Bezpečnostní opatření a řízení rizik podle kybernetického zákona
Víte, jaká bezpečnostní opatření po vaší firmě kybernetický zákon skutečně vyžaduje a od čeho se celá příprava odvíjí? Klíčem je řízení rizik, které rozhoduje o všem ostatním. Přečtěte si, co musíte zavést, jak sestavit plán bezpečnostních opatření a jak vše správně zdokumentovat.
Stručné shrnutí
Zákon o kybernetické bezpečnosti vyžaduje po firmách v nižším režimu zavedení 13 bezpečnostních opatření podle vyhlášky 410/2025 Sb. Pět z nich je neopominutelných a musí být zavedeno vždy, zbylá firma posuzuje podle vlastní situace. Celý systém stojí na řízení kybernetických rizik, které určuje, co je potřeba chránit a jak. Výstupem je plán bezpečnostních opatření a dokumentace, kterou je nutné udržovat aktuální.
Připravte se na NIS2 rychle a bez stresu
Compligen vás provede celým procesem tvorby dokumentace krok za krokem. Bez znalosti legislativy, bez měsíců čekání a za zlomek ceny konzultanta.
Vyzkoušet zdarmaCo jsou bezpečnostní opatření podle kybernetického zákona
Bezpečnostní opatření jsou konkrétní kroky, které musí firma zavést, aby chránila svou službu před kybernetickými hrozbami. Nejde o obecná doporučení, ale o přesně vymezené požadavky dané zákonem a prováděcí vyhláškou.
Co vyžaduje zákon 264/2025 Sb. a vyhláška 410/2025 Sb.
Zákon 264/2025 Sb. stanovuje, kdo je povinným subjektem a jaké má povinnosti. Sám o sobě ale neurčuje konkrétní technické detaily. Ty upřesňuje až prováděcí předpis.
Vyhláška 410/2025 Sb. definuje pro firmy v nižším režimu třináct bezpečnostních opatření, která pokrývají jak organizační, tak technickou stránku bezpečnosti. Ke každému opatření zároveň vyžaduje odpovídající dokumentaci, kterou firma prokazuje, že opatření skutečně zavedla.
Podrobný přehled toho, co obnáší režim nižších povinností, najdete v samostatném článku. Oba předpisy je nutné vnímat společně. Zákon říká co a proč, vyhláška pak jak a v jakém rozsahu.
Neopominutelná a vyhodnotitelná opatření
Vyhláška rozděluje opatření do dvou skupin, což je pro firmy zásadní rozlišení. Neopominutelná opatření musí firma zavést vždy, bez ohledu na svou velikost, obor nebo posouzení rizik.
Mezi neopominutelná opatření patří:
- systém zajišťování minimální kybernetické bezpečnosti
- požadavky na vrcholné vedení
- bezpečnost lidských zdrojů
- řízení kontinuity činností
- řešení kybernetických bezpečnostních incidentů
Vyhodnotitelná opatření naproti tomu firma zavádí podle výsledků vlastního posouzení. Pokud dojde k závěru, že se jí konkrétní opatření netýká, může jej odůvodněně nezavést. To odůvodnění ale musí být doložitelné a vycházet z analýzy rizik, nikoli z pohodlnosti.
Přehled bezpečnostních opatření pro nižší režim
Třináct opatření vyhlášky lze rozdělit podle toho, zda se týkají spíše procesů a lidí, nebo technologií. Obě skupiny jsou stejně důležité a vzájemně se doplňují.
Organizační opatření
Organizační opatření se týkají řízení, procesů a lidí ve firmě. Zahrnují nastavení celého systému bezpečnosti, zapojení vedení, evidenci aktiv, řízení rizik, bezpečnost lidských zdrojů, řízení kontinuity činností a zvládání incidentů.
Právě tato opatření firmy nejčastěji podceňují, protože nejsou vidět. Přitom jsou to ony, které rozhodují o tom, jestli bezpečnost ve firmě skutečně funguje. Bez jasně určených odpovědností a procesů zůstávají i ty nejlepší technologie bez efektu. Zákon proto výslovně řeší bezpečnostní role a odpovědnost vedení.
Technická opatření
Technická opatření se soustředí na konkrétní zabezpečení systémů a dat. Patří sem řízení přístupu, správa identit a oprávnění, detekce bezpečnostních událostí, bezpečnost komunikačních sítí, aplikační bezpečnost a použití kryptografických algoritmů.
Vyhláška je v některých bodech velmi konkrétní. U hesel například stanovuje minimální délku 12 znaků pro běžné uživatele, 17 znaků pro administrátory a 22 znaků pro technická aktiva. Hesla je nutné měnit alespoň jednou za 18 měsíců a systém si musí pamatovat minimálně 12 předchozích.
Vyžadováno je také vícefaktorové ověřování, přičemž vyhláška připouští i alternativy v podobě kryptografických klíčů nebo autentizace na principu nulové důvěry.
| Skupina | Opatření |
|---|---|
| Organizační | Systém zajišťování minimální kybernetické bezpečnosti |
| Organizační | Požadavky na vrcholné vedení |
| Organizační | Řízení aktiv |
| Organizační | Řízení rizik |
| Organizační | Bezpečnost lidských zdrojů |
| Organizační | Řízení kontinuity činností |
| Organizační | Řešení kybernetických bezpečnostních incidentů |
| Technické | Řízení přístupu |
| Technické | Řízení identit a jejich oprávnění |
| Technické | Detekce a zaznamenávání bezpečnostních událostí |
| Technické | Bezpečnost komunikačních sítí |
| Technické | Aplikační bezpečnost |
| Technické | Kryptografické algoritmy |
Řízení kybernetických rizik
Řízení kybernetických rizik je jádrem celého systému. Není to jedno z třinácti opatření mezi ostatními, ale proces, ze kterého se odvíjí vše ostatní.
Proč se vše odvíjí od rizik
Bez znalosti rizik firma neví, co má vlastně chránit a jak intenzivně. Řízení rizik určuje priority a rozhoduje o tom, která opatření a v jakém rozsahu firma zavede.
To je zároveň důvod, proč vyhláška u vyhodnotitelných opatření umožňuje odůvodněné nezavedení. Rozhodnutí ale musí vycházet právě z posouzení rizik, ne z odhadu. Firma, která rizika nezná, nedokáže své rozhodnutí obhájit ani při kontrole.
Řízení rizik zároveň propojuje jednotlivé oblasti bezpečnosti do funkčního celku, na kterém stojí i všechny základní prvky kybernetické bezpečnosti.
Jak řízení kybernetických rizik probíhá
Proces má několik logických kroků, které na sebe navazují. Nejprve firma zmapuje svá aktiva, tedy služby, data a systémy, na kterých závisí poskytování regulované služby, a přiřadí k nim technická aktiva i dodavatele.
Následně identifikuje hrozby a zranitelnosti, které se k jednotlivým aktivům vážou. U každého rizika pak posoudí, jak pravděpodobné je, že nastane, a jaký dopad by mělo. Na základě toho firma rizika ohodnotí a seřadí podle priority.
Teprve v posledním kroku se rozhoduje, jak s riziky naložit. Firma může riziko snížit zavedením opatření, přenést jej například na pojišťovnu, nebo jej vědomě přijmout. Každé rozhodnutí ale musí být zdůvodněné a zaznamenané.
Plán bezpečnostních opatření a jak ho sestavit
Plán bezpečnostních opatření je dokument, který převádí výsledky analýzy rizik do konkrétních kroků. Ukazuje, co firma zavede, kdo za to odpovídá a do kdy to bude hotové.
Co musí plán bezpečnostních opatření obsahovat
Dobrý plán bezpečnostních opatření vždy vychází z reálného stavu firmy. Měl by obsahovat přehled jednotlivých opatření a informaci o tom, zda jsou zavedena, nebo ne. U opatření, která zavedena nejsou, musí být uveden konkrétní postup nápravy.
Ke každému kroku patří odpovědná osoba a termín. Bez toho jde jen o seznam přání, nikoli o plán. Součástí je také odůvodnění u opatření, která firma nezavádí, aby bylo doložitelné, že rozhodnutí vychází z posouzení rizik.
Jak zjistit, kde má firma mezery
Zjistit mezery znamená porovnat aktuální stav firmy s požadavky vyhlášky. Prakticky to probíhá tak, že u každého opatření firma poctivě odpoví, zda jej má zavedené, částečně zavedené, nebo vůbec.
Tento krok je náročný na znalost vyhlášky, protože posoudit soulad vyžaduje vědět, co přesně předpis požaduje. Návod, jak splnit požadavky NIS2 krok za krokem, jsme popsali samostatně.
Právě s vyhodnocením mezer pomáhá Compligen. Online průvodce se vás srozumitelně ptá na to, jak vaše firma funguje, z odpovědí sám vyhodnotí, kde máte oproti vyhlášce mezery, a sestaví plán nápravy včetně návrhu, jak dané opatření zavést.
Jak opatření zdokumentovat a udržovat
Zavedení opatření je jen polovina práce. Firma musí být schopna doložit, že opatření skutečně existují a fungují. K tomu slouží dokumentace.
Dokumentace k jednotlivým opatřením
Ke každému opatření musí existovat odpovídající dokumentace, která popisuje, jak je ve firmě zavedeno. Mezi klíčové dokumenty patří bezpečnostní politika, analýza rizik, evidence aktiv, pravidla řízení přístupů nebo plán reakce na incidenty.
Zásadní je, aby dokumentace odpovídala skutečnosti. Obecné šablony stažené z internetu bez úpravy na konkrétní firmu při kontrole neobstojí. Kontrolní orgán totiž porovnává, zda to, co je na papíře, odpovídá reálnému fungování firmy.
Aktualizace a přehled bezpečnostních opatření
Klíčovým dokumentem je přehled bezpečnostních opatření. Ten shrnuje, která opatření firma zavedla, v jakém rozsahu a proč případně některá nezavedla.
Tento přehled je nutné uchovávat minimálně čtyři roky a aktualizovat alespoň jednou ročně. Bezpečnost totiž není jednorázová záležitost. Firma se vyvíjí, mění systémy i dodavatele, a dokumentace to musí odrážet. Pravidelná aktualizace je proto povinností, nikoli doporučením.
Závěr
Bezpečnostní opatření a řízení rizik podle kybernetického zákona tvoří provázaný systém, ve kterém analýza rizik určuje, co a v jakém rozsahu firma zavede. Vyhláška 410/2025 Sb. stanovuje pro nižší režim třináct opatření, z nichž pět je neopominutelných a musí být zavedeno vždy. Výstupem celého procesu je plán bezpečnostních opatření a dokumentace, která musí odpovídat skutečnému stavu firmy a být pravidelně aktualizována. Připravit vše ručně je náročné, proto vám s celým procesem pomůže Compligen.
Dokumentaci zvládnete online
Compligen průvodce vytvoří NIS2 dokumentaci na míru vaší firmě.
20+ dokumentů ke 13 opatřením vyhlášky.
Podívejte se, jak to fungujePřečtěte si také
- Jak splnit NIS2 požadavky?Jak splnit požadavky NIS2 bez chaosu? Přečtěte si návod krok za krokem, jak připravit dokumentaci podle vyhlášky 410/2025 Sb.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.