Politika právního a regulačního souladu

Politika právního a regulačního souladu (P37) je klíčovou součástí rámce správy a řízení a řízení rizik organizace. Jejím hlavním účelem je stanovit povinný a systematický přístup k identifikaci, řízení a plnění všech právních, regulačních a smluvních povinností relevantních pro bezpečnost informací, ochranu osobních údajů a provozní činnosti. Záměrem politiky je předcházet rizikům nesouladu, která mohou vést k závažným důsledkům, jako jsou finanční sankce, právní odpovědnost, narušení organizace nebo poškození dobré pověsti. P37 proto přímo podporuje integraci požadavků na soulad napříč strukturami správy a řízení, programy řízení rizik, provozními pracovními postupy, životními cykly projektů a rozhodnutími o návrhu systémů. Politika se vztahuje na celou organizaci, na všechny útvary, funkce, obchodní jednotky a osoby jednající jménem subjektu. To zahrnuje zaměstnance (stálé i dočasné), dodavatele, konzultanty, stážisty a všechny dodavatele třetích stran nebo partnery, kteří nakládají s daty, systémy nebo regulačními odpovědnostmi. Z hlediska rozsahu řídí soulad napříč více doménami: bezpečnost informací (včetně rámců jako ISO/IEC 27001, NIS2, DORA), ochranu osobních údajů (GDPR a odvětvově specifické zákony), odvětvovou regulaci (finance, zdravotnictví, automotive), smluvní povinnosti (dohoda o mlčenlivosti, dohody o úrovni služeb (SLA)) a právní požadavky, jako je oznamování incidentů, spolupráce s orgány činnými v trestním řízení nebo přeshraniční přenos dat. Klíčovým přínosem politiky je detailní přiřazení rolí a odpovědností, které jsou jasně vyjmenovány pro výkonné vedení, funkce zajištění souladu s předpisy a právní a compliance, ředitele informační bezpečnosti (CISO), interní audit, vedoucí oddělení a všechny zaměstnance nebo dodavatele. Odpovědnosti zahrnují udržování komplexního registru povinností v oblasti souladu, provádění posouzení dopadů, poskytování právních výkladů, implementaci opatření a účast na pravidelných přezkumech souladu a auditech. Každá povinnost je mapována na konkrétní požadavky politik a opatření v rámci systému řízení bezpečnosti informací (ISMS) organizace, včetně požadavků na uchovávání důkazů, frekvenci testování a jasné přiřazení vlastníků. Požadavky správy a řízení jsou robustní: centralizovaný registr souladu musí být aktualizován čtvrtletně, soulad musí být začleněn již od návrhu do všech životních cyklů systémů a politik, významné změny právních rizik vyžadují formální schválení a posouzení rizik pokrývající právní a regulační domény musí být prováděna každoročně. Politika také popisuje přesné postupy řízení regulačních změn, včetně měsíčních přezkumů relevantního právního vývoje, komunikace aktualizací a detailních auditních stop. Vztahy s poskytovateli služeb třetích stran jsou řešeny prostřednictvím povinných smluvních ustanovení a posouzení souladu dodavatelů. Školení v oblasti souladu je organizačním požadavkem, který má být sledován a dokumentován v systému pro řízení výuky. Části řízení rizik a výjimek stanovují, že všechna rizika v oblasti souladu jsou zaznamenávána v registru rizik podniku a jakékoli výjimky z politik vyžadují dokumentované odůvodnění a schválení na vysoké úrovni. Z hlediska vynucování může nesoulad vést k disciplinárním nebo právním opatřením, s explicitními protokoly pro ochranu oznamovatelů. Dokument podléhá každoročnímu přezkumu, přičemž další přezkumy jsou vyvolány klíčovými právními nebo obchodními změnami, aby organizace udržovala aktuální sladění se všemi relevantními zákony, normami v odvětví a regulačními očekáváními.