Ještě donedávna řešily kybernetickou bezpečnost hlavně banky, operátoři a velké korporace. Pro většinu středních firem to bylo téma „navíc“.
Od konce roku 2025 se situace změnila.
Nový zákon č. 264/2025 Sb. rozšířil povinnosti na tisíce firem, které se dosud spoléhaly na základní ochranu – antivir, firewall a zdravý rozum.
Tento článek je praktický přehled pro jednatele a IT manažery:
– co musíte řešit
– proč je to důležité
– kde začít
Proč se to týká právě vás
Střední firmy jsou dnes častým cílem útoků.
Typicky:
- mají důležitá data a systémy
- nemají specializovaný bezpečnostní tým
- bezpečnost řeší jeden IT správce „mimochodem“
Podle dostupných statistik zažije kybernetický incident významná část firem každý rok. A mnoho útoků ani není odhaleno.
Co přinesl nový zákon
Zákon č. 264/2025 Sb. (implementace NIS2) rozšířil regulaci na tisíce organizací v ČR.
Pro většinu z nich je to nová situace:
- žádná předchozí regulace
- žádná dokumentace
- žádné formální procesy
Teď ale musí prokazatelně řešit kybernetickou bezpečnost.
5 oblastí, které musíte pokrýt
1. Přehled o aktivech (co vlastně chráníte)
Bez základního přehledu nemá smysl řešit bezpečnost.
Potřebujete vědět:
- jaké systémy provozujete (servery, cloud, aplikace)
- kde jsou vaše data
- kdo k nim přistupuje
- co se stane při výpadku
Vyhláška 410/2025 Sb. to označuje jako řízení aktiv.
V praxi: vytvořte jednoduchý seznam.
2. Řízení přístupů
Častý problém ve firmách:
- sdílená hesla
- zbytečně vysoká oprávnění
- účty bývalých zaměstnanců
Základ:
- oddělit běžné a admin účty
- deaktivovat přístupy při odchodu
- zavést MFA (alespoň e-mail, VPN)
- pravidelně kontrolovat přístupy
3. Zálohování a obnova
Otázka není, jestli dojde k incidentu. Ale kdy.
Minimum:
- pravidelné zálohy (ideálně denně)
- zálohy mimo produkční prostředí
- otestovaná obnova
záloha bez testu = falešný pocit bezpečí
4. Detekce problémů
Bez přehledu o dění v systému nepoznáte útok.
Základ:
- antivir + firewall
- oddělení sítí
- logování přístupů
- alespoň základní kontrola logů
Nemusíte mít pokročilé SOC řešení, ale musíte mít kontrolu.
5. Lidé a školení
Většina incidentů začíná u uživatele.
Proto:
- školení nových zaměstnanců
- pravidelné připomenutí pravidel
- jasný postup při podezřelé situaci
Dokumentace: co musíte mít
Zákon neřeší jen opatření, ale i jejich dokumentaci.
Základní balíček:
- bezpečnostní politika
- přehled opatření
- postup řešení incidentů
- evidence dodavatelů
- plán zlepšení
Bez dokumentace nemáte co prokázat
Kolik to stojí
Záleží na přístupu:
| Varianta | Cena | Dokumentace |
|---|---|---|
| Konzultant | 80 000–200 000+ Kč | kompletní |
| Software | 19 000–29 000 Kč jednorázově + 10 000 Kč měsíčně | velmi omezená nástojem |
| NIS2 Doku | od 4 900 Kč jednorázově | kompletní |
Detailní srovnání v článku o nákladech.
Kde začít (rychlý plán)
- Zjistěte, jestli spadáte pod zákon
- Sepište systémy a data
- Zkontrolujte zálohy
- Projděte přístupy
- Začněte s dokumentací
Pro většinu středních firem je NIS2 první reálné setkání s regulací kybernetické bezpečnosti.
Dobrá zpráva:
– nemusíte začínat od nuly
– nemusíte hned řešit složitá řešení
Stačí začít systematicky.
Chcete mít dokumentaci hotovou bez složitostí?
Časté dotazky (FAQ)
Stačí antivir a firewall?
Nestačí. Je jen část řešení.
Nemáme IT oddělení
Stačí jedna odpovědná osoba (interní nebo externí).
Máme vše v cloudu
Pořád nesete odpovědnost vy.
Kolik času máme?
Obvykle 12 měsíců od registrace.