compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

průvodce

Kybernetická bezpečnost pro střední firmy: praktický průvodce 2026

Lukáš Vencálek·27. března 2026·5 min·Naposledy aktualizováno 27. března 2026

Donedávna kyberbezpečnost řešily jen banky, telekomunikace a velké korporace. Od listopadu 2025 se to změnilo. Zákon č. 264/2025 Sb. přinesl povinnosti tisícům středních firem, které doteď spoléhaly na antivir a zdravý rozum.

Tento průvodce je pro jednatele a IT manažery, kteří potřebují vědět co řešit, proč a jak – bez zbytečné teorie.

Proč se to týká právě vás

Čísla mluví jasně

Průzkum Appsec/Ipsos z února 2026: 21 % českých firem zažilo kybernetický útok v posledním roce. Každá pátá firma. A to jsou jen ty, které o útoku vědí.

Střední firmy (50–250 zaměstnanců) jsou ideální cíl:

  • Dost velké na to, aby měly cenná data a systémy
  • Dost malé na to, aby neměly dedikovaný bezpečnostní tým
  • Často spoléhají na jednoho IT člověka, který řeší vše od tiskáren po servery

Co se změnilo v roce 2025

Zákon 264/2025 Sb. (transpozice evropské směrnice NIS2) rozšířil regulaci na 6 000–10 000 subjektů v ČR. Většina z nich – střední firmy v nižším režimu – dosud žádné regulatorní povinnosti v kyberbezpečnosti neměla.

Detaily o zákonu najdete v kompletním průvodci NIS2 pro nižší režim. Tady se zaměříme na praktickou stránku: co vlastně musíte udělat.

5 oblastí, které musíte pokrýt

1. Víte co chráníte?

Než začnete cokoli zabezpečovat, musíte vědět co máte. To zní samozřejmě, ale většina firem nemá kompletní přehled.

Základní inventura:

  • Jaké servery provozujete (fyzické, cloudové)
  • Jaké aplikace jsou pro vás kritické (ERP, e-shop, účetnictví, email)
  • Kde jsou vaše data (lokální disky, cloud, u dodavatelů)
  • Kdo ke všemu přistupuje (zaměstnanci, dodavatelé, zákazníci)

Vyhláška 410/2025 Sb. tomu říká „řízení aktiv" (§3 odst. 4 a §10). V praxi: udělejte si seznam. Ke každému systému zapište kdo ho spravuje, kdo ho používá a co se stane, když vypadne.

2. Kdo má kam přístup?

Nejčastější bezpečnostní problém středních firem: všichni mají přístup ke všemu.

Účetní má administrátorský přístup k serveru. Bývalý zaměstnanec má stále funkční VPN. Heslo do ERP znají tři lidé a nikdo ho nezměnil dva roky.

Co udělat:

  • Oddělte běžné a administrátorské účty
  • Zablokujte účty odcházejícím zaměstnancům v den odchodu
  • Zaveďte dvoufaktorové ověření (MFA) alespoň na VPN a email
  • Jednou za čtvrt roku zkontrolujte kdo má kam přístup
  • Pokud používáte jen hesla: minimálně 12 znaků pro uživatele, 17 pro administrátory

Vyhláška to řeší v §7 (řízení přístupu) a §8 (ověřování identity).

3. Co uděláte, když to spadne?

Ransomware. Výpadek serveru. Poškozená databáze. Otázka není jestli se to stane, ale kdy.

Zálohy – základ všeho:

  • Zálohujte denně. Automaticky.
  • Zálohy na jiné místo než produkční systémy (jiný server, cloud, offline)
  • Testujte obnovu. Záloha, ze které neumíte obnovit, není záloha.
  • Víte kolik hodin/dnů bez systému přežijete?

Plán obnovy:

  • Které systémy obnovit první (email? ERP? e-shop?)
  • Kdo to udělá
  • Kolik to trvá
  • Komu zavolat když to nezvládnete sami

Vyhláška: §6 (kontinuita činností).

4. Poznáte útok, když probíhá?

Průměrná doba od průniku útočníka do detekce: 194 dnů (IBM Cost of a Data Breach Report 2024). Skoro půl roku. Tři čtvrtě roku, než útočníka odstraníte.

Minimum, které musíte mít:

  • Antivir na všech stanicích a serverech. Aktuální.
  • Firewall. Segmentace sítě – alespoň servery zvlášť od stanic.
  • Logování – záznamy o přihlášeních, přístupech, změnách. Bez logů neexistuje forenzní analýza.
  • Někdo, kdo logy aspoň občas prohlédne.

Nemusíte mít SOC (Security Operations Center). Ale musíte mít přehled o tom, co se ve vaší síti děje.

Vyhláška: §9 (detekce a logování), §11 (bezpečnost sítí).

5. Vědí vaši lidé co dělat?

Nejslabší článek bezpečnosti nejsou systémy. Jsou to lidé. Phishing, sociální inženýrství, slabá hesla – většina útoků začíná u zaměstnance.

Co zařídit:

  • Vstupní školení pro každého nového zaměstnance
  • Pravidelné připomínky (stačí jednou za rok)
  • Jasná pravidla: co smí a nesmí na firemním zařízení, jak nakládat s daty, komu hlásit podezřelé emaily
  • Specifické školení pro IT lidi a administrátory

Vyhláška v Příloze 3 vyjmenovává 25 témat pro školení. To je hodně – ale většinu pokryjete jedním kvalitním interním dokumentem.

Vyhláška: §5 (bezpečnost lidských zdrojů).

Co musíte zdokumentovat

Zákon nevyžaduje jen opatření. Vyžaduje dokumentaci. To je dobře – nutí vás věci promyslet a zapsat. A když přijde NÚKIB, máte co ukázat.

5 klíčových dokumentů:

  1. Bezpečnostní politika – jak řešíte bezpečnost celkově
  2. Přehled opatření (Příloha 1) – stav každého opatření, plány, odpovědnosti
  3. Metodika incidentů – jak poznáte incident, kdo komu hlásí
  4. Registr dodavatelů – kdo má přístup k vašim systémům
  5. Implementační plán – co nesplňujete a jak to napravíte

Detailní rozbor každého dokumentu v článku o NIS2 dokumentaci.

Kolik to stojí

Záleží na přístupu:

CestaCenaČas
Konzultant80 000–200 000+ Kč4–8 týdnů
Šablony5 000–15 000 KčHodiny + úpravy
Online průvodce0 Kč (testovací provoz)2–4 hodiny

Detailní srovnání v článku o nákladech.

Kde začít – 5 kroků pro tento týden

  1. Zjistěte jestli spadáte pod zákon. Kontrolní seznam – zabere 3 minuty.

  2. Udělejte inventuru. Seznam serverů, aplikací, dat. Kdo k čemu přistupuje. Papír a tužka stačí.

  3. Zkontrolujte zálohy. Existují? Kde jsou? Zkusili jste z nich někdy obnovit?

  4. Zablokujte mrtvé účty. Bývalí zaměstnanci, testovací účty, sdílená hesla. Teď.

  5. Připravte dokumentaci. Nemusíte to psát od nuly – Compligen to udělá za vás.

Často kladené otázky

Stačí mít antivir a firewall?

Jako součást systému ano. Ale NIS2 vyžaduje víc: řízení přístupu, zálohy, školení, dokumentaci, řízení dodavatelů, plán obnovy. Antivir a firewall jsou dva body z dvanácti.

Nemáme IT oddělení. Kdo to bude řešit?

Pověřená osoba – může to být jednatel, provozní ředitel, nebo external IT partner. Nemusíte najímat specialistu. Musíte mít jednoho člověka, který za téma zodpovídá.

Máme vše v cloudu. Týká se nás to?

Ano. Cloud neznamená, že za bezpečnost zodpovídá poskytovatel. Zodpovídáte vy – za přístupy, data, konfigurace. Cloud provider řeší infrastrukturu, vy řešíte co na ní běží.

Kolik času máme?

12 měsíců od registrace u NÚKIBu. Pokud jste rozhodnutí dostali v lednu 2026, deadline je leden 2027.

Informace v článku mají informační charakter a nenahrazují odborné poradenství. Vycházejí ze zákona č. 264/2025 Sb. a vyhlášky č. 410/2025 Sb.

Vyzkoušejte Compligen zdarma

Online průvodce vám vytvoří NIS2 dokumentaci na míru.

Začít vyplňovat
Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.
← Zpět na blog