1. Co je SIEM?

SIEM je platforma, která centralizuje a analyzuje logy z celé infrastruktury – od serverů přes síťová zařízení až po cloudové služby. Díky korelaci dat v reálném čase dokáže SIEM odhalit neobvyklé aktivity, potenciální útoky a bezpečnostní incidenty dříve, než způsobí větší škodu.

Hlavní přínosy SIEM:

• Detekce bezpečnostních hrozeb a anomálií

• Automatizované alerty a notifikace

• Auditní stopy a reporty pro compliance

• Podpora regulatorních požadavků

2. NIS2, DORA a nový zákon o kybernetické bezpečnosti (nZKB)

S blížícím se začátkem platnosti nových regulací od listopadu 2025 se firmy musejí připravit na NIS2 a DORA, a zároveň respektovat český nový zákon o kybernetické bezpečnosti (nZKB). Tyto předpisy mají společný cíl: posílit kybernetickou odolnost organizací, zavést povinnost řízení rizik a hlášení incidentů.

• NIS2: Směrnice EU pro vysokou úroveň kybernetické bezpečnosti napříč všemi sektory; v ČR se implementuje prostřednictvím nZKB.

• DORA: Nařízení EU zaměřené na digitální odolnost finančního sektoru; vyžaduje pravidelné testování, audity a kontrolu třetích stran.

• nZKB: Český zákon přenášející evropské požadavky do národní legislativy, s definicí povinností podle velikosti a typu organizace.

Společné rysy:

• Zlepšení kybernetické bezpečnosti a odolnosti organizace

• Řízení rizik a implementace bezpečnostních opatření

• Povinnost hlášení incidentů a pravidelné audity

Rozdíly:

• DORA aplikuje jednotnou úroveň požadavků na všechny regulované subjekty, nZKB rozlišuje nižší a vyšší povinnosti podle typu organizace.

• DORA klade větší důraz na řízení rizik třetích stran a finanční sektor, nZKB na český dodavatelský řetězec a definované sektory.

SIEM je v tomto kontextu klíčovým nástrojem, protože umožňuje sledovat logy, detekovat incidenty a zajišťovat auditní stopy, které regulace vyžadují.

3. Rozdíl mezi open source a komerčním SIEM

Open source SIEM

Open source SIEM systémy jsou volně dostupné, s komunitní podporou, ale vyžadují více interních zdrojů pro implementaci a údržbu. Příklady: Wazuh, OSSIM, ELK Stack.

Výhody:

• Nízké nebo žádné licenční náklady

• Flexibilní přizpůsobení dle potřeb firmy

• Aktivní komunita sdílející zkušenosti

Nevýhody:

• Náročnější implementace a správa

• Omezená oficiální podpora

• Nutnost vlastních procesů pro compliance a alerty

Komerční SIEM

Komerční SIEM systémy nabízejí hotová řešení s podporou výrobce, pravidelnými aktualizacemi a předpřipravenými detekčními pravidly. Příklady: Splunk, Microsoft Sentinel, IBM QRadar.

Výhody:

• Rychlejší nasazení a ověření

• Profesionální podpora a školení

• Lepší integrace s dalšími bezpečnostními nástroji

Nevýhody:

• Vyšší náklady na licenci

• Méně flexibility než open source

4. Klíčové funkcionality SIEM, které firma musí mít

Pro efektivní využití SIEM a splnění regulačních požadavků je nezbytné, aby systém obsahoval:

• Centralizaci a korelaci logů z různých zdrojů

• Automatické detekční pravidla a alerty

• Historii událostí pro auditní účely

• Integraci s nástroji pro incident response

• Reporting pro management a regulátory

Dodatečně doporučujeme:

• Podporu vícefaktorové autentizace (MFA)

• Možnost cloudové i on-premise implementace

• Škálovatelnost pro rostoucí infrastrukturu

5. Srovnání zajímavých SIEM systémů

6. Závěr a doporučení

Volba SIEM systému závisí na velikosti organizace, dostupných zdrojích a regulatorních požadavcích.
Pro menší firmy s interním IT týmem může být Wazuh vhodný start, pro větší organizace s vysokými nároky na podporu a rychlost reakce se hodí Splunk nebo Sentinel.

Pokud chcete mít jistotu, že váš SIEM splňuje všechny regulační požadavky, je efektivně nastavený a bezpečně provozovaný, doporučujeme jeho integraci formou našich profesionálních služeb, které pokrývají implementaci, konfiguraci alertů, auditní reporting a podporu NIS2 a DORA compliance.