Blog
Dneškem začíná nová éra kybernetické bezpečnosti. Jste připraveni?

Dneškem začíná nová éra kybernetické bezpečnosti. Jste připraveni?

David Martínek
1. listopadu 2025
8 min čtení

Konečně je to tady

Už žádné čekání na "až to schválí", žádné "uvidíme, co bude". Ode dneška platí nový zákon o kybernetické bezpečnosti a s ním celá řada vyhlášek, které mění pravidla hry pro tisíce českých firem.

Pokud podnikáte v energetice, dopravě, zdravotnictví, digitální infrastruktuře, výrobě nebo financích – a nejste úplně malá firma – tak se vás to týká. Možná přímo vás, možná vaší konkurence. Tak či onak, situace je jasná: zákon platí, hodiny tikají.

Co se vlastně stalo?

Zákon č. 264/2025 Sb. nabyl dnes účinnosti společně s pěticí prováděcích vyhlášek. Není to jen další administrativa – je to zásadní změna v tom, jak musí firmy přistupovat ke kybernetické bezpečnosti.

Pět vyhlášek, které potřebujete znát:

  • 408/2025 Sb. říká, které služby jsou regulované a kdo spadá do jakého režimu
  • 409/2025 Sb. popisuje, co musí splnit firmy ve vyšším režimu
  • 410/2025 Sb. stanovuje požadavky pro nižší režim
  • 411 a 412/2025 Sb. se týkají veřejné správy a cloudu

Všechny tyto dokumenty jsou účinné od dneška. Ne "brzy", ne "možná". Ode dneška.

Kdo má co dělat?

Dříve se kybernetická bezpečnost týkala především kritické infrastruktury – elektrárny, nemocnice, klíčové IT systémy státu. Teď se okruh dramaticky rozšířil. Z několika set subjektů na několik tisíc.

Základní pravidlo je prosté: Pokud poskytujete regulovanou službu a jste střední nebo velká firma (nebo máte z jiných důvodů velký dopad), spadáte pod nový zákon.

Vyšší režim vs. nižší režim

Není to černobílé. Zákon rozlišuje dva režimy podle toho, jak moc je vaše služba kritická:

Vyšší režim (přísnější pravidla):

  • Větší dopad na společnost
  • Detailnější ISMS (systém řízení bezpečnosti informací)
  • Častější kontroly a audity
  • Hlášení incidentů na NÚKIB

Nižší režim (základní rámec):

  • Stále povinný, jen méně detailů
  • Minimální bezpečnostní standardy
  • Hlášení incidentů na Národní CERT

Nejste si jistí, kam patříte? Podívejte se na web Kraita Cyber One a proveďte rychlý test své firmy..

První kroky: Co teď?

1. Zjistěte, jestli jste "uvnitř"

Nejdřív si ujasněte, jestli vůbec musíte něco řešit. Zkontrolujte:

  • Poskytujete regulovanou službu? (energie, doprava, zdravotnictví...)
  • Jste střední nebo velká firma?
  • Máte významný dopad na infrastrukturu?

Pokud ano, jste v "klubu". Teď přichází ta zábavnější část.

2. Zaregistrujte se (máte 60 dnů)

Jakmile splníte kritéria, máte 60 dnů na to ohlásit se u NÚKIB. Není to jen formalita – bez registrace nemůžete oficiálně zahájit plnění povinností.

3. Zmapujte si, co máte (a co vám chybí)

Tohle je ten klíčový moment. Musíte vědět:

  • Jaká aktiva máte (servery, systémy, data...)
  • Jaká jsou vaše rizika
  • Co už děláte dobře
  • Kde máte díry

V praxi to znamená udělat si takzvanou GAP analýzu – porovnat, kde jste teď a kde byste měli být podle zákona.

4. Udělejte "rychlá vítězství"

Zatímco připravujete kompletní plán, začněte s věcmi, které lze udělat rychle:

  • MFA (vícefaktorová autentizace) na klíčové systémy – dá se to často nastavit během pár hodin
  • Evidence přístupů – kdo má přístup kam, revize každé čtvrtletí
  • Pravidla pro zálohy – nejlépe s prvním testem obnovy ještě tento měsíc

Co všechno musíte mít "na papíře" i v praxi?

Zákon nežádá jen dokumenty. Chce, abyste skutečně byli bezpečnější. Ale ano, dokumentace je také potřeba:

Základy pro všechny:

Aktiva a rozsah

  • Seznam všeho důležitého (servery, data, systémy)
  • Rozdělení na primární a podpůrná aktiva
  • Pravidelná aktualizace

Řízení rizik

  • Metodika, jak rizika vyhodnocujete
  • Pravidelné hodnocení (ne jen jednou za rok)
  • Plán, jak rizika zvládnete

Přístupy a identity

  • MFA všude, kde je to možné
  • Oddělené účty pro běžnou práci a administraci
  • Pravidelné revize oprávnění

Když se něco pokazí

  • Detekce problémů
  • Evidence všech bezpečnostních událostí
  • Jasná pravidla pro hlášení (24/72 hodin)

Kontinuita a zálohy

  • Priority pro obnovu
  • Testy, že zálohy fungují
  • Offline kopie pro případ ransomwaru

Školení

  • Pro nové zaměstnance
  • Pravidelné pro všechny
  • Speciální pro vedení a klíčové role

Dodavatelé

  • Kdo jsou vaši klíčoví dodavatelé
  • Bezpečnostní požadavky ve smlouvách
  • Pravidelné kontroly

Lhůty a sankce (bez zbytečného strachu)

Po registraci máte obecně 1 rok na zavedení opatření. To zní jako dost času, ale praxe ukazuje, že čas běží rychleji, než se zdá.

Sankce? Ano, jsou. Až 10 milionů eur nebo 2 % obratu. Ale upřímně – daleko důležitější než strach z pokuty je dobře nastavená bezpečnost:

  • Chrání vaše data
  • Udržuje služby v chodu
  • Zvyšuje důvěru zákazníků
  • Pomáhá vám rychle reagovat na problémy

Měsíční plán bez stresu

Týden 1-2: Orientace

  • Zjistěte, jestli spadáte pod zákon
  • Připravte podklady k registraci
  • Vymezte základní rozsah aktiv

Týden 3: Rychlá analýza

  • Udělejte si první GAP analýzu (kde jste vs. kde byste měli být)
  • Identifikujte "rychlá vítězství" (MFA, zálohy...)
  • Nastavte základní pravidla pro hlášení incidentů

Týden 4: První akce

  • Zavedení MFA na klíčové systémy
  • První test obnovy ze záloh
  • Začněte školit zaměstnance

Jak s tím pomůže Kraita Cyber One

Mohli bychom vám teď napsat dlouhý seznam funkcí a technických termínů. Ale zkusme to jinak.

Představte si, že:

  • Nevíte přesně, co všechno musíte splnit
  • Nemáte čas prostudovat 200 stran vyhlášek
  • Potřebujete vědět, co je skutečně důležité pro VAŠI firmu
  • Chcete mít jistotu, že na nic nezapomenete

Kraita dělá tohle:

  1. Automatická GAP analýza – za pár minut zjistíte, co vám chybí
  2. Konkrétní akční plán – ne obecné rady, ale přesné kroky pro vaši situaci
  3. Řízení všeho na jednom místě – aktiva, rizika, incidenty, dodavatelé
  4. Automatické reporty – pro vedení i pro NÚKIB
  5. Neustálá aktualizace – když se změní vyhláška, Kraita to ví

Zkrátka: zákon je složitý, Kraita ne.

FAQ (protože každý se na tohle ptá)

Q: Musíme se registrovat hned dnes?
 A: Máte 60 dnů od okamžiku, kdy splníte kritéria. Ale nečekejte do poslední chvíle – registrace je jen začátek, pak přichází zavedení opatření.

Q: Jsme menší firma, týká se nás to?
 A: Záleží na tom, co děláte a jak jste velcí. Malé podniky většinou ne, střední a velké ano (pokud poskytují regulovanou službu).

Q: Co když už něco z toho děláme?
 A: Skvělé! To vám usnadní práci. Ale stejně si udělejte kontrolu, jestli splňujete všechny konkrétní požadavky vyhlášek.

Q: Potřebujeme na to nové lidi do týmu?
 A: Nemusí to tak být. Záleží na vaší velikosti a složitosti. Nástroje jako Kraita mohou hodně práce automatizovat.

Závěr: Není čas na paniku, je čas na akci

Nový zákon je tady. Je komplexní, je náročný, ale není neporazitelný.

Tisíce českých firem teď řeší totéž – jak na to, kde začít, co je priorita. Nejste v tom sami.

Dobré zprávy?

  • Máte čas na přípravu (ten rok na implementaci)
  • Existují nástroje, které to zjednodušují
  • Výsledkem bude, že budete skutečně ve větším bezpečí

První krok je vždy nejtěžší. Ale jakmile ho uděláte, zbytek už jde snáz.

Zdroje a kde najít víc

Chcete rychle zjistit, co přesně musíte udělat?
 Vyzkoušejte Kraita Cyber One – GAP analýza → akční plán → report. Srozumitelně, krok po kroku, bez zbytečné byrokracie.

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies