NIS2 a implementace bezpečnostních řešení – jak být v souladu s novým kybernetickým zákonem

Co zahrnuje implementace bezpečnostních řešení podle zákona č. 264/2025 Sb.? Od listopadu 2025 platí nový zákon o kybernetické bezpečnosti, který zavádí směrnici NIS2 do českého práva. Regulované organizace mají 12 měsíců od registrace na zavedení kompletních technických a organizačních opatření – od vymezení bezpečnostních rolí přes zajištění šifrování až po systém řízení rizik a plány obnovy po incidentech.

Povinná registrace u NÚKIB měla proběhnout do 30. prosince 2025 – pokud jste ji ještě neprovedli, registrujte se okamžitě na Portálu NÚKIB, abyste předešli sankcím. Níže se dozvíte, jaká konkrétní opatření musíte zavést a jak postupovat krok za krokem.

Koho se týká nový zákon o kybernetické bezpečnosti a povinná implementace bezpečnostních řešení?

Zákon č. 264/2025 Sb. se vztahuje na všechny poskytovatele regulovaných služeb, a to nejen z EU, ale i na organizace, které v EU operují a splňují kritéria pro střední nebo velké podniky.  Tato kritéria se týkají firem s více než 50 zaměstnanci nebo s obratem 10 milionů eur a více. Počet zaměstnanců zahrnuje také pracovníky, kteří jsou součástí mateřských nebo dceřiných společností. 

Rozsah nového zákona implementujícího NIS2 byl významně rozšířen ve srovnání s původní směrnicí NIS. Nový zákon o kybernetické bezpečnosti (nZoKB) se nyní vztahuje na širší okruh poskytovatelů regulovaných služeb, včetně veřejných i soukromých organizací, které splňují kritéria pro střední nebo velké podniky podle doporučení Evropské komise. 

Subjekty, které nabízejí (nebo v budoucnu budou nabízet) kritické služby (např. elektrárny, vodárenské společnosti, zdravotnická zařízení), musí dodržovat přísnější bezpečnostní opatření a podléhat pravidelnému dohledu. Důležité subjekty, které poskytují méně kritické služby, budou kontrolované především při nahlášení incidentu​. 

Povinná implementace bezpečnostních řešení se týká obou kategorií subjektů, i když v různém rozsahu. Subjekty v režimu vyšších povinností čelí přísnějším požadavkům na implementaci bezpečnostních opatření a častějším kontrolám ze strany NÚKIB.

Pokud vaše společnost splňuje obě podmínky (poskytujete regulovanou službu a současně patříte mezi střední nebo větší podniky), bylo vaší povinností provést do 31. 12. 2025 tzv. registraci, tj. informovat NÚKIB o skutečnosti, že vaše organizace naplňuje stanovená kritéria. 

Registraci rozhodně neberte na lehkou váhu – pokud jste ji dosud neprovedli, učiňte tak neprodleně – hrozí vám vysoké pokuty. Po jejím dokončení máte 12 měsíců na kompletní implementaci bezpečnostních řešení podle zákona.

Tip: Nevíte, zda se vás registrace týká? Kontaktujte nás, provedeme vás celým procesem.

Praktické důsledky a implementace bezpečnostních řešení

Zákon č. 264/2025 Sb. přináší českým organizacím konkrétní povinnosti v oblasti implementace bezpečnostních řešení. Praktické důsledky zahrnují několik oblastí:

• Zvýšené nároky na dodavatelské řetězce: Organizace musí věnovat zvýšenou pozornost bezpečnosti svých dodavatelských řetězců, což zahrnuje prověřování bezpečnostních opatření dodavatelů a zajištění, že dodavatelé splňují stanovené standardy. Součástí implementace bezpečnostních řešení je i prověřování dodavatelů do kritické části systému – tedy dodavatelů aktiv s hodnotou 4 (kritická aktiva). 
• Povinné hlášení incidentů: Organizace musí hlásit kybernetické bezpečnostní incidenty do 24 hodin od jejich uskutečnění prostřednictvím Portálu NÚKIB, což zvyšuje transparentnost a umožňuje rychlejší reakci na hrozby. Informování uživatelů o incidentech je rovněž součástí povinností​. 
• Odpovědnost a povinnosti vedení: Vrcholné vedení organizací ponese větší odpovědnost za zajištění kybernetické bezpečnosti. To zahrnuje povinnost zajistit pravidelné školení zaměstnancůvymezení pracovních rolí pro kyberbezpečnost a implementaci bezpečnostních politik a postupů. 
• Zajištění kontinuity a odolnosti: Organizace musí pravidelně provádět analýzu dopadů, tvorbu záloh a testování plánů obnovy, aby zajistily kontinuitu svých služeb i v případě kybernetických incidentů. Implementace NIS2 vyžaduje dokumentované plány kontinuity a pravidelné testování jejich funkčnosti. 

12 měsíců na zavedení potřebných procesů a technologií není zase tolik času a mnohé organizace odkládají implementaci bezpečnostních řešení. Hlavní překážky zahrnují:

• nedostatek kvalifikovaných odborníků na kybernetickou bezpečnost,
• neznalost konkrétních technických požadavků,
• rozpočtová omezení.

NÚKIB nabízí rozsáhlou metodickou podporu prostřednictvím Portálu NÚKIB, kde najdete průvodce, podpůrné materiály, videa a online kalkulačku pro zjištění, zda spadáte pod regulaci.

Jaké sankce přináší nZoKB za nedodržení implementace bezpečnostních opatření? 

Zákon č. 264/2025 Sb. přináší výrazné zvýšení sankcí za nedodržení kybernetických bezpečnostních opatření. Za porušení této směrnice může být udělená pokuta až do výše 10 000 000 eur nebo 2 % z celkového celosvětového ročního obratu společnosti.  

Kromě finančních pokut hrozí také správní tresty, jako je pozastavení platnosti certifikace nebo výkonu řídicí funkce pro jednotlivé fyzické osoby ve vrcholném vedení organizací, které nedodrží stanovené povinnosti. Tato opatření mají za cíl zajistit vyšší úroveň odpovědnosti a motivovat organizace k dodržování požadavků směrnice. 

Implementace nZoKB a NIS2 a její požadavky na kybernetickou bezpečnost se budou kontrolovat zmíněným Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), který bude provádět pravidelné audity a kontroly plnění povinností​. 

Horký tip: Potřebujete pomoct s implementací bezpečnostních řešení? V Algotechu poskytujeme komplexní služby v rámci NIS2 – od auditu až po školení zaměstnanců. Outsourcing služeb spojených s nZoKB, včetně splnění technických, procesních a administrativních požadavků nové směrnice a zákona o kybernetické bezpečnosti, je levnější a bezpečnější řešení.

Jak implementovat bezpečnostní řešení podle nového zákona

Implementace směrnice NIS2 představuje pro české firmy komplexní proces, který zahrnuje technická, organizační i procesní opatření. Zde jsou hlavní kroky, které by firmy měly podniknout: 

1. Analýza stávajícího stavu kybernetické bezpečnosti

Firmy by měly začít detailní analýzou současného stavu svých informačních systémů a kybernetické bezpečnosti. Sem spadá: 

• Stanovení rozsahu řízení kybernetické bezpečnosti – určete, která aktiva souvisí s poskytováním regulované služby. Pokud rozsah nestanovíte, má se za to, že je rozsahem celá organizace.
• Mapování aktiv – identifikujte primární aktiva (zpracovávané informace a poskytované služby) a podpůrná aktiva (hardware, software, sítě, osoby).
• Analýza rizik – proveďte hodnocení rizik podle vzorce R = D × H × Z (dopad × hrozba × zranitelnost).
• Posouzení stávajících opatření – zjistěte, jaká bezpečnostní opatření již máte zavedená a která chybí.

2. Vytvoření plánu implementace

Na základě analýzy je potřeba vytvořit podrobný plán implementace:  

• Harmonogram – máte 12 měsíců od registrace, ale můžete požádat o prodloužení s odůvodněním.
• Rozpočet – kalkulujte náklady na technologie, licence, školení a případně outsourcing.
• Odpovědné osoby – vymezte pracovní role zaměřené na kyberbezpečnost (povinnost podle zákona).
• Plán zvládání rizik – pro rizika, která nejsou akceptovatelná, stanovte konkrétní řešení.
• Dokumentace – zaveďte „přehled bezpečnostních opatření“ – základní dokument, kde se uvádí, co je již zavedeno, co ne a proč. Pokud nějaké opatření není relevantní pro váš provoz, zdůvodněte to dokumentovaným záznamem.

3. Prověřování a řízení dodavatelského řetězce

Je důležité zajišťovat bezpečnost celého dodavatelského řetězce:

• Prověřování dodavatelů – musíte prověřovat dodavatele, kteří dodávají do kritické části systému (aktiva s hodnotou 4).
• Smluvní zajištění – začleňte požadavky na kybernetickou bezpečnost do smluv s dodavateli.
• Pravidelné audity – hodnoťte bezpečnostní opatření dodavatelů a jejich souladu s vašimi požadavky.
• Dokumentace dodavatelů – udržujte přehled o všech dodavatelích kritických komponent.

4. Implementace technických a organizačních opatření

Zákon vyžaduje implementaci bezpečnostních řešení v následujících oblastech:

Technická opatření:

• Zabezpečení komunikačních sítí – zajistěte stanovenou míru zabezpečení pro interní komunikační sítě.
• Šifrování dat – implementujte šifrování pro ochranu citlivých dat v přenosu i při uložení.
• Firewally a segmentace sítě – oddělte kritická aktiva od méně důležitých částí infrastruktury.
• Systémy detekce a prevence útoků – zaveďte IDS/IPS systémy pro včasné odhalení hrozeb.
• Bezpečnostní úrovně pro cloud – pokud využíváte cloud computing, dodržujte požadavky vyhlášky o bezpečnostních úrovních.

Organizační opatření:

• Systém řízení bezpečnosti informací (ISMS) – zaveďte ISMS na základě cílů systému, bezpečnostních potřeb a řízení rizik.
• Bezpečnostní politiky a postupy – vypracujte a implementujte vnitřní směrnice pro kybernetickou bezpečnost.
• Plány kontinuity a obnovy – vytvořte dokumentované plány pro zachování provozu i po incidentu.
• Pravidelné zálohování – nastavte automatické zálohy a pravidelně testujte obnovu dat.
• Analýza dopadů – proveďte Business Impact Analysis (BIA) pro identifikaci kritických procesů.

5. Školení zaměstnanců

Pravidelná školení v oblasti kybernetické bezpečnosti jsou důležitá pro zajištění, že jsou si všichni zaměstnanci vědomí hrozeb a postupů při jejich řešení. 

• Pravidelná školení – zaměřená na prevenci, odhalování a reakci na kybernetické incidenty.
• Simulace phishingu – otestujte připravenost zaměstnanců na sociální inženýrství.
• Osvěta o bezpečnosti – informujte zaměstnance o aktuálních hrozbách a bezpečných praktikách.
• Školení vedení – vrcholný management musí rozumět své odpovědnosti za kybernetickou bezpečnost.

6. Kontinuální zlepšování a testování

Implementace bezpečnostních řešení není jednorázová záležitost, ale kontinuální proces:

• Pravidelné testy – testujte plány obnovy po incidentech a ověřujte funkčnost záloh.
• Aktualizace rizikové analýzy – reagujte na nové hrozby a zranitelnosti.
• Penetrační testy – ověřte odolnost systémů proti útokům externími testery.
• Audit bezpečnostních opatření – pravidelně revidujte, zda zavedená opatření stále fungují a jsou aktuální.
• Sledování nových hrozeb – monitorujte varování NÚKIB a aktualizujte své systémy.

Hlášení incidentů: Nezapomeňte, že musíte hlásit kybernetické bezpečnostní incidenty do 24 hodin od zjištění prostřednictvím Portálu NÚKIB. Subjekty v režimu vyšších povinností musí do 24 hodin po oznámení NÚKIB sdělit, zda má incident významný dopad.

Komplexní řešení pro nZoKB: audity, školení a bezpečnostní opatření 

Jak už jsme zmínili, nabízíme komplexní služby pro zajištění souladu s nZoKB, včetně auditů, poradenství, implementace bezpečnostních opatření, školení zaměstnanců a služby manažera kybernetické bezpečnosti. Díky dlouholetým zkušenostem a odborným znalostem pomáháme organizacím efektivně splnit všechny požadavky nZoKB a optimalizovat jejich kybernetickou bezpečnost. 

Pokud byste měli o naše služby zájem, neváhejte se na nás obrátit, pomůžeme vám nejen s implementací opatření v souvislosti se směrnicí NIS2.