Představte si páteční odpoledne. Většina týmu už myslí na víkend, když vám monitoring pošle alert: neobvyklý odchozí provoz ze serveru, na kterém běží váš ERP systém. Za pár minut je jasné, že někdo se dostal dovnitř. Hodiny tikají – a vy máte podle zákona přesně 24 hodin na to, abyste celou věc nahlásili na portál NÚKIB. Víte, jak na to? A hlavně – víte, co přesně hlásit a co ne?
Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb. zavedl systém povinného hlášení kybernetických incidentů, který je jednou z nejkritičtějších povinností pro regulované subjekty. Pojďme si rozebrat, jak celý proces funguje, co je incident a co událost, a hlavně – jak se připravit, abyste nebyli v šoku, až to poprvé přijde.
Proč vůbec incidenty hlásit?
Na první pohled to může vypadat jako další byrokratická zátěž. Ale hlášení incidentů má reálný smysl, a to hned z několika důvodů.
Za prvé, včasné hlášení chrání ostatní. Když NÚKIB zjistí, že stejný typ útoku míří na víc organizací najednou, může varovat celý sektor. Přesně to se stalo v roce 2024, kdy NÚKIB evidoval rekordních 268 kybernetických incidentů – většinu tvořily DDoS útoky proruských hacktivistů, a právě díky hlášení se podařilo ostatní organizace včas upozornit. Čerstvá čísla za rok 2025 ukazují pokles na 203 incidentů – nejméně za tři roky – což naznačuje, že systém sdílení informací funguje.
Za druhé, NÚKIB vám může pomoct. Podle § 17 zákona vám Úřad nebo Národní CERT poskytne do 24 hodin od vašeho hlášení své vyjádření a na požádání i metodickou a technickou podporu. To není teorie – v praxi to znamená přístup k expertům, kteří řeší incidenty denně.
A za třetí – nehlášení je přestupek. Podle § 62 zákona se za nepředložení prvotního hlášení vystavujete pokutě. Pro vyšší režim až 250 milionů Kč (nebo 2 % celosvětového obratu), pro nižší režim až 175 milionů Kč (nebo 1,4 % obratu). To nejsou teoretická čísla – NIS2 explicitně požaduje, aby členské státy sankce za nehlášení skutečně vymáhaly.
Událost vs. incident: Klíčový rozdíl
Tohle je bod, kde se spousta firem zasekne. Ne každá podezřelá aktivita je incident a ne každý incident se musí hlásit. Pojďme si to rozklíčovat.
Kybernetická bezpečnostní událost je cokoli, co může způsobit narušení bezpečnosti. Neúspěšný pokus o přihlášení, podezřelý e-mail v karanténě, sken portů z neznámé IP adresy – to všechno jsou události. Zaznamenáváte je, vyhodnocujete, ale nehlásíte.
Kybernetický bezpečnostní incident je situace, kdy už k narušení došlo – narušení důvěrnosti, integrity nebo dostupnosti informací. Ransomware, který zašifroval soubory. Úspěšný phishing, po kterém útočník získal přístup do systému. DDoS, který položil váš web na tři hodiny.
Ale pozor – ne každý incident se hlásí. Zákon rozlišuje povinnosti podle režimu vaší organizace.
Kdo, co a komu hlásí
Režim vyšších povinností (§ 15 odst. 1 zákona): Hlásíte všechny kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a u kterých nelze do 24 hodin vyloučit úmyslné zavinění. Hlásíte přímo NÚKIB prostřednictvím Portálu NÚKIB.
Režim nižších povinností (§ 15 odst. 2 zákona): Hlásíte pouze incidenty s významným dopadem na poskytování regulované služby. Hlásíte Národnímu CERT prostřednictvím Portálu NÚKIB.
Co je „významný dopad"? Zákon v § 15 odst. 3 to definuje jako incident, který způsobil nebo může způsobit závažné provozní narušení služby, finanční ztráty nebo značnou újmu jiným osobám. Vyhláška č. 410/2025 Sb. v § 14 pak stanoví konkrétní kritéria pro posouzení: provozní dopad, množství zasažených uživatelů, potřebné zdroje pro obnovu, typ dotčených aktiv, citlivost zasažených dat a to, zda šlo o lidskou chybu, technickou závadu nebo úmyslné jednání.
Praktický příklad: Kolega omylem smaže složku na sdíleném disku a obnovíte ji ze zálohy za hodinu? Událost, možná méně významný incident – v nižším režimu nehlásíte. Ransomware zašifruje váš produkční server a vy nevíte, jestli útočník neexfiltroval data zákazníků? Incident s významným dopadem – hlásíte vždy.
Časová osa hlášení: Čtyři kroky, které musíte znát
Zákon v § 16 stanoví přesný postup. Představte si ho jako čtyřstupňovou raketu:
1. Prvotní hlášení – do 24 hodin od zjištění
Tady nejde o žádnou detailní analýzu. Prvotní hlášení je stručná informace obsahující vaše identifikační údaje, základní popis incidentu a vaše posouzení, zda šlo o nezákonný zásah nebo zda by mohl mít přeshraniční dopad. To je vše. NÚKIB od vás v tuto chvíli nechce forenzní zprávu – chce vědět, že se něco děje.
Kriticky důležité: lhůta 24 hodin běží od zjištění incidentu, ne od jeho vyřešení. Nečekejte, až budete mít všechny informace. Hlaste, co víte, a zbytek doplníte.
2. Oznámení o incidentu – do 72 hodin od zjištění
Pokud má incident významný dopad (na službu nebo na kybernetický prostor státu), do 72 hodin předkládáte podrobnější oznámení. To zahrnuje aktualizaci prvotního hlášení, prvotní posouzení incidentu, jeho dopad a indikátory kompromitace (IoC), pokud je máte.
Speciální pravidlo: Poskytovatelé služeb vytvářejících důvěru (kvalifikované elektronické podpisy apod.) musí oznámení předložit už do 24 hodin, ne do 72.
3. Průběžná zpráva – na vyžádání NÚKIB
Pokud se vás NÚKIB zeptá, jak řešení probíhá, jste povinni poskytnout průběžnou zprávu o podstatných změnách stavu zvládání incidentu. To není standardní krok – děje se to typicky u závažnějších incidentů, které mají širší dopad.
4. Závěrečná zpráva – do 30 dnů od oznámení
Závěrečná zpráva uzavírá celý případ. Obsahuje podrobný popis incidentu, jeho závažnost a dopad, druh hrozby, pravděpodobnou příčinu, učiněná opatření ke zmírnění následků a případný přeshraniční dopad. Pokud incident stále trvá po 30 dnech, předložíte místo závěrečné zprávy průběžnou zprávu o aktuálním stavu a závěrečnou zprávu podáte do 30 dnů od vyřešení.
Portál NÚKIB: Vaše hlavní komunikační linka
Od 1. listopadu 2025 je Portál NÚKIB hlavní platformou pro veškerou komunikaci mezi regulovanými subjekty a Úřadem. Nejde jen o hlášení incidentů – přes portál se registrujete, hlásíte změny, přijímáte protiopatření a komunikujete s NÚKIB ve všech zákonných záležitostech.
Pro přihlášení k portálu se používá elektronická identifikace pomocí identity občana – můžete použít bankovní identitu, mobilní klíč eGovernmentu nebo MojeID. To je důležité nastavit předem – v pátek večer, když hoří servery, není čas řešit aktivaci MojeID.
Co když portál nefunguje? Zákon pamatuje i na to. Poskytovatelé v režimu vyšších povinností zašlou hlášení na e-mail NÚKIB nebo do datové schránky Úřadu. Poskytovatelé v nižším režimu kontaktují Národní CERT stejným způsobem. Mějte tyto kontakty po ruce – ne uložené někde v SharePointu, ale vytištěné na zdi u incident response týmu.
Důležitá poznámka: Telefonické hlášení slouží pouze pro rychlou komunikaci a bezprostřední pomoc. Nesplňuje zákonnou povinnost – tu naplníte jedině písemným hlášením přes formuláře.
Proč je rychlost tak důležitá: Čísla mluví jasně
Možná si říkáte, že 24 hodin je málo. Ale podívejte se na to z opačné strany. Podle IBM Cost of Data Breach Report 2025 trvá organizacím průměrně 181 dní, než vůbec odhalí narušení, a dalších 60 dní, než ho zvládnou – celkový životní cyklus průlomu se tak pohybuje kolem 241 dní. To je osm měsíců, během kterých útočník volně operuje ve vašich systémech.
Přitom rychlost detekce má přímý dopad na peněženku. Narušení vyřešená do 200 dní stojí průměrně 3,87 milionu dolarů. Ta, která trvají déle, vyjdou na 5,01 milionu dolarů – rozdíl přes milion dolarů jen proto, že firma byla pomalejší.
A organizace, které využívají AI pro detekci hrozeb, identifikují narušení o 80 dní rychleji a ušetří v průměru 1,9 milionu dolarů oproti těm, které spoléhají na manuální procesy. Incident response plán pak snižuje celkové náklady o 61 %, tedy v průměru o 2,66 milionu dolarů.
Pointa je jasná: rychlá detekce a strukturovaná reakce nejsou jen o plnění zákona. Jsou o přežití.
Scénář z praxe: DDoS útok na e-shop
Pojďme si projít konkrétní příklad krok za krokem.
Čtvrtek 15:30 – Monitoring detekuje masivní nárůst požadavků na webový server e-shopu. Web se dramaticky zpomalí.
Čtvrtek 15:45 – IT tým potvrzuje DDoS útok. Web je nedostupný pro zákazníky. Firma je v režimu vyšších povinností – provedení ve stanoveném rozsahu, původ v kyberprostoru, nelze vyloučit úmyslné zavinění. Aktivuje se incident response plán.
Čtvrtek 16:00 – Incident je oficiálně klasifikován. Od tohoto okamžiku běží 24hodinová lhůta pro prvotní hlášení.
Čtvrtek 17:00 – Bezpečnostní manažer podává prvotní hlášení přes Portál NÚKIB. Obsahuje identifikaci firmy, popis (DDoS útok na webový server, nedostupnost e-shopu od 15:30), a posouzení – pravděpodobně úmyslný útok, přeshraniční dopad nelze vyloučit.
Čtvrtek 18:00 – NÚKIB potvrzuje přijetí hlášení. V pátek ráno přijde vyjádření od NÚKIB – incident nemá významný dopad na kybernetický prostor státu (jedná se o běžný DDoS bez širších implikací).
Pátek 10:00 – Útok ustupuje, web je opět funkční. IT tým sbírá logy a IoC.
Sobota 16:00 (do 72 hodin od zjištění) – Firma předkládá oznámení s podrobnějším posouzením, identifikovanými indikátory kompromitace a popisem dopadů.
Do 30 dnů – Závěrečná zpráva s kompletní analýzou příčin, přijatými opatřeními a doporučeními pro prevenci.
Pro kontext: NÚKIB od roku 2023 eviduje 42 DDoS incidentů spojených s proruskou skupinou NoName057(16). Takže pokud vás zasáhne DDoS, nejste v tom sami – a NÚKIB má bohaté zkušenosti s tímto typem útoku.
Pět nejčastějších chyb při hlášení incidentů
Na základě zkušeností z praxe a metodiky NÚKIB si dejte pozor na tyto chyby:
1. Čekání na kompletní informace. Nejčastější chyba. Lhůta běží od zjištění, ne od vyřešení. Prvotní hlášení má být stručné – nečekejte na forenzní analýzu.
2. Nesprávná klasifikace. V nižším režimu si firmy často nejsou jisté, jestli je incident „významný". Pokud pochybujete, raději hlaste. Samotný fakt, že se vám incident stal, není přestupek. Přestupek je, když ho nenahlásíte.
3. Chybějící interní eskalační proces. IT admin detekuje útok ve 3 ráno. Komu volá? Kdo rozhoduje o klasifikaci? Kdo má přístup k portálu NÚKIB? Tohle musí být jasné předem.
4. Nezapojení vedení. Vedení nese odpovědnost za kybernetickou bezpečnost. Incident jim nesmíte zatajit – a oni musí být připraveni na to, že NÚKIB může vyžadovat jejich součinnost.
5. Ignorování poučení po incidentu. Vyhláška č. 409/2025 Sb. v § 14 odst. 1 písm. n) výslovně požaduje, aby organizace vyhodnotila účinnost řešení incidentu a na základě toho stanovila opatření k zamezení opakování. Opakované incidenty stejného typu = závažné pochybení.
Jak se připravit: Checklist pro bezpečnostního manažera
Hlášení incidentů je proces, který se dá nacvičit. A měl by se nacvičit – protože první skutečný incident není čas na učení.
Organizačně: Sestavte Incident Response Tým a jasně definujte role – kdo detekuje, kdo klasifikuje, kdo hlásí, kdo komunikuje dovnitř i ven. Vytvořte eskalační matici s kontakty na všechny klíčové lidi, včetně náhradníků. Zajistěte, aby minimálně dvě osoby měly přístup k Portálu NÚKIB (přes elektronickou identifikaci).
Procesně: Vypracujte Incident Response Plán, který pokrývá detekci, klasifikaci, containment, eradikaci, obnovu a poučení (lessons learned). Vytvořte šablony pro všechny čtyři typy hlášení (prvotní, oznámení, průběžná zpráva, závěrečná zpráva). Definujte kritéria pro posouzení významnosti dopadu podle vyhlášky 410/2025.
Technicky: Nasaďte monitoring a detekční nástroje, které vám umožní incidenty vůbec zjistit. Zálohujte logy – budete je potřebovat pro oznámení i závěrečnou zprávu. Připravte si offline kopii kontaktních údajů na NÚKIB a Národní CERT (e-mail, datová schránka) pro případ, že portál nebude dostupný.
Tréninkově: Provádějte pravidelná tabletop cvičení (simulace incidentu „na papíře"). Testujte reálný průběh hlášení na portálu – NÚKIB přijímá i dobrovolná hlášení, takže můžete proces otestovat bez stresu. Proškolte zaměstnance, aby hlásili podezřelé události – vyhláška č. 410/2025 Sb. v § 10 písm. a) to přímo vyžaduje.
Kraita Cyber One: Incident Manager, který za vás hlídá lhůty
Ruční sledování lhůt, vyplňování formulářů a koordinace týmu v průběhu incidentu – to je spousta práce, kterou chcete řešit co nejmíň ve stresu. Kraita Cyber One nabízí modul Řízení incidentů (Incident Manager), který celý proces strukturuje a automatizuje.
V praxi to funguje tak, že v Kraita evidujete incident od prvního alertu, systém vám automaticky hlídá zákonné lhůty (24 hodin, 72 hodin, 30 dní), pomáhá s klasifikací podle kritérií vyhlášky a generuje podklady pro hlášení na portál NÚKIB. Navíc uchovává kompletní historii všech incidentů včetně lessons learned – přesně to, co zákon vyžaduje a co budete potřebovat při kontrole.
Chcete vědět, jak by hlášení incidentů vypadalo ve vaší firmě? Vyzkoušejte demo Kraita Cyber One nebo si domluvte nezávaznou konzultaci. Protože ten první incident může přijít kdykoliv – a vy chcete být připraveni.
Shrnutí: Co si odnést
Hlášení kybernetických incidentů není jen formalita – je to kritický proces, který chrání vás i ostatní. Klíčové body:
- Prvotní hlášení do 24 hodin od zjištění – stručné, ne dokonalé
- Režim vyšších povinností hlásí všechny relevantní incidenty NÚKIB; nižší režim hlásí jen ty s významným dopadem Národnímu CERT
- Portál NÚKIB je primární kanál – zřiďte přístup předem
- Nehlášení je přestupek s pokutou až stovky milionů Kč
- Příprava = 90 % úspěchu: IR plán, šablony, trénink
Zdroje
- Zákon č. 264/2025 Sb., o kybernetické bezpečnosti – § 15, 16, 17, 62
- Vyhláška č. 409/2025 Sb. – bezpečnostní opatření v režimu vyšších povinností, § 14
- Vyhláška č. 410/2025 Sb. – bezpečnostní opatření v režimu nižších povinností, § 10, § 14
- Portál NÚKIB – Základní informace
- NÚKIB – Metodika k hlášení kybernetického bezpečnostního incidentu (PDF)
- NÚKIB – Hlášení incidentů (kontakty)
- NÚKIB – Zpráva o stavu kybernetické bezpečnosti ČR za rok 2024
- NÚKIB – Statistiky incidentů 2025: 203 incidentů (ČTK, únor 2026)
- IBM – Cost of a Data Breach Report 2025
- NIS2 Directive – FAQ (European Commission)