Bezpečnostní opatření pod lupou: Co všechno vyžaduje nový kyberzákon?

Hand holding magnifying glass with locked shield icon symbol of cybersecurity secure connection
  • Silvia Klofáč Štefániová
  • Hana Skoupá

Jednou z hlavních povinností podle zákona o kybernetické bezpečnosti je zavedení bezpečnostních opatření, a to v rozsahu stanoveném vyhláškou – buď v režimu vyšších, nebo nižších povinností. Pojďme se podívat, co přesně tato opatření obnášejí a jaký je mezi oběma režimy rozdíl.

Souvislost kybernetického zákona se směrnicí NIS2

Směrnice NIS2 vytvořila dvě kategorie subjektů regulovaných služeb. Jedná se o základní subjekt (essential subject) a důležitý subjekt (important subject). Ty se pak liší požadavky, které musí organizace splňovat.

V českém právním řádu je NIS2 přenesená do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Zákon o kybernetické bezpečnosti k rozdělení na rozdíl od NIS2 přistoupil trochu jinak a zavádí jeden subjekt – poskytovatele regulované služby se dvěma režimy. Rozlišuje režim vyšších povinností, který rozsahem požadavků odpovídá kategorii základního subjektu dle NIS2, a režim nižších povinností, který odráží kategorii důležitého subjektu.

Pokud jste poskytovatelem regulované služby, rozsah opatření, které musíte zavést závisí na tom, do jakého režimu spadáte.

Spadáte pod nový zákon?

Ověřte si, jestli na vás nový zákon o kybernetické bezpečnosti dopadá a v jakém režimu povinnost. Výsledek z našeho bezplatného průvodce URCI.SE nezapomeňte ověřit s odborníkem.
Zjistit zdarma

Bezpečnostní opatření ve vyšším režimu povinností

Zákon o kybernetické bezpečnosti rozděluje bezpečnostní opatření do dvou skupin. Na opatření organizační (14) a opatření technická (11). Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností pak uvádí konkrétní obsah těchto opatření.

Organizační opatření

(§ 3–16, vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností)

Systém řízení bezpečnosti informací (§ 3)

Bezpečnost nemá fungovat nahodile. Smyslem opatření je definovat si, co chráníte a proč. Patří sem i stanovení cílů, pravidla, procesy a pravidelné vyhodnocování systému. Když se něco změní (technologie, dodavatel, byznys), aby se tomu systém mohl přizpůsobit.

Vedení určuje směr, priority a nese odpovědnost. Schvaluje zásadní rozhodnutí v kyberbezpečnosti a hlídá, že opatření dávají smysl provozně i byznysově. Kromě toho se musí pravidelně školit, aby mohl dělat informované rozhodnutí. Určuje bezpečnostní role.

Ve vyšším režimu je jich hned několik tak, aby bylo jasné, kdo za co v kyberbezpečnosti odpovídá. Role mají konkrétní pravomoci, odpovědnosti a zastupitelnost, aby systém nestál na jednom člověku.

Toto opatření je tom, že byste měli mít jasná pravidla přiměřená vaší velikosti a realitě. Nejde o to mít tlusté směrnice, ale srozumitelný rámec, podle kterého se lidé orientují. Dokumenty držte aktuální a podle toho, jak skutečně fungujete.

Co je důležité pro to, abyste mohli fungovat? Data, systémy, zaměstnanci, služby? Abyste věděli, co vlastně máte chránit, nejdřív potřebujete znát aktiva. Evidujte je, ohodnoťte z hlediska důvěrnosti, integrity a dostupnosti a přiřaďte k nim garanty.

Rizika se vědomě vyhodnocují a řídí. Díky nim máte přehled, co vám hrozí a jaký by to mohlo mít dopad. Podle toho se pak rozhodujete, co se s rizikem udělá. Ne všechno se musí řešit technicky, někdy stačí změna procesu nebo rozhodnutí.

Cílem opatření je upozornit na to, že dodavatelé nejsou slepé místo. Víte, který dodavatel má přístup k čemu, jaká rizika s sebou nese a jak je máte ošetřené smluvně i provozně? U klíčových dodavatelů sledujte bezpečnost průběžně, nejen při podpisu smlouvy.

Kyberbezpečnost začíná u lidí. Toto opatření systematicky pracuje s bezpečnostním povědomím lidí. Mít plán, koho, kdy a v jakém rozsahu školit a rozumět povinnostem, rizikům i pravidlům, včetně práce s hesly a reakce na incidenty je základem.

Každá významná změna (nový systém, cloud, dodavatel, proces) se posuzuje i z pohledu kyberbezpečnosti. Podstatou je pohlídat si, že změna nepřinese zbytečný průšvih nebo skryté riziko.

Kyberbezpečnost se řeší už při výběru a návrhu řešení, ne až když je systém v provozu. Myslete na aktualizace, podporu a konec životnosti, aby vám nezůstaly neudržované technologie, které mohou být potenciálně zdrojem problému.

Smyslem tohoto opatření je, aby každý měl přístup jen k tomu, co skutečně potřebuje. Součástí je také povinnost přístupy pravidelně kontrolovat, rušit při změně role nebo odchodu a pozor taky na „dočasná“ práva navždy.

Víte, co dělat, když se něco stane? Vyhláška myslí i na to a chce, aby povinné osoby měly postupy, připravené kontakty a uměly incident nahlásit a řešit. Ne proto, aby se hledal viník, ale se omezil dopad incidentu a provoz se rychle vrátil do normálu.

Smyslem opatření je mít jasno, co musí fungovat i při problému a jak dlouhý výpadek si můžete dovolit. Organizace si dopředu určí, jak rychle obnoví provoz a data, a připraví si konkrétní postupy pro krizové situace.

Tohle opatření je o tom, že si pravidelně ověřujete stav kybernetické bezpečnosti a soulad zavedených opatření se zákonem, vyhláškou i vlastními pravidly. Zpravidla při významných změnách nebo v pravidelných intervalech. Zjištění z auditu se pak promítá do řízení rizik, školení a nápravných opatření.

Technická opatření

(§ 17–27, vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností)

Fyzická bezpečnost (§ 17)

Kromě dat a svého online světa chráníte také fyzické prostory a zařízení, kde běží klíčové systémy nebo jsou citlivá data. Přístupy by měly odpovídat významu daného místa nebo technologie a zajistit, že se k nim dostanou pouze ti, kteří to skutečně potřebují.

Smyslem opatření je chránit své sítě proti neoprávněnému přístupu a šíření incidentů. Sledujte provoz a oddělujte klíčové části infrastruktury.

Každý uživatel a systém má jednoznačnou identitu. Vaším úkolem je pak ověřovat přístupy způsobem odpovídajícím riziku.

Toto opatření navazuje na identity a jeho cílem je, abyste hlídali, jaká oprávnění mají uživatelé a systémy, a pravidelně je přehodnocovali.

Všímejte si podezřelého chování. Nečekejte, až někdo řekne, že má problém. Smyslem opatření je mít funkční nástroje nebo procesy, které vás na to upozorní.

Ukládejte důležité události z informačních systémů tak, abyste se k nim mohli vrátit. Nesbíráte data pro sběr dat, ale proto, abyste při problému věděli, co se stalo, kdy a kde.

Zaznamenané události vyhodnocujte, jestli jde o běžný provoz, nebo o bezpečnostní problém. Proč? Abyste mohli reagovat včas a přiměřeně, ne až ve chvíli, kdy už je pozdě.

Cílem opatření je chránit aplikace, na kterých stojí váš provoz a data. Řešte jejich bezpečné nastavení, aktualizace a ochranu proti zneužití po celou dobu jejich životnosti.

Toto technické opatření je o ochraně citlivých dat pomocí šifrování tam, kde to dává smysl. Používejte aktuální a bezpečné algoritmy a spravujte klíče tak, aby ochrana fungovala i v praxi.

Smyslem opatření je udržet provoz a minimalizovat dopady na byznys i zákazníky. Jak? Tím, že včas řešíte kapacity, zálohy a odolnost tak, aby vaše poskytovaná služba fungovala i při problémech.

Obsahem opatření je ochrana průmyslových a řídicích systémů s ohledem na jejich technická omezení a provozní význam. Neaplikujte na ně slepě běžná IT opatření, ale přizpůsobte ochranu realitě provozu.

Jednotlivá opatření jsme více rozebrali a vysvětlili na portále Zákony pro lidi. Najdete je přímo navázané na vyhlášce o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

Bezpečnostní role ve vyšším režimu

Blíže se podíváme třeba na opatření k bezpečnostním rolím. Organizace ve vyšším režimu musejí obsadit role manažera, architekta a auditora kybernetické bezpečnosti a k tomu k definovaným aktivům zvolit garanta aktiva. Vrcholové vedení organizace má povinnost tyto osoby určit. Každá z těchto bezpečnostních rolí by měla splňovat požadavky stanovené vyhláškou. Podrobněji si o bezpečnostních rolích můžete přečíst tady.

Manažer kybernetické bezpečnosti

Odpovídá za to, že systém řízení bezpečnosti informací ve firmě funguje podle pravidel. Má k tomu odpovídající kvalifikaci a minimálně 3 roky praxe v oblasti řízení informační bezpečnosti.

Informuje vrcholové vedení o stavu kybernetické bezpečnosti, zároveň ale nesmí zastávat jiné role.

Architekt kybernetické bezpečnosti

Architekt kybernetické bezpečnosti zodpovídá za zajištění návrhu implementace bezpečnostních opatření. Musí mít také určité odborné znalosti a praxi.

Auditor kybernetické bezpečnosti

Auditor kybernetické bezpečnosti odpovídá za provádění auditu kybernetické bezpečnosti, má odbornou znalost a praxi, audit vykonává nestranně.

Stejně jako u manažera vyhláška upozorňuje, že auditor nesmí zastávat žádnou jinou bezpečnostní roli.

Garant aktiva

Garant aktiva je bezpečnostní role, která odpovídá za zajištění rozvoje, použití a bezpečnost aktiva.

Bezpečnostní opatření v režimu nižších povinností

Pro poskytovatele regulované služby v režimu nižších povinností zákon organizační a technická opatření uvádí dohromady. Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností stanovuje celkem 11 bezpečnostních opatřeních, která představují základní úroveň kybernetické bezpečnosti, tedy nějaké nezbytné minimum, bez kterého se poskytovatel regulované služby neobejde. Jejich obsah se z větší části překrývá s obsahem opatření ve vyšším režimu, proto níže uvádíme jen výčet bez dalšího rozepisování.

  • Systém zajišťování minimální kybernetické bezpečnosti (§ 3)
  • Požadavky na vrcholné vedení (§ 4)
  • Bezpečnost lidských zdrojů (§ 5)
  • Řízení kontinuity činností (§ 6)
  • Řízení přístupu (§ 7)
  • Řízení identit a jejich oprávnění (§ 8)
  • Detekce a zaznamenávání kybernetických bezpečnostních událostí (§ 9)
  • Řešení kybernetických bezpečnostních incidentů (§ 10)
  • Aplikační bezpečnost (§ 12)
  • Kryptografické algoritmy (§ 13)

Bezpečnostní role v nižším režimu

Pokud bychom ale udělali srovnání rozsahu opatření na bezpečnostních rolí, tak oproti bezpečnostním rolím ve vyšším režimu je v tom nižším pouze povinnost určit osobu odpovědnou za kybernetickou bezpečnost. Tato osoba odpovídá za řízení a rozvoj kybernetické bezpečnosti, ale také za komunikaci s vrcholovým vedením.

Rolí může být pověřena osoba, která pro tuto činnost absolvuje odborné školení specifikované vyhláškou nebo prokáže odbornou způsobilost. Klidně ji může vykonávat někdo ze stávajících zaměstnanců, například osoba odpovědná za provoz IT.

Zvláštní povinnosti v odvětví digitální infrastruktury a služeb

Zákon o kybernetické bezpečnosti obsahuje speciální ustanovení pro poskytovatele regulovaných služeb v odvětví digitální infrastruktury a digitálních služeb. Jedná se o poskytovatele regulované služby, který je poskytovatelem regulované služby:

  • systému překladu jmen domén,
  • služby vytvářející důvěru ve smyslu přímo použitelného právního předpisu Evropské unie,
  • služby správy a provozu registru domény nejvyšší úrovně,
  • služby cloud computingu,
  • služby datového centra,
  • služby sítě pro doručování obsahu,
  • služby on-line tržiště,
  • služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie,
  • služby platformy sociální sítě,
  • řízené služby a
  • řízené bezpečnostní služby.

Organizace poskytující některou z těchto služeb musí ve vztahu k těmto službám zavést a provádět bezpečností opatření, která zahrnují alespoň: řízení rizik, řízení bezpečnostní politiky a bezpečnostní dokumentace, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činnosti, řízení dodavatelů, bezpečnou akvizici, vývoj a údržbu, aplikační bezpečnost, bezpečnost lidských zdrojů, kryptografické algoritmy, řízení přístupu a správu a ověřování identit.

Detaily jsou stanoveny prováděcím nařízením Evropské komise k NIS2, které má aplikační přednost před českými právními předpisy. Jde o zpřísnění bezpečnostních opatření pro všechny poskytovatele některé z výše uvedených regulovaných služeb, přičemž míra zpřísnění vyplývá z konkrétního znění nařízení. Pozitivní je, že se zpřísnění vztahuje pouze ke konkrétním službám, na které nařízení dopadá. Ostatní regulované služby, které organizace poskytuje a které nejsou tímto nařízením upraveny, se nadále řídí režimem poskytovatele regulované služby podle zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.
Kontaktujte nás

Další články

Managing smart speakers concept
EU Data Act – jak nařízení mění pravidla pro přístup a sdílení dat?
Vyrábíte nebo poskytujete chytrá zařízení nebo cloudové služby? Přečtěte si přehled povinností a tipy, jak být v souladu s EU Data Act.

ČÍST VÍCE

Hand holding magnifying glass with locked shield icon symbol of cybersecurity secure connection
Bezpečnostní opatření pod lupou: Co všechno vyžaduje nový kyberzákon?
Jaká bezpečnostní opatření vyžaduje zákon o kybernetické bezpečnosti? Přehled a vysvětlení opatření ve vyšším a nižším režimu.

ČÍST VÍCE

businessman-illustrating-cybersecurity-concepts-office-setting
7 lekcí z roku 2025: co všechno se může pokazit v kyberbezpečnosti
Reálné incidenty, které nám v roce 2025 ukázaly, že problémy v kyberbezpečnosti nezpůsobují jen hackeři. Někdy k tomu stačí běžné procesní a lidské chyby.

ČÍST VÍCE

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odebírat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.