Po léta byl CISO vnímán jako technický expert, jehož úkolem je „udržet bezpečnost". Hasil incidenty, psal politiky, obhajoval rozpočty. Byl zodpovědný za všechno bezpečnostní – a zároveň neměl reálnou autoritu nad tím, co bezpečnost nejvíce ovlivňuje: nad byznys rozhodnutími, vývojovými projekty, cloudovými migracemi a dodavatelskými vztahy. Tento model se v roce 2026 zásadně mění.

Gartner ve svém výhledu pro letošní rok popisuje novou roli CISO jako roli orchestrátora. Klíčovým posun je, že CISO přestává být vlastníkem všech bezpečnostních úkolů a stává se tím, kdo slaďuje technologii, procesy a lidi kolem sdíleného porozumění riziku. Bezpečnost není agenda jednoho člověka – je to sdílená odpovědnost, kterou CISO řídí jako dirigent, ne jako sólista.

Co to v praxi znamená? CISO roku 2026 stráví podstatnou část svého času mimo bezpečnostní tým. Pracuje s CIO na architektonických rozhodnutích. Koordinuje s CRO definici rizikového apetitu. Spolupracuje s CDAO na governance AI systémů. A pravidelně komunikuje s boardem – nikoli jen jako reportér incidentů, ale jako strategický partner, který pomáhá boardu porozumět kybernetickému riziku v kontextu obchodních cílů.

Tento posun potvrzuje i aktuální průzkum Vantedge Search: CISO jsou dnes standardně považováni za členy C-suite a pravidelně reportují přímo představenstvu, nejen auditnímu výboru. Ve vyspělých organizacích má CISO konkrétní schvalovací a vetovací pravomoci u rozhodnutí s bezpečnostním dopadem.

Pro českou realitu je to stále spíše aspirační cíl než běžný standard. Mnozí CISO v tuzemských organizacích stále bojují o základní věci: přístup k vedení, dostatečný rozpočet, schopnost říci „ne" projektům, které bezpečnostní požadavky ignorují. Přesto je to správný směr – a organizace, které přechod na model orchestrace zvládnou dříve, získají konkurenční výhodu v době, kdy kybernetické riziko patří mezi top tři obchodní rizika ve většině odvětví.

Gartner doporučuje CISO zaměřit se na tři oblasti: posílit vliv (influence bez přímé autority), zvýšit agilitu (schopnost rychle reagovat na změny hrozebného prostředí) a budovat odolné operace (resilience jako cíl, nikoli jen prevence). K tomu Gartner přidává důraz na Outcome-Driven Metrics – metriky, které odpovídají na otázku „čeho jsme dosáhli", nikoli jen „co jsme udělali". To je jazyk, kterým board rozumí.

Posun od technika k orchestrátorovi není přirozený pro každého, kdo kariéru začínal jako správce sítě nebo analytik bezpečnosti. Vyžaduje jiné dovednosti: komunikaci, vyjednávání, politické myšlení, schopnost překládat technická rizika do obchodního jazyka. Organizace, které chtějí mít efektivního CISO, musí tento posun nejen umožnit, ale aktivně podpořit – místem u stolu, pravomocemi a zázemím.

Gartner Security & Risk Management Summit 2026 | Vantedge Search CISO Elevation Report 2026 | Gartner Cybersecurity Leadership 2026