compligen

Přihlášení

Zadejte email, pošleme vám ověřovací kód.

Odesláním souhlasíte s Podmínkami užívání a Zásadami ochrany osobních údajů.

Vyhláška 410/2025 Sb.: co požaduje od firem v nižším režimu

Lukáš Vencálek·28. února 2026·6 min·Naposledy aktualizováno 28. února 2026

Zákon 264/2025 Sb. říká co musíte splnit. Vyhláška 410/2025 Sb. říká jak. Pro firmy v nižším režimu definuje bezpečnostní opatření, jejich rozsah a dokumentaci.

Tady je její obsah. Srozumitelně, bez právnického žargonu.

Co je vyhláška 410/2025 Sb.

Prováděcí předpis k zákonu o kybernetické bezpečnosti. Vydal ji NÚKIB na základě §13 odst. 3 a §15 odst. 3 zákona. Platí od 1. listopadu 2025.

Týká se výhradně nižšího režimu povinností – tedy většiny středních firem s 50–250 zaměstnanci. Vyšší režim má vlastní, přísnější vyhlášku.

12 opatření: co musíte pokrýt

Vyhláška definuje opatření v §3 až §13. Ke každému uvádíme co konkrétně vyžaduje a co to znamená v praxi.

§3 Systém řízení bezpečnosti

Základní rámec. Vyžaduje pět věcí:

  1. Přehled bezpečnostních opatření (Příloha 1) – tabulka se 6 sloupci pro každé opatření: stav zavedení, popis, termín, priorita, odpovědná osoba. Aktualizace minimálně jednou ročně. Archivace 4 roky.

  2. Bezpečnostní politika – pravidla ochrany aktiv. Stanovit, přezkoumávat, vynucovat.

  3. Řízení aktiv – pravidla pro používání a manipulaci technických prostředků.

  4. Řízení dodavatelů – při výběru dodavatele zohlednit bezpečnostní rizika. Smlouvy musí obsahovat body z Přílohy 2.

  5. Bezpečnost při změnách – akvizice, vývoj, údržba systémů s ohledem na bezpečnost.

V praxi: Tohle je zastřešující opatření. Většina jeho požadavků se rozpracovává v dalších paragrafech.

§4 Požadavky na vedení firmy

Vedení (statutární orgán) musí:

  • Určit osobu pověřenou kyberbezpečností – nemusí to být externě najatý expert, může to být jednatel
  • Absolvovat školení o kyberbezpečnosti
  • Zajistit zdroje (čas, peníze, lidé)
  • Pravidelně se seznamovat se stavem bezpečnosti
  • Stanovit priority obnovy systémů

V praxi: Zákon chce, aby vedení vědělo o bezpečnosti a neslo za ni odpovědnost. Nemusíte najímat CISO. Stačí, že jednatel téma řeší a má přehled.

§5 Bezpečnost lidských zdrojů

Školení zaměstnanců. Vyhláška v Příloze 3 vyjmenovává 25 témat, která musí školení pokrýt – od zabezpečení zařízení přes hesla, sociální inženýrství až po zálohy a reakci na incident.

Konkrétně vyžaduje:

  • Vstupní školení nových zaměstnanců
  • Pravidelná opakovaná školení
  • Odborné školení pro administrátory a pověřenou osobu
  • Evidenci kdo a kdy byl proškolen
  • Kontrolu dodržování pravidel
  • Postup pro případ porušení

V praxi: Nemusí jít o formální kurzy. Stačí interní poučení a pravidelné připomínky. Důležité je, aby to bylo zdokumentované.

§6 Kontinuita činností

Co uděláte, když vám systémy spadnou. Vyžaduje:

  • Určit priority obnovy technických aktiv (co obnovit první)
  • Stanovit postupy a odpovědné osoby pro obnovu
  • Pravidelné zálohy

V praxi: Zálohujete? Víte, co obnovit první? Máte to někde zapsané? Pokud ano, jste na dobré cestě.

§7 Řízení přístupu

Kdo má kam přístup. Požadavky:

  • Přístupová práva na nezbytně nutné minimum
  • Oddělení běžných a administrátorských účtů
  • Řízení identifikátorů (kdo je kdo v systému)
  • Pravidla pro mobilní zařízení
  • Pravidelné přezkoumání přístupů
  • Bezodkladné odebrání při odchodu zaměstnance
  • Fyzická bezpečnost (přístup do serverovny, kanceláře)

V praxi: Odchází zaměstnanec? Zablokujte účty. Má někdo přístup, který nepotřebuje? Odeberte ho. Jednou za čas to zkontrolujte.

§8 Ověřování identity

Jak se lidé přihlašují. Vyhláška stanoví hierarchii:

  1. Dvoufaktorové ověření (MFA) – cílový stav
  2. Kryptografické klíče/certifikáty – přechodné řešení
  3. Hesla – nejslabší varianta, s přísnými pravidly

Pokud používáte jen hesla, musíte splnit:

  • Minimální délka: 12 znaků (uživatel), 17 znaků (administrátor), 22 znaků (technické účty)
  • Změna hesla minimálně jednou za 18 měsíců
  • Systém si pamatuje 12 předchozích hesel
  • Zákaz jednoduchých a opakujících se hesel
  • Změna výchozího hesla ihned po nasazení

V praxi: MFA všude, kde to jde. Kde nejde, přísná hesla. Požadavky na délku jsou konkrétní a kontrolovatelné.

§9 Detekce a logování

Jak poznáte, že se děje něco špatného. Vyžaduje:

  • Kontrolu dat na vstupu do sítě a blokování nežádoucí komunikace
  • Antivir na serverech a stanicích
  • Řízení automatického spouštění (USB)
  • Nepřetržité varování odpovědných osob
  • Aktualizace detekčních nástrojů
  • Záznamy o událostech: datum, čas, typ, identifikace aktiva/účtu, úspěšnost

V praxi: Firewall, antivir, logování. Většina firem toto do určité míry má. Důležité je, aby to bylo systematické a zaznamenané.

§10 Řešení incidentů

Co uděláte, když se něco stane. Klíčové:

  • Zaměstnanci musí vědět kam hlásit neobvyklé chování
  • Musíte mít metodiku posuzování závažnosti
  • Detekce → posouzení → reakce → hlášení
  • Závažný incident: oznámit NÚKIBu do 72 hodin (§15 zákona)
  • Závěrečná zpráva do 30 dnů od vyřešení (§16 zákona)

V praxi: Potřebujete jasný postup. Kdo komu hlásí, jak rychle, co je závažné a co ne. Metodika posuzování je dokument, který vám pomůže rozhodnout.

§11 Bezpečnost sítí

Jak máte rozdělenou a chráněnou síť:

  • Segmentace – oddělení produkčního a zálohovacího prostředí
  • Omezení komunikace na perimetru (firewall)
  • Aktuálně odolné komunikační protokoly
  • Vzdálený přístup: omezit, zabezpečit, mít přehled

V praxi: Servery zvlášť, zaměstnanci zvlášť, zálohy zvlášť. I základní rozdělení výrazně pomáhá.

§12 Aplikační bezpečnost

Údržba systémů:

  • Bezodkladné bezpečnostní aktualizace
  • Evidence systémů, které už výrobce nepodporuje + kompenzační opatření
  • Pravidelné skenování zranitelností

V praxi: Aktualizujte. Víte, že ten server běží na Windows 2012? Zapište ho, popište jak řešíte riziko.

§13 Kryptografie

Šifrování:

  • Používat aktuálně odolné algoritmy
  • Bezpečně nakládat s klíči a certifikáty
  • Zohledňovat doporučení NÚKIBu
  • Bezpečná komunikace (hlasová, textová, audiovizuální)
  • Nouzový komunikační kanál

V praxi: HTTPS, šifrované disky, šifrovaný email pro citlivé věci. Víte kde máte certifikáty a kdy vyprší.

3 přílohy: co v nich najdete

Příloha 1 – Přehled bezpečnostních opatření

Tabulka s 6 sloupci. Vyplňujete ji pro každé opatření z vyhlášky:

SloupecCo tam patří
Bezpečnostní opatřeníOdkaz na § vyhlášky
StavZavedeno / V procesu / Nezavedeno
Popis implementaceJak konkrétně opatření plníte
Termín zavedeníJen pro "V procesu" a "Nezavedeno"
PrioritaNízká (1) / Střední (2) / Vysoká (3) / Kritická (4)
Odpovědná osobaKdo za opatření zodpovídá

Uchovávejte minimálně 4 roky. Aktualizujte minimálně jednou ročně.

Příloha 2 – Požadavky na smlouvy s dodavateli

14 bodů, které by měly být ve smlouvách s dodavateli s přístupem k vašim systémům. Mezi nimi: důvěrnost, právo na audit, řetězení subdodavatelů, exit strategie, řízení incidentů, SLA, bezpečný vývoj.

Příloha 3 – Témata pro školení

25 témat (a–y) pokrývajících vše od zabezpečení zařízení přes hesla, MFA, sociální inženýrství, VPN, zálohy, cloud, BYOD až po aktuální hrozby.

Comply-or-explain: co to znamená

Opatření v §7–§9 a §11–§13 fungují na principu comply-or-explain. To neznamená, že jsou volitelná. Znamená to:

  • Splňujete? Popište jak.
  • Nesplňujete? Zdůvodněte proč a popište alternativní opatření.

Obojí musí být zdokumentováno v Příloze 1. NÚKIB posoudí, jestli je vaše zdůvodnění přiměřené.

Co s tím teď

Vyhláška je 13 stránek hustého textu. Přeložit ji do konkrétních kroků pro vaši firmu zabere čas – nebo pár hodin s průvodcem, který se zeptá na správné otázky a vygeneruje dokumentaci na míru.

Tento článek vychází z vyhlášky č. 410/2025 Sb. ve znění účinném k březnu 2026. Pro aktuální znění viz zakonyprolidi.cz.

Vyzkoušejte Compligen zdarma

Online průvodce vám vytvoří NIS2 dokumentaci na míru.

Začít vyplňovat
Informace v článku vycházejí ze zákona č. 264/2025 Sb. a vyhlášky 410/2025 Sb. Mají informační charakter a nenahrazují odborné právní poradenství.
← Zpět na blog