compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

Napište nám

Kam vám máme odpovědět.

Automaticky přiložíme, na které stránce jste

Bezpečnostní opatření a řízení rizik podle kybernetického zákona

Adéla Barochová·16. července 2026·7 min

Víte, jaká bezpečnostní opatření po vaší firmě kybernetický zákon skutečně vyžaduje a od čeho se celá příprava odvíjí? Klíčem je řízení rizik, které rozhoduje o všem ostatním. Přečtěte si, co musíte zavést, jak sestavit plán bezpečnostních opatření a jak vše správně zdokumentovat.

Stručné shrnutí

Zákon o kybernetické bezpečnosti vyžaduje po firmách v nižším režimu zavedení 13 bezpečnostních opatření podle vyhlášky 410/2025 Sb. Pět z nich je neopominutelných a musí být zavedeno vždy, zbylá firma posuzuje podle vlastní situace. Celý systém stojí na řízení kybernetických rizik, které určuje, co je potřeba chránit a jak. Výstupem je plán bezpečnostních opatření a dokumentace, kterou je nutné udržovat aktuální.

Dokumentace podle ZOKB

Připravte se na NIS2 rychle a bez stresu

Compligen vás provede celým procesem tvorby dokumentace krok za krokem. Bez znalosti legislativy, bez měsíců čekání a za zlomek ceny konzultanta.

Vyzkoušet zdarma

Co jsou bezpečnostní opatření podle kybernetického zákona

Bezpečnostní opatření jsou konkrétní kroky, které musí firma zavést, aby chránila svou službu před kybernetickými hrozbami. Nejde o obecná doporučení, ale o přesně vymezené požadavky dané zákonem a prováděcí vyhláškou.

Co vyžaduje zákon 264/2025 Sb. a vyhláška 410/2025 Sb.

Zákon 264/2025 Sb. stanovuje, kdo je povinným subjektem a jaké má povinnosti. Sám o sobě ale neurčuje konkrétní technické detaily. Ty upřesňuje až prováděcí předpis.

Vyhláška 410/2025 Sb. definuje pro firmy v nižším režimu třináct bezpečnostních opatření, která pokrývají jak organizační, tak technickou stránku bezpečnosti. Ke každému opatření zároveň vyžaduje odpovídající dokumentaci, kterou firma prokazuje, že opatření skutečně zavedla. 

Podrobný přehled toho, co obnáší režim nižších povinností, najdete v samostatném článku. Oba předpisy je nutné vnímat společně. Zákon říká co a proč, vyhláška pak jak a v jakém rozsahu.

Neopominutelná a vyhodnotitelná opatření

Vyhláška rozděluje opatření do dvou skupin, což je pro firmy zásadní rozlišení. Neopominutelná opatření musí firma zavést vždy, bez ohledu na svou velikost, obor nebo posouzení rizik.

Mezi neopominutelná opatření patří:

  • systém zajišťování minimální kybernetické bezpečnosti
  • požadavky na vrcholné vedení
  • bezpečnost lidských zdrojů
  • řízení kontinuity činností
  • řešení kybernetických bezpečnostních incidentů

Vyhodnotitelná opatření naproti tomu firma zavádí podle výsledků vlastního posouzení. Pokud dojde k závěru, že se jí konkrétní opatření netýká, může jej odůvodněně nezavést. To odůvodnění ale musí být doložitelné a vycházet z analýzy rizik, nikoli z pohodlnosti.

Přehled bezpečnostních opatření pro nižší režim

Třináct opatření vyhlášky lze rozdělit podle toho, zda se týkají spíše procesů a lidí, nebo technologií. Obě skupiny jsou stejně důležité a vzájemně se doplňují.

Organizační opatření

Organizační opatření se týkají řízení, procesů a lidí ve firmě. Zahrnují nastavení celého systému bezpečnosti, zapojení vedení, evidenci aktiv, řízení rizik, bezpečnost lidských zdrojů, řízení kontinuity činností a zvládání incidentů.

Právě tato opatření firmy nejčastěji podceňují, protože nejsou vidět. Přitom jsou to ony, které rozhodují o tom, jestli bezpečnost ve firmě skutečně funguje. Bez jasně určených odpovědností a procesů zůstávají i ty nejlepší technologie bez efektu. Zákon proto výslovně řeší bezpečnostní role a odpovědnost vedení.

Technická opatření

Technická opatření se soustředí na konkrétní zabezpečení systémů a dat. Patří sem řízení přístupu, správa identit a oprávnění, detekce bezpečnostních událostí, bezpečnost komunikačních sítí, aplikační bezpečnost a použití kryptografických algoritmů.

Vyhláška je v některých bodech velmi konkrétní. U hesel například stanovuje minimální délku 12 znaků pro běžné uživatele, 17 znaků pro administrátory a 22 znaků pro technická aktiva. Hesla je nutné měnit alespoň jednou za 18 měsíců a systém si musí pamatovat minimálně 12 předchozích. 

Vyžadováno je také vícefaktorové ověřování, přičemž vyhláška připouští i alternativy v podobě kryptografických klíčů nebo autentizace na principu nulové důvěry.

SkupinaOpatření
OrganizačníSystém zajišťování minimální kybernetické bezpečnosti
OrganizačníPožadavky na vrcholné vedení
OrganizačníŘízení aktiv
OrganizačníŘízení rizik
OrganizačníBezpečnost lidských zdrojů
OrganizačníŘízení kontinuity činností
OrganizačníŘešení kybernetických bezpečnostních incidentů
TechnickéŘízení přístupu
TechnickéŘízení identit a jejich oprávnění
TechnickéDetekce a zaznamenávání bezpečnostních událostí
TechnickéBezpečnost komunikačních sítí
TechnickéAplikační bezpečnost
TechnickéKryptografické algoritmy

Řízení kybernetických rizik

Řízení kybernetických rizik je jádrem celého systému. Není to jedno z třinácti opatření mezi ostatními, ale proces, ze kterého se odvíjí vše ostatní.

Proč se vše odvíjí od rizik

Bez znalosti rizik firma neví, co má vlastně chránit a jak intenzivně. Řízení rizik určuje priority a rozhoduje o tom, která opatření a v jakém rozsahu firma zavede.

To je zároveň důvod, proč vyhláška u vyhodnotitelných opatření umožňuje odůvodněné nezavedení. Rozhodnutí ale musí vycházet právě z posouzení rizik, ne z odhadu. Firma, která rizika nezná, nedokáže své rozhodnutí obhájit ani při kontrole.

Řízení rizik zároveň propojuje jednotlivé oblasti bezpečnosti do funkčního celku, na kterém stojí i všechny základní prvky kybernetické bezpečnosti.

Jak řízení kybernetických rizik probíhá

Proces má několik logických kroků, které na sebe navazují. Nejprve firma zmapuje svá aktiva, tedy služby, data a systémy, na kterých závisí poskytování regulované služby, a přiřadí k nim technická aktiva i dodavatele.

Následně identifikuje hrozby a zranitelnosti, které se k jednotlivým aktivům vážou. U každého rizika pak posoudí, jak pravděpodobné je, že nastane, a jaký dopad by mělo. Na základě toho firma rizika ohodnotí a seřadí podle priority.

Teprve v posledním kroku se rozhoduje, jak s riziky naložit. Firma může riziko snížit zavedením opatření, přenést jej například na pojišťovnu, nebo jej vědomě přijmout. Každé rozhodnutí ale musí být zdůvodněné a zaznamenané.

Plán bezpečnostních opatření a jak ho sestavit

Plán bezpečnostních opatření je dokument, který převádí výsledky analýzy rizik do konkrétních kroků. Ukazuje, co firma zavede, kdo za to odpovídá a do kdy to bude hotové.

Co musí plán bezpečnostních opatření obsahovat

Dobrý plán bezpečnostních opatření vždy vychází z reálného stavu firmy. Měl by obsahovat přehled jednotlivých opatření a informaci o tom, zda jsou zavedena, nebo ne. U opatření, která zavedena nejsou, musí být uveden konkrétní postup nápravy.

Ke každému kroku patří odpovědná osoba a termín. Bez toho jde jen o seznam přání, nikoli o plán. Součástí je také odůvodnění u opatření, která firma nezavádí, aby bylo doložitelné, že rozhodnutí vychází z posouzení rizik.

Jak zjistit, kde má firma mezery

Zjistit mezery znamená porovnat aktuální stav firmy s požadavky vyhlášky. Prakticky to probíhá tak, že u každého opatření firma poctivě odpoví, zda jej má zavedené, částečně zavedené, nebo vůbec.

Tento krok je náročný na znalost vyhlášky, protože posoudit soulad vyžaduje vědět, co přesně předpis požaduje. Návod, jak splnit požadavky NIS2 krok za krokem, jsme popsali samostatně.

Právě s vyhodnocením mezer pomáhá Compligen. Online průvodce se vás srozumitelně ptá na to, jak vaše firma funguje, z odpovědí sám vyhodnotí, kde máte oproti vyhlášce mezery, a sestaví plán nápravy včetně návrhu, jak dané opatření zavést.

Jak opatření zdokumentovat a udržovat

Zavedení opatření je jen polovina práce. Firma musí být schopna doložit, že opatření skutečně existují a fungují. K tomu slouží dokumentace.

Dokumentace k jednotlivým opatřením

Ke každému opatření musí existovat odpovídající dokumentace, která popisuje, jak je ve firmě zavedeno. Mezi klíčové dokumenty patří bezpečnostní politika, analýza rizik, evidence aktiv, pravidla řízení přístupů nebo plán reakce na incidenty.

Zásadní je, aby dokumentace odpovídala skutečnosti. Obecné šablony stažené z internetu bez úpravy na konkrétní firmu při kontrole neobstojí. Kontrolní orgán totiž porovnává, zda to, co je na papíře, odpovídá reálnému fungování firmy.

Aktualizace a přehled bezpečnostních opatření

Klíčovým dokumentem je přehled bezpečnostních opatření. Ten shrnuje, která opatření firma zavedla, v jakém rozsahu a proč případně některá nezavedla.

Tento přehled je nutné uchovávat minimálně čtyři roky a aktualizovat alespoň jednou ročně. Bezpečnost totiž není jednorázová záležitost. Firma se vyvíjí, mění systémy i dodavatele, a dokumentace to musí odrážet. Pravidelná aktualizace je proto povinností, nikoli doporučením.

Závěr

Bezpečnostní opatření a řízení rizik podle kybernetického zákona tvoří provázaný systém, ve kterém analýza rizik určuje, co a v jakém rozsahu firma zavede. Vyhláška 410/2025 Sb. stanovuje pro nižší režim třináct opatření, z nichž pět je neopominutelných a musí být zavedeno vždy. Výstupem celého procesu je plán bezpečnostních opatření a dokumentace, která musí odpovídat skutečnému stavu firmy a být pravidelně aktualizována. Připravit vše ručně je náročné, proto vám s celým procesem pomůže Compligen.

Dokumentaci zvládnete online

Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.

20+ dokumentů ke 13 opatřením vyhlášky.

Podívejte se, jak to funguje

Přečtěte si také

Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.