Nové bezpečnostní regulace se dotknou i firem, které doteď mimo povinnosti stály.

Access Management
16. 05. 2025
Digitální provoz firem se zrychluje, zároveň ale roste i množství hrozeb, které na něj cílí. V reakci na to přicházejí nová pravidla kybernetické bezpečnosti – směrnice NIS2, nařízení DORA a úprava českého zákona o kybernetické bezpečnosti. Mění se nejen požadavky, ale i to, kdo všechno je bude muset splnit. Do oblasti regulace nově spadnou i firmy, které si to dosud možná vůbec nepřipouštěly. Spolu s tím roste význam oblastí jako řízení přístupů, monitoring aktivit uživatelů nebo auditní dohled, které hrají klíčovou roli při ochraně před incidenty i při prokazování souladu s předpisy.

Kybernetická bezpečnost pod tlakem nových regulací: koho se týká a co bude potřeba změnit?

Evropa i Česká republika se připravují na přísnější pravidla v oblasti kybernetické bezpečnosti. Nová regulace NIS2, nařízení DORA a novela zákona o kybernetické bezpečnosti zásadně mění dosavadní přístup a rozšiřují povinnosti na mnohem širší okruh firem než dosud.

A co je podstatné: nejde už jen o kritickou infrastrukturu nebo velké korporace. Nové povinnosti dopadnou i na středně velké podniky, firmy ze soukromého sektoru, IT dodavatele nebo organizace veřejné správy.

 

Co přinášejí jednotlivé předpisy?

NIS2 (směrnice EU o síťové a informační bezpečnosti)
Rozšiřuje počet firem, které budou muset dodržovat bezpečnostní opatření, hlásit incidenty a být schopny doložit, jak chrání své systémy. Týká se např. energetiky, dopravy, zdravotnictví, digitálních služeb, výroby či odpadového hospodářství.

DORA (nařízení o digitální odolnosti finančního sektoru)
Zaměřuje se na banky, pojišťovny, investiční společnosti, fintech firmy i jejich dodavatele. Klade důraz na odolnost vůči IT incidentům, testování, řízení rizik a dokumentaci.

Zákon o kybernetické bezpečnosti (ČR)
Upravuje se podle NIS2 a nově zahrne širší okruh firem. Požaduje zavedení bezpečnostních politik, řízení přístupů, dohled nad provozem a hlášení incidentů.

 

Týká se to i vaší firmy? Pravděpodobně ano.

Pokud máte více než 50 zaměstnanců nebo obrat přes 10 milionů eur, je velmi pravděpodobné, že spadáte do nové skupiny povinných subjektů.
A i pokud ne – pokud dodáváte IT služby nebo technologie firmám, které regulaci podléhají, budete muset prokázat, že máte bezpečnost pod kontrolou.

 

Co bude potřeba mít pod kontrolou?

Základní otázky, které bude potřeba zodpovědět:

  • Kdo má v systému k čemu přístup a proč?
  • Jsou oprávnění pravidelně kontrolována a odebírána, když už nejsou potřeba?
  • Je možné zpětně dohledat, kdo kdy a kam přistupoval?

To vše jsou oblasti, kde sehrává zásadní roli Identity Access Management (IAM), řízení oprávnění a monitoring přístupů.
Nejde jen o technická opatření – ale o důkaz, že firma má přehled, odpovědnost a schopnost jednat včas a v souladu s požadavky.

 

Jak s tím firmám pomáháme

Ve světě nových regulací už nestačí mít jen obecně „nějak zabezpečený systém“. Klíčové je umět řídit přístupy, pracovat s oprávněními, monitorovat aktivitu uživatelů a být připraven prokázat vše v rámci auditu.

S těmito tématy máme dlouhodobou zkušenost – včetně nasazování řešení pro Identity Access Management, řízení oprávnění, log management i návazných auditních funkcí.
Pomáháme firmám zavádět technologie a procesy tak, aby odpovídaly reálným potřebám provozu, ale zároveň splňovaly bezpečnostní i regulatorní požadavky.
Ať už se jedná o komplexní prostředí s hybridní infrastrukturou nebo o jedno konkrétní kritické řešení.

 

Nejde jen o splnění povinnosti. Je to příležitost.

Kybernetická bezpečnost není jen o regulacích, ale i o důvěře zákazníků, ochraně know-how a schopnosti reagovat na incidenty.
Správně nastavené procesy přinášejí větší klid, vyšší odolnost i lepší image směrem k obchodním partnerům.

Téma vnímáme jako zásadní nejen pro naše klienty, ale pro celkové zdraví digitálního prostředí.
Rádi se podělíme o zkušenosti nebo pomůžeme vaší firmě se v této oblasti lépe zorientovat.