NIS 2: Nová výzva pre projektových manažérov

Smernica NIS 2 predstavuje nový štandard kybernetickej bezpečnosti v Európskej únii, ktorý sa dotýka nielen IT oddelení, ale aj samotného riadenia projektov. Projektoví manažéri začínajú čeliť potrebe integrovať požiadavky NIS 2 do plánovania, realizácie aj kontroly projektov. Z tohto dôvodu sme pripravili odborný workshop pre Komoru projektových manažerů, na ktorom sme predstavili hlavné výzvy vyplývajúce zo smernice NIS 2 v kontexte projektového riadenia a ako na ne efektívne reagovať.

V stredu 14. mája sa stretli v priestoroch Asseco CE Cloud v Prahe s členmi Komory projektových manažerů a spoločne sme sa ponorili do témy, ktorá dnes silno rezonuje naprieč rôznymi odvetviami – kybernetická bezpečnosť a smernica NIS 2.

Pod názvom „NIS 2 – Čo to znamená pre projektových manažérov“ sa zrealizoval workshop, ktorý viedli Peter Brťka, CTO Asseco CE Cloud, skúsený odborník na kybernetickú bezpečnosť  a Helena Ulrychová zo spoločnosti Digitální a informační agentura. Spoločne otvorili dvere do reality, kde kyberbezpečnosť prestáva byť témou výhradne pre IT oddelenia.

Projektový manažér ako článok v bezpečnostnom reťazci

Z workshopu jasne vyplýva, že úloha projektového manažéra sa musí prispôsobiť smernici NIS 2. Projektový manažér musí mať, popri svojej bežnej agende, prehľad aj o bezpečnostných aspektoch projektu.

Základným odporúčaním je spolupracovať s odborníkom na kybernetickú bezpečnosť. Bez človeka so špecifickým know-how v oblasti kybernetickej bezpečnosti, sa dnes žiadny väčší projekt nezaobíde. Táto spolupráca by však nemala byť formálna – projektový manažér by mal chápať, aké riziká hrozia a čo konkrétne znamenajú bezpečnostné opatrenia pre projektový tím.

Diskutovali sme aj o zodpovednosti. Je dôležité mať jasno v tom, kde začína a kde končí úloha projektového manažéra. Ak má na starosti realizáciu bezpečnostných opatrení, nesie za ne aj osobnú zodpovednosť. A to už nie je len interná záležitosť – smernica NIS 2 prináša reálne dopady.

Kybernetická bezpečnosť ako súčasť zodpovedného projektového riadenia

Zaznelo aj skutočnosť, že kybernetická bezpečnosť sa netýka len technickej vrstvy. Projektový manažér musí mať prehľad o celom dodávateľskom reťazci. Zmluvy s partnermi a dodávateľmi by mali obsahovať ustanovenia týkajúce sa kybernetickej bezpečnosti, a tieto požiadavky musia byť jasne komunikované.

Rovnako dôležité je byť pripravený na zmeny. Bezpečnostné požiadavky sa môžu počas projektu vyvíjať a je potrebné na to reagovať prostredníctvom riadenia zmien. Projektová dokumentácia by mala obsahovať aj sekciu venovanú riadeniu kybernetických rizík – nie ako formalitu, ale ako živý nástroj riadenia.

Kde končí úloha projektového manažéra a začína rola manažéra informačnej bezpečnosti?

Mimoriadny záujem vzbudila diskusia o hraniciach medzi vedením organizácie, projektovým manažérom a bezpečnostným odborníkom. Kto za čo zodpovedá? A kde sa tieto role prelínajú?

Projektový manažér by mal mať základnú orientáciu v požiadavkách NIS 2, vedieť ich pretaviť do projektového života a aktívne spolupracovať s bezpečnostným špecialistom. Ani jedna z týchto rolí nemôže fungovať v izolácii – Iba spojenie odborných znalostí, skúseností a kvalitného projektového riadenia vedie k výsledku, ktorý zvládne nároky nových regulácií.

Workshop obohatil aj zástupca z Národného úradu pre kybernetickú a informačnú bezpečnosť, Radek Řičánek, ktorý sa s nami podelil o konkrétne postrehy z reálnych prípadov a dohľadu nad implementáciou kyberbezpečnostných opatrení. Vždy má veľkú hodnotu, keď sa teoretické poznatky prepájajú s odbornou praxou.