Technika a trh

Když kyberútok zasáhne nejen firmu, ale přímo vás Osobní odpovědnost manažerů jako nová realita

technikaatrh.cz | 53
skyberútokem fakticky chráněn. Tato mezera se stává kri-
tickou právě teď, kdy nový ZoKB vytří jasnou odpovědnost
vedení za kybernetickou bezpečnost.
„Mnoho manerů se dívá hlav na to, jestli D&O kryje
pokuty,upozorňuje členka představenstva V praxi ale nejvíc
bolí klady naprávky aípadné regresní roky, které
mohou jít domilionů korun ještě před prvním rozsudkem.
Proto je klíčové nejen mít pojištění D&O, ale takladně
prověřit jeho rozsah a aktlnost. Smlouva uzavřená před
pěti lety byla psána pro jiné rizikové prostře a s největší
pravděpodobností nepočítala stím, že kybernetická bezpeč-
nost se stane předmětem osobní odpovědnosti vedení.

Je ležité si uvědomit, že žádpojištění vás neochrá,
pokud jste vědomě adlouhodobě ignorovali zákonné povin-
nosti nebo se dopustili hrubé nedbalosti. Toale neznamená,
že pojištění je jen pasivní záchransíť. Kvalitpojištění
kybernetických rizik a D&O totiž ještě jeden, méně
ejmý, ale oto ležitější efekt: je tosigl pro regulátory
isoudy, že rma bere řízení rizik vážně aprofesionálně.
„Kvalitpojištění není odpustek, ale vizitka toho, že rma
nehrála ruskou ruletu, vysvětluje Marieta Vodrážková
Melichárková. „Pro regulátory isoud je tokaz, že vedení
prošlo náročným auditem pojišťovny anastavilo přiměřená
opatření.“
Pojišťovny totiž před uzavřením smlouvy provádějí detailní
audit kybernetické bezpečnosti rmy a vyžadu splnění
určitých minimálních standardů. Samotná existence kva-
litního pojištění tak dokládá, že rma má zavedené procesy,
které nezávislý subjekt považuje za iměřené. V případě
sporu to může t zásadní argument pro obhajobu če
řádného hospoře.

Prvm krokem je prověření aktlho stavu. Zkontrolujte,
zda vaše stávající pojištění D&O neobsa huje výluky nak yber-
netické incidenty, aověřte, jestli parametry pojištění kyber-
netických rizik odpovídají reálvelikosti apovaze těchto
rizik ve vaší společnosti. Nestačí se jen podívat nasublimity
plnění, ležité jsou ikonkrétní výluky, limity pro specické
druhy škod či další podmínky pro vznik nároku napojist
plnění.
Drum krokem je propojení IT, risk managementu avedení
dofunkčního celku. Kybernetická bezpečnost už není jen
technická ležitost, kterou řeší IToddělení někde vsute-
rénu. Je to téma strategického řízení, které vyžaduje, aby
IT dodávalo fakta a varová, risk management pracoval
smožnými scénáři ajejich dopady, avedení pak ijímalo,
ataké dokumentovalo svá rozhodnutí. Všichni musí mluvit
stejným jazykem achápat, že bezpečnost není jednorázový
projekt, ale kontinuální proces.
etím, často podceňovam krokem je sledná doku-
mentace. Každé rozhodnutí o investici do zabezpení
(ale takaždé rozhodnutí ojejím odložení) musí t zdů-
vodněné a dohledatelné. V ípadě incidentu to že být
sadní rozdíl mezi prokázanou hrubou nedbalostí apečli-
vým zžením rizik vkontextu dostupných zdrojů apriorit
rmy. Dobře vedená dokumentace ukazuje, že vedení situ-
aci nebralo nalehkou váhu, ikdyž se možná rozhodlo jinak,
než byze zpětného pohledu bylo ideální.

„Naším lem je, aby se management nemusel rozhodovat
mezi investicí do bezpečnosti a vlastní osobní jistotou,
Marieta Vodrážková Melichárková. „Dobře nastavené D&O
apojištění kybernetických rizik mu umoždělat správná
rozhodnutí beze strachu, že jeden incident zničí nejen roky
práce, ale také osobní budoucnost odpovědné osoby.
Vtom tkpodstata moderního managementu rizik. Místo
pouhého vyhýbání se hrozbám se soustředíme na jejich
kvalikovanou správu, podloženou osobní odpovědností
apraktickými řešeními pro jejich zvládání.
Praktický checklist pro management
me aktlní bezpečnostní dokumentaci?
Proběhl vposledních 12 měsících audit kybernetické
bezpečnosti?
Kryje ne D&O pojištění kybernetické incidenty?
Odpovídá naše pojištění kybernetických rizik
skutečným rizikům rmy?
Projednává management pravidelně stav kybernetické
bezpečnosti?
me nastavený reakční plán naincident?
Jsou zdokumentována veškerá rozhodnutí oinvesticích
dobezpečnosti?
Pokud navětšinu těchto otázek neznáte odpověď, není pro-
blém vkyberneticbezpečnosti, ale v tom, že byste o ní
měli dět mnohem víc. Aprotože podle nového ZoKB už
tonení jen odpovědnost IT, ale vaše osobní odpovědnost,
čas na„nevím“ právě vypršel.

Technika a trh