Co musí vedení firem povinně zajistiti ohledně kyberbezpečnosti od listopadu 2025?
Od 1. listopadu 2025 vstupuje v platnost nový zákon o kybernetické bezpečnosti, Tento zákon implementuje do českého právního řádu evropskou směrnici NIS2 (Network and Information Systems Directive 2), která byla přijata na úrovni Evropské unie s cílem harmonizovat a zesílit kybernetickou bezpečnost napříč všemi členskými státy. Směrnice NIS2 reaguje na stále se zvyšující počet kybernetických útoků a jejich sofistikovanost, přičemž klade důraz na proaktivní přístup k zajištění kybernetické bezpečnosti namísto reaktivního řešení vzniklých problémů.
Klíčovou změnou, kterou nový zákon přináší, je výrazně větší zapojení a odpovědnost jednatelů a členů představenstev firem v zajištění kybernetické bezpečnosti. Dosavadní přístup, kdy byla kybernetická bezpečnost často delegována pouze na IT oddělení nebo externí dodavatele, již nebude postačující. Vedení společností se musí aktivně podílet na vytváření bezpečnostní strategie, zajišťování zdrojů a kontrole implementace bezpečnostních opatření.
Základní povinnosti pro všechny regulované organizace
Ohlášení poskytovaných služeb a registrace
Jednou z prvních povinností, kterou musí organizace splnit, je formální ohlášení služby, kterou poskytuje, příslušnému regulačnímu orgánu. Tento proces vyžaduje detailní popis poskytovaných služeb, jejich klasifikaci podle odvětví působnosti a určení, zda služba spadá do kategorie kritické infrastruktury nebo jiné regulované oblasti. Organizace musí také pravidelně aktualizovat tyto informace v případě změn v charakteru poskytovaných služeb nebo rozšíření podnikatelských aktivit.
Určení odpovědných osob
Dalším krokem je nahlášení kontaktních údajů osob odpovědných za kybernetickou bezpečnost v organizaci. Tyto osoby musí mít nejen odpovídající technické znalosti a certifikace, ale také jasně definované pravomoci a odpovědnosti. Kontaktní údaje musí být neustále aktuální a dostupné regulačním orgánům 24 hodin denně, 7 dní v týdnu, aby bylo možné v případě kybernetického incidentu okamžitě navázat komunikaci.
Implementace bezpečnostních opatření
Postupné zavádění bezpečnostních opatření představuje dlouhodobý proces, který vyžaduje systematický přístup a značné finanční i lidské zdroje. Organizace musí vytvořit harmonogram implementace, který bude respektovat jak technické možnosti společnosti, tak finanční limity. Bezpečnostní opatření musí pokrývat všechny aspekty kybernetické bezpečnosti, včetně technických, organizačních a personálních opatření.
Hlášení kybernetických incidentů
Povinnost hlášení kybernetických bezpečnostních incidentů se stává jedním z nejkritičtějších aspektů nové legislativy. Organizace musí mít zavedené procesy pro rychlou identifikaci, vyhodnocení a nahlášení incidentů příslušným orgánům. Hlášení musí být provedeno v zákonných lhůtách a obsahovat všechny relevantní informace o charakteru incidentu, jeho dopadu a přijatých opatřeních.
Implementace protiopatření NÚKIB
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) může vydávat specifická protiopatření, která musí organizace povinně implementovat. Tato opatření moují zahrnovat jak preventivní kroky, tak reaktivní opatření v případě zjištěných hrozeb nebo probíhajících útoků.
Dvouúrovňový systém povinností
Zákon stanovuje dva odlišné režimy povinností podle charakteru a významu služeb, které organizace poskytuje. Toto rozlišení umožňuje přiměřené nastavení požadavků podle míry rizika a dopadu na společnost.
Režim vyšších povinností – detailní požadavky na vedení
Povinná školení pro vedení
Vedení firem spadajících do režimu vyšších povinností musí od 1. listopadu 2025 prokazatelně absolvovat příslušná školení v oblasti kybernetické bezpečnosti. Tato školení nemohou být pouze formální, ale musí poskytovat praktické znalosti a dovednosti potřebné pro efektivní řízení kybernetické bezpečnosti. Školení musí pokrývat aktuální hrozby, nejnovější technologie ochrany, právní požadavky a nejlepší praktiky v oboru. Vedení musí také pravidelně aktualizovat své znalosti prostřednictvím pokračujícího vzdělávání a specializovaných kurzů.
Stanovení bezpečnostní politiky a cílů
Zajištění stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací představuje zásadní strategický úkol. Bezpečnostní politika musí být slučitelná se strategickým směřováním organizace a musí odrážet specifické potřeby a rizika daného odvětví. Cíle musí být konkrétní, měřitelné, dosažitelné, relevantní a časově ohraničené (SMART). Politika musí být pravidelně přezkoumávána a aktualizována v reakci na měnící se hrozby a technologie.
Zajištění zdrojů
Vedení musí zajistit dostupnost všech zdrojů potřebných pro efektivní fungování systému řízení bezpečnosti informací. To zahrnuje nejen finanční prostředky na nákup bezpečnostních technologií a služeb, ale také lidské zdroje s odpovídajícími kompetencemi, technickou infrastrukturu, prostory pro bezpečné umístění kritických systémů a čas potřebný pro implementaci a údržbu bezpečnostních opatření.
Analýza dopadů
Podílení se na vypracování analýzy dopadů vyžaduje od vedení hluboké porozumění obchodním procesům a jejich vzájemným vazbám. Analýza musí identifikovat kritické aktiva, procesy a služby, vyhodnotit potenciální dopady různých scénářů kybernetických incidentů a stanovit priority pro ochranu a obnovu. Vedení musí zajistit, že analýza je pravidelně aktualizována a že její výsledky jsou promítnuty do strategických rozhodnutí.
Podpora bezpečnostních rolí
Vedení má povinnost podporovat osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v jejich oblastech odpovědnosti. Tato podpora musí být jak formální prostřednictvím jasně definovaných pravomocí a odpovědností, tak neformální prostřednictvím vytváření kultury bezpečnosti v organizaci. Vedení musí také zajistit, aby bezpečnostní pracovníci měli přímý přístup k managementu a aby jejich doporučení byla brána vážně.
Stanovení pravidel pro administrátory a bezpečnostní role
Zajištění stanovení jasných pravidel pro určení administrátorů a osob zastávajících bezpečnostní role je kritické pro efektivní řízení bezpečnosti. Tato pravidla musí definovat kvalifikační požadavky, proces výběru, pravomoci a odpovědnosti, reporting strukturu a mechanismy kontroly. Musí také stanovit postupy pro pravidelné přezkoumání oprávnění a rotaci klíčových pozic.
Zajištění mlčenlivosti
Vedení musí zajistit zachování mlčenlivosti u všech relevantních osob, zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů. To vyžaduje nejen formální smluvní ujednání, ale také pravidelné školení o povinnosti mlčenlivosti, monitorování dodržování těchto povinností a sankční mechanismy v případě porušení.
Pravomoci a zdroje pro bezpečnostní role
Pro osoby zastávající bezpečnostní role musí vedení zajistit pravomoci potřebné pro naplňování jejich rolí a odpovídající zdroje včetně rozpočtových prostředků. To znamená, že bezpečnostní pracovníci musí mít možnost přijímat a implementovat bezpečnostní opatření, požadovat změny v procesech a systémech, a mít přístup k finančním prostředkům potřebným pro plnění jejich úkolů.
Testování kontinuity a obnovy
Zajištění testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů je klíčové pro ověření připravenosti organizace. Testování musí být pravidelné, systematické a musí pokrývat různé scénáře incidentů. Výsledky testování musí být dokumentovány a využity pro zlepšení plánů a procesů.
Režim nižších povinností – základní požadavky
Technická bezpečnost a řízení přístupů
V režimu nižších povinností musí jednatelé a členové představenstev zajistit technickou bezpečnost systémů, včetně řízení přístupů a správy hesel. To zahrnuje implementaci silných autentizačních mechanismů, pravidelnou aktualizaci bezpečnostních prvků, monitoring síťového provozu a ochranu proti malware a jiným hrozbám.
Školení a řízení lidských zdrojů
Zabezpečení školení zaměstnanců a efektivní řízení lidských zdrojů v kontextu kybernetické bezpečnosti je kritické pro minimalizaci lidského faktoru jako zdroje bezpečnostních rizik. Zaměstnanci musí být pravidelně školeni v rozpoznávání a hlášení bezpečnostních hrozeb, používání bezpečnostních nástrojů a dodržování bezpečnostních postupů.
Strategické řízení bezpečnosti
Zajištění strategického řízení bezpečnosti vyžaduje od vedenia vytvoření dlouhodobé vize kybernetické bezpečnosti, stanovení priorit a alokaci zdrojů. Strategické řízení musí být integrováno do celkové obchodní strategie organizace.
Detekce útoků a řízení incidentů
Zabezpečení efektivní detekce útoků, řízení incidentů a plánu obnovy vyžaduje implementaci monitorovacích systémů, vytvoření incidentního týmu a pravidelné testování postupů reakce na incidenty.
Bezpečnost dodavatelských vztahů
Zajištění bezpečnosti ve smluvních vztazích s dodavateli je kritické vzhledem k rostoucím rizikům spojeným s dodavatelským řetězcem. Organizace musí vyhodnotit bezpečnostní rizika svých dodavatelů a implementovat odpovídající smluvní záruky a kontrolní mechanismy.
Klíčové bezpečnostní role
Manažer kybernetické bezpečnosti
Manažer kybernetické bezpečnosti je zodpovědný za celkové řízení kybernetické bezpečnosti v organizaci, koordinaci bezpečnostních aktivit a komunikaci s vedením i externími partnery.
Architekt kybernetické bezpečnosti
Architekt kybernetické bezpečnosti navrhuje a implementuje technické bezpečnostní řešení, zajišťuje jejich integraci do IT infrastruktury a sleduje technologické trendy v oblasti bezpečnosti.
Garant aktiva
Garant aktiva je zodpovědný za identifikaci, klasifikaci a ochranu specifických aktiv organizace, včetně dat, systémů a procesů.
Auditor kybernetické bezpečnosti
Auditor kybernetické bezpečnosti provádí nezávislé hodnocení efektivity bezpečnostních opatření a compliance s požadavky legislativy.
Zajištění zastupitelnosti
Organizace musí zajistit zastupitelnost všech klíčových bezpečnostních rolí, aby byla zabezpečena kontinuita bezpečnostních procesů i v případě absence klíčových osob.
Mohlo by vás také zajímat: Novým předpisům o kyberbezpečnosti se bude muset přizpůsobit většina firem Musí se odměna jednatele za výkon funkce danit?