nZoKB (NIS 2) – kybernetická bezpečnost
Nový zákon o kybernetické bezpečnosti (Network and Information Security)
Kybernetická bezpečnost je souhrn právních, organizačních, technických a vzdělávacích prostředků, jež směřují k zajištění ochrany počítačových systémů a dalších prvků ICT, aplikací, dat, ale i uživatelů. Pozornost je zaměřena na schopnost reagovat na kybernetické hrozby, útoky a případné následky.
Evropská unie položila základ ke zvýšení bezpečnosti sítí a informačních systémů zajišťujících důležité služby již v roce 2016, a to směrnicí známou jako NIS 
.
V roce 2022 došlo k prohloubení a rozšíření tohoto rámce novou směrnicí Evropského parlamentu a Rady (EU) NIS 2 .
NIS 2 je snahou EU o posílení kybernetické bezpečnosti prostřednictvím regulace a spolupráce mezi členskými státy. Transpozice Směrnice do národního právního systému je pro členské státy EU povinná.
Základní normativní rámec
V České republice je základní normou s účinností od 1. 11. 2025
zákon 264/2025 Sb. o kybernetické bezpečnosti (nZoKB).
Koho se regulace týká
Nově regulace dopadá na velké množství organizací, které dosud žádné povinnosti plnit nemusely.
Povinným subjektem je tak každý, kdo poskytuje regulovanou službu v odvětví (energetika, doprava, finanční trh, zdravotnictví, odpadní hospodářství, veřejná správa, digitální infrastruktura, potravinářství a mnoho dalších) a zároveň zaměstnává více než 50 zaměstnanců nebo jeho roční obrat činí více než 10 milionů EUR.
Organizace poskytující regulovanou službu
zaměstnávající 50 a více zaměstnanců
nebo s ročním obratem min 10 milionů EUR
I organizace, které doteď kybernetickou bezpečnost vůbec neřešily, by se jí měly začít zabývat.
Dodržování pravidel nZoKB pomůže minimalizovat riziko útoků a jiných hrozeb, zvýší odolnost vaší organizace a ochrání vaše data a v neposlední řadě i pověst.
Implementace postupů dle nZoKB zvýší důvěryhodnost vaší značky, protože dáváte najevo, že ochranu dat berete vážně.
Získáte konkurenční výhodu, která vám může pomoci otevřít dveře nových příležitostí.
Co se zavádí
Nový zákon o kybernetické bezpečnosti přináší nové povinnosti pro zvýšení ochrany služeb a dat před kybernetickými hrozbami.
Organizace, na které nový zákon dopadá, budou muset ohlásit svou regulovanou službu a následně stanovit rozsah řízení kybernetické bezpečnosti, implementovat bezpečnostní opatření a hlásit kybernetické incidenty.
Je-li organizace poskytovatelem regulované služby v režimu nižších povinností, musí určit tzv. pověřenou osobu, na kterou jsou kladeny nižší formální nároky, než na manažera kybernetické bezpečnosti . Ten musí být určen u poskytovatele regulované služby v režimu vyšších povinností.
Organizace se budou muset vypořádat i s dalšími novinkami:
Času není nazbyt
Od 1. listopadu 2025 poběží poskytovatelům regulované služby 60 denní lhůta na ohlášení této skutečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) . Po ohlášení probíhá registrace automaticky. NÚKIB doručí organizaci rozhodnutí o registraci, k čemuž může dojít ihned v den ohlášení. Organizace má poté 30 dní na doplnění kontaktních údajů, pokud tak dosud neučinila.
Poskytovatel regulované služby je povinen začít hlásit kybernetické bezpečnostní incidenty nejpozději do jednoho roku od doručení rozhodnutí o registraci. Během stejného období je povinen zavést bezpečnostní opatření dle příslušné vyhlášky k novému zákonu o kybernetické bezpečnosti.
Kybernetická bezpečnost je tvořena třemi základními prvky:
Osoby
Lidé představují klíčový prvek v kybernetické bezpečnosti. Jsou to tvůrci bezpečnostních pravidel a zároveň jejich příjemci. Jsou nejslabším článkem v celém systému a stávají se nejčastějším cílem útočníků. Je potřeba je pravidelně informovat o základních pravidlech a vzdělávat v principech kybernetické bezpečnosti, protože znamenají pro tuto oblast nejvyšší hrozbu.
Technologie
Technologie je potřeba udržovat v takovém stavu, aby byly schopny reagovat na změny ve světě IT. Nejedná se jen o zařízení pro uživatele (počítač, mobilní zařízení aj.), ale také o infrastrukturu sítě, služby a také prvky, které slouží k zajištění zabezpečení (prvky určené k autentizaci, autorizaci, monitoringu, analýze, detekční systémy aj.).
Procesy
Procesy jsou činnosti, které je potřeba vynaložit, aby lidé byli schopni používat implementované technologie a s nimi spojené služby. Mezi základní procesy řadíme definování aktiv, analýzu rizik, řízení aktiv a rizik, implementaci technologií a aplikací, správu uživatelů a rolí, autorizaci, autentizaci, údržbu systému, testování zabezpečení, tvorbu a realizaci nápravných opatření aj.
Vzájemná interakce osob, technologií a procesů umožňuje nastavit vhodnou úroveň kybernetické bezpečnosti. Technologie se na první pohled můžou jevit jako zásadní prvek pro kybernetickou bezpečnost avšak významnějšími stavebními kameny jsou vhodně nastavené procesy a hlavně lidé, kteří jsou schopni procesy aplikovat a dodržovat dohodnutá pravidla.
S implementací nZoKB umíme pomoci
Smyslem kybernetické bezpečnosti je zajistit bezpečnost informačních technologií, ale i dat a informací, které jsou těmito prvky zpracovávány, distribuovány a ukládány. Na prvním místě však zůstává zajištění informování zaměstnanců o bezpečném chování v kybernetickém světě. Našim klientům pomáháme zajistit takovou úroveň kybernetické bezpečnosti, která povede k ochraně podnikové infrastruktury, dat a informací, ale i zpracovávaných osobních údajů zaměstnanců, zákazníků, obchodních partnerů či obchodních tajemství.
Nabízíme poradenský a konzultační potenciál týmu zkušených poradců k vybudování přiměřené úrovně kybernetické bezpečnosti odpovídající požadavkům nové verzi Zákona o kybernetické bezpečnosti se zaměřením na zvýšení odolnosti subjektu vůči kyberhrozbám, a tedy i menší zranitelnost.
Postup
- Analýza aktuálního stavu
- Stanovení politiky bezpečnosti informací
- Identifikace aktiv
- Analýza rizik
- Plán zvládání rizik
- Zavedení interních postupů
- Školení
- Interní audit
- Přezkoumání
Podpora při provozování
Neustále sledujeme vývoj právních předpisů i dostupnost nových bezpečnostních řešení na trhu. Pro zajištění efektivnosti a účinnosti plnění požadavků, jež jsou na kybernetickou bezpečnost kladeny, nabízíme:
- analýzu dopadu nZoKB na vaši organizaci,
- nastavení systému řízení bezpečnosti informací ,
- vytvoření interních směrnic a procesů,
- přípravu na audity a inspekce,
- audit dodavatelů,
- podporu při provozování již zavedeného systému,
- implementaci požadavků Aktu o kybernetické odolnosti ,
- odborná školení pracovníků systému řízení ,
- outsourcing systémových rolí .
Rozsah naší podpory závisí na konkrétních požadavcích zákazníka.
Zaujal Vás systém řízení nebo jste nenašli informaci, kterou hledáte? Neváhejte se na nás obrátit.
Budeme rádi, přidáte-li se mezi naše spokojené zákazníky, kteří již naše služby využívají.
Novinky
nZoKB – do konce roku ohlásit regulované služby
Jste připraveni na NIS2 a nZoKB?
