Je to paradox, na který narážíme opakovaně: firma má nasazený antivirus na každém počítači, zálohy běží každou noc, hesla splňují zákonné požadavky – a přitom serverovna je odemčená místnost, do které může vejít každý, kdo ví, které jsou to dveře.
Nebo ještě lépe: vstup se odemyká čipovou kartou, ale ta karta se sdílí mezi třemi lidmi, nikde není záznam o tom, kdo a kdy vstupoval, a nikdo pravděpodobně neví, kdo byl v serverovně naposledy.
Zákon č. 264/2025 Sb. o kybernetické bezpečnosti a na něj navazující prováděcí vyhlášky se fyzické bezpečnosti věnují explicitně. Není to jen o kamerách a zámcích – jde o propojení fyzického a kybernetického světa. Útočník, který se fyzicky dostane k vašim serverům, vaši síťovou obranu obchází úplně.
Proč je fyzická bezpečnost součástí té kybernetické
Zamyslete se nad tím takto: kolik zabere útočníkovi, aby z fyzicky přístupného serveru vytáhl data? Záleží na situaci, ale mluvíme o minutách, ne hodinách. Zapojí malé zařízení do volného USB portu, připojí notebook přímo do switche, nebo prostě celý server odnese.
Přesně tímto způsobem funguje třída útoků označovaná jako tailgating – prostý průchod neoprávněné osoby za oprávněnou přes kontrolovaný vstup. V testovacích scénářích bezpečnostních konzultantů jde o jeden z nejúspěšnějších vektorů: konzultant oblečený jako technik a opatřený falešným průkazem bývá ochotně doprovázen přímo do serverovny. Útočník uvnitř pak zapojí vlastní zařízení do sítě – a žádný firewall to nezachytí, protože útok přišel fyzicky, zevnitř.
Průzkum společnosti Designed Security Inc. zjistil, že 48 % organizací bylo kompromitováno právě tailgatingem a 54 % nalezlo dveře do chráněných prostor otevřené nebo odemčené. IBM ve svém Cost of a Data Breach Report (2020) zjistila, že přibližně 1 z 10 škodlivých průlomů měl přímý fyzický původ. Přitom fyzická bezpečnost je v celkové bezpečnostní strategii nejčastěji přehlíženou oblastí.
Co přesně zákon říká
Zákon a vyhlášky nezmiňují konkrétní produkty ani technologie. Říkají, čeho chcete dosáhnout. A co se týče fyzické bezpečnosti, jsou poměrně konkrétní.
Pro firmy ve vyšším režimu povinností (vyhláška 409/2025, §17)
Zákon vyžaduje, abyste:
Identifikovali fyzické bezpečnostní perimetry. Česky: zmapujte prostory, ve kterých se nachází vaše technická aktiva nebo kde se zpracovávají citlivé informace. Serverovna je jasný příklad. Ale patří sem i zasedací místnost, kde se diskutuje o důvěrných zákaznických datech, nebo archiv s tištěnými záznamy.
Rozdělili je do úrovní ochrany a zdokumentovali. Ne každý prostor potřebuje stejnou úroveň ochrany. Serverovna s primární infrastrukturou potřebuje víc než otevřená kancelář. Zákon vyžaduje, abyste toto rozdělení provedli vědomě a zdokumentovali.
Přijali opatření na pěti úrovních:
- Zamezení neoprávněnému vstupu (kdo smí vejít a za jakých podmínek)
- Zamezení poškození, odcizení nebo zneužití aktiv
- Fyzická ochrana budov a ohraničených prostor
- Detekce narušení perimetru (jak poznáte, že někdo vstoupil neoprávněně)
- Evidence vstupů a přístupů (kdo, kdy, za jakým účelem)
Posledního bodu si všimněte zvláště. Zákon nevyžaduje jen to, abyste neoprávněnému přístupu bránili. Vyžaduje, abyste o oprávněných přístupech vedli záznamy. Sdílená čipová karta tímto požadavkem neprojde – protože z ní nelze zjistit, kdo konkrétně serverovnu otevřel.
Pro firmy v nižším režimu povinností (vyhláška 410/2025, §7 odst. 2)
Požadavky jsou jednodušší, ale stále závazné. Zákon říká: „povinná osoba v rámci zajištění fyzické bezpečnosti zamezí neoprávněnému přístupu ke svým aktivům a předchází poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby."
Jedna věta, ale obsahuje celou agendu: přístup, poškození, odcizení, zneužití, bezpečnost služby.
Tři místa, kde firmy nejčastěji selhávají
1. Serverovna jako průchozí místnost
V menších firmách se serverovna nachází tam, kde bylo místo – ve sklepě, ve skladišti nebo v koutě IT oddělení. Chodí tam technici, chodí tam úklid, občas se tam prochází dodavatel, protože „to se takhle dělalo vždycky."
Zákon tohle mění. Přístup do serverovny musí být řízen, evidován a omezen na skutečně nezbytné osoby. Návštěvník, který potřebuje projít, to má řešit jinak – ne přes místnost se servery.
Prakticky: klíč nebo čipová karta na přiložení? Nestačí. Potřebujete systém, ze kterého víte, kdo a kdy vstoupil. Může to být jednoduchý čtečkový systém s logem, ale musí to být systém.
2. Čistý stůl – pravidlo, o kterém se mluví málo
Čistý stůl (anglicky clean desk policy) je zásada, podle které na pracovním stole nesmí zůstávat nic citlivého, když zaměstnanec odejde. Žádné vytištěné smlouvy, žádné papíry s přístupovými hesly, žádné zálohovací disky volně položené vedle monitoru.
Proč to zákon řeší? Protože fyzická krádež dokumentu nebo zařízení je právě tak platná hrozba jako kybernetický útok. A protože čistý stůl je součástí kultury bezpečnosti – organizace, která ho nevynucuje, mívá slabší bezpečnostní povědomí obecně.
Vyhláška 409/2025 v §17 hovoří o zamezení „odcizení, zneužití aktiv". Vytištěný přehled zákazníků na stole po pracovní době je aktivum – a přesně tohle pravidlo čistého stolu chrání.
Prakticky: napište si jednoduchou politiku. Co smí zůstat na stole. Co musí do zásuvky. Co musí do trezoru. A kontrolujte, zda se to dodržuje.
3. Kamera s výhledem na dveře, ne na servery
Kamera, která snímá vstup do serverovny, je lepší než nic. Ale zákon hovoří o detekci narušení perimetru. To znamená, že potřebujete vědět nejen kdo vstoupil, ale ideálně co v místnosti dělal.
Umístění kamer je tedy otázka, která by měla být zodpovězena v kontextu vašich rizik. V serverovně, kde jsou kritická aktiva, může být opodstatněné mít více snímacích bodů. V kancelářích obvykle stačí vstupní body.
Důležité: záznamy z kamer musíte uchovávat po dobu přiměřenou vašim bezpečnostním potřebám, a mít je dostupné pro případ incidentu. Záloha na přepisovatelné kartě, která se přemazává po 24 hodinách, vám při auditu moc nepomůže.
Fyzická bezpečnost od těch, kteří ji dělají špatně
Aby to nezůstalo v rovině teorie, podívejme se na čtyři konkrétní vzorce selhání:
Kombinovaný přístup pro více lidí. Serverovna se otevírá čtyřmístným kódem, který zná celé IT oddělení. Kód se nikdy nezměnil. Jeden ze zaměstnanců odešel před třemi lety. Zákon vyžaduje bezodkladné odebrání přístupů při ukončení smluvního vztahu – a fyzický přístup je přístup stejně jako ten digitální.
Výjimka pro úklid. Úklidová firma chodí ve středu večer a má klíče od všeho. Zákon říká, že přístup do fyzického bezpečnostního perimetru musí být řízen a evidován. To platí i pro úklid, techniky výtahů, hasiče při prohlídce a kohokoliv dalšího. Buď jsou doprovázeni, nebo mají evidovaný, časově omezený přístup.
Zálohovací média na viditelném místě. Šifrovaný záložní disk je výborná věc. Záložní disk volně v zásuvce u recepce je problém. Zálohy jsou aktiva. Jejich fyzická ochrana je součástí celkové ochrany dat.
Síťové prvky mimo serverovnu. Síťový přepínač (switch) na chodbě v rozvodné skříňce, která se odemyká šroubovákem. Bezdrátový přístupový bod za podhledem nad recepcí. Tato zařízení jsou součástí vaší sítě a někdo k nim fyzicky přistupovat může. Zákon říká, že fyzický bezpečnostní perimetr se týká i míst, kde jsou umístěna technická aktiva regulované služby.
Jak na to prakticky – krok za krokem
Krok 1: Inventura prostor. Projděte budovu (nebo budovy) a identifikujte všechna místa, kde jsou technická aktiva nebo kde se zpracovávají citlivé informace. Serverovna, rozvaděče, zálohovací úložiště, tiskárny s pevným diskem. Zapište je.
Krok 2: Klasifikace. Pro každý prostor určete, jak kritický je. Serverovna s primárními systémy je jistě nejvyšší kategorie. Kancelářský prostor je nižší, ale stále relevantní.
Krok 3: Přiřazení opatření. Pro každou kategorii definujte, jaká opatření platí. Kdo smí vstoupit, jakým způsobem, co se eviduje, co je zakázáno (přinášet vlastní zařízení, fotografovat).
Krok 4: Evidence přístupů. Nastavte systém, ze kterého lze zpětně zjistit, kdo a kdy do kritických prostor vstoupil. Může to být jednoduché čtečkové řešení s exportem do tabulky, nebo propracovanější přístupový systém.
Krok 5: Odebrání přístupů. Ověřte, kdo aktuálně má fyzický přístup ke kritickým prostorám. Odeberte přístupy lidem, kteří je nepotřebují, a nastavte proces pro bezodkladné odebrání při změně role nebo odchodu ze společnosti.
Krok 6: Dokumentace. Vše výše zdokumentujte. Zákon vyžaduje, abyste fyzické bezpečnostní perimetry a jejich úrovně ochrany dokumentovali. Dokumentace nemusí být obsáhlý manuál – stačí přehledný interní dokument s mapou prostor a přiřazenými opatřeními.
Co to stojí
Fyzická bezpečnost má tu výhodu, že základní opatření jsou relativně levná.
Základní čtečkový systém pro jedny dveře (čtečka + elektronický zámek + software s logem přístupů) vychází v Česku zhruba na 15 000–40 000 Kč za instalaci, podle výrobce a rozsahu. Provoz je pak záležitostí správy karet a pravidelné revize logů.
Průmyslová kamera s ukládáním záznamu: 3 000–15 000 Kč za kus podle kvality, plus úložiště.
Politika čistého stolu: nula korun na implementaci, hodiny na komunikaci a vymáhání.
Správa fyzických přístupů (kdo má klíč, kdo má kartu, kdy bylo co odebráno): záleží na tom, zda to řešíte ve vašem stávajícím systému správy přístupů, nebo potřebujete nový nástroj.
Celkově: základní fyzická bezpečnost pro středně velkou firmu je záležitost desítek tisíc korun, ne milionů. A je to investice, která se amortizuje, i kdybyste nikdy nebyli cílem útoku – protože zálohovací média nezmizí, servery zůstanou tam, kde mají být, a při auditu budete mít dokumentaci.
Fyzická a kybernetická bezpečnost jako celek
Zákon č. 264/2025 Sb. toto propojení reflektuje záměrně. Fyzická bezpečnost je v zákoně součástí technických opatření, nikoli vedlejší téma. Protože realita je taková: útočník nepotřebuje prolomit váš firewall, pokud může fyzicky přistoupit k síťovému prvku. Zaměstnanec, který odejde se zapomenutou zálohou v tašce, je bezpečnostní incident stejně jako kompromitovaný účet.
Dva světy – fyzický a digitální – jsou propojené. Zákon je konečně bere jako celek. Bezpečnostní strategie by měla také.
Chcete vědět, jak vaše firma stojí v oblasti fyzické bezpečnosti ve vztahu k požadavkům zákona 264/2025 Sb.? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: zákon č. 264/2025 Sb. §13-14, vyhláška 409/2025 Sb. §17 (fyzická bezpečnost, 5 opatření fyzické ochrany), vyhláška 410/2025 Sb. §7 odst. 2 (fyzická bezpečnost pro nižší povinnosti), Designed Security Inc. – Security Breach Survey (tailgating u 48 % organizací, otevřené dveře u 54 %), IBM Cost of a Data Breach 2020 (fyzický původ u ~10 % škodlivých průlomů, citováno mwgroup.io)