Kyberútoky čoraz častejšie zasahujú verejný aj súkromný sektor a je dôležité, aby sa firmy mali na pozore. Európska únia prijala smernicu NIS2, ktorú sme na Slovensku pretavili do zákona o kyberbezpečnosti, ktorý sa priamo dotýka nie len IT oddelení, ale tiež oddelení ľudských zdrojov (HR). Firmy si často neuvedomujú, že kybernetická bezpečnosť nie je len o technológiách, ale najmä o ľuďoch a ich správaní. Práve HR oddelenia zohrávajú kľúčovú úlohu pri budovaní bezpečnostnej kultúry vo firme.
Prečo sa majú na kyberbezpečnosť zamerať aj zamestnanci HR?
Zákon reaguje na rastúci počet útokov, ktoré zasahujú rôzne odvetvia – od zdravotníctva po výrobu. Väčšina incidentov pritom vzniká ľudskou chybou – neopatrným kliknutím na škodlivý odkaz, nastavením slabého hesla alebo ignorovaním bezpečnostných zásad. Úlohou HR je preto nielen prijímať ľudí s potrebnými kompetenciami, ale aj vytvárať prostredie, kde je bezpečné správanie prirodzenou súčasťou firemnej kultúry.
Čo nový zákon znamená pre HR oddelenia?
Zákon nepožaduje len moderné technológie — chce, aby ich firmy vedeli zodpovedne spravovať a chrániť. Medzi hlavné nové povinnosti HR oddelení patria:
1. Povinné školenia a zvyšovanie povedomia
Zákon kladie dôraz na vzdelávanie zamestnancov, preto HR musí:
- zabezpečiť pravidelné školenia o phishingu, správe hesiel, MFA (multifaktorová autentifikácia) a správnom používaní firemných zariadení,
- dokumentovať absolvovanie školení a udržiavať záznamy pre audity,
- vyhodnocovať efektívnosť školení (napr. prostredníctvom simulovaných phishingových testov).
2. Nové procesy v onboardingu a offboardingu
Pri nástupe a odchode zamestnancov bude HR musieť:
- jasne definovať prístupové práva a ich včasné zrušenie po ukončení pracovného pomeru,
- zaradiť do onboarding procesu základné školenie o kyberbezpečnosti,
- spolupracovať s IT oddelením na zabezpečení prístupu k systémom podľa princípu „need to know“.
3. Dokumentácia a audity
HR musí v spolupráci s manažmentom upraviť a evidovať interné smernice – napríklad, čo sa týka bezpečnostnej politiky, záznamov o školeniach či potvrdení o prečítaní pravidiel používania IT prostriedkov.
Keďže HR spracúva veľké množstvo osobných a citlivých dát, je priamo zasiahnuté povinnosťami zákona – musí zabezpečiť, aby boli údaje o zamestnancoch chránené nielen podľa GDPR, ale aj podľa nových bezpečnostných štandardov (šifrovanie, kontrola prístupov, zálohovanie).
4. Incident reporting a komunikácia
Pri kybernetickom incidente sa HR často zapája do komunikačného plánu – koordinuje internú komunikáciu so zamestnancami, informuje o postupoch a pomáha zvládnuť krízové situácie z pohľadu ľudí (napr. stres, neistota, strata dát).
5. Ochrana osobných údajov
Keďže HR spracúva veľké množstvo osobných a citlivých dát, je priamo zasiahnuté povinnosťami zákona – musí zabezpečiť, aby boli údaje o zamestnancoch chránené nielen podľa GDPR, ale aj podľa nových bezpečnostných štandardov (šifrovanie, kontrola prístupov, zálohovanie).
Praktické dopady na HR oddelenia
Zavedenie zákona o kyberbezpečnosti sa v praxi prejavuje v každodenných činnostiach HR oddelení. Nejde len o nové administratívne povinnosti – mení sa spôsob, akým HR spolupracuje s IT, plánuje školenia a spravuje dáta zamestnancov. Zavedením zákona sa kyberbezpečnosť stala integrálnou súčasťou personálnych procesov a ovplyvňuje stratégiu riadenia ľudí naprieč celou organizáciou viacerými spôsobmi:
- Zvýšené nároky na koordináciu medzi HR a IT oddelením.
- Viac administratívy a dôrazu na dokumentáciu – HR musí preukázať, že bezpečnostné opatrenia boli reálne vykonané.
- Potrebné investície do školení, interných kampaní a HR softvéru, ktorý spĺňa požiadavky zákona.
- Nové kompetencie pre HR manažérov – pochopenie základov kyberbezpečnosti a schopnosť začleniť ich do HR stratégie.
Ako postupovať?
Zavedenie zákona o kyberbezpečnosti si vyžaduje nielen technické opatrenia, ale aj systematický postup zo strany HR oddelenia. Ide o kombináciu organizačných krokov, vzdelávania a úzkej spolupráce s IT. Nasledujúce odporúčania pomôžu HR tímom aplikovať nové požiadavky efektívne a bez zbytočného stresu:
- Mapovanie kompetencií – identifikácia toho, kto má v HR tíme na starosti bezpečnostné otázky.
- Zavedenie školení a interných kampaní – opakujúcich sa pravidelne, nie iba raz ročne.
- Prepojenie HR procesov s IT – nastavenie automatizovaného zrušenia prístupov pri ukončení pracovného pomeru.
- Revízia interných smerníc – doplnenie bezpečnostných povinností do pracovných poriadkov a zmlúv
- Podpora kultúry bezpečnosti – ocenenie zodpovedného správania a transparentná komunikácia pri podozreniach na incidenty.
Záver
Zákon o kyberbezpečnosti nie je len IT záležitosť — je to ľudská záležitosť. Úspech implementácie závisí od toho, ako zamestnanci chápu riziká a ako sa správajú v každodennej práci. HR oddelenia sú preto na prvej línii: tvoria prostredie, v ktorom je bezpečnosť hodnotou, nie povinnosťou. Firmy, ktoré dokážu túto zmenu zvládnuť, získajú nielen vyššiu úroveň ochrany, ale aj dôveru klientov a stabilitu svojho tímu.
Máte pochybnosti či sa vás zákon o kybernetickej bezpečnosti týka, alebo potrebujete asistenciu pri jeho implementácií vo svojej organizácii? Neváhajte nás kontaktovať a využiť naše skúsenosti.
