Když kyberútok zasáhne nejen firmu, ale přímo vás Osobní odpovědnost manažerů jako nová realita
technikaatrh.cz | 53
skyberútokem fakticky chráněn. Tato mezera se stává kri-
tickou právě teď, kdy nový ZoKB vytváří jasnou odpovědnost
vedení za kybernetickou bezpečnost.
„Mnoho manažerů se dívá hlavně na to, jestli D&O kryje
pokuty,“ upozorňuje členka představenstva „V praxi ale nejvíc
bolí náklady naprávníky apřípadné regresní nároky, které
mohou jít domilionů korun ještě před prvním rozsudkem.“
Proto je klíčové nejen mít pojištění D&O, ale také důkladně
prověřit jeho rozsah a aktuálnost. Smlouva uzavřená před
pěti lety byla psána pro jiné rizikové prostředí a s největší
pravděpodobností nepočítala stím, že kybernetická bezpeč-
nost se stane předmětem osobní odpovědnosti vedení.
Je důležité si uvědomit, že žádné pojištění vás neochrání,
pokud jste vědomě adlouhodobě ignorovali zákonné povin-
nosti nebo se dopustili hrubé nedbalosti. Toale neznamená,
že pojištění je jen pasivní záchranná síť. Kvalitní pojištění
kybernetických rizik a D&O má totiž ještě jeden, méně
zřejmý, ale oto důležitější efekt: je tosignál pro regulátory
isoudy, že rma bere řízení rizik vážně aprofesionálně.
„Kvalitní pojištění není odpustek, ale vizitka toho, že rma
nehrála ruskou ruletu,“ vysvětluje Marieta Vodrážková
Melichárková. „Pro regulátory isoud je todůkaz, že vedení
prošlo náročným auditem pojišťovny anastavilo přiměřená
opatření.“
Pojišťovny totiž před uzavřením smlouvy provádějí detailní
audit kybernetické bezpečnosti rmy a vyžadují splnění
určitých minimálních standardů. Samotná existence kva-
litního pojištění tak dokládá, že rma má zavedené procesy,
které nezávislý subjekt považuje za přiměřené. V případě
sporu to může být zásadní argument pro obhajobu péče
řádného hospodáře.
Prvním krokem je prověření aktuálního stavu. Zkontrolujte,
zda vaše stávající pojištění D&O neobsa huje výluky nak yber-
netické incidenty, aověřte, jestli parametry pojištění kyber-
netických rizik odpovídají reálné velikosti apovaze těchto
rizik ve vaší společnosti. Nestačí se jen podívat nasublimity
plnění, důležité jsou ikonkrétní výluky, limity pro specické
druhy škod či další podmínky pro vznik nároku napojistné
plnění.
Druhým krokem je propojení IT, risk managementu avedení
dofunkčního celku. Kybernetická bezpečnost už není jen
technická záležitost, kterou řeší IToddělení někde vsute-
rénu. Je to téma strategického řízení, které vyžaduje, aby
IT dodávalo fakta a varování, risk management pracoval
smožnými scénáři ajejich dopady, avedení pak přijímalo,
ataké dokumentovalo svá rozhodnutí. Všichni musí mluvit
stejným jazykem achápat, že bezpečnost není jednorázový
projekt, ale kontinuální proces.
Třetím, často podceňovaným krokem je důsledná doku-
mentace. Každé rozhodnutí o investici do zabezpečení
(ale také každé rozhodnutí ojejím odložení) musí být zdů-
vodněné a dohledatelné. V případě incidentu to může být
zásadní rozdíl mezi prokázanou hrubou nedbalostí apečli-
vým zvážením rizik vkontextu dostupných zdrojů apriorit
rmy. Dobře vedená dokumentace ukazuje, že vedení situ-
aci nebralo nalehkou váhu, ikdyž se možná rozhodlo jinak,
než byze zpětného pohledu bylo ideální.
„Naším cílem je, aby se management nemusel rozhodovat
mezi investicí do bezpečnosti a vlastní osobní jistotou,“
Marieta Vodrážková Melichárková. „Dobře nastavené D&O
apojištění kybernetických rizik mu umožní dělat správná
rozhodnutí beze strachu, že jeden incident zničí nejen roky
práce, ale také osobní budoucnost odpovědné osoby.“
Vtom tkví podstata moderního managementu rizik. Místo
pouhého vyhýbání se hrozbám se soustředíme na jejich
kvalikovanou správu, podloženou osobní odpovědností
apraktickými řešeními pro jejich zvládání.
Praktický checklist pro management
• Máme aktuální bezpečnostní dokumentaci?
• Proběhl vposledních 12 měsících audit kybernetické
bezpečnosti?
• Kryje naše D&O pojištění kybernetické incidenty?
• Odpovídá naše pojištění kybernetických rizik
skutečným rizikům rmy?
• Projednává management pravidelně stav kybernetické
bezpečnosti?
• Máme nastavený reakční plán naincident?
• Jsou zdokumentována veškerá rozhodnutí oinvesticích
dobezpečnosti?
Pokud navětšinu těchto otázek neznáte odpověď, není pro-
blém vkybernetické bezpečnosti, ale v tom, že byste o ní
měli vědět mnohem víc. Aprotože podle nového ZoKB už
tonení jen odpovědnost IT, ale vaše osobní odpovědnost,
čas na„nevím“ právě vypršel.