Obsah

• Proč zákon zavádí roli architekta kybernetické bezpečnosti
• Co je bezpečnostní architektura a proč na ni zákon klade důraz
• Odpovědnost architekta: co konkrétně má na startosti
• Každodenní náplň práce architekta KB: jak to vypadá v praxi
• Proč firmy potřebují architekta KB: reálné přínosy
• Jak se architekt liší od manažera a auditora kybernetické bezpečnosti
• Jaké zkušenosti a kompetence by měl mít architekt KB
• Co se stane, když firma architekta KB nemá: legislativní důsledky a rizika
• Kdy je správná chvíle pořídit si architekta kybernetické bezpečnosti?
• Interní vs. externí architekt: co se vyplatí vaší firmě
• Praktické doporučení pro výběr

Proč zákon zavádí roli architekta kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti přináší podstatně přísnější požadavky než jeho starší verze. Legislativa reaguje na realitu, kde kybernetické útoky nejsou otázkou "jestli", ale "kdy". Firmy, které spadají působnost zákona, zejména poskytovatelé kritických a digitálních služeb, musí prokazatelně řídit svou kybernetickou bezpečnost systematicky a odborně.

Právě zde přichází na scénu architekt kybernetické bezpečnosti. Zatímco dřív mohly firmy kybernetickou bezpečnost řešit ad-hoc nebo ji přidělit jako vedlejší úkol IT, nový zákon vyžaduje, aby za návrh a koordinaci bezpečnostní architektury zodpovídala konkrétní osoba s prokázanými kompetencemi.

Co je bezpečnostní architektura a proč na ni zákon klade důraz

Představte si bezpečnostní architekturu jako plán moderního domu. Nejde jen o to mít zamčené dveře (firewall) nebo alarm (antivirus). Jde o to, aby celý dům byl navržený tak, že potenciální zloděj nemá šanci, a pokud přece jen pronikne dovnitř, aby jeho pohyb byl okamžitě detekován a nemohl se dostat k cennostem.

Bezpečnostní architektura v kontextu kybernetické bezpečnosti znamená:

• Komplexní návrh obrany: Jak jsou navrženy jednotlivé vrstvy zabezpečení od síťové úrovně přes aplikace až po data. Jak spolu tyto vrstvy komunikují a jak se vzájemně doplňují.
• Segmentace a izolace: Jak je vaše IT prostředí rozděleno na jednotlivé segmenty, aby případný průnik útočníka do jedné části neznamená automaticky kompromitaci celé infrastruktury.
• Identity a přístupová práva: Kdo má přístup ke kterým systémům a datům, jak se tato práva spravují, jak se uživatelé autentizují a autorizují.
• Ochrana dat v pohybu i v klidu: Jak jsou chráněna citlivá data během jejich celého životního cyklu při ukládání, zpracování i přenosu.
• Monitoring a detekce: Jak firma poznává, že se děje něco podezřelého, jaké má nastavené mechanismy pro včasné varování.
• Reakce na incidenty: Jak firma reaguje, když dojde k bezpečnostnímu incidentu - kdo co dělá, v jakém pořadí, jak se minimalizují škody.

Architekt kybernetické bezpečnosti je osoba, která má na starosti to, aby všechny tyto prvky dohromady dávaly smysl a tvořily efektivní celek. Není to jen teoretik, jeho návrhy musí být implementovatelné a musí odpovídat reálným rizikům, kterým vaše firma čelí.

Odpovědnost architekta: co konkrétně má na startosti

Podle zákona má architekt kybernetické bezpečnosti jasně definovanou odpovědnost. Není to jen poradce nebo konzultant, který přijde, napíše dokument a odejde. Architekt nese průběžnou odpovědnost za:

Návrh a rozvoj bezpečnostní architektury

Architekt vytváří a neustále rozvíjí bezpečnostní architekturu informačních a komunikačních systémů organizace. To znamená, že musí rozumět tomu, jaké systémy firma používá, jak spolu komunikují, kde se zpracovávají citlivá data, a kde jsou kritická místa z pohledu bezpečnosti.

Když například vaše firma přechází na cloudové řešení – řekněme, že migrujete část aplikací do AWS nebo Azure – architekt musí navrhnout, jak bude zajištěna cloud bezpečnost. To zahrnuje správu identit v cloudu, šifrování dat, správnou konfiguraci cloudových služeb, monitoring cloudového prostředí a zajištění zabezpečení přístupu do cloudu.

Koordinace implementace bezpečnostních opatření

Architekt nejen navrhuje, ale také koordinuje, jak se jeho návrhy uvedou do praxe. Spolupracuje s IT týmy, vývojáři, systémovými administrátory a dodavateli. Musí umět technické věci vysvětlit srozumitelně a zajistit, aby implementace odpovídala původnímu záměru.

Pokud například architekt navrhne, že nová firemní aplikace musí mít implementovanou multi-faktorovou autentizaci a musí bezpečně ukládat osobní údaje zákazníků, musí s vývojovým týmem probrat, jak to technicky udělat. Zde přichází ke slovu jeho zkušenosti s vývojem software – architekt, který sám v minulosti vyvíjel aplikace nebo má hands-on zkušenosti s návrhem software, dokáže vývojářům nejen říct "co", ale i "jak" a "proč". Rozumí tomu, co je v praxi realizovatelné, co je nákladné, a kde lze najít bezpečnostní řešení, které výrazně nezkomplikuje uživatelské prostředí.

Posuzování bezpečnostních rizik z architektonického pohledu

Když firma plánuje zavést nový systém, změnit infrastrukturu nebo začít poskytovat novou službu, architekt posuzuje bezpečnostní dopady. Jaká nová rizika to přinese? Jak lze tato rizika minimalizovat už v návrhu?

Prakticky to vypadá třeba tak, že před spuštěním nové webové aplikace architekt zajistí penetrační testování– tedy simulovaný útok, který odhalí slabá místa dříve, než je najdou skuteční útočníci. Architekt definuje, co testovat, jaké scénáře útoků jsou relevantní, a následně vyhodnocuje výsledky testů a navrhuje, jak zjištěné zranitelnosti odstranit.

Dohled nad bezpečností aplikací

Aplikační bezpečnost je jednou z nejvíce zanedbávaných oblastí v mnoha firmách, přitom právě aplikace jsou častým vstupním bodem pro útočníky. Architekt kybernetické bezpečnosti má na starosti, aby aplikace – ať už vyvíjené interně nebo nakupované od dodavatelů – byly bezpečné. To zahrnuje:

• Definování bezpečnostních standardů pro vývoj aplikací (secure coding practices).
• Zajištění, aby aplikace byly pravidelně testovány na zranitelnosti.
• Kontrolu, že aplikace správně implementují autentizaci, autorizaci, validaci vstupů.
• Dohled nad bezpečnou konfigurací aplikačních serverů a databází.
• Řízení bezpečnosti API, pokud vaše aplikace komunikují s externími systémy.

Udržování aktuálnosti bezpečnostní architektury

Kybernetické hrozby se vyvíjí rychle. To, co bylo bezpečné včera, nemusí být dostatečné dnes. Architekt musí sledovat nové typy útoků, nové zranitelnosti, nové bezpečnostní technologie a trendy v oboru. Musí zajistit, aby se bezpečnostní architektura firmy přizpůsobovala měnícímu se prostředí.

Dokumentace a reporting

Architekt musí udržovat aktuální dokumentaci bezpečnostní architektury a pravidelně reportovat vedení o stavu kybernetické bezpečnosti z architektonického pohledu. Tato dokumentace je klíčová nejen pro vnitřní potřeby firmy, ale také při zákonných auditech.

Každodenní náplň práce architekta KB: jak to vypadá v praxi

Možná si říkáte: to všechno zní docela abstraktně. Jak takový architekt tráví svůj pracovní den? Realita je pestrá a každý den přináší jiné výzvy. Typický týden architekta kybernetické bezpečnosti ve střední a větší firmě může vypadat takhle:

Pondělí: Architekt se účastní schůzky projektového týmu, který připravuje nový e-shop. Probírá se plánovaná architektura – kde poběží aplikace, jak bude zpracovávat platby, kde se budou ukládat osobní údaje zákazníků. Architekt upozorňuje na nutnost silné autentizace pro administrativní rozhraní, na potřebu šifrování platebních dat a na správnou konfiguraci cloudu, ve kterém bude e-shop provozován. Zároveň přišly výsledky z pravidelného penetračního testování firemního intranetu. Architekt si prohlíží report, identifikuje nálezy a prioritizuje je podle závažnosti a reálného dopadu na firmu. Píše technické zadání pro IT tým, jak jednotlivé zranitelnosti opravit, a domlouvá deadline pro implementaci záplat.

Úterý: Architekt pracuje na aktualizaci dokumentace bezpečnostní architektury. Firma nedávno zavedla nové cloudové úložiště pro sdílení dokumentů mezi pobočkami. Architekt popisuje, jak je úložiště zabezpečeno, jaká jsou přístupová práva, jak se data šifrují, způsob logování a monitoringu, a kdo k datům přistupuje.

Středa: Schůzka s vývojovým týmem. Probírají, jak implementovat bezpečné přihlašování do nové mobilní aplikace. Architekt vysvětluje vývojářům principy OAuth 2.0 a doporučuje konkrétní knihovny, které jsou prověřené a bezpečné. Díky tomu, že má hands-on zkušenosti s vývojem, dokáže vývojářům ukázat i konkrétní ukázky kódu a vysvětlit, jak správně ošetřit časté bezpečnostní chyby.

Čtvrtek: Architekt se účastní schůzky s vedením. Prezentuje návrh na zavedení nového systému pro detekci a odpověď na bezpečnostní incidenty (SIEM). Vysvětluje netechnicky, proč je důležité mít centralizovaný monitoring, co to firmě přinese v případě útoku, a jaké jsou náklady vs. přínosy. Připravil srozumitelné materiály, kde rizika a řešení vysvětluje na konkrétních scénářích relevantních pro firmu.

Pátek: Review architektury u dodavatele. Firma plánuje outsourcovat část IT služeb k externímu dodavateli. Architekt vyhodnocuje, zda má dodavatel dostatečně bezpečné prostředí, jak bude zajištěno zabezpečení dat, která budou u dodavatele zpracovávána, a jaké SLA (Service Level Agreement) týkající se bezpečnosti by měly být součástí smlouvy.

Jak vidíte, práce architekta kybernetické bezpečnosti je kombinací strategického myšlení, technické expertizy, komunikace s různými stakeholdery a praktického řešení konkrétních bezpečnostních výzev.

Proč firmy potřebují architekta KB: reálné přínosy

Možná si říkáte: naši IT administrátoři jsou šikovní, máme antivirový software, firewall a pravidelně zálohujeme. Proč bychom potřebovali ještě někoho navíc?

Důvodů je několik a každý z nich může ušetřit vaší firmě nejen peníze, ale i reputaci:

Prevence nákladných bezpečnostních incidentů

Průměrné náklady na řešení závažného kybernetického útoku pro střední firmu se pohybují v řádu statisíců až milionů korun. To zahrnuje nejen přímé náklady na obnovu systémů, ale i ztráty z přerušení provozu, případné pokuty od regulátorů, náklady na právní služby a ztrátu zákazníků.

Architekt kybernetické bezpečnosti pomáhá těmto incidentům předcházet tím, že navrhuje obranu do hloubky – tedy systém, kde selhání jednoho prvku neznamená automaticky úspěch útočníka.

Efektivní využití investic do bezpečnosti

Mnoho firem utrácí za bezpečnostní nástroje peníze neefektivně – kupují řešení, která se překrývají, nebo naopak mají mezery v pokrytí. Architekt zajišťuje, že investice do bezpečnostních technologií jsou cílené, vzájemně se doplňují a tvoří funkční celek.

Soulad s legislativou a regulačními požadavky

Kromě zákona o kybernetické bezpečnosti může vaše firma podléhat i dalším regulacím – GDPR, PCI DSS, oborové standardy. Architekt zajišťuje, že bezpečnostní opatření pokrývají všechny relevantní požadavky a že firma má potřebnou dokumentaci pro audity.

Umožnění bezpečné digitalizace a inovací

Pokud chcete jako firma růst, digitalizovat procesy, zavádět nové technologie nebo expandovat do cloudu, potřebujete mít jistotu, že to děláte bezpečně. Architekt vám umožňuje inovovat bez strachu, protože bezpečnost se řeší od začátku, není přidána jako dodatečná záplata.

Důvěra zákazníků a obchodních partnerů

Ve světě, kde se o únicích dat píše téměř denně, je bezpečnost konkurenční výhodou. Zákazníci a partneři stále více vyžadují důkaz, že s jejich daty zacházíte odpovědně. Mít kvalitně navržené zabezpečení a být schopní to prokázat je marketingový plus. Pokud má architekt zkušenosti i s byznysem a podnikáním, může vám dokonce pomoct vytvořit marketingovou strategii, která vezme bezpečnost v potaz. Může se tedy stát, že díky bezpečnosti začnete lépe prodávat své produkty a služby.

Jak se architekt liší od manažera a auditora kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti definuje několik klíčových rolí. Je důležité rozumět rozdílům, protože každá role má jiné zaměření a kompetence:

Architekt kybernetické bezpečnosti

• Zaměření: Technický návrh a koordinace bezpečnostní architektury.
• Klíčové aktivity: Navrhuje, jak bude vypadat zabezpečení z technického pohledu, zajišťuje implementaci, řeší konkrétní bezpečnostní problémy.
• Profil: Primárně technická role s hlubokými znalostmi IT systémů, sítí, aplikací, cloudových technologií.
• Interakce: Hodně pracuje s IT týmy, vývojáři, systémovými administrátory, dodavateli technologií.

Manažer kybernetické bezpečnosti

• Zaměření: Strategické řízení a governance kybernetické bezpečnosti.
• Klíčové aktivity: Vytváří politiky a procesy, řídí celkový bezpečnostní program, komunikuje s vedením, zajišťuje soulad s legislativou, řídí rozpočet.
• Profil: Kombinace manažerských a bezpečnostních kompetencí, silné komunikační a řídící schopnosti.
• Interakce: Hodně pracuje s vedením firmy, právním oddělením, HR, má na starosti celkové řízení bezpečnostního týmu.

Auditor kybernetické bezpečnosti

• Zaměření: Nezávislé ověřování účinnosti bezpečnostních opatření.
• Klíčové aktivity: Provádí audity, testuje účinnost kontrol, identifikuje nedostatky, doporučuje zlepšení, připravuje reporty pro vedení a regulátory.
• Profil: Silné analytické schopnosti, znalost standardů a best practices, schopnost nezávisle a objektivně hodnotit.
• Interakce: Pracuje napříč organizací, ale udržuje nezávislost vůči auditovaným útvarům.

Ve větších firmách jsou to tři samostatné role. Ve středně velkých firmách se často kombinují – například manažer a architekt může být jedna osoba, ale audit by měl zajišťovat někdo jiný pro zachování objektivity. Pozor na to, že role by se podle zákona neměly překrývat a nemělo by docházet ke střetu zájmů jednotlivých aktérů.

Zjednodušeně: Manažer řídí bezpečnostní program, architekt navrhuje a implementuje technická řešení, auditor kontroluje, že to všechno funguje tak, jak má.

Jaké zkušenosti a kompetence by měl mít architekt KB

Když hledáte architekta kybernetické bezpečnosti nebo zvažujete externího partnera, který vám tuto roli poskytne, na co se zaměřit?

Technické znalosti a praktické zkušenosti

• Síťová bezpečnost: Hluboké porozumění síťovým protokolům, firewalům, VPN, segmentaci sítí, IDS/IPS systémům.
• Bezpečnost aplikací: Znalost běžných zranitelností (OWASP Top 10), zkušenosti s bezpečným vývojem software, schopnost code review z bezpečnostního hlediska. Ideálně zkušenosti s návrhem a vývojem software, protože jen tak architekt skutečně rozumí vývojářské realitě a dokáže navrhovat řešení, která jsou prakticky implementovatelná.
• Cloud bezpečnost: Znalost bezpečnostních služeb a best practices pro hlavní cloudové platformy (AWS, Azure, Google Cloud). Schopnost navrhovat secure cloud architektury, správně konfigurovat IAM (Identity and Access Management), nastavit monitoring a logování v cloudu.
• Identity a přístupová práva: Zkušenosti s návrhem a implementací systémů pro řízení identit a přístupů (IAM), multi-faktorovou autentizací, privilegovaným přístupem.
• Kryptografie: Praktické znalosti, jak a kdy používat šifrování, jak správně implementovat kryptografické protokoly.
• Operační systémy a infrastruktura: Bezpečnost Windows, Linux, kontejnerizace (Docker, Kubernetes), virtualizace.
• Penetrační testování: I když architekt nemusí být primárně penetrační tester, měl by rozumět metodikám penetračního testování, umět vyhodnocovat výsledky testů a navrhovat remediace. Ideálně má vlastní hands-on zkušenosti s testováním, protože jen tak skutečně chápe, jak útočníci přemýšlí.

Soft skills a komunikace

• Schopnost vysvětlit technické věci netechnicky: Architekt bude často komunikovat s CEO, CFO nebo vedoucím oddělení, kteří nemají technické vzdělání. Musí umět vysvětlit složité koncepty jednoduše, srozumitelně a ilustrovat rizika na reálných příkladech.
• Schopnost spolupráce: Architekt musí umět pracovat s lidmi – přesvědčovat, vyjednávat, hledat kompromisy mezi bezpečností a použitelností.
• Analytické myšlení: Schopnost vidět systémy jako celek, identifikovat souvislosti a potenciální slabá místa.
• Proaktivní přístup: Dobrý architekt nepracuje jen reaktivně (řeší problémy, až nastanou), ale aktivně hledá rizika a navrhuje zlepšení.
• Byznys přesah: Architekt by měl rozumět byznysu, aby byl schopný zabezpečit to, co je pro byznys klíčové a nesnažil se zbytečně zabezpečit úplně všechno a zbytečně tak čerpal firemní zdroje.

Certifikace

I když certifikace nejsou vše a praktické zkušenosti jsou důležitější, určité certifikace ukazují, že osoba prošla strukturovaným vzděláváním a má ověřené znalosti. Relevantní certifikace pro architekta kybernetické bezpečnosti zahrnují:

• CISSP (Certified Information Systems Security Professional): Jedna z nejrespektovanějších certifikací v oboru, pokrývá širokou škálu bezpečnostních témat. Vhodná zejména pro seniornější architekty s manažerským přesahem.
• CISM (Certified Information Security Manager): Zaměřená na řízení bezpečnosti, vhodná pro architekty, kteří mají i manažerskou odpovědnost.
• CCSP (Certified Cloud Security Professional): Specializace na cloud bezpečnost, velmi relevantní v dnešní době, kdy většina firem používá cloudové služby.
• CPENT (Certified Penetration Tester) nebo OSCP (Offensive Security Certified Professional): Certifikace zaměřené na penetrační testování a ofenzivní bezpečnost. Ukazují, že architekt rozumí útočným technikám a umí proti nim navrhnout obranu.
• SANS/GIAC certifikace (např. GIAC Security Essentials, GIAC Certified Incident Handler): Prakticky zaměřené certifikace pokrývající různé oblasti kybernetické bezpečnosti.
• Vendor-specific certifikace: Pro cloud bezpečnost jsou užitečné certifikace jako AWS Certified Security Specialty, Azure Security Engineer Associate, atd.

Certifikace samy o sobě nedělají z nikoho dobrého architekta. Mnoho výborných profesionálů nemá žádné certifikace, protože jejich zkušenosti a praxe mluví samy za sebe. Naopak někdo může mít certifikace, ale chybí mu praktická zkušenost. Hledejte kombinaci teoretických znalostí (které mohou být potvrzeny certifikacemi) a prokázané praktické zkušenosti.

Co se stane, když firma architekta KB nemá: legislativní důsledky a rizika

Možná si říkáte: co když roli architekta kybernetické bezpečnosti nezavedeme? Je to opravdu povinné, nebo je to jen doporučení? Odpověď závisí na tom, do jakého režimu vaše firma spadá podle zákona o kybernetické bezpečnosti.

Je architekt povinný podle zákona?

Zákon rozlišuje dva režimy povinností – vyšší a nižší. V režimu vyšších povinností musí organizace jmenovat manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti jako samostatné role. V režimu nižších povinností je požadavek mírnější – musíte určit osobu odpovědnou za kybernetickou bezpečnost, ale nemusí to být nutně samostatný architekt.

Režim vyšších povinností

• Architekt kybernetické bezpečnosti je povinný.
• Musí být jmenován jako samostatná role.
• Auditor nemůže být zároveň manažer ani architekt – role musí být odděleny pro zachování nezávislosti.
• Role architekta je nově slučitelná s rolemi odpovědnými za provoz ICT, takže jeden člověk může být architekt a zároveň IT manažer, ale nemůže být zároveň auditor.
• Typicky sem spadají velké podniky a organizace poskytující kritické služby.

Režim nižších povinností

• Architekt jako samostatná role není povinný.
• Je povinné určit osobu odpovědnou za kybernetickou bezpečnost, která musí buď absolvovat odborné školení nebo prokázat odbornou způsobilost v oblasti kybernetické bezpečnosti.
• Tato osoba může být stávající zaměstnanec, například osoba odpovědná za provoz IT.
• Typicky sem spadají střední podniky.

Jaké hrozí sankce za nedodržení zákona?

Pokud firma nesplní požadavky zákona, hrozí jí závažné sankce. Pro organizace v režimu vyšších povinností může pokuta dosáhnout až 250 milionů Kč nebo 2 % čistého celosvětového obratu, podle toho, která částka je vyšší. Pro režim nižších povinností jsou sankce až 175 milionů Kč nebo 1,4 % obratu. Ale pozor – finanční sankce jsou jen jedna část problému. Mnohem závažnější mohou být:

• Nefinanční sankce: NÚKIB může pozastavit certifikaci nebo dokonce pozastavit výkon řídicí funkce vrcholnému managementu.
• Odpovědnost managementu: Zákon klade důraz na odpovědnost vrcholového vedení – vrcholový management nese osobní odpovědnost za dohled nad celkovou úrovní kyberbezpečnosti. Není možné říct "to je problém IT oddělení".
• Reputační škody: Pokud dojde k bezpečnostnímu incidentu a zjistí se, že firma nesplňovala základní zákonné požadavky, ztráta důvěry zákazníků a partnerů může být devastující.
• Riziko úspěšných útoků: Bez kvalifikovaného architekta máte výrazně vyšší pravděpodobnost, že vaše bezpečnostní opatření budou mít mezery, které útočníci využijí.

Praktické dopady absence architekta

I když vaše firma spadá do nižšího režimu a samostatný architekt není zákonem vyžadován, jeho absence má reálné dopady:

• Chaotická bezpečnostní architektura: Bezpečnostní opatření jsou implementována ad-hoc, bez ucelené strategie. Jednotlivé prvky spolu nekomunikují, překrývají se nebo naopak mezi nimi jsou mezery.
• Neefektivní investice: Utrácíte za bezpečnostní technologie, které nepokrývají vaše skutečná rizika nebo se vzájemně překrývají.
• Pomalá reakce na hrozby: Když se objeví nová zranitelnost nebo typ útoku, nemáte jasný proces, jak na to reagovat a kdo je za to odpovědný.
• Problémy při auditech: Když přijde audit od NÚKIB nebo jiného regulátora, zjistíte, že nemáte dokumentaci nebo že vaše opatření nesplňují požadavky zákona.
• Ztížená digitalizace: Když chcete zavést nový systém nebo přejít do cloudu, nemáte jistotu, že to děláte bezpečně.

Kdy je správná chvíle pořídit si architekta kybernetické bezpečnosti?

Firmy mají do 60 dnů od nabytí účinnosti zákona (tedy do 31. 12. 2025) povinnost se zaregistrovat u NÚKIB. Po registraci mají jeden rok na zavedení všech požadovaných bezpečnostních opatření včetně jmenování příslušných rolí.

Jeden rok není tak dlouhá doba, jak se zdá

Zavedení plnohodnotné bezpečnostní architektury není otázka týdnů. Je třeba:

• Zmapovat současný stav IT infrastruktury.
• Identifikovat kritická aktiva a data.
• Provést analýzu rizik.
• Navrhnout bezpečnostní architekturu.
• Implementovat potřebná opatření.
• Otestovat, že fungují.
• Vyškolit zaměstnance.
• Vytvořit dokumentaci.

V praxi to pro střední firmu trvá celé měsíce. Pokud začnete v listopadu 2025 a máte rok na implementaci, budete pod časovým tlakem.

Můžete využít podporu a dotace

V průběhu roku 2025 a 2026 bude k dispozici řada dotačních programů a podpory ze strany EU a národních institucí na zavádění kybernetické bezpečnosti. Kdo začne brzy, má větší šanci tyto prostředky získat.

Interní vs. externí architekt: co se vyplatí vaší firmě

Když už víte, že architekta potřebujete (ať už z důvodu zákona nebo protože chcete kvalitní bezpečnost), stojíte před otázkou: najmout si vlastního architekta, nebo spolupracovat s externím partnerem?

Není to černobílé rozhodnutí. Každé řešení má své výhody a nevýhody, a ideální volba závisí na velikosti firmy, interních kapacitách, rozpočtu a specifických potřebách.

Interní architekt kybernetické bezpečnosti

Kdy se vyplatí

• Jste velká firma s rozsáhlou IT infrastrukturou a máte desítky nebo stovky aplikací a systémů.
• Vaše prostředí je komplexní a neustále se mění (časté nové projekty, akvizice, změny).
• Máte dostatečný rozpočet na plat seniornějšího bezpečnostního specialisty (1 000 000 – 2 000 000 Kč ročně + benefity).
• Potřebujete, aby byla bezpečnostní expertíza k dispozici každý den na plný úvazek.
• Máte již bezpečnostní tým a architekt by byl jeho součástí.

Výhody

• Hluboká znalost prostředí: Interní architekt po čase zná každý systém, každou aplikaci, každé specifické riziko vaší firmy. Ví, kde jsou kritická data, jak systémy spolu komunikují, jaké jsou historické problémy.
• Neustálá dostupnost: Je k dispozici každý den, může být na poradách, řešit urgentní situace okamžitě, být součástí projektových týmů od začátku.
• Součást firemní kultury: Je součástí týmu, zná lidi, rozumí firemním procesům a politikám, umí navigovat interní strukturou.
• Konzistentní péče: Kontinuálně dohlíží na bezpečnost, sleduje trendy specifické pro vaši firmu, udržuje dokumentaci aktuální.

Nevýhody

• Vysoké náklady: Plat kvalifikovaného architekta je značný. Podle aktuálního trhu práce se pohybuje od 80 000 Kč měsíčně (junior) až po 150 000+ Kč měsíčně (senior). Plus benefity, školení, certifikace, náklady na nábor.
• Obtížné najít kvalitního kandidáta: Trh s bezpečnostními specialisty je extrémně napjatý. Kvalitní architekt má na výběr z mnoha nabídek. Nábor může trvat měsíce.
• Riziko odchodu: Když se interní architekt rozhodne odejít, zůstanete bez expertise a musíte začít hledat znovu. Předání znalostí je obtížné a časově náročné.
• Omezený rozsah znalostí: I ten nejlepší architekt má své specializace a slepá místa. Nemůže být odborníkem na úplně všechno – od síťové bezpečnosti přes cloud až po specifické technologie jako Kubernetes nebo IoT.
• Stagnace perspektivy: Architekt, který pracuje roky ve stejné firmě, může upadnout do rutiny a nevidět nové přístupy nebo řešení, která používají jiné organizace.
• Náklady na udržování znalostí: Kybernetická bezpečnost se rychle mění. Musíte investovat do školení, konferencí, certifikací, aby váš architekt zůstal aktuální.

Externí architekt (partner poskytující službu)

Kdy se vyplatí

• Jste střední firma, kde plný úvazek architekta by byl předimenzovaný.
• Máte omezený rozpočet a potřebujete flexibilní řešení.
• Chcete přístup k širšímu týmu specialistů s různými expertízami.
• Nemáte čas nebo kapacitu hledat a zaměstnávat vlastního specialistu.
• Potřebujete rychle nastartovat compliance s NIS2 a nemůžete čekat na dlouhý nábor.

Výhody

• Tým místo jednoho člověka: Kvalitní partner vám poskytne přístup k celému týmu specialistů. Jeden se specializuje na cloud bezpečnost, druhý na aplikační bezpečnost, třetí na penetrační testování, čtvrtý na síťovou bezpečnost. Dostáváte šíři expertízy, kterou byste interně nikdy neměli.
• Zkušenosti napříč odvětvími: Externí partner pracuje s desítkami firem z různých odvětví. Vidí, co funguje jinde, jaké jsou nejnovější útoky, jaké jsou best practices. Přináší perspektivu zvenčí.
• Rychlý start: Nepotřebujete měsíce hledat kandidáta. Partner může začít pracovat téměř okamžitě, protože má tým připravený.
• Flexibilita a škálovatelnost: Můžete služby škálovat podle potřeby. V době velkého projektu můžete čerpat více hodin, v klidnějším období méně. Platíte za to, co skutečně potřebujete.
• Nákladová efektivita: Pro střední firmu je externí partner výrazně levnější než interní architekt. Místo 1,5 milionu ročně za interního specialistu můžete za 300 000 – 600 000 Kč ročně získat kvalitní služby, které pokryjí vaše potřeby.
• Komplexní služby: Externí partner často poskytuje nejen architekta, ale i související služby – penetrační testování, security monitoring, incident response, školení zaměstnanců. Máte všechno na jednom místě.
• Aktuální znalosti: Partner má motivaci udržovat své znalosti na špici, protože konkuruje ostatním poskytovatelům. Investuje do školení, certifikací, nástrojů.
• Nezávislý pohled: Externí architekt není zatížený interní politikou, může upozornit na problémy, které by interní člověk mohl váhat eskalovat.

Nevýhody

• Není přítomný 100 % času: Externí architekt není ve vaší firmě denně. Musíte komunikaci plánovat, koordinovat schůzky. Pro urgentní situace by měl kvalitní partner poskytovat podporu, ale není to jako mít člověka v kanceláři vedle.
• Fáze seznamování: Externí partner se musí nejprve seznámit s vaším prostředím. Trvá čas, než pochopí specifika vaší firmy. (I když dobrý partner tuto fázi zvládne efektivně díky zkušenostem.)
• Potřeba interního koordinátora: I když máte externího architekta, potřebujete někoho interně, kdo bude koordinovat bezpečnost, komunikovat s partnerem, zajišťovat implementaci doporučení.
• Závislost na partnerovi: Pokud vztah s partnerem nefunguje, musíte hledat jiného. Předání znalostí a dokumentace může být komplikované.

Praktické doporučení pro výběr

Volte interního architekta, pokud:

• Máte 200+ zaměstnanců a rozsáhlou IT infrastrukturu.
• Spadáte do vyššího režimu a máte mnoho kritických systémů.
• Máte rozpočet minimálně 1,5 mil. Kč ročně na tuto pozici.
• Jste ochotní investovat čas do náboru (3-6 měsíců).
• Máte již bezpečnostní tým, kam architekt zapadne.

Volte externího partnera, pokud:

• Jste střední firma (50-200 zaměstnanců).
• Potřebujete rychle nastartovat compliance s NIS2.
• Máte omezený rozpočet.
• Chcete přístup k širšímu spektru expertíz.
• Nechcete se zavazovat k dlouhodobému zaměstnávání specialisty.