To, jak ENISA definuje roli cybersecurity risk manažera ve svém ECSF, nám moc nepomáhá

European Cybersecurity Skills Framework, zkr. ECSF od ENISA působí na první pohled jako sympatický pokus dát do pořádku chaos v pojmech a rolích v kybernetické bezpečnosti.

Uvádí dvanáct základních rolí s jasnými popisy odpovědností, což zní velice rozumně. Jenže když se podíváme trochu blíže, přichází spíše zklamání. V sekci 2.10 totiž najdeme roli Cybersecurity Risk Manager.

Cybersecurity Risk Manager

Rámec sice popisuje, že je tato role odpovědná za identifikaci hrozeb, hodnocení rizik, zavádění opatření a sledování jejich účinnosti, problém je však v tom, jak jsou tyto činnosti vymezeny. ECSF totiž klade hlavní důraz na procesní a administrativní stránku věci, zatímco opomíjí hlubší analytické kompetence, které jsou pro skutečné řízení rizik nezbytné.

Rámec se tváří, že řízení rizik spočívá primárně v umění definovat, kategorizovat, aplikovat opatření a reportovat. To jsou jistě důležité činnosti, ale bez robustního analytického základu se snadno degradují na pouhou byrokracii. Skutečné řízení rizik vyžaduje více než jen facilitaci workshopů, kde se na flipchart nalepí pár post-it lístečků a kde se dospěje ke konsensu ohledně toho, jestli je dopad „vysoký“ a hrozba „střední“. Tato „pocitová“ metoda, byť běžná, je vědecky neobhajitelná a její výsledky jsou často zavádějící.

Právě schopnost takovéto přístupy překročit a pracovat s rizikem exaktněji, tj. chápat koncepty pravděpodobnosti, nejistoty a umět odhadovat dopady na podnikání však ECSF v popisu role výslovně neuvádí. Jeho kompetenční profil tak neodpovídá realitě rozhodování, ke kterému má být risk manažer v organizaci povolán.

Nedostatečné kompetence a důsledky pro praxi

Výsledkem tohoto přístupu je, že evropský standard de facto schvaluje stav, kdy se titulem „Cybersecurity Risk Manager“ může ohánět kdokoli, kdo ovládá procesní stránku věci, ale postrádá hloubkovou analytickou průpravu. Takový manažer sice může vytvořit krásně barevnou risk matici, ale často nebude schopen kriticky posoudit její věrohodnost, pochopit její inherentní limity nebo vysvětlit, proč její výsledky mohou být matematický nesmysl.

Přitom existují mezinárodně uznávané standardy, které jasně rozlišují mezi kvalitativními a kvantitativními metodami analýzy rizik a zdůrazňují, že volba metody má zásadní vliv na spolehlivost výsledku. ECSF tuto zásadní distinkci a potřebu po robustnějších metodikách ve svém profilu role jaksi nereflektuje.

Závěr

Pokud má mít ECSF skutečně pozitivní dopad a vést k vyšší odolnosti evropských organizací, musí své kompetenční požadavky přehodnotit. Měl by explicitně požadovat, aby Cybersecurity Risk Manager disponoval nejen procesními, ale i solidními analytickými dovednostmi. To znamená přímo do kompetencí této role zahrnout znalost základů statistiky a teorie pravděpodobnosti. Bez této schopnosti kriticky pracovat s daty, chápat nejistotu a kvantifikovat riziko nelze činit kvalifikovaná rozhodnutí o investicích do bezpečnosti. Dokud k tomu nedojde, zůstane ECSF jen dalším katalogem, který sice dává pocit pořádku, ale reálně nás neposouvá k lepšímu a efektivnějšímu řízení rizik. Místo aby vychovával skutečné strážce odolnosti, bude dál produkovat manažery, kteří budou rizika řídit povrchně, protože po nich prostě evropský standard nevyžaduje nic víc.

LITERATURA

ENISA. European Cybersecurity Skills Framework – Role Profiles. Online. Athens: European Union Agency for Cybersecurity (ENISA), 2022. Dostupné z: https://www.enisa.europa.eu/publications/european-cybersecurity-skills-framework-role-profiles. [cit. 2025-10-24].

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!