Každých 39 sekund proběhne ve světě kybernetický útok – a tyto útoky jsou stále sofistikovanější. Dosud se přísná bezpečnostní pravidla týkala jen úzkého okruhu „kritických“ organizací, jako jsou banky, telekomunikační operátoři
či provozovatelé klíčové infrastruktury.
Od roku 2025 se ovšem situace zásadně změní: nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2, rozšiřuje okruh regulovaných firem, zpřísňuje požadavky na zabezpečení IT systémů a zavádí vysoké sankce za jejich nedodržení. V tomto článku se dozvíte, koho se nové povinnosti týkají, co konkrétně budou podniky muset splnit a jaké nástroje jim mohou pomoci být na změny připravené.
Proč přichází nový zákon o kybernetické bezpečnosti?
Dosud platný zákon č. 181/2014 Sb. o kybernetické bezpečnosti se zaměřoval především na organizace, které provozují kritickou infrastrukturu. Kybernetické hrozby ale postupem času narostly do takové míry, že samotná ochrana klíčových subjektů již nestačí. Směrnice NIS2 proto klade důraz na rozšíření regulace na firmy z více odvětví a zpřísnění postupů, jež vedou k vyšší kybernetické odolnosti.
Hlavní cíle nové legislativy:
Posílit ochranu podnikových IT systémů před stále sofistikovanějšími útoky.
Zajistit rychlou reakci na bezpečnostní incidenty a minimalizovat jejich dopady.
Zavést standardizovaná pravidla pro firmy napříč Evropskou unií.
Umožnit lepší monitoring a dohled nad dodržováním bezpečnostních opatření.
Kdo musí nový zákon dodržovat?
Nová legislativa se netýká pouze tradičně regulovaných organizací, ale rozšiřuje se na mnohem širší spektrum podniků, které dříve povinnost kybernetické ochrany nemusely řešit.Firmy, které se regulaci budou muset přizpůsobit, spadají do několika kategorií. Změny se dotknou nejen velkých společností, ale také řady menších a středních podniků.
Nově regulované subjekty zahrnují:
Energetické společnosti, banky, nemocnice, telekomunikační operátory a dopravní podniky.
IT firmy a poskytovatele digitálních služeb.
Výrobní a logistické společnosti, které využívají digitální infrastrukturu.
Dodavatelský řetězec firem, které zajišťují klíčové IT služby nebo software.
To znamená, že pokud Vaše firma spravuje citlivé údaje, poskytuje IT služby nebo je součástí většího ekosystému dodavatelských vztahů, budete muset nové povinnosti splnit i Vy.
Na koho se NIS2 nevztahuje?
Subjekty vykonávající činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti nebo obrany.
Místní úřady a veřejná správa (pokud nejsou označeny jako kritické subjekty).
Klíčové změny, které firmy musí zavést:
Povinná implementace bezpečnostních opatření
Firmy budou muset zavést komplexní bezpečnostní strategii, která zahrnuje:
Pravidelnou analýzu kybernetických rizik a zlepšení bezpečnostních opatření.
Ochranu proti ransomwaru, phishingu a sociálnímu inženýrství.
Monitorování síťového provozu a ochranu kritických systémů.
Bezpečné uchovávání a šifrování dat.
Přísné řízení přístupu a nasazení vícefaktorové autentizace.
Povinné hlášení kybernetických incidentů
Při jakémkoliv významném kybernetickém incidentu (např. únik dat, průnik do sítě) vzniká firmám povinnost nahlásit tento útok do 24 až 72 hodin od jeho odhalení. Cílem je minimalizovat škody a zvýšit koordinaci mezi regulátory a napadenými organizacemi.
Zvýšený dohled a vyšší pokuty za nedodržení pravidel
NÚKIB získá větší pravomoci ke kontrolám a ukládání sankcí. Firmy, které nebudou splňovat požadavky nového zákona, mohou čelit vysokým pokutám až do výše 10 milionů EUR nebo 2 % ročního obratu. V krajním případě může dojít až k omezení činnosti dané organizace.
Důraz na bezpečnostní opatření u dodavatelů
Firmy budou muset nejen chránit své vlastní systémy, ale také prověřovat kybernetickou bezpečnost svých dodavatelů. Pokud spolupracujete s externími IT službami nebo software housem, budete muset zajistit, že splňují bezpečnostní normy.
Odpovědnost managementu za kybernetickou bezpečnost
Vrcholový management firem ponese osobní odpovědnost za bezpečnostní opatření organizace. Pokud firma nebude v souladu s novým zákonem, může být odpovědnost přenesena na vedení společnosti.
Cyber Security Audit 2.0 (CSA 2.0) – Kompletní řešení pro Vaši firmu
Jedním z účinných nástrojů, jak splnit přísné požadavky NIS2 a nového zákona o kybernetické bezpečnosti, je právě Cyber Security Audit 2.0 (CSA 2.0).
Tento software:
- Poskytuje automatizovanou analýzu kybernetických rizik a navrhuje odpovídající bezpečnostní opatření.
- Umožňuje pravidelné audity a kontrolu stavu Vaší IT bezpečnosti v reálném čase.
- Je plně kompatibilní s legislativními požadavky (NIS2, ISO 27000, ZoKB).
- Usnadňuje povinné hlášení kybernetických incidentů – vytváří automatické reporty pro regulátory.
- Nabízí modul pro hodnocení bezpečnosti dodavatelů, což je nezbytné pro ochranu celého dodavatelského řetězce.
- Podporuje školení vedoucích pracovníků a zaměstnanců, kteří pak lépe rozumějí principům kybernetické bezpečnosti.
CSA 2.0 je jediný certifikovaný nástroj na českém trhu pro komplexní řízení kybernetické bezpečnosti a analýzu rizik, díky čemuž Vám pomůže být vždy o krok napřed před kybernetickými hrozbami i před novou legislativou.
Nečekejte na první kybernetický incident
Útoky na firmy rostou exponenciálně a legislativa se zpřísňuje. CSA 2.0 dokáže včas odhalit slabá místa a pomůže Vám upravit bezpečnostní strategii tak, abyste splnili všechny požadavky a vyhnuli se tvrdým postihům.
Závěr: Co musí firmy udělat v roce 2025?
Zjistit, zda spadají do rozšířené regulace.
Provést hloubkový audit kybernetické bezpečnosti a identifikovat slabiny.
Zavést technologická i organizační bezpečnostní opatření (šifrování, vícefaktorová autentizace, procesy pro hlášení incidentů apod.).
Prověřit bezpečnostní úroveň dodavatelů a partnerů.
Vzdělávat vedení i zaměstnance, aby uměli rozpoznat hrozby a správně reagovat.
Pravidelně testovat a vyhodnocovat stav zabezpečení – kybernetická ochrana není jednorázová záležitost, ale kontinuální proces.
Potřebujete pomoci s implementací NIS2? Kontaktujte nás nebo vyzkoušejte CSA 2.0 zdarma a zjistěte, zda Vaše firma splňuje požadavky nové legislativy!
