NIS2 a kybernetická bezpečnost

Firmy spadající konkrétněji primárně na vyšší stranu regulované úderky, ponesou plný mandát doloženého prokazatelného postupu certifikovanou funkčně nahlížící autoritou z venku formou státně zanesených auditorských procesů. Těm se dotyční podrobí ve svém zjištění z pravidla každé dva roční celistvě ustálené cykly s nutností zasílaného podkladové důkazu zajištění kontrol podle § 14, nebo i nepravidelně v silně propracovaných sankčních krocích úřadem v rámci postupu prověření nahlášené chybovosti organizace vůči bezodkladně hlášenému trhu.

Gap analýza je systematický proces porovnání současného stavu kybernetické bezpečnosti ve firmě s požadavky zákona č. 264/2025 Sb. Cílem je identifikovat konkrétní mezery mezi tím, co organizace již má zavedeno, a tím, co zákon vyžaduje v rámci příslušného režimu povinností. Prakticky postupujete tak, že vezmete seznam bezpečnostních opatření definovaných prováděcí vyhláškou pro váš režim (vyšší nebo nižší povinnosti) a ke každému bodu přiřadíte aktuální stav implementace ve vaší firmě. U organizací s existujícím ISO 27001 se provádí protnutí stávajícího Prohlášení o aplikovatelnosti (SoA) se sloupci 14 opatření podle § 14 zákona. Výstupem gap analýzy je prioritizovaný seznam chybějících opatření s odhadem náročnosti a nákladů na jejich zavedení. Doporučujeme provádět gap analýzu s externím odborníkem, který má zkušenosti s implementací ISMS i s požadavky nového zákona, aby nedošlo k přehlédnutí kritických oblastí jako je řízení dodavatelského řetězce nebo procesní nastavení hlášení incidentů.

Portál Úřadu poskytovaný ze záštity NÚKIB sestává ze sjednocené silně bezpečně ochraňované uživatelské státní online komunikační zóny provádějící postižený i běžný úsek provozovaný podle povinnosti ze směrnice zcela všeobecně skrze nahrávání certifikovaných oznámení firem k podřazování, k poskytování veškerého dokumentačně zajištěného podání incidentního ohrožení do definovaných 24 i 30 denních hlášení bez oklik se zamezováním chyb z jiného nechráněného dopisu nebo napadených e-mailů uživatelů.

Za regulovanou službu se podle definice ve vyhlášení zákona nepovažuje obvykle celá firma od vedení po čistírnu prádla. Je jí brána právě přesně nadefinovaná ta nosná komerční i nekomerční služba dodávaná navenek celému trhu z pohledu zákona definovaného v ustavení kritických sektorů z dané vyhlášky a ze samotného znění zákona 264/2025 Sb. Na tyto segmentované služby stát cílí celistvým uplatňováním režimů k zajištění tržní ekonomické plynulosti a integrity dodávek občanům i segmentu jiných provozů.

TISAX je platforma vyvinutá Evropskou asociací pro ochranu informací v automobilovém průmyslu a je určena firmám v dodavatelském řetězci tohoto odvětví. Stejně jako samotná základní norma ISO 27001 i TISAX staví na ucelené logice ISMS pro audit bezpečnosti dat zúčastněných stran, nicméně ho obohacuje například o silné fyzické definování ochrany specifických a vývojových prototypů automobilových aut a zamezení úniku klíčového výrobního průmyslového tajemství.

ISMS (Information Security Management System) neboli Systém řízení bezpečnosti informací je ucelený organizační rámec procesů, pravidel, politik a technologií, jejichž cílem je chránit firemní data a zjišťovat rizika z jejich neoprávněných úniků. Na rozdíl od pouhého nákupu antiviru tvoří logiku chodu instituce tak, abyste měli nad systémem systematickou kontrolu. Jeho zavedení je základním předpokladem k plnění bezpečnostních opatření plynoucích z transpozice NIS2.

Je to způsob útoku, který nemíří na Váš počítač, ale přímo na Vás. Útočník se Vás snaží zmanipulovat (např. vyvolat strach, zvědavost, pocit naléhavosti), abyste mu sami prozradili heslo nebo klikli na nebezpečný odkaz. Je to vlastně psychologický trik.

Vishing je podvodný telefonát, kde se Vás volající (často předstírající, že je z banky nebo úřadu) snaží přesvědčit k prozrazení citlivých údajů. Quishing je podobný podvod, ale využívá QR kódy, které Vás po naskenování přesměrují na falešnou stránku.

Znamená to, že vrcholový management (např. jednatelé, představenstvo) musí osobně schvalovat bezpečnostní opatření, dohlížet na jejich provádění a nést odpovědnost za případné nedostatky. Již není možné delegovat tuto odpovědnost pouze na IT oddělení. Vedení musí také absolvovat školení, aby problematice rozumělo.

Po tomto datu Váš stávající certifikát podle verze 2013 pozbývá platnosti. Pro Vaše zákazníky a partnery to znamená, že formálně nemáte platný certifikovaný systém řízení bezpečnosti informací, což může vést ke ztrátě zakázek, neúspěchu v tendrech a ztrátě důvěryhodnosti.

Zkratka ISMS znamená Systém řízení informační bezpečnosti (z anglického Information Security Management System). Představte si to jako soubor pravidel, postupů, rolí a technologií, které ve firmě zavedete, abyste systematicky chránili své informace. Norma ISO/IEC 27001 pak poskytuje mezinárodně uznávaný návod, jak takový systém správně vybudovat a udržovat.

Není to jen hackerský útok. Incidentem může být i ztracený notebook s firemními daty, zaměstnanec, který omylem pošle citlivou přílohu špatnému adresátovi, napadení virem nebo výpadek klíčového serveru kvůli chybě.

Směrnice NIS2 definuje cíle, ale auditujete soulad s českým zákonem č. 264/2025 Sb. a jeho prováděcími vyhláškami. Auditor se zaměří na oblasti, které zákon zdůrazňuje (zejména analýzu rizik, zvládání incidentů, business continuity a odpovědnost vedení). Norma ISO 27001 je nejlepší nástroj, jak soulad s touto legislativou prokázat.

Nejlepší je přeložit technická rizika do jazyka byznysu. Místo „potřebujeme nový firewall“ argumentujte tím, „jaké finanční ztráty, poškození reputace nebo právní postihy hrozí, pokud neochráníme data zákazníků“. Na kurzu se budeme věnovat právě tomu, jak sestavit a obhájit bezpečnostní rozpočet na základě analýzy rizik.

Jak GDPR, tak nově NIS2 vyžadují, aby organizace měly zavedené procesy pro zvládání incidentů a ukládají povinnost je hlásit úřadům ve velmi krátkých lhůtách (často v řádu hodin). Mít proces dle ISO 27035 je nejlepší způsob, jak být připraven.

Všímejte si varovných signálů: podezřelá adresa odesílatele, naléhavý tón zprávy, gramatické chyby, obecné oslovení (místo Vašeho jména), neobvyklé odkazy nebo přílohy. Vždy je lepší být opatrný a ověřit si odesílatele jiným kanálem.

Klíčová je tzv. sdílená odpovědnost (Shared Responsibility Model). Poskytovatel cloudu ručí za infrastrukturu, vy ručíte za konfiguraci, řízení přístupů a šifrování dat.

Řízení dodavatelského řetězce patří mezi klíčová bezpečnostní opatření vyžadovaná zákonem č. 264/2025 Sb. v obou režimech povinností. Organizace musí systematicky identifikovat a hodnotit kybernetická rizika plynoucí z externích dodavatelů IT služeb, cloudových providerů, vývojářů software i poskytovatelů fyzické infrastruktury. V praxi to znamená zavést proces výběru a hodnocení dodavatelů z hlediska bezpečnosti informací, definovat smluvní požadavky na kybernetickou bezpečnost (bezpečnostní přílohy smluv, SLA pro reakci na incidenty) a provádět pravidelné přezkumy plnění těchto požadavků. Zákon klade důraz na to, aby organizace znala kompletní řetězec závislostí svých kritických systémů a měla přehled o tom, kdo má přístup k jejím datům a infrastruktuře. Firmy musí rovněž ošetřit rizika spojená s koncentrací dodavatelů – tedy situaci, kdy kritická část infrastruktury závisí na jediném externím poskytovateli. Norma ISO 27001 pokrývá tuto oblast v kontrole A.5.19 a následujících, což poskytuje solidní základ pro splnění zákonných požadavků.

Zatímco banka se soustředí primárně na důvěrnost a integritu finančních transakcí, v nemocnici je často prioritou dostupnost dat (lékař musí mít informace okamžitě pro záchranu života) a specifická ochrana citlivých údajů o zdraví (GDPR/HIPAA).

Zatímco minulá transponovaná původní řada prvních povinností zákona (bývalá tzv. edice směrnice NIS1 platná např. z definice 181/2014 Sb.) padala dopadem spíše a cíleně jen na tu nejkritičtější strategickou síť prvků pod velením úřadů nebo velkých přenosových korporací čítajících napříč Českou republikou zhruba do necelých odhadovaných čtyř stovek subjektu, novinka člení propad a dohled hluboko na veškeré střední struktury soukromých dodavatelských i běžných provozů čítající celoplošně rázem přes odhadem minimálně hrubě nad sedm tisíc soukromopodnikatelských celků na trhu.

Velmi úzce. DORA (Digital Operational Resilience Act) je nové nařízení EU pro finanční sektor, které klade obrovský důraz na digitální odolnost. Přímo vyžaduje, aby finanční instituce měly zavedený a pravidelně testovaný program řízení kontinuity činností (BCM) a obnovy po havárii (DRP) v souladu s nejlepší praxí, jako je norma ISO 22301.

Monitoring kybernetických hrozeb je jedním z technických opatření vyžadovaných zákonem č. 264/2025 Sb. pro oba režimy povinností. Jde o nepřetržité sledování síťového provozu, systémových logů a bezpečnostních událostí s cílem včas odhalit podezřelé aktivity a potenciální útoky. Základem je nasazení SIEM systému (Security Information and Event Management), který centrálně sbírá a koreluje logy z různých zdrojů – firewallů, serverů, koncových stanic, aplikací a síťových zařízení. SIEM umožňuje definovat pravidla pro detekci anomálií a generování alertů, které bezpečnostní tým vyhodnocuje. Pro firmy v režimu vyšších povinností je vhodné zvážit i EDR (Endpoint Detection and Response) řešení pro pokročilou detekci na koncových stanicích a NDR (Network Detection and Response) pro analýzu síťového provozu. Menší firmy v nižším režimu mohou začít s centrálním logováním a základním monitoringem, případně využít outsourcované služby bezpečnostního dohledového centra (SOC). Klíčové je nastavit jasné eskalační procesy, aby detekované incidenty mohly být včas nahlášeny v zákonných lhůtách 24/72 hodin.

Nový zákon definuje tzv. poskytovatele regulované služby v různých odvětvích (např. energetika, doprava, zdravotnictví, digitální infrastruktura). Rozhodujícím kritériem bude nejčastěji velikost podniku (střední a velké podniky) a typ poskytované služby. Tento kurz Vám pomůže se v kritériích zorientovat.

Tvorba hlášení spoléhá na tři zcela jasně vymezené intervaly běžící od chvíle zaregistrování podstaveného kompromitování sítě. Prvotní hrubé oznámení padá už do 24 hodin, na které navazuje obsáhle definované ohlašovací předložení obsahující stopy a základní formáty napadajících vlivů do pouhých 72 hodin. Posledním kamenem zajišťujícím proces je závěrečná (nebo cyklická měsíční monitorovací) zpráva s popisem dopadu i zvratu útoku dodávaná státem určeným analytikům zpravidla do 30 dní.

NIS2 dramaticky rozšiřuje počet organizací, na které se povinnosti vztahují (nově např. i na výrobce potravin nebo odpadové hospodářství). Zpřísňuje požadavky na řízení rizik, zavádí přímou odpovědnost vrcholového vedení a výrazně zvyšuje maximální výši pokut, a to až na 10 milionů EUR nebo 2 % z celosvětového obratu.

Kromě drobných úprav v hlavních kapitolách je největší změnou revidovaná Příloha A. Počet opatření se snížil ze 114 na 93, která jsou nově uspořádána do 4 tématických oblastí (organizační, personální, fyzická, technologická). Bylo přidáno 11 zcela nových opatření, například pro zpravodajství o hrozbách nebo bezpečné kódování.

Dle návrhu nového zákona, který implementuje NIS2, mohou být pokuty pro tzv. „základní služby“ až do výše 250 000 000 Kč nebo 2 % z celosvětového obratu. Pro „důležité služby“ je to až 125 000 000 Kč nebo 1 % z obratu. Jde o citelné navýšení oproti současnému stavu.

Firmy spadající pod nový regulovaný kybernetický zákon musí zvládnout primárně dva klíčové časové milníky. V naprostém základu jsou povinny informovat o poskytování služby (zavedení se registrovat u úřadu NÚKIB) a to bezodkladně – maximálně do 60 dnů. Následně po doručení osvědčení, do kterého režimu firma spadá formálně, startuje neúprosná lhůta přesně 1 roku pro plné zavedení veškerých technických a procesních změn.

Zatímco ISO 27001 je obecný standard pro jakoukoli organizaci a zaměřuje se na zavedení systému (ISMS), TISAX je specifický pro automotive. TISAX vychází z ISO 27001, ale přidává mnoho konkrétních požadavků (dle VDA ISA), například na ochranu prototypů, a navíc hodnotí úroveň zralosti Vašich procesů, nejen jejich existenci.

TISAX® je postaven na základech normy ISO 27001, ale přidává specifické požadavky pro automobilový průmysl. Klade mnohem větší důraz například na ochranu prototypů, propojení s obchodními partnery a má odlišný systém hodnocení a auditů. Pro dodavatele do automotive je TISAX® v podstatě nutností.

Často se tyto pojmy zaměňují, ale je mezi nimi rozdíl. BCM (Business Continuity Management) je celkový strategický proces řízení, který zajišťuje, že Vaše nejdůležitější činnosti poběží i v případě krize. DRP (Disaster Recovery Plan), tedy plán obnovy po havárii, je jednou z částí BCM. DRP se typicky zaměřuje na technickou obnovu IT systémů a infrastruktury po závažném incidentu. BCM má tedy širší záběr než DRP.

Představte si, že Vám hoří dům. Disaster Recovery (DR) je plán, jak dům uhasit a znovu postavit – zaměřuje se tedy na obnovu (typicky IT systémů). Business Continuity (BC) je širší plán, který řeší, kde budete bydlet a jak budete fungovat mezitím – zaměřuje se na udržení chodu celé firmy. DR je tedy technickou podmnožinou BCM.

GDPR řeší únik osobních údajů a hlásí se ÚOOÚ. NIS2 řeší ohrožení funkčnosti služby (např. výpadek systému) a hlásí se NÚKIB. Často se však jedná o jeden útok, který vyvolá obě povinnosti.

Organizace spravující vůbec nejklíčovější kritické služby národa (od bankéřů a datových obřích providerů po páteř energetiky) padají do režimu vyšších povinností z pohledu striktní bytnosti certifikovaného prokazování dokumentů – obsahují zavedení 14 organizačních a naprosté části z 11 zmíněných IT opatření. Menší firmy poskytující například střední výrobu, dopravu spoléhají při zařazení do méně auditově zatížené nižší sekce pro zajištění ochrany podle definovaných 13 norem prevence minimální funkční kyberbezpečnosti.

Zjednodušeně: Řízení incidentů je jako práce hasičů – jejich cílem je co nejrychleji uhasit požár (incident) a omezit škody. Business continuity (kontinuita činností) řeší, jak zajistit, aby firma mohla dál fungovat (např. vyrábět, prodávat) i během toho, co hoří.

Norma ISO 27001 je mezinárodní standard pro systémy řízení bezpečnosti informací (ISMS). Zákon č. 264/2025 Sb. na rozdíl od něj nestanovuje přímo metodiku logiky auditu, ale nařizuje konkrétní lhůty hlášení (do 24/72 hodin) či sankce vůči státu. Platí, že pokud má firma zavedené kvalitní ISO 27001, pokrývá již zhruba 70 až 80 % funkčních požadavků vyžadovaných NIS2. Normu je následně potřeba pouze navázat na ohlašovací procesy směrované na NÚKIB.

Směrnice NIS2 je evropský předpis. Zákon č. 264/2025 Sb. je jeho česká implementace. Norma ISO 27001 je nejlepším nástrojem, jak požadavky tohoto nového zákona (a jeho nových prováděcích vyhlášek) systematicky naplnit a prokázat. Kurz Vás naučí, jak auditovat klíčové oblasti, které tato nová legislativa vyžaduje.

Pokud vaše firma spadá pod regulaci NIS2 (např. jako dodavatel do zdravotnictví), pak ano. Zákon explicitně stanovuje odpovědnost vedení za zajištění kybernetické bezpečnosti. Nelze se vymluvit na to, že jste to delegovali na IT.

NÚKIB je zkratkou pro Národní úřad pro kybernetickou a informační bezpečnost ČR – z dikce státu tedy nejvyšší centrální instituci s rozpočtem plnícím správu pro oblast veškerou definici bezpečné kybernormativity v prostoru, provozující ochranu v digitálních i chráněných informačních spojovacích sférách České republiky a dohlíží u kritických regulovaných firem s vydáváním pokut z formátu plnění opatření nařízených vůči NIS2.

Zákon a směrnice NIS2 výrazně rozšiřují okruh povinných subjektů oproti původní legislativě. Týká se nejen kritické infrastruktury, ale i mnoha dalších „důležitých“ a „významných“ poskytovatelů služeb, například v energetice, dopravě, zdravotnictví, digitální infrastruktuře, ale i ve výrobě či potravinářství. Kurz vám pomůže určit, zda se povinnosti týkají i vás.

Vždy zásadně záleží na aktuálním technickém vybavení nebo byznysové velikosti daného subjektu. U běžné střední výrobní firmy bez předchozí historie budování kybernetických norem může implementační fáze, nákup vhodných SW a HW produktů, interní procesní restrukturalizace i úhrady prověřovací autoritě znamenat jednorázový finanční dopad v rozmezí stovek tisíc až nižších jednotek milionů korun doplněných o následné udržovací měsíční poplatky. Včasným zaškolením CISO se lze velkým nákupním chybám vyvarovat.

Ačkoliv je okamžitá reakce kritická, z dlouhodobého hlediska jsou nejdůležitější dvě fáze: Plánování a příprava, protože bez ní je reakce chaotická, a Poučení se z incidentů, protože ta jako jediná zajistí, že se stejná chyba nebude opakovat.

Ne. Role CISO je manažerská a strategická, nikoli technicko-implementační. Manažer bezpečnosti nemusí umět konfigurovat technologie, ale musí rozumět principům, na kterých fungují, chápat související rizika a umět řídit týmy technických specialistů, kteří se o implementaci starají.

Směrnice NIS2 se týká tzv. povinných osob, tedy organizací z klíčových sektorů, jako je energetika, doprava, zdravotnictví, bankovnictví, digitální infrastruktura a další. Týká se také jejich významných dodavatelů. Pokud si nejste jisti, zda se na vás povinnost vztahuje, náš kurz vám pomůže se v této problematice zorientovat a zjistit, jaké kroky je potřeba podniknout.

Český zákon plněním směrnice o kybernetické bezpečnosti nutně nepožaduje přímo provedení nákladné certifikace skrze ISO 27001 (využití auditu u mezinárodní soukromé asociace). K prokázání stačí reálná funkčnost zavedených a vyžadovaných bezpečnostních standardů. Vzhledem ke svému nastavení ovšem ISMS napojující se na rámce z Annex A dává ideální a funkční mapu, bez které firma složitým celistvým legislativním definicím na zelené louce zkrátka neporozumí.

Pravděpodobně ano. NIS2 vyžaduje řízení rizik v dodavatelském řetězci. Budete muset do smluv zakotvit bezpečnostní požadavky, právo na audit a povinnosti při hlášení incidentů.

Nemusíte, ale je to obrovská výhoda. Mnoho požadavků se překrývá. Pokud již máte zavedený a certifikovaný ISMS podle ISO 27001, Vaše příprava na TISAX bude výrazně jednodušší. TISAX je však samostatné hodnocení a certifikát ISO 27001 jej nenahrazuje.

Nová definice legislativy přenesla významné kompetence na samotný stát pro případ silně odmítavého postoje v nápravě. Výsledek podle ustanoveného paragrafu § 58 znamená teoreticky nejvyšší personální tresty obsažené přímo proti zúčastněným voleným představitelům, manažerům z CISO i zapsaným funkčním ředitelům a sice zavedením státního ošetřovacího zákazu funkce i osobních licencích do odstraněných pochybení i do doby nápravy ohrožení dodavatelské spolehlivě zapsané služby pro státní chod.

Ano, je to dokonce velmi doporučeno. Obě normy mají podobnou strukturu (řízení dokumentace, audity, nápravná opatření). Integrace šetří čas a snižuje byrokracii.

Protože nemůžete chránit všechno stejně. BIA Vám pomůže objektivně identifikovat skutečně kritické procesy, jejichž výpadek by firmu nejvíce bolel (finančně, reputačně). Díky tomu můžete investovat čas a peníze do jejich ochrany efektivně a nemusíte plýtvat zdroji na méně důležité činnosti.

Působnost směrnice, respektive českého zákona č. 264/2025 Sb., se řídí primárně kritériem oboru a velikosti. Spadáte pod něj, jestliže působíte v některém z 15 regulovaných odvětví (např. výroba, potravinářství, energetika, doprava či digitální služby) a zároveň máte více než 50 zaměstnanců, NEBO váš obrat či bilanční suma přesahuje 10 milionů EUR ročně. V určitých výjimečných případech může regulace dopadnout i na menší firmy, pokud jsou pro stát kritickým dodavatelem.

Zákon č. 264/2025 Sb. v režimu vyšších povinností explicitně vyžaduje zajištění testování bezpečnosti informačních systémů jako součást technických opatření. V režimu nižších povinností je testování také součástí požadavků, byť s nižší hloubkou prokazování. Penetrační testování (pentest) je jednou z nejefektivnějších metod, jak ověřit reálnou odolnost systémů proti útokům. Spočívá v simulovaném útoku na infrastrukturu firmy prováděném certifikovanými odborníky, kteří hledají zranitelnosti v síťových službách, webových aplikacích, konfiguraci serverů a dalších komponentách. Výstupem je podrobná zpráva s nalezenými zranitelnostmi, jejich závažností a doporučeními pro nápravu. Pro splnění zákona doporučujeme provádět penetrační testy minimálně jednou ročně a vždy po významných změnách v IT infrastruktuře. Výsledky pentestů zároveň slouží jako podklad pro průběžné hodnocení rizik a jako důkaz pro případný audit ze strany NÚKIB o tom, že organizace aktivně pracuje na identifikaci a odstraňování bezpečnostních slabin.