = buď stejná osoba, nebo někdo z IT týmu
- Auditor = externí (stále levnější než interní)
- Zajistíte zastupitelnost interně
Příklad:
- Manažer KB na plný úvazek: 80 000 – 120 000 Kč/měsíc
- Architekt = manažer KB (nebo senior IT specialist)
- Auditor = externí dodavatel
Náklady:
- Hrubá mzda manažera KB: 80 000 – 120 000 Kč/měsíc
- Celkové náklady na zaměstnance: ~100 000 – 160 000 Kč/měsíc (s odvody, benefity)
- Externí auditor: 30–60 tis./2 roky
- Celkem: 1,2–2 mil. Kč ročně
Výhody:
- ✅ Dedikovaná osoba 100 % času na bezpečnost
- ✅ Hluboká znalost firmy
- ✅ Dostupnost kdykoliv (incidenty, konzultace)
- ✅ Budování long-term strategie
Nevýhody:
- ❌ Vysoké náklady
- ❌ Obtížné najít kvalitní lidi (trh je přehřátý)
- ❌ Riziko odchodu = ztráta know-how
Kdy to funguje:
- Firma má 200+ zaměstnanců
- Složitá IT infrastruktura (vlastní datacentrum, výroba s OT systémy)
- Vysoké riziko (zpracování citlivých dat, kritická služba)
- Rozpočet to umožňuje
Varianta 3: Kompletní outsourcing rolí
Pro koho: Firmy bez interních bezpečnostních kapacit, rychlý start
Jak to funguje:
- Externí konzultační firma nebo specialista poskytuje všechny role jako službu
- Typicky kombinace remote práce + pravidelné návštěvy (1–2× měsíčně)
- Firma dostává kompletní balík: manažer + architekt + auditor
- Dodavatel zajistí i zastupitelnost
Náklady:
- Kompletní outsourcing: 40 000 – 80 000 Kč/měsíc (podle rozsahu)
- Roční náklad: 500 tis. – 1 mil. Kč
Výhody:
- ✅ Žádné náklady na HR, onboarding, benefity
- ✅ Okamžitá dostupnost (nemusíte hledat a najímat)
- ✅ Flexibilita (můžete změnit dodavatele, navýšit/snížit rozsah)
- ✅ Tým expertů (ne jen jeden člověk)
- ✅ Zastupitelnost je součástí služby
Nevýhody:
- ❌ Vyšší náklady než varianta 1
- ❌ Externí lidé neznají firmu do detailu
- ❌ Může chybět „ownership" (osobní angažovanost)
Kdy to funguje:
- Nemáte interní bezpečnostní know-how
- Potřebujete rychle najet (nemáte čas na hiring)
- Chcete předvídatelný měsíční náklad
- Nechcete se starat o HR agendu
Varianta 4: Hybridní model (interní + externí)
Pro koho: Střední firmy hledající optimální poměr cena/kvalita
Jak to funguje:
- Interní manažer KB (part-time nebo rozšířená role IT manažera) – řídí každodenní provoz
- Externí architekt (na projekty) – přichází podle potřeby navrhnout řešení
- Externí auditor – pravidelné audity (1× za 2 roky)
- Zástupce manažera KB = interní (např. IT specialista)
Příklad:
- IT manažer: role manažera KB (20 % času = ~20 tis./měsíc dodatečných nákladů na uvolnění kapacity)
- Školení IT manažera + zástupce: 80–130 tis. Kč jednorázově
- Externí architekt: 3–5 dní/rok = 50–100 tis./rok
- Externí auditor: 30–60 tis./2 roky = 15–30 tis./rok
- Celkem: ~250–400 tis. Kč ročně
Výhody:
- ✅ Dobrý poměr cena/výkon
- ✅ Interní osoba zná kontext, externí přináší expertízu
- ✅ Flexibilní (external help jen když potřebujete)
Nevýhody:
- ❌ Koordinace dvou světů (interní + externí) může být složitější
- ❌ Externí architekt nemusí být vždy dostupný okamžitě
Kdy to funguje:
- Máte schopného IT manažera, ale potřebuje občas expertní podporu
- Rozpočet je omezený
- Bezpečnostní požadavky nejsou extrémně komplexní
Varianta 5: Role pro nižší režim – ještě jednodušší
Pro koho: Firmy v režimu nižších povinností
Jak to funguje:
- Osoba pověřená KB = může být IT manažer, office manager, dokonce i jednatel (pokud má čas a projde školením)
- Není vyžadována formální role garantů aktiv
- Stačí odborné školení NEBO prokázání odborné znalosti
Náklady:
- Školení osoby pověřené: 20 000 – 40 000 Kč (jednorázově)
- Školení vrcholného vedení: 15 000 – 25 000 Kč (jednorázově)
- Případně externí poradce na retainer: 5–10 hodin/měsíc = 10–20 tis./měsíc
- Celkem: ~50–150 tis. Kč ročně
Kdy to funguje:
- Malá firma (< 100 zaměstnanců)
- Jednoduchá IT (cloud služby, office aplikace)
- Nízké riziko
- Omezený rozpočet
Srovnávací tabulka
*Po zaplacení jednorázových školení v prvním roce
Jak Kraita Cyber One pomáhá s rolemi
Kraita nemůže nahradit bezpečnostní role (to musí být lidé). Ale výrazně snižuje jejich pracovní zátěž a náklady.
Co Kraita ulehčuje manažerovi KB:
- ✅ Automatická GAP analýza – místo týdnů manuální práce = 10 minut
- ✅ Generování dokumentace – politiky, směrnice, registr rizik na míru firmě
- ✅ Monitoring a připomínky – hlídá lhůty auditu, školení, testů
- ✅ Reporty pro vedení – automaticky generuje přehledy stavu bezpečnosti
- ✅ Řízení rizik – evidence, hodnocení, tracking opatření
→ Ušetří: 15–25 hodin měsíčně (rutinní administrativa)
Co Kraita ulehčuje architektovi KB:
- ✅ Doporučení opatření – na základě analýzy navrhne konkrétní technická opatření
- ✅ Evidence aktiv a topologie – přehled o infrastruktuře v jednom místě
- ✅ Best practices – reference na osvědčené postupy (NÚKIB metodiky, ISO 27001)
→ Ušetří: 10–15 hodin měsíčně (analýza a návrhy)
Co Kraita ulehčuje auditorovi KB:
- ✅ Přehled o stavu compliance – okamžitý přehled, co je splněné a co ne
- ✅ Evidence opatření a změn – auditní stopa pro kontrolu
- ✅ Příprava auditních zpráv – šablony a strukturované výstupy
→ Ušetří: 5–10 hodin na audit (příprava a reporting)
Co Kraita NEzvládne (pořád potřebujete lidi):
- ❌ Strategická rozhodnutí – jaká rizika řešit prioritně, kde investovat rozpočet
- ❌ Komunikace s lidmi – školení zaměstnanců, vyjednávání s dodavateli, prezentace vedení
- ❌ Řešení incidentů – když propukne krize, potřebujete člověka s rozhodovací pravomocí
- ❌ Technická implementace – nastavit firewall, konfigurovat monitoring, provést pentest
Praktické kroky: Jak začít
Krok 1: Zjistěte, který režim se vás týká
→ Vyšší režim = 4 role (manažer, architekt, auditor, garanti) + výbor KB + školení vedení → Nižší režim = osoba pověřená KB + školení vedení
Nejste si jisti? Použijte NIS2 Compass v Kraita Cyber One – během 5 minut budete vědět.
Krok 2: Zhodnoťte interní kapacity
Položte si otázky:
- Máme někoho, kdo by mohl role vykonávat? (IT manažer, senior technik)
- Má tato osoba čas? (20–50 % navíc podle režimu)
- Má potřebnou praxi? (3 roky pro vyšší režim)
- Je ochotná a schopná se do toho pustit?
- Máme možnost zajistit zástupce?
Krok 3: Vyberte variantu podle situace
- Máte schopného IT manažera + je ochota? → Varianta 1 (jedna osoba = více rolí) + externí auditor
- Nemáte interní kapacity nebo know-how? → Varianta 3 (outsourcing) nebo Varianta 4 (hybridní)
- Jste velká firma s vysokým rizikem? → Varianta 2 (interní tým)
- Nižší režim? → Varianta 5 (osoba pověřená + případný poradce na retainer)
Krok 4: Zajistěte školení
Osoby ve všech rolích musí projít řádným školením.
Co zákon vyžaduje:
- Školení osob v bezpečnostních rolích (manažer, architekt, auditor)
- Školení vrcholného vedení
- Pro nižší režim: školení osoby pověřené KB
Kde získat školení:
- Specializované vzdělávací společnosti
- Konzultační firmy zaměřené na kybernetickou bezpečnost
- Cena: 15 000 – 40 000 Kč za roli (jednorázově)
- Délka: 2–5 dní podle role
Důležité: Zákon vyžaduje školení a prokázání odborné způsobilosti, nikoli konkrétní certifikaci. Nemusíte mít certifikát podle ISO 17024 – důležité je, aby osoba byla prokazatelně vyškolena a měla požadovanou praxi.
💡 Tip: Pokud obsazujete role externě (outsourcing), dodavatel už má proškolené a zkušené lidi – ušetříte náklady na školení.
Krok 5: Nasaďte nástroje pro podporu
Role bez správných nástrojů = zbytečně složité.
Co potřebujete:
- Nástroj pro řízení compliance (Kraita Cyber One)
- Evidence aktiv a rizik
- Systém pro hlášení incidentů
- Komunikační platforma (pro koordinaci)
Časté otázky
❓ Musí být všechny role obsazené od prvního dne?
Ne. Zákon stanovuje prováděcí lhůty na zavedení všech bezpečnostních opatření (včetně určení rolí) – typicky 1 rok od registrace.
Ale: Čím dříve začnete, tím lépe. Role pomáhají celý proces řídit.
❓ Může jeden člověk dělat manažera i auditora?
NE. Auditor musí být nestranný a oddělený od výkonu ostatních rolí. Nemůže auditovat sám sebe.
Může být:
- Jiný zaměstnanec (z jiného oddělení)
- Externí auditor (nejčastější řešení)
❓ Co když náš IT manažer nemá 3 roky praxe s bezpečností?
Pro vyšší režim je tříletá praxe povinná. Máte 2 možnosti:
- Počkat, až praxi získá (pracuje na bezpečnosti + projde školením)
- Najmout/outsourcovat někoho, kdo praxi má
Pro nižší režim není tříletá praxe vyžadována – stačí školení nebo prokázání odborné znalosti.
❓ Musíme mít garanta pro každé aktivum?
Ne pro úplně každé. Garanti se určují pro klíčová primární aktiva (služby a informace) relevantní pro poskytování regulované služby.
Příklad:
- Garant zákaznických dat
- Garant fakturační služby
- Garant výrobního procesu (pokud je součástí regulované služby)
Netřeba:
- Garant každého notebooku
- Garant každé tiskárny
❓ Jak často se musí provádět audit?
Audit kybernetické bezpečnosti se provádí:
- Minimálně 1× za 2 roky (pravidelný interval)
- Při významných změnách (v rozsahu těchto změn)
- Podle plánu auditu
Pozor: Není to 2× ročně, jak se někdy mylně uvádí!
❓ Co je to výbor pro řízení KB a musíme ho mít?
Ano, v režimu vyšších povinností musíte zřídit výbor pro řízení kybernetické bezpečnosti.
Složení:
- Minimálně 1 člen vrcholného vedení (nebo jím pověřená osoba)
- Manažer kybernetické bezpečnosti
Povinnosti:
- Scházet se minimálně 1× ročně
- Vést záznamy z jednání
- Mít pravomoci pro řízení a rozvoj ISMS
❓ Musíme zajistit zástupce pro bezpečnostní role?
Ano, pro manažera KB a architekta KB musí být zajištěna zastupitelnost. To znamená, že musíte mít určenou osobu, která může tyto role převzít v případě nepřítomnosti.
❓ Můžeme změnit způsob obsazení rolí později?
Ano. Můžete začít s outsourcingem a později přejít na interní řešení (nebo naopak).
Důležité je: Role musí být vždy obsazené a osoby musí splňovat požadavky.
Závěr: Role nejsou strašák
Nový zákon skutečně vyžaduje bezpečnostní role. Ale nemusíte najímat armádu nových lidí.
- ✅ Jedna osoba může mít více rolí (kromě auditora)
- ✅ Role může vykonávat interní zaměstnanec i externí dodavatel
- ✅ Existují řešení pro každý rozpočet (od 50 tis. do 2 mil./rok)
- ✅ Nástroje jako Kraita výrazně snižují pracovní zátěž
- ✅ Audit stačí 1× za 2 roky, ne každý rok
Nejhorší varianta: Nemít role obsazené vůbec – a pak improvizovat při kontrole.
Dobrá varianta: Vybrat řešení odpovídající vaší situaci a začít.
Nejlepší varianta: Začít včas, vybrat chytré řešení (např. varianta 1 nebo 4) a využít nástroje pro automatizaci rutiny.
Nevíte, jak role obsadit? Kraita Cyber One vám pomůže zmapovat aktuální stav a najít optimální řešení pro vaši situaci.