Slogan Glitch Effect with Random Timing

Problematické postavení CISO v hierarchii organizace
2. díl

Publikováno: 01. 09. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 418x
🕒 4 min čtení

O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.

Role CISO se v souvislosti novými technologiemi průběžně vyvíjí, stejně jako role CIO (Chief Information Officer), CTO (Chief Technology Officer), CDO (Chief Data Officer), anebo třeba i pro někoho poměrně nová role CAIO (Chief Artificial Intelligence Officer). V některých organizacích tak můžeme zaznamenat rozšiřování kompetencí a někde zase naopak jejich zužování.

Jedno je jisté, byť si CISO již několik let upevňují své místo v představenstvu, tak se jejich role posouvá od čistě technického ke strategickému a obchodně orientovanému zaměření. CISO musí čím dál častěji prokazovat, jak bezpečnostní investice podporují obchodní cíle, což znamená nejen těsnější spolupráci s odděleními mimo IT, ale i nutnost strategického plánování zahrnující rozhodování o digitální transformaci, práci s daty a budování kybernetické odolnosti.

Ke změně kompetencí CISO nepochybně přispívají jak stávající, tak i připravované regulace jako je GDPR, NIS2, CRA či DORA, které kladou důraz na řízení rizik. A byť vůbec neříkají, jak přesně by měla být rizika hodnocena, je nasnadě, že kvalitativně to nadále být nemůže, protože tímto způsobem nelze vedení firmy jednoduše demonstrovat přínos konkrétních bezpečnostních opatření.

Spolu se změnou kompetencí se rovněž objevují názory, že je toho na chudáka CISO už moc a že bude docházet k fragmentaci jeho role. Např. na část zaměřenou na kybernetickou architekturu, obranu proti hrozbám a reakci na incidenty, a na část zabývající se kybernetickými riziky, dodržováním předpisů apod.

To může dávat smysl, jen do určité míry, protože pokud by tento trend v organizaci pokračoval, mohla by z bezpečnosti v organizaci vzniknout jakási „vícehlavá saň“, u které by pak bylo těžší určit, kdo ve výsledku nese konečnou odpovědnost, kdo komu má reportovat, kdo s kým má spolupracovat apod. Zajímavá je v tomto směru třeba následující studie od Delloite, která zchycuje, kdo komu v jednotlivých odvětvích reportuje.

Byť je nezávislost CISO na CIO best practice, celosvětový trend a vyplývá to i z logiky věci, tak tento požadavek není nikde formálně ukotven. NIS ani NIS2 pojem CISO nezná a pracuje výhradně s rolemi manažer, architekt a auditor, kybernetické bezpečnosti.

Odpověď na to, kde by měl být útvar bezpečnosti organizačně začleněn, v legislativě nenajdeme. Příloha č. 6 obsahuje popis doporučených požadavků pro výbor pro řízení kybernetické bezpečnosti a bezpečnostní role uvedené v § 6 a 7. V § 7 se píše, že:

Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce

To lze interpretovat i tak, že k nim jen přihlédne, ale nemusí se jimi vůbec řídit. Ostatně jsou to jen doporučení. O nějaké nezávislosti útvaru bezpečnosti se ve VoKB nikde nehovoří. A ani ve směrnici NIS2 tomu není jinak.

V takovém případě by pak požadavek na nezávislost stačilo naplnit výhradně jen u těchto 3 rolí. V reálu pak jen u manažera kybernetické bezpečnosti, kde je v příloze č. 6, Tab. 2 v Dalších podmínkách, konkrétně pak v bodě b) uvedeno:

Pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet.

Z tohoto bodu by požadavek na onu nezávislost mohl nejspíš vyplývat. Problém je, že v organizacích, na které zákon dopadá a bude dopadat, zpravidla nepracují jen 3 lidé, nýbrž mnohem větší počet lidí, např. v SOC, CSIRT nebo jako bezpečnostní analytici, architekti apod.

Vzniká zde tak ne zcela neopodstatněná obava, aby nevznikaly role manažerů kybernetické bezpečnosti, které budou tento požadavek naplňovat jen formálně, ale reálně nebudou mít bezpečnost zcela pod kontrolou, protože většina lidí, kteří budou bezpečnostní role a funkce zastávat, budou pod CISO a ten bude nadále formálně podřízen CIO.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Problematické postavení CISO v hierarchii organizace – 2. díl. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/problematicke-postaveni-ciso-v-hierarchii-organizace-2-dil/. [cit. 2026-01-25].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Problematické postavení CISO v hierarchii organizace
  2. Security culture aneb jaký je postoj vaší organizace k bezpečnosti?
  3. Čtvrtstoletí bezpečnostních paradoxů aneb Jak různé organizace bojují s digitálními hrozbami
  4. Víte, jaký je největší přínos vyhlášky o kybernetické bezpečnosti?
  5. Stručné shrnutí zákona o kybernetické bezpečnosti

K článku se zde nenachází žádný komentář – buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Text vaší reakce:

 

Tento web používá Akismet k omezení spamu. Podívejte se, jak data z komentářů zpracováváme.

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil