Zákon o kybernetické bezpečnosti (dle NIS2)

Nový zákon o kybernetické bezpečnosti je účinný od 1. 11. 2025 a přináší nové povinnosti, větší odpovědnost vedení i reálné provozní dopady. Ověříme, zda pod zákon spadáte, připravíme potřebnou dokumentaci a nastavíme opatření tak, aby odpovídala tomu, jak Vaše organizace reálně funguje. Pokud budete chtít, kompletně zastřešíme i outsourcing bezpečnostních rolí.

Chci probrat spolupráci

Co se mění?

  • Tisíce nových subjektů: Zatímco dříve se zákon týkal jen hrstky vyvolených, nově dopadá na tisíce společností napříč obory. Požadavky se přitom týkají jak řízení firmy, tak technického zabezpečení.
  • Dva režimy povinností: Rozsah toho, co musíte splnit, je široký a dělí se podle režimu (vyšší nebo nižší režim povinností).
  • Procesy a odpovědnost: Organizační část zahrnuje například určení odpovědných rolí, aktualizaci dokumentace, řízení rizik a aktiv, školení zaměstnanců i vedení nebo plánování kontinuity.
  • Nástroje a technologie: Technická část se pak týká oblastí jako je monitoring, správa přístupů, aktualizace systémů, řešení incidentů nebo kontrola dodavatelů.
Bezpečnostní role (manažer, architekt a auditor bezpečnosti)
Musí být jasné, kdo má kyberbezpečnost na starosti. Kdo rozhoduje, kdo hlídá provoz a kdo nese odpovědnost, když se něco pokazí.
Šifrování a ochrana dat (kryptografie)
Citlivé informace nesmí být čitelné pro nikoho nepovolaného. Šifrování zajišťuje, že i při úniku budou data pro útočníka bezcenná.
Vytvoření a aktualizace bezpečnostní dokumentace
Papíry už nestačí mít „někde“. Zákon počítá s tím, že dokumentace odpovídá tomu, jak firma skutečně funguje a že se průběžně udržuje.
Prověřování bezpečnosti Vašich dodavatelů
Vaše zabezpečení je jen tak silné, jako jeho nejslabší článek. Cílem je zajistit, aby se slabé zabezpečení externisty nestalo vstupní branou do vaší sítě.
Školení zaměstnanců i vedení v oblasti kyberbezpečnosti
Smysluplné vzdělávání podle role. Cílem je, aby lidé ve firmě rozuměli svým povinnostem a rizikům, ne jen „absolvovali školení“.
Rychlá reakce na kybernetické incidenty
Nastavení procesů, jak rychle zastavit útok, vyšetřit jeho příčinu a splnit zákonnou povinnost ohlásit problém úřadům.
Pravidelné a průběžné řízení aktiv a rizik
Identifikace toho nejdůležitějšího, co jako organizace vlastníte (data, systémy), a pravidelné hodnocení hrozeb, které je mohou ohrozit.
Nepřetržitý dohled nad systémy (monitoring)
Včasná detekce je polovina úspěchu. Neustálé sledování sítě umožňuje zachytit podezřelé aktivity dříve, než stihnou napáchat nevratné škody.
Řízení kontinuity a plány pro krizové situace (BCP a DRP)
Příprava na krizové situace. Scénáře a plány, které řeší zvládání incidentů a výpadků tak, aby byla zachována kontinuita klíčových činností.
Kontrola přístupů a identit pod přísným dohledem
Klíčem je vědět, kdo a kam vstupuje. Každý uživatel by měl mít přístup jen k tomu, co nezbytně potřebuje ke své práci, a to pod bezpečným přístupem.

Budou se Vás týkat změny, které přináší nový zákon?

Zjistěte zdarma v našem průvodci Urči.se
zakon-o-kyberneticke-bezpecnosti

S čím Vám pomůžeme?

Vezmeme to spolu postupně. Nejdřív si ujasníme, jestli se Vás nový zákon vůbec týká a co z něj pro Vás reálně plyne. Pak se podíváme na to, jak jste na tom dneska – co už funguje, co máte pokryté a kde jsou mezery, které by Vám mohly dělat problém.

Na tomhle základě navrhneme opatření tak, aby seděla Vašemu provozu a zbytečně Vás nebrzdila. Pak se vrhneme na papírování: připravíme kompletní dokumentaci i plány kontinuity a posoudíme bezpečnostní rizika spojená s dodavateli a jejich přístupem k Vašim systémům.

Nakonec proškolíme vedení i zaměstnance a pokud nebudete mít kapacitu řešit všechno interně, část povinností převezmeme – od hlídání legislativy až po zajištění bezpečnostních rolí a řešení incidentů.

Chci probrat spolupráci
  • Provedením tzv. gap analýzy ověříme situaci ve Vaší společnosti a připravíme plán dalších kroků
  • Vypracujeme analýzu aktiv a rizik
  • Posoudíme bezpečnostní rizika Vašich dodavatelských řetězců
  • Vysvětlíme obsah nových povinností a zajistíme školení pro vrcholové vedení
  • Připravíme plán kontinuity podnikání a další potřebnou dokumentaci
  • Zajistíme outsourcing manažera kybernetické bezpečnosti i dalších rolí
  • Umíme i slovenský zákon o kybernetickej bezpečnosti. Pokud působíte v Česku i na Slovensku (nebo máte skupinovou strukturu), nemusíte řešit každý zákon s někým jiným. Pomůžeme Vám nastavit soulad s českým i slovenským zákonem o kybernetické bezpečnosti tak, aby dával smysl provozně i organizačně.

O kyberbezpečnost se Vám postaráme komplexně

Kybernetickou bezpečnost řešíme komplexně

Ve spolupráci se společností Gordic jsme vytvořili službu na klíč, která Vám ušetří čas i starosti. Od identifikace rizik až po tvorbu přehledné a smysluplné dokumentace. Vše v souladu se zákonem o kybernetické bezpečnosti, DORA, GDPR a dalšími požadavky.

Zjistit podrobnosti

Nemusíte vědět, kde začít

Stačí, když se nám ozvete a zbytek dořešíme společně.

1
Začneme konzultací
Úvodní konzultace slouží k tomu, abychom pochopili Vaši situaci a kontext. Probereme, co řešíte, v jaké fázi jste a s čím potřebujete pomoct.
2
Najdeme řešení

Ujasníme si, co se Vás týká a co ne. Navrhneme konkrétní postup, abyste přesně věděli, co Vás čeká, kolik to bude stát a jak dlouho to potrvá.

3
Pomůžeme s realizací
Pokud se domluvíme na spolupráci, pomůžeme s nastavením opatření, dokumentací, školením i další podporou. Tak, aby to zapadlo do běžného fungování firmy.
Domluvit konzultaci

Povinné školení v kyberbezpečnosti vyřešíte v Cybrela akademii

Povinné kyberškolení vyřešíte v Cybrela akademii

Cybrela akademie umožňuje proškolit zaměstnance i management bez složité organizace a drahých lektorů. Vše probíhá online – každý si kurzy může projít ve svém tempu a podle svých časových možností.
Vyzkoušet zdarma

Kdo nám důvěřuje?

Spolupracujeme s organizacemi různých velikostí napříč obory – od menších společností až po velké korporace z energetiky, průmyslu, IT, potravinářství i finančního sektoru a dalších odvětví.
adastra-logo
crede-experto
nova
think-tech
tristone
viessmann
xitee
adastra-logo
crede-experto
nova
think-tech
tristone
viessmann
xitee
Více o projektech

Časté dotazy

Co Vás ohledně nového zákona o kybernetické bezpečnosti nejvíce zajímá? Projděte si dotazy, na které se nás v souvislosti s novým zákonem ptáte nejčastěji. Nenašli jste svou odpověď? Mrkněte na blog nebo nám napište na info@cybrela.com.

Nový zákon o kybernetické bezpečnosti dopadá na mnohem více organizací než původní právní úprava (cca 8–10 tisíc v ČR), a dopadá i na ty, které dřív žádné požadavky plnit nemusely. Rozhodující pro to, jestli na Vás kyberzákon dopadá je, zda poskytujete tzv. regulovanou službu a splňujete kritéria, které zákon sleduje (velikost organizace, oblast podnikání, konkrétní typ poskytovaných služeb, držení specifických licencí).

Základní posouzení toho, jestli na Vás zákon o kybernetické bezpečnosti dopadá si můžete ověřit zdarma v aplikaci URČI.SE. Výsledek nezapomeňte ověřit s odborníkem nebo firemním právníkem.

Regulované služby představují klíčové služby (např. v energetice, dopravě, zdravotnictví či digitální infrastruktuře), které jsou z hlediska kybernetické bezpečnosti považovány za důležité, a proto podléhají bezpečnostním pravidlům podle nového zákona o kybernetické bezpečnosti. Všechny regulované služby najdete ve vyhlášce o regulovaných službách. Celkem je 102 regulovaných služeb z 22 různých oblastí. Pokud ve vyhlášce najdete službu, která odpovídá tomu, co ve Vaší organizaci děláte (ať už jako hlavní byznys, nebo jako běžnou provozní činnost), je pravděpodobné, že pod kybernetický zákon spadáte.

V praxi ale existují i výjimky a specifické situace, kdy to na první pohled nemusí být zřejmé. U některých organizací rozhodují detaily – například způsob poskytování služby, kombinace více činností nebo splnění určitých parametrů (více o takových situacích píšeme tady). Než se pustíte do implementace požadavků, doporučujeme proto regulované služby ověřit s odborníkem.

Mezi základní povinnosti patří ohlášení regulovaných služeb, nahlášení kontaktních údajů odpovědných osob, hlášení kybernetických incidentů a zavedení bezpečnostních opatření. Součástí je také plnění případných protiopatření vydaných ze strany NÚKIB.

Rozsah bezpečnostních opatření, která budete muset zavést, se liší podle režimu, do kterého spadáte. Vyšší režim znamená přísnější a detailnější opatření a důraz na systematické řízení rizik. Nižší režim se zaměřuje na základní ochranná opatření, která jsou dnes považována za bezpečnostní minimum. Velkou novinkou, kterou nový zákon o kybernetické bezpečnosti přináší je povinnost vrcholového vedení seznamovat se s klíčovými dokumenty a absolvovat pravidelná školení. Mezi další důležité oblasti patří bezpečnost lidských zdrojů, řízení přístupů, řízení kontinuity činností nebo zabezpečení komunikačních sítí atd.

Vyšší a nižší režim povinností si můžete představit jako dva stupně obtížnosti. S nižším režimem se pojí méně povinností, rozsah vyžadované dokumentace je sotva poloviční a je třeba obsadit jednu bezpečnostní roli. Pokud máte šikovné IT, možná nebudete muset ani přijímat nového člověka. Teoreticky jen potřebujete někoho, kdo Vám vysvětlí obsah nových povinností.

Společnosti spadající pod režim vyšších povinností oproti tomu musí obsadit minimálně tři bezpečností role, řídit rizika, spravovat a pravidelně aktualizovat více než 20 dokumentů, zavést a udržovat systémy pro monitorování sítě a mnoho dalšího.

Implementace nových legislativních požadavků obvykle trvá 6–12 měsíců v závislosti na velikosti společnosti a současném stavu kybernetické bezpečnosti. S přípravou doporučujeme začít co nejdříve.

Úvodní konzultace je zdarma a slouží hlavně k tomu, abychom si navzájem řekli, co přesně řešíte a jak bychom Vám s tím mohli pomoc. Projdeme s Vámi aktuální stav, rizika i to, co by mělo být výsledkem. Konzultaci si domluvíte přes kontaktní formulář nebo nám jednoduše napište na info@cybrela.com.

Kontaktujte nás a získejte svůj deštník proti kybernetickým hrozbám!

Chcete s novým zákonem o kybernetické bezpečnosti poradit? Pomůžeme Vám zorientovat se v nových povinnostech a navrhneme postup, který zapadne do Vašeho běžného provozu.

Kontaktujte nás