Regulace (NIS2 / nový zákon o kybernetické bezpečnosti) je důležitá, ale hlavní cíl je ochrana vašeho byznysu a citlivých dat. S rostoucí digitalizací roste i počet útoků – dotýká se to i malých a středních firem. Tato stránka vám má srozumitelně ukázat, co se vás může týkat a jak postupovat v praxi – ať už spadáte do regulace, nebo prostě chcete funkční bezpečnostní opatření.
3,4 mld Kč
Celková škoda nahlášena policii v roce 2023; +36 % oproti roku 2022
580 000 Kč
Průměrná škoda v rámci ČR na 1 kybernetický incident v roce 2022
1,2 mil Kč
Typická škoda v ČR ve střední firmě způsobena ransomwarem v roce 2023
1,8 mld USD
Typická škoda ve světě způsobená ransomwarem v roce 2023. Doba nápravy po útoku byla v průměru 21 dní
67 %
Útoků v roce 2023 bylo provedeno organizovanými skupinami. +49 % oproti roku 2021
Spadá moje firma pod NIS2/NZKB?
Dopad závisí na segmentu/službě a dopadových kritériích (často 50+ FTE / ~250 mil. Kč obrat). Segmentů je ~22; nově mj. výroba, potravinářství, veřejná správa, výzkum, komunikace/ISP s vlastní infrastrukturou, odpady, vesmír, poštovní služby, chemie.
Dodavatelský řetězec: požadavky se propíší smluvně od vašich regulovaných odběratelů
Specifické případy segmentů: např. ISP s vlastní infrastrukturou spadá i jako mikropodnik; FVE > 1MW může přivést výrobní firmu do energetiky; u výzkumu je 5 oblastí se zvýšenými povinostmi
Skupiny / zahraniční matka: shoda centrály ≠ shoda v ČR (nutný CZ gap-assessment)
1. Samoidentifikace – registrace na portálu NÚKIB 60 dní od zplatnění zákona
Nejdřív si uvnitř firmy ujasníte, jestli a proč do regulace spadáte (krátký klasifikační záznam a jeho interní schválení). Potom vyplníte registraci na portálu NÚKIB. Po odeslání si uložte potvrzení (e-mail/PDF nebo print-to-PDF obrazovky) do firemní složky s důkazy, ať je dohledatelné, co a kdy se podalo.
2. Analýza stavu bezpečnosti vs. NIS2/nZKB Baseline + evidence shody
Krátké rozhovory s vedením a IT doplníte o sběr pár klíčových důkazů. Na jejich základě založíte „Evidenci/Prohlášení shody“ – živý dokument, který k požadavkům NIS2/nZKB přiřazuje, jak to máte řešené dnes, kdo za to odpovídá a jaké podklady to dokládají. Současně si uděláte hrubý odhad rozpočtu a kapacit a první jednoduchý POA&M (co doplnit, kdo, do kdy).
3. Hlášení údajů – kontakty, vlastnická struktura, domény 30 dní od registrace
Připravíte si:
Kontakty: primární bezpečnostní kontakt, statutární kontakt a technickou osobu, která umí doplnit detaily
Vlastnickou strukturu: kdo firmu vlastní / do jaké skupiny patří (užitečné i kvůli přesahům do zahraničí)
Domény a IP: přehled všech firemních domén a subdomén a veřejných IP rozsahů
Technologie/systémy: stručný seznam klíčových platforem a služeb (vezme se z CMDB nebo síťové mapy)
Vyplníte/odešlete formulář na NÚKIB. Co je „doručení do důkazů“? Jen to, že si uložíte kopii odeslaných dat (export formuláře, PDF, screenshoty a potvrzovací e-mail) do vaší důkazní složky, aby bylo jasné co přesně a kdy se nahlásilo.
4. Opatření - organizační i technická do 12 měsíců
Zaměříte se na tři praktické bloky:
Kontrolované přístupy správců: přístupy jdou přes jednu bezpečnou „bránu“, vždy s MFA (vícefaktorové ověřování), jen potřebná práva a ideálně na omezený čas; totéž pro externisty
Hesla, dohled a obnova: hesla/klíče drží „trezor“ s pravidelnou rotací; běží záznamy a upozornění na rizikové akce; zálohy ve schématu 3-2-1 a pravidelný test obnovy
Lidé a procesy: školení proti phishingu, jasné role a odpovědnosti (RACI), jednoduchý návod „co dělat když…“, pravidelné revize přístupů a prověřování dodavatelů
5. Incidentní plán & klasifikace – mít připravené předem
Dřív, než začnete opatření zavádět, si nastavíte jednoduchou škálu závažnosti (např. nízká–kritická) a krátký playbook: detekce & evidence → klasifikace & rozhodnutí o hlášení → zmírnění & obnova → komunikace → poučení. Důležité je mít jasně určeno, kdo rozhoduje, kam se hlásí (interně vždy; externě jen určenou osobou) a jak se evidují kroky a časy. Ideálně to napojíte na školení lidí a na SIEM, aby šlo vážné události včas zvednout.
V jednom místě vedete, co je splněno a čím to dokládáte; kde je mezera, jaké je riziko a kdy a kým se doplní (POA&M). Dokument udržujete živý – s vazbou na registr rizik, evidenci aktiv, incidentní plán, Business Continuity Management (BCM), Disaster Recovery Plan, IAM (Správa identit a přístupů) a logy/SIEM (management bezpečnostních informací a událostí) i na třetí strany. Změny se verzují, aby bylo vidět, jak se shoda vyvíjí. Pokud NÚKIB vydá protiopatření, je to místo, odkud pohodlně řídíte rychlou reakci.
8 oblastí bezpečnosti - co je třeba řešit k souladu s NIS2/nZKB
Přehled a klasifikace klíčových služeb
Co to znamená pro firmu: Potřebujete mít jednoznačně určeno, co je pro byznys kritické, kdo to vlastní a jak dlouhý výpadek si u každé služby můžete dovolit (RTO/RPO). Tento přehled je základem pro rozhodování, rozpočet i formální kroky vůči NÚKIB.
V praxi připravíte a průběžně udržujete katalog klíčových služeb (ERP, e‑shop, výroba, pošta…), přiřadíte byznysové vlastníky, stanovíte RTO/RPO a doplníte údaje, které se používají pro hlášení údajů (kontakty, domény, IP, technologie). Katalog se stane podkladem pro plánování opatření a pro „Prohlášení shody“ a měl by být na jednu až dvě stránky, aby mu vedení rozumělo a používalo ho.
Odpovědnost a řízení (governance)
Co to znamená pro firmu: Bez jasných odpovědností a jednoduchých pravidel se bezpečnost rozpadá do improvizace. Vedení musí vidět, kdo co dělá, jak se schvalují přístupy, jak se hlásí incidenty, jak se testují zálohy a kde jsou důkazy.
V praxi to znamená stručně popsané role a odpovědnosti (RACI) a několik praktických politik (přístupy, incidenty, zálohy/obnova, logování) v délce několika stran. Nad tím běží živý dokument Prohlášení shody, kde je ke každému požadavku uvedeno, jak je plněn a čím se prokazuje. Governance dává rytmus: třeba měsíční kontrolní schůzku a čtvrtletní shrnutí pro board.
Lidé a kultura (edukace & jak se zachovat)
Co to znamená pro firmu: Většina incidentů začíná u člověka. Zaměstnanci musí vědět, jak vypadá phishing, proč jsou slabá hesla problém, co znamená „tiché selhání“ (všimnu si problému a neřeknu to) a kde rychle nahlásit podezření.
V praxi se zavede edukační program formou krátkých, srozumitelných mikro‑lekcí 1–2× ročně, doplněný o stručný návod „co dělat hned“ a jedno místo pro hlášení na intranetu. Obsah se přizpůsobí rolím (všichni vs. citlivé role) a jednou za čas se připomene novými příklady útoků. Cílem je, aby i ne‑IT rozuměli základům a věděli, kam sáhnout. Obsah těchto školení, resp. oblasti, které se v rámci vzdělávání mají rozvíjet, jsou vyjmenované v příloze vyhlášky.
Přístupy a identity (IAM)
Co to znamená pro firmu: Každý má mít jen takové oprávnění, jaké potřebuje, a jen po dobu, kdy je potřebuje. Administrátorské přístupy jsou zvláštní režim, dočasné a evidované. Přihlášení do služeb je jednotné a u citlivých akcí potvrzené druhým faktorem.
V praxi se sjednotí přihlašování (SSO) a povolí MFA pro citlivé účty a akce, zavedou se role a schvalování přístupů, životní cyklus účtů (nástup/změna/odchod) a pravidelné recertifikace přístupů. Privilegované zásahy probíhají jen přes řízený režim a vše se loguje. Tam, kde to dává smysl, lze postupně přejít k passwordless.
Kontinuita – zálohy a obnova
Co to znamená pro firmu: Při výpadku se obnovuje to, co drží byznys nad vodou, a v čase, který si můžete dovolit. Nestačí mít zálohy – musíte prokázat, že umíte obnovit a že to stihnete v dohodnutém čase.
V praxi se pro klíčové služby stanoví RTO/RPO, připraví stručné runbooky obnovy, alespoň jednou ročně proběhne test a výsledky se uloží včetně času obnovy a námětů ke zlepšení. Vedení má jednoduchý dashboard se stavem záloh, testů a obnovitelnosti.
Síť a oddělení prostředí (IT/OT)
Co to znamená pro firmu: Pokud je síť „všechno se vším“, útok se rychle rozšíří. IT a výroba (OT) mají mít oddělené zóny, přístupy mezi nimi jsou řízené a dočasné a zásahy ve výrobě jsou vždy evidované.
V praxi se navrhne segmentace (kancelář, servery, výroba/OT), nastaví se pravidla průchodů pouze pro nutné služby, zřídí se brána/jump‑host do výrobních zón a zapne se logování připojení. Pokud máte CNC/legacy, které nejde upgradovat, použijí se kompenzační opatření: striktní oddělení od zbytku sítě, dočasné schválené přístupy s MFA, whitelist potřebných komunikací, pravidla manipulace (USB/porty) a pečlivá evidence zásahů. Tyto kompenzace se popíšou v Prohlášení shody i s důvodem, proč upgrade není možný.
Aplikace & API (bezpečné přihlášení, audit, kvalita změn)
Co to znamená pro firmu: Uvnitř aplikací musí být jasno, kdo se jak přihlašuje, co může dělat a jak se to dohledá. Změny se mají zachytit ještě před nasazením a rozhraní mezi systémy (API) musí odolávat zneužití i přetížení.
V praxi se klíčové aplikace napojí na firemní účet (SSO) s možností MFA na citlivé akce, zapnou se auditní stopy důležitých operací, do vývoje se přidají automatické kontroly a pro API se nastaví jednoduchá, ale účinná pravidla (limity, povolené zdroje, validace vstupů). Tím získáte dohledatelnost a menší riziko chyb.
Přehled a měření (Log management / SIEM)
Co to znamená pro firmu: Bez přehledu se reaguje pozdě a naslepo. Potřebujete vidět, co se děje v přihlášeních, v klíčových aplikacích i na síti – a dostat včasné upozornění na věci, které za pozornost stojí.
V praxi se začnou sbírat logy z přihlašování, klíčových aplikací a firewallu na jedno místo, nastaví se několik smysluplných upozornění (např. nový admin, přihlášení bez MFA, anomální přístup) a vytvoří se jednoduchý přehled pro vedení se základními trendmi. Časem lze doplnit automatické reakce (dočasné omezení přístupu), ale základem je, aby alerty byly užitečné a vedly k rychlé akci
Závěrečné doporučení - co firmy nejvíc podceňují
Role & oprávnění uživatelů a monitoring logů.
Bez nich nevíte kdo co má a dělá, ani kdy zasáhnout. Doporučujeme tuto oblast zavést nebo zefektivnit a propojit s SIEM (management bezpečnostních informací a událostí) tak, aby systém uměl včas upozornit na anomálie (např. nový admin, přístup po pracovní době, podezřelé chování) a v odůvodněných případech automaticky omezit přístup (např. dočasně zablokovat účet nebo vypnout privilegovaný přístup), dokud to neověří odpovědná osoba.
Byznys vlastní služby (ERP/e shop/výroba), IT dodává technologii. Za shodu odpovídá vedení (governance).
Musíme mít SIEM?
Není to jediná cesta, ale centrální přehled událostí a pár smysluplných alertů zásadně zrychlí reakci a pomůže u auditu.
Co cloud/SaaS – jsme krytí poskytovatelem?
Ne úplně. Sdílená odpovědnost – přihlášení, role, logy a reakce jsou stále na vás.
Pomůže nám kyber pojištění?
Ano, ale často vyžaduje základní opatření (MFA, zálohy, patching). Není náhradou prevence.
NIS2 se netýká jen IT – odpovědnost leží přímo na managementu
Pokud chcete mít jasno, co přesně znamenají nové povinnosti pro vaši firmu, ozvěte se nám. Probereme prakticky, co se vás týká, jak postupovat krok za krokem a kde začít, aby vaše firma byla včas připravena.
Vyplňte krátký formulář a domluvte si bezplatnou konzultaci (30 min). Společně najdeme cestu, jak projít NIS2/NZKB bez zbytečného stresu – srozumitelně a s ohledem na váš byznys.
Vyplňte formulář níže a my se vám co nejdříve ozveme nebo pošleme požadovaný dokument.
Rádi Vám poradíme nebo zašleme šablony, které potřebujete. Stačí zanechat kontakt a do zprávy doplnit informaci s čím můžeme pomoct.
nis2-formular
Na těchto webových stránkách používáme analytická cookies pro účely statistik. Kliknutím na „Přijmout“ vyjadřujete souhlas s použitím analytických cookies. Souhlas můžete vzít kdykoliv zpět a nastavení upravit přes odkaz v patičce webové stránky. Podrobnější informace najdete v Prohlášení o používání cookies.
