Zákon o kyberbezpečnosti: Jak se připravit na nové povinnosti ve vaší firmě
Poslanecká sněmovna schválila 25. dubna nový zákon o kybernetické bezpečnosti (NZKB), který významně mění pravidla a povinnosti pro firmy i organizace v Česku. Očekává se, že tento zákon nabude účinnosti ve druhé polovině letošního roku. Pokud chcete být v souladu s novou legislativou a vyhnout se možným sankcím, je nezbytné se na změny připravit včas.
Klíčové povinnosti podle nového zákona o kybernetické bezpečnosti
Nová legislativa zavádí komplexní soubor povinností, které mají zajistit vyšší úroveň kybernetické bezpečnosti a ochrany před rostoucími kybernetickými hrozbami. Mezi hlavní povinnosti zákona patří:
- Registrace regulovaných služeb (§ 6): firmy musí registrovat své regulované služby do 30 dnů od splnění identifikačních kritérií nebo od účinnosti zákona.
- Hlášení kontaktních údajů (§ 11): povinnost hlásit nové kontaktní údaje do 30 dnů a změny do 15 dnů.
- Stanovení rozsahu řízení kybernetické bezpečnosti (§ 12): organizace musí určit, v jakém rozsahu kyberbezpečnostní opatření zavádí, jinak se předpokládá jejich plná aplikace.
- Implementace bezpečnostních opatření (§ 13): zavedení technických a organizačních opatření v předepsaném režimu (vyšším či nižším) do jednoho roku od zařazení do evidence.
- Hlášení kybernetických incidentů (§ 15): povinnost okamžitě hlásit kybernetické bezpečnostní incidenty příslušným orgánům veřejné moci podle jejich závažnosti.
- Reakce na protiopatření (§ 20): organizace musí okamžitě reagovat na varování a opatření stanovená Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).
Jak správně nastavit adaptační projekt na novou legislativu?
Úspěšná implementace požadavků zákona o kyberbezpečnosti vyžaduje systematický a promyšlený přístup. Doporučený postup zahrnuje tyto klíčové kroky:
1. Expoziční analýza – identifikujte rozsah působnosti
Prvním krokem je expoziční analýza, která pomůže určit, zda a v jakém rozsahu se na vaši organizaci vztahují povinnosti podle nové legislativy. Analýza vychází z kritérií stanovených směrnicí NIS2, například podle velikosti firmy, počtu zaměstnanců, hodnoty aktiv či obratu a významu poskytovaných služeb pro společnost.
Na základě analýzy zjistíte, zda na vás dopadá vyšší či nižší režim povinností. Vyšší režim znamená širší rozsah opatření v souladu s náročnějšími požadavky, nižší režim se zaměřuje na základní bezpečnostní opatření kybernetické hygieny. K tomu lze využít i dostupnou „kalkulačku“ na portálu NÚKIB.
2. Zmapování aktuálního stavu a slabin
Dalším krokem je důkladné zmapování současného stavu kybernetické bezpečnosti ve firmě:
- Identifikace klíčových aktiv – fyzických (servery, zařízení), digitálních (data, systémy) i lidských zdrojů.
- Analýza kybernetických rizik – hodnocení hrozeb a jejich dopadu na organizaci.
- Dokumentace stávajících bezpečnostních opatření – technických i organizačních.
- GAP analýza – porovnání současného stavu s požadavky nové legislativy a identifikace mezer.
Výsledkem je přehled o slabinách, rizicích a potřebných opatřeních pro naplnění zákonných požadavků.
3. Stanovení priorit a plánu adaptace
Na základě zmapování stavu a GAP analýzy je třeba nastavit realistický a proveditelný plán adaptace, který zohlední finanční a personální kapacity organizace. Prioritizujte klíčové oblasti a služby, které vyžadují nejrychlejší zavedení opatření. Důraz na správné plánování doporučuje i NÚKIB jako zásadní pro dlouhodobou udržitelnost souladu s legislativou.
4. Implementace bezpečnostních opatření
Praktická implementace opatření je klíčovou fází:
- Zavedení technických i organizačních opatření – fyzická bezpečnost, šifrování, řízení přístupu.
- Jmenování odpovědné osoby za kybernetickou bezpečnost (např. CISO).
- Vypracování bezpečnostní dokumentace – politiky, plány řízení incidentů, metodiky.
- Řízení dodavatelů – stanovení smluvních standardů a bezpečnostních záruk, pravidelné hodnocení dodavatelů.
- Školení zaměstnanců – pravidelná osvěta o kybernetické hygieně a bezpečnostních postupech.
- Testování a audit zavedených opatření – penetrační testy, simulace kybernetických útoků.
Dodržujte plán, postupujte krok za krokem a nezahlcujte organizační kapacity.
5. Kontinuální zlepšování kybernetické bezpečnosti
Kybernetická bezpečnost není jednorázová záležitost. Vyžaduje průběžné monitorování, aktualizace a přizpůsobení se novým hrozbám a legislativním změnám. Pravidelné audity a testy zajistí, že vaše opatření budou stále efektivní.
Doporučení na závěr
- Nepodceňujte přípravu na nový zákon o kybernetické bezpečnosti – začněte s adaptačním projektem co nejdříve.
- Řiďte se zásadou přiměřenosti – investujte do bezpečnostních opatření odpovídajících rizikům.
- Většinu základních kroků zvládnete sami, postupujte systematicky a plánovitě.
- Kybernetická bezpečnost znamená nejen legislativní soulad, ale i ochranu dat, systémů, dobré reputace a kontinuity vašeho podnikání.
Připravte svou firmu na nové výzvy v oblasti kybernetické bezpečnosti a získejte jistotu, že splníte všechny povinnosti podle platného zákona.
