Martin Hořický
Partner • Digital Services
CISOaaS - CISO as a Service
Strategické řízení kybernetické bezpečnosti
Rostoucí regulatorní požadavky (např. DORA, NIS2) a komplexnost IT prostředí nutí finanční instituce přemýšlet o nových modelech řízení kybernetické bezpečnosti. Služba CISO as a Service umožňuje získat zkušeného bezpečnostního lídra bez nutnosti jeho plného interního zaměstnání.
Externí CISO (Chief Information Security Officer) se stává klíčovou součástí řízení rizik – zajišťuje soulad s předpisy, vede bezpečnostní strategii, školí zaměstnance a reprezentuje instituci vůči dozorovým orgánům.
Co je CISO as a Service a proč nestačí běžné IT řízení?
Na rozdíl od tradičního IT managera nebo bezpečnostního technika:
- Externí CISO přináší strategickou úroveň řízení bezpečnosti – od politik, přes rizika až po reakce na incidenty
- Zajišťuje soulad s regulacemi (DORA, NIS2, GDPR) a komunikuje s regulátory (např. ČNB, ECB)
- Má zkušenosti s tvorbou ISMS dle ISO/IEC 27001, řízením dodavatelských rizik, školením, testováním a krizovým plánováním
- Funguje nezávisle a objektivně, často s širší perspektivou napříč klienty i sektory
- Poskytuje odborné vedení bez nákladů na zaměstnance na plný úvazek
Jaké požadavky DORA a NIS2 kladou na řízení bezpečnosti?
01
Instituce musí mít jasně stanovené role a odpovědnosti v oblasti ICT bezpečnosti.
02
Je vyžadována kontinuální analýza a řízení rizik, včetně testování odolnosti a reakčních plánů.
03
Organizace musí zajistit školení, dohled a reporting bezpečnostních incidentů.
04
Je nutné zajištění funkčního governance, včetně zapojení top managementu a dozorových orgánů.
Přínosy služby CISO as a Service pro organizaci:
Regulatorní soulad
- plnění požadavků DORA, NIS2, GDPR, ISO/IEC 27001
- příprava na kontroly ČNB, ECB, ÚOOÚ
- eliminace sankcí a reputačních dopadů
Strategické řízení rizik
- nastavení governance a bezpečnostní strategie
- řízení dodavatelských rizik
- vytváření a revize politik a kontrolních rámců
Efektivita a náklady
- získání expertízy bez potřeby full-time interního CISO
- flexibilní rozsah dle potřeb organizace
- úspora nákladů na školení a nábor
Nezávislost a odbornost
- externí pohled bez střetu zájmů
- certifikace CISSP, CCISO, CISM atd.
- zkušenosti napříč sektory a bezpečnostními rámci
Incident management
- tvorba a vedení krizových scénářů
- rychlé a kvalifikované reakce na bezpečnostní incidenty
- zvyšování provozní odolnosti
Vzdělávání a osvěta
- školení zaměstnanců a vedení
- budování bezpečnostní kultury
- zvyšování povědomí o hrozbách a rolích uživatelů
Jak spolupráce probíhá v praxi?
Úvodní assessment
zhodnocení stavu řízení bezpečnosti, shody s předpisy a potřeb organizace.
Strategie a plán
vytvoření bezpečnostní strategie, roadmapy a governance modelu.
Zavádění opatření
návrh a implementace politik, kontrol, metrik, školení, testování.
Reporting a komunikace
vedení reportingu pro vedení, audit i regulatory.
Incident response & krizové řízení
definice plánů, reakčních scénářů, simulací a cvičení.
Kontinuální dohled
průběžné vedení bezpečnosti, revize rizik, sledování trendů a auditní připravenost.
Proč spolupracovat s BDO?
- Regulatorní orientace
- Rozumíme DORA, NIS2, ISO/IEC 27001, GDPR i požadavkům národních i evropských dozorových orgánů.
- Objektivita a důvěryhodnost
- Neprodáváme vlastní produkty ani dodavatelská partnerství – nabízíme nezávislé, objektivní a důvěryhodné řízení bezpečnosti.
- Flexibilní rozsah
- Služba je škálovatelná – může jít o konzultace, mentoring interního týmu, nebo plné převzetí role CISO na měsíční/multi-year bázi.
- Certifikovaný tým s expertní praxí
- Naši specialisté vlastní certifikace CCISO, CISSP, OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA a další. Mají zkušenosti z prostředí velkých bank, pojišťoven i ICT poskytovatelů.
