Co musí vedení firem povinně zajistit ohledně kyberbezpečnosti od listopadu 2025?
Český právní systém stojí na prahu významné transformace v oblasti kybernetické bezpečnosti, která zásadním způsobem ovlivní fungování firem a organizací napříč celou republikou. K 1. listopadu 2025 vstoupí v platnost nový zákon o kybernetické bezpečnosti, který představuje revoluční změnu v přístupu k zabezpečení digitálních systémů a dat. Tento legislativní krok není pouhým formálním aktem, ale konkrétní implementací evropské směrnice NIS2 (Network and Information Systems Directive) do českého právního řádu. Směrnice NIS2, která byla přijata na úrovni Evropské unie jako reakce na rostoucí kybernetické hrozby a sofistikované útoky na kritickou infrastrukturu, nyní získává konkrétní podobu v české legislativě. Jejím primárním cílem je vytvořit robustní a jednotný rámec pro kybernetickou bezpečnost napříč všemi členskými státy EU, což má zásadní význam pro zajištění bezpečnosti digitální infrastruktury v celoevropském měřítku.
Rozsah působnosti a dotčená odvětví
Nová legislativa se nevztahuje na všechny firmy plošně, ale cílí specificky na organizace a společnosti, které provozují své aktivity v ekonomicky, společensky či bezpečnostně významných odvětvích národního hospodářství. Mezi primárně dotčená odvětví patří energetický sektor, který zahrnuje výrobu, distribuci a dodávku elektrické energie, plynu a dalších energetických komodit. Chemický průmysl a výrobní sektor představují další klíčové oblasti, kde kybernetické incidenty mohou způsobit nejen ekonomické škody, ale také vážné enviromentální a zdravotní rizika. Potravinářský průmysl, jakožto garant potravinové bezpečnosti národa, je rovněž zařazen mezi kritické sektory, stejně jako vodní hospodářství, které zajišťuje dodávky pitné vody a čistění odpadních vod. Dopravní sektor, včetně železniční, silniční, letecké a vodní dopravy, tvoří páteř národní mobility a logistiky, a proto podléhá novým bezpečnostním standardům. Seznam regulovaných odvětví však není uzavřený a zahrnuje mnoho dalších sektorů, jejichž význam pro fungování moderní společnosti je nezpochybnitelný.
Nová vysoká odpovědnost vedení firem
Možná nejzásadnější změnou, kterou nový zákon přináší, je dramatické zvýšení osobní odpovědnosti jednatelů, ředitelů a členů představenstev firem za kybernetickou bezpečnost jejich organizací. Dosavadní přístup, kdy byla kybernetická bezpečnost často delegována na IT oddělení nebo externí poskytovatele služeb bez přímého zapojení nejvyššího vedení, se stává minulostí. Nová legislativa jasně stanovuje, že nejvyšší management firem nese přímou a osobní odpovědnost za implementaci, udržování a neustálé zlepšování kybernetické bezpečnosti ve svých organizacích. Tato změna odráží moderní chápání kybernetické bezpečnosti jako integrální součásti podnikové strategie a rizikového managementu, nikoli pouze jako technické záležitosti. Vedoucí pracovníci již nemohou považovat kybernetickou bezpečnost za "technický problém" někoho jiného, ale musí se aktivně zapojit do jejího řízení, plánování a kontroly. Tento posun v odpovědnosti má za cíl zajistit, že kybernetická bezpečnost získá v organizacích odpovídající prioritu a zdroje, které jsou pro její efektivní implementaci nezbytné.
Základní pilíře nových povinností
Struktura nových povinností, které musí firmy plnit, je postavena na pěti základních pilířích, z nichž každý představuje kritickou komponentu komplexního systému kybernetické bezpečnosti. První pilíř tvoří povinnost ohlášení služby, kterou organizace poskytuje příslušným regulačním orgánům. Toto ohlášení není pouhým administrativním aktem, ale systematickým popisem všech služeb, systémů a procesů, které organizace provozuje a které mohou být předmětem kybernetických útoků. Druhým pilířem je nahlášení kontaktních údajů osob odpovědných za kybernetickou bezpečnost v organizaci, což umožňuje rychlou komunikaci mezi regulačními orgány a firmami v případě bezpečnostních incidentů nebo změn v legislativě. Třetí pilíř představuje postupné zavádění bezpečnostních opatření podle předem stanoveného harmonogramu a standardů, což zajišťuje systematický a kontrolovaný přístup k budování kybernetické odolnosti organizace. Čtvrtým pilířem je hlášení kybernetických bezpečnostních incidentů kompetentním orgánům v předepsaných lhůtách a formátech, což umožňuje národním bezpečnostním orgánům sledovat kybernetickou situaci a koordinovat odpověď na hrozby. Pátý pilíř zahrnuje provádění protiopatření vydaných Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), což zajišťuje rychlou a koordinovanou reakci na nové hrozby a vulnerabilitu.
Dvouúrovňový systém regulace
Zákon zavádí sofistikovaný dvouúrovňový systém regulace, který reflektuje různou míru rizika a dopadu kybernetických incidentů v různých odvětvích a typech služeb. Tento diferencovaný přístup umožňuje přiměřeně nastavit požadavky na kybernetickou bezpečnost podle skutečného rizika, které organizace představují pro národní bezpečnost a ekonomiku. Rozhodnutí o tom, zda bude na organizaci aplikován režim vyšších nebo nižších povinností, závisí na komplexním hodnocení několika faktorů, včetně typu poskytovaných služeb, jejich kritičnosti pro fungování společnosti, velikosti organizace, počtu uživatelů dotčených služeb a potenciálního dopadu případného výpadku na ekonomiku nebo veřejnou bezpečnost. Toto rozdělení není statické a může se v čase měnit v závislosti na vývoji podnikání organizace, změnách v technologiích nebo evolucí hrozeb. Organizace tedy musí průběžně monitorovat svou pozici v tomto systému a připravit se na případné změny v aplikovatelných požadavcích.
Komplexní požadavky režimu vyšších povinností
Organizace, které spadají pod režim vyšších povinností, čelí nejpřísnějším požadavkům na kybernetickou bezpečnost, které odráží jejich kritický význam pro fungování společnosti a ekonomiky. Tyto požadavky jsou strukturovány do devíti klíčových oblastí, z nichž každá představuje zásadní komponentu holistického přístupu ke kybernetické bezpečnosti. První oblastí je povinnost vedení firem prokazatelně absolvovat specializovaná školení v oblasti kybernetické bezpečnosti, která nejsou pouhými obecnými kurzy, ale detailními programy zaměřenými na specifické hrozby, rizika a povinnosti v daném odvětví. Tato školení musí být pravidelně aktualizována a obnovována, aby odrážela nejnovější trendy v kybernetických hrozbách a obranných technologiích. Druhá oblast se zaměřuje na zajištění stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací, které musí být plně kompatibilní se strategickým směřováním organizace, což znamená integraci kybernetické bezpečnosti do všech aspektů podnikové strategie.
Třetí klíčovou oblastí je zajištění dostupnosti všech zdrojů potřebných pro efektivní fungování systému řízení bezpečnosti informací, což zahrnuje nejen finanční prostředky, ale také lidské zdroje, technologie, infrastrukturu a čas. Vedení musí aktivně podporovat investice do kybernetické bezpečnosti a zajistit, aby tato oblast nebyla podfinancována nebo zanedbána. Čtvrtá oblast vyžaduje přímé zapojení vedení do vypracování analýzy dopadů, což je komplexní proces identifikace a hodnocení potenciálních následků kybernetických incidentů na všechny aspekty fungování organizace. Tato analýza musí být detailní, pravidelně aktualizovaná a musí zahrnovat nejen přímé technické dopady, ale také dopady na zákazníky, obchodní partnery, regulační compliance a reputaci organizace.
Pátá oblast se soustředí na aktivní podporu osob zastávajících bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti, což vyžaduje, aby vedení poskytovalo těmto specialistům nejen formální autoritu, ale také praktickou podporu při implementaci bezpečnostních opatření napříč organizací. Šestá oblast zahrnuje zajištění stanovení jasných a detailních pravidel pro určení administrátorů a osob zastávajících bezpečnostní role, včetně definice jejich kompetencí, odpovědností a pravomocí. Sedmá oblast se věnuje zajištění zachování mlčenlivosti u všech relevantních osob, což je kritické pro ochranu citlivých informací o bezpečnostních opatřeních, vulnerabilitách a incidentech.
Osmá oblast vyžaduje, aby vedení zajistilo osobám zastávajícím bezpečnostní role dostatečné pravomoci a zdroje, včetně specifických rozpočtových prostředků, potřebné pro efektivní naplňování jejich rolí a plnění souvisejících úkolů. Devátá a poslední oblast se zaměřuje na zajištění pravidelného testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů, což je klíčové pro ověření efektivity připravených opatření a jejich průběžné zlepšování.
Strukturované povinnosti v režimu nižších požadavků
Organizace spadající pod režim nižších povinností sice čelí méně rozsáhlým požadavkům než jejich protějšky v režimu vyšším, nicméně i tyto požadavky představují významnou změnu oproti současnému stavu a vyžadují systematický přístup k implementaci. Struktura těchto povinností je organizována do pěti klíčových oblastí, které pokrývají všechny základní aspekty kybernetické bezpečnosti. První oblastí je zajištění technické bezpečnosti, řízení přístupů a hesel, což zahrnuje implementaci robustních technických opatření pro ochranu IT systémů, včetně pokročilých mechanismů autentizace, autorizace a auditování. Tato oblast vyžaduje nasazení moderních bezpečnostních technologií, pravidelné aktualizace bezpečnostních patches a implementaci principle nejmenších privilegií při správě uživatelských účtů.
Druhá oblast se zaměřuje na zabezpečení školení a řízení lidských zdrojů, což odráží skutečnost, že lidský faktor zůstává jednou z nejslabších součástí kybernetické bezpečnosti organizací. Tato oblast vyžaduje implementaci komplexního programu bezpečnostního vzdělávání všech zaměstnanců, pravidelná refresher školení a specializované kurzy pro klíčové pozice. Součástí je také screening nových zaměstnanců z hlediska kybernetické bezpečnosti a pravidelné ověřování bezpečnostní způsobilosti stávajících pracovníků.
Třetí oblast zahrnuje strategické řízení bezpečnosti, což vyžaduje od vedení aktivní zapojení do dlouhodobého plánování a koordinace bezpečnostních aktivit. Toto zahrnuje stanovení bezpečnostních cílů organizace, alokaci zdrojů na bezpečnostní projekty a pravidelné vyhodnocování efektivity bezpečnostních opatření. Čtvrtá oblast se soustředí na detekci útoků, řízení incidentů a plán obnovy, což vyžaduje nasazení sofistikovaných monitorovacích systémů, definování jasných procesů pro reakci na bezpečnostní incidenty a pravidelné testování schopnosti organizace obnovit své služby po kybernetickém útoku.
Pátá oblast se věnuje bezpečnosti ve smluvních vztazích s dodavateli, což je kritické v dnešním propojeném podnikovém prostředí, kde organizace často spoléhají na externí poskytovatele služeb pro klíčové části své IT infrastruktury. Tato oblast vyžaduje implementaci přísných bezpečnostních požadavků do všech smluv s dodavateli, pravidelné auditování jejich bezpečnostních praktik a zajištění, že třetí strany dodržují stejné bezpečnostní standardy jako samotná organizace.
Definice klíčových bezpečnostních rolí
Implementace nových požadavků na kybernetickou bezpečnost vyžaduje od organizací jasné definování a obsazení specifických bezpečnostních rolí, které jsou nezbytné pro efektivní fungování systému kybernetické bezpečnosti. Tyto role nejsou pouhými administrativními pozicemi, ale představují klíčové funkce s jasně definovanými odpovědnostmi, pravomocemi a požadavky na kvalifikaci. První a nejvýznamnější rolí je pozice manažera kybernetické bezpečnosti, který nese celkovou odpovědnost za koordinaci a řízení všech aktivit souvisejících s kybernetickou bezpečností v organizaci. Tato osoba musí disponovat nejen hlubokými technickými znalostmi, ale také manažerskými schopnostmi a schopností komunikovat bezpečnostní záležitosti na všech úrovních organizace, od technických specialistů až po nejvyšší vedení.
Druhá klíčová role je architekt kybernetické bezpečnosti, který je odpovědný za návrh, implementaci a údržbu celkové bezpečnostní architektury organizace. Tato pozice vyžaduje hluboké technické expertízy v oblasti bezpečnostních technologií, síťové architektury a systémového designu. Architekt musí být schopen vytvářet komplexní bezpečnostní řešení, která nejen chrání organizaci před současnými hrozbami, ale jsou také dostatečně flexibilní a škálovatelná pro budoucí potřeby organizace.
Třetí roleí je garant aktiva, který nese odpovědnost za identifikaci, klasifikaci a ochranu všech informačních aktiv organizace. Tato pozice je kritická pro zajištění, že všechna data, systémy a služby organizace jsou řádně chráněny podle jejich hodnoty a citlivosti. Garant aktiva musí udržovat aktuální inventář všech aktiv, pravidelně vyhodnocovat jejich hodnotu a rizika a zajišťovat implementaci odpovídajících ochranných opatření.
Čtvrtou klíčovou rolí je auditor kybernetické bezpečnosti, který je odpovědný za nezávislé hodnocení efektivity bezpečnostních opatření a compliance s požadavky legislativy a interních politik. Tato pozice vyžaduje nejen technické znalosti, ale také schopnost objektivního hodnocení a komunikace zjištění vedení organizace. Auditor musí pravidelně provádět bezpečnostní audity, testování penetrace a hodnocení souladu s bezpečnostními standardy.
Zákon také explicitně vyžaduje zajištění zastupitelnosti bezpečnostních rolí, zejména pozic manažera a architekta kybernetické bezpečnosti, což je kritické pro zajištění kontinuity bezpečnostních operací v případě nepřítomnosti klíčových osob. Toto vyžaduje od organizací investici do rozvoje více specialistů v oblasti kybernetické bezpečnosti a vytvoření systémů pro předávání znalostí a odpovědností mezi členy bezpečnostního týmu.
