NIS 2: Nová výzva pro projektové manažery

Směrnice NIS 2 představuje nový standard kybernetické bezpečnosti v Evropské unii, který se týká nejen IT oddělení, ale i samotného řízení projektů. Projektoví manažeři začínají čelit nutnosti integrovat požadavky NIS 2 do plánování, realizace i kontroly projektů. Z tohoto důvodu jsme připravili odborný workshop pro Komoru projektových manažerů, na kterém jsme představili hlavní výzvy vyplývající ze směrnice NIS 2 v kontextu projektového řízení a jak na ně efektivně reagovat.

Ve středu 14. května se v prostorách Asseco CE Cloud v Praze setkali členové Komory projektových manažerů a společně se ponořili do tématu, které dnes silně rezonuje napříč různými odvětvími – kybernetické bezpečnosti a směrnice NIS 2.

Pod názvem „NIS 2 – Co to znamená pro projektové manažery“ proběhl workshop, který vedli Peter Brťka, CTO Asseco CE Cloud, zkušený odborník na kybernetickou bezpečnost, a Helena Ulrychová ze společnosti Digitální a informační agentura. Společně otevřeli dveře do reality, kde kyberbezpečnost přestává být tématem výhradně pro IT oddělení.

Projektový manažer jako článek v bezpečnostním řetězci

Z workshopu jasně vyplývá, že role projektového manažera se musí přizpůsobit směrnici NIS 2. Projektový manažer musí mít kromě své běžné agendy přehled i o bezpečnostních aspektech projektu.

Základním doporučením je spolupracovat s odborníkem na kybernetickou bezpečnost. Bez člověka se specifickým know-how v oblasti kybernetické bezpečnosti dnes žádný větší projekt nepřežije. Tato spolupráce by však neměla být formální – projektový manažer by měl rozumět rizikům a tomu, co konkrétně znamenají bezpečnostní opatření pro projektový tým.

Diskutovali jsme také o odpovědnosti. Je důležité mít jasno v tom, kde začíná a kde končí role projektového manažera. Pokud má na starosti realizaci bezpečnostních opatření, nese za ně i osobní odpovědnost. A to už není jen interní záležitost – směrnice NIS 2 přináší reálné dopady.

Kybernetická bezpečnost jako součást odpovědného projektového řízení

Bylo zdůrazněno, že kybernetická bezpečnost se netýká pouze technické vrstvy. Projektový manažer musí mít přehled o celém dodavatelském řetězci. Smlouvy s partnery a dodavateli by měly obsahovat ustanovení týkající se kybernetické bezpečnosti, která musí být jasně komunikována.

Stejně důležité je být připraven na změny. Bezpečnostní požadavky se mohou během projektu vyvíjet a je nutné na to reagovat prostřednictvím řízení změn. Projektová dokumentace by měla obsahovat také sekci věnovanou řízení kybernetických rizik – nikoliv jako formalitu, ale jako živý nástroj řízení.

Kde končí role projektového manažera a začíná role manažera informační bezpečnosti?

Mimořádný zájem vyvolala diskuse o hranicích mezi vedením organizace, projektovým manažerem a bezpečnostním specialistou. Kdo za co zodpovídá? A kde se tyto role překrývají?

Projektový manažer by měl mít základní orientaci v požadavcích NIS 2, umět je převést do projektového života a aktivně spolupracovat s bezpečnostním specialistou. Ani jedna z těchto rolí nemůže fungovat izolovaně – pouze spojení odborných znalostí, zkušeností a kvalitního projektového řízení vede k výsledku, který obstojí v náročných požadavcích nových regulací.

Workshop obohatil i zástupce Národního úřadu pro kybernetickou a informační bezpečnost, Radek Řičánek, který s námi sdílel konkrétní postřehy z reálných případů a dohledu nad implementací kyberbezpečnostních opatření. Vždy má velkou hodnotu, když se teoretické poznatky propojují s odbornou praxí.