NIS2 READY
Incident sa stal v noci. Ráno už o ňom vedeli všetci. E-maily nefungovali, interné systémy boli nedostupné a telefóny neprestávali zvoniť. V zasadačke napokon zaznela veta, ktorú počúvame až príliš často:
„Kto je za toto vlastne zodpovedný?“
Riziko pritom nebolo prekvapením. Bolo zapísané v registri, malo svoje hodnotenie, farbu aj číslo. Formálne existovalo. Chýbala mu však jedna zásadná vec – vlastník.
A keď riziko nemá vlastníka, v momente incidentu ho automaticky preberá chaos.
Prvé hodiny po incidente vyzerajú v mnohých organizáciách rovnako. IT rieši technickú stránku, ale nevie, čo má prioritu. Manažment čaká na informácie, ktoré ešte neexistujú. Právnici sa pýtajú, či a kedy treba incident nahlásiť. Nikto nekoná so zlým úmyslom. Problém je v tom, že nikto nemá mandát rozhodnúť.
Toto nie je technický problém, ale problém riadenia. Mnohé organizácie automaticky považujú IT za vlastníka kybernetických rizík. Lenže IT nevlastní biznisové procesy, nenesie reputačný dopad a nerozhoduje o tom, čo je pre organizáciu v kríze akceptovateľné. Vie riešiť incident, ale nevie rozhodnúť, čo má firma obetovať, ak je to potrebné.
Európska smernica NIS2 kladie dôraz na zodpovednosť vedenia, riadenie rizík a schopnosť rozhodovať počas incidentov. Aj keď to nepovie jednou vetou, jasne predpokladá, že každé významné riziko má konkrétneho vlastníka – človeka, ktorý má právo aj povinnosť konať. Nie počas auditu, ale v krízovej situácii.
Rozdiel medzi rizikom bez vlastníka a rizikom s vlastníkom je zásadný. Formulácia „riziko výpadku CRM systému“ hovorí málo. Naopak, veta „výpadok CRM systému môže zastaviť predaj, vlastníkom rizika je obchodný riaditeľ“ okamžite určuje dopad, zodpovednosť aj rozhodovaciu autoritu. IT zostáva kľúčovým partnerom, ale nenesie celú váhu rozhodovania samo o sebe.
Zlom nastáva v momente, keď sa zodpovednosť pomenuje. Organizácie, ktoré fungujú dobre, majú spoločnú jednu vec – každé významné riziko má pri sebe jedno konkrétne meno. Nie oddelenie, nie tím, ale človeka. To neznamená, že za všetko môže. Znamená to, že vie rozhodnúť, vie eskalovať a vie niesť zodpovednosť.
V rámci platformy Tazilla je vlastníctvo rizika jedným zo základných princípov práce s bezpečnosťou. Riziká sú naviazané na aktíva a základné služby, sú priradené konkrétnym vlastníkom z biznisu alebo manažmentu a sú prepájané s konkrétnymi opatreniami. Vďaka tomu incidenty nekončia debatou o tom, kto má rozhodnúť, ale otázkou, aký je ďalší krok.
Ponaučenie je jednoduché. Ak riziko nemá vlastníka, v deň incidentu si ho vezme ten najhorší možný manažér – chaos. A presne pred tým sa snaží NIS2 organizácie chrániť. Nie papiermi, ale zodpovednosťou.