Nový zákon o kybernetické bezpečnosti bude účinný od listopadu 2025 a dotkne se až 10 000 organizací napříč obory, od nemocnic a bank po digitální služby a výrobní firmy.
Zákon stanovuje nové povinnosti v oblasti řízení rizik, odpovědnosti vedení a hlášení incidentů. Podmínky pro zařazení jsou přesně dané. Pokud splníte alespoň jedno z kritérií, spadáte do režimu automaticky. Žádné upozornění od úřadu vám nepřijde, proto je důležité ověřit si situaci sami.
Co byste tedy měli udělat? Pojďme se na to podívat.
1. Zjistěte, zda jste regulovaná služba
Ověřte si, jestli spadáte mezi tzv. regulované služby. Nezáleží na právní formě firmy, ale na druhu a významu služeb, které poskytujete.
Použijte sektorové přílohy vyhlášek a samoidentifikační dotazník NÚKIB. Tento krok vám dá jasnou odpověď, jestli se vás zákon týká a v jakém rozsahu. Jestli se potvrdí, že vás zákon zahrnuje, čeká vás registrace a určení odpovědné osoby.
2. Určete režim povinností
Na Portálu NÚKIB vyplňte sebehodnocení. Zjistíte, zda budete v nižším, nebo vyšším režimu. Od toho se dále odvíjí rozsah dokumentace, hlášení i auditů.
⚠️ Pamatujte: Nepřesné údaje mohou vést k pokutám a poškodit vaši reputaci, proto se vyplatí mít data ověřená.
3. Zmapujte, co je potřeba zabezpečit
Zákon se nevztahuje na celou firmu, ale na konkrétní regulované služby a jejich podpůrná aktiva. Sepište si systémy, aplikace, externí služby a osoby, které s nimi pracují. Do soupisu zahrňte i procesy, na kterých tyto služby závisí. Může jít o dodavatelské smlouvy, administrátorské účty nebo datová úložiště. Tento seznam využijete při analýze rizik a nastavování příslušných kroků.
4. Zapojte i vedení
Vedení firmy má podle zákona přímou odpovědnost. Potřebujete jeho souhlas s rozsahem, rozpočtem i plánem implementace.
Připravte pro management stručný materiál s povinnostmi, riziky a doporučeným postupem, doplněný o odhad nákladů a časového harmonogramu. Tím zajistíte, že vedení bude mít všechny informace pro rychlé rozhodnutí.
5. Proveďte analýzu rizik (vyšší režim)
Identifikujte potenciální hrozby a zranitelná místa, zhodnoťte jejich pravděpodobnost a dopad.
Výsledkem je Prohlášení o aplikovatelnosti (Statement of Applicability – SoA), které shrnuje přijatá opatření a slouží jako podklad pro audit i kontrolu NÚKIB.
Dobře zpracovaná analýza vám ušetří čas při zavádění postupů, protože přesně ukáže, kde se vyplatí investovat energii a kde naopak nehrozí vysoké riziko.
6. Zaveďte systém řízení bezpečnosti (ISMS)
Ve vyšším režimu musíte mít zavedený kompletní systém řízení bezpečnosti (ISMS), který pokrývá procesy, odpovědnosti i pravidelné kontroly.
V nižším režimu stačí minimální úroveň bezpečnosti, ale i ta musí být reálně zavedená a doložitelná. Jinými slovy: nestačí mít dokumenty v šanonu, je potřeba, aby se podle nich skutečně postupovalo a zaměstnanci jim dobře rozuměli.
7. Implementujte opatření
Podle výsledků analýzy rizik zaveďte opatření odpovídající vašemu režimu. Patří sem řízení přístupů, ochrana komunikačních sítí, reakce na incidenty, školení zaměstnanců i řízení dodavatelů.
Mějte přitom na paměti, že tyto kroky by měly být přiměřené velikosti organizace a povaze služeb. Příliš složité procesy mohou vést k chybám stejně jako jejich absence.
8. Nastavte proces zvládání incidentů
Mějte jasně popsaný Incident Response Plan od detekce po nápravu. Zajistěte, aby zaměstnanci věděli, jak příhodu rozpoznat a komu ji hlásit. Rychlá reakce může výrazně snížit dopady.
Tip: Po každém incidentu proveďte vyhodnocení, co fungovalo a co je potřeba zlepšit, aby se podobná situace neopakovala.
9. Provádějte pravidelné kontroly
Ve vyšším režimu je audit povinný, v nižším ne, ale je doporučený. Kontrola vám ukáže, jestli opatření fungují a kde je potřeba něco upravit. Zapojte vedení do vyhodnocování a plánování zlepšení.
Pravidelné přezkumy vám pomohou zachytit nové hrozby a reagovat na změny v technologiích i legislativě.
10. Vytvářejte prostředí, kde je bezpečnost samozřejmostí
Technologie jsou jen část řešení. Stejně důležité je, aby lidé věděli, jak se chovat bezpečně a proč na tom záleží.
Školte, komunikujte a podporujte zodpovědné chování v každodenní praxi. Bezpečnostní kultura se buduje dlouhodobě. Když se stane běžnou součástí práce, výrazně se sníží riziko chyb způsobených lidským faktorem.
Stáhněte si e-book a získejte detailní návody
Po registraci u NÚKIB budete mít na zavedení opatření zpravidla jeden rok. Čím dřív začnete, tím snáz zvládnete všechny požadavky.
Stáhněte si náš e‑book 10 kroků k implementaci nového zákona o kybernetické bezpečnosti a získejte detailní návody a praktické tipy.
Dáváte přednost osobnímu přístupu? Rádi s vámi projdeme celý proces na bezplatné konzultaci.
