Blog
Hlášení incidentů (do 24 hodin): Kompletní průvodce pro praxi

Hlášení incidentů (do 24 hodin): Kompletní průvodce pro praxi

David Martínek
20. října 2025
11 min čtení

Od 1. listopadu 2025 vstupuje v platnost povinnost hlásit kybernetické bezpečnostní incidenty NÚKIB nebo Národnímu CERT (Computer Emergency Response Team). Prvotní hlášení musíte stihnout během 24 nebo 72 hodin – podle vašeho režimu. Zní to jednoduše? Není. Pojďme si říct, co přesně musíte hlásit, jak na to a co vám hrozí, když to nestihnete.

Proč je hlášení incidentů tak důležité?

Nový zákon o kybernetické bezpečnosti nepřináší jen povinnost zavést bezpečnostní opatření. Zavádí také systém rychlého reportování kybernetických incidentů, který má za cíl:

Varovat ostatní – Včasné hlášení pomůže chránit další organizace před podobným útokem

Získat podporu – NÚKIB vám poskytne metodickou i technickou pomoc při řešení

Zmírnit dopady – Rychlá reakce může zabránit eskalaci incidentu

Plnit zákon – Nehlášení je porušení zákona s vysokými sankcemi

Realita: V září 2025 NÚKIB evidoval 24 kybernetických incidentů – nejvíce za celý rok. Většina z nich byla DDoS útoky a průniky do systémů. Od listopadu budou tyto incidenty hlásit tisíce dalších organizací.

Kdo musí hlásit incidenty?

Všichni poskytovatelé regulovaných služeb

Pokud vaše firma spadá pod nový zákon (poskytujete regulovanou službu a jste střední/velký podnik), máte povinnost hlásit kybernetické bezpečnostní incidenty.

Rozdíl je v tom:

  • CO musíte hlásit (všechny incidenty vs. jen významné)
  • KAM hlásíte (přímo NÚKIB vs. Národní CERT)
  • KDY musíte hlásit (24 vs. 72 hodin)

Dva režimy hlášení: Klíčové rozdíly

🔴 REŽIM VYŠŠÍCH POVINNOSTÍ

Kdo: Kriticky důležité subjekty (velké firmy, kritická infrastruktura, systémově významné organizace)

Co hlásit: VŠECHNY relevantní kybernetické bezpečnostní incidenty

  • I ty, které nemají významný dopad
  • Zaměřeno na včasné varování a prevenci

Kam hlásit: Přímo NÚKIB prostřednictvím Portálu NÚKIB

Časové lhůty:

  • Do 24 hodin: Prvotní hlášení od zjištění incidentu
  • Do 72 hodin: Doplňující informace (u významných incidentů)
  • Do 1 měsíce: Závěrečná zpráva o incidentu

Reakce NÚKIB: Nejpozději do 24 hodin (i o víkendech a svátcích)

🟡 REŽIM NIŽŠÍCH POVINNOSTÍ

Kdo: Ostatní regulované subjekty (střední firmy s nižším systémovým významem)

Co hlásit: Pouze incidenty s významným dopadem

  • Které skutečně negativně ovlivňují poskytování služby
  • Nebo ohrožují zákazníky/uživatele

Kam hlásit: Národní CERT (GovCERT.CZ)

Časové lhůty:

  • Do 72 hodin: Prvotní hlášení od zjištění incidentu
  • Do 1 měsíce: Závěrečná zpráva (pokud je incident významnější)

Reakce: Národní CERT poskytne metodickou podporu

Co je to "kybernetický bezpečnostní incident"?

Není to každá bezpečnostní událost. Podle zákona jde o incident, který:

Narušuje dostupnost, integritu nebo důvěrnost sítí a informačních systémů

Má nebo může mít negativní dopad na poskytování regulované služby

Je způsoben kybernetickou hrozbou (útok, malware, chyba zabezpečení)

Příklady incidentů, které MUSÍTE hlásit:

DDoS útok → Vaše webové služby jsou nedostupné kvůli masivnímu zatížení → Hlásit: ANO (v obou režimech)

Ransomware → Šifrování důležitých dat, požadavek na výkupné → Hlásit: ANO (v obou režimech)

Únik citlivých dat → Neoprávněný přístup k databázi zákazníků → Hlásit: ANO (v obou režimech)

Kompromitace účtu správce → Útočník získal přístup k administrátorskému účtu → Hlásit: ANO (v obou režimech, pokud má dopad)

Phishingový email → Zaměstnanec obdržel podvodný email (bez kliknutí) → Hlásit: NE (bezpečnostní událost, ne incident)

Neúspěšný pokus o průnik → Firewall zablokoval útok, bez dopadu na službu → Hlásit: Vyšší režim ANO, nižší režim NE

Výpadek kvůli lidské chybě → Správce omylem smazal konfiguraci → Hlásit: NE (není kybernetická hrozba)

Plánovaná údržba → Dočasné vypnutí služby kvůli aktualizaci → Hlásit: NE (není incident)

Incident s "významným dopadem" – co to znamená?

Pro režim nižších povinností je klíčové určit, zda má incident významný dopad.

Indikátory významného dopadu:

Přerušení služby delší než určitou dobu (např. 1+ hodina)

Ovlivnění velkého počtu uživatelů (stovky až tisíce)

Únik nebo kompromitace citlivých dat

Finanční ztráty (přímé i nepřímé)

Reputační dopad nebo ztráta důvěry

Bezpečnostní riziko pro další subjekty

Pravidlo: Pokud si nejste jistí, raději hlaste. Lepší falešný poplach než přehlédnutý významný incident.

Jak nahlásit incident: Krok za krokem

Fáze 1: Detekce a prvotní vyhodnocení (okamžitě)

1. Zjistěte, že došlo k incidentu

  • Prostřednictvím monitoring nástrojů (SIEM, IDS/IPS)
  • Hlášení od zaměstnanců nebo zákazníků
  • Varování od dodavatelů nebo partnerů

2. Proveďte rychlé vyhodnocení

  • Je to skutečně kybernetický incident (ne chyba nebo plánovaná akce)?
  • Jaký je rozsah a dopad?
  • Týká se to regulované služby?

3. Aktivujte incident response tým

  • Určete odpovědné osoby
  • Zahajte dokumentaci průběhu

⏰ Čas začíná běžet od okamžiku, kdy incident ZJISTÍTE

Fáze 2: Prvotní hlášení (24 nebo 72 hodin)

4. Připravte základní informace

Prvotní hlášení obsahuje:

  • Identifikace organizace (IČO, název, kontakt)
  • Časové údaje (kdy zjištěn, kdy začal)
  • Typ incidentu (DDoS, malware, únik dat, průnik...)
  • Stručný popis situace
  • Dotčené systémy a služby
  • Předběžné vyhodnocení dopadu
  • Přijatá okamžitá opatření

💡 Tip: Nemusíte znát všechny detaily. Prvotní hlášení je předběžné – detaily doplníte později.

5. Odešlete hlášení správným kanálem

Pro režim vyšších povinností:

  • Přes Portál NÚKIB
  • Případně email nebo datová schránka NÚKIB (pro naléhavé situace)

Pro režim nižších povinností:

  • Přes systém Národního CERT (govcert.cz)

6. Zaznamenejte čas odeslání

  • Důležité pro prokázání včasnosti hlášení

Fáze 3: Řešení a zvládání incidentu (průběžně)

7. Implementujte nápravná opatření

  • Izolujte napadené systémy
  • Zastavte šíření hrozby
  • Obnovte kritické služby

8. Komunikujte s NÚKIB/CERT

  • NÚKIB musí zareagovat do 24 hodin
  • Poskytne vám metodickou podporu
  • U kritických případů i technickou asistenci

9. Informujte dotčené strany

  • Zákazníky a uživatele (pokud jsou ovlivněni)
  • Obchodní partnery (pokud je relevantní)
  • Veřejnost (pokud má incident širší dopad)

Fáze 4: Doplňující informace (do 72 hodin u významných)

10. U významných incidentů doplňte detaily

Po 72 hodinách od zjištění odešlete:

  • Aktualizovaný rozsah incidentu
  • Počet dotčených uživatelů
  • Technické detaily (jak útok proběhl, jaké zranitelnosti využil)
  • Dopad na službu (přesná doba výpadku, ovlivněné funkce)
  • Přijatá opatření k nápravě

Fáze 5: Závěrečná zpráva (do 1 měsíce)

11. Vypracujte komplexní závěrečnou zprávu

Obsahuje:

  • Kompletní timeline incidentu
  • Root cause analysis (co bylo příčinou)
  • Celkový dopad (technický, finanční, reputační)
  • Implementovaná opatření k nápravě
  • Lessons learned (ponaučení)
  • Preventivní opatření do budoucna

12. Uzavřete incident interně

  • Aktualizujte dokumentaci
  • Proškolte tým (pokud je třeba)
  • Implementujte dlouhodobá zlepšení

Praktický příklad: DDoS útok na e-shop

Scénář

Čtvrtek 15:30 – E-shop přestává reagovat. Monitoring detekuje masivní nárůst požadavků.

Čtvrtek 15:45 – IT tým potvrzuje DDoS útok. Web je nedostupný. Firma je v režimu vyšších povinností.

Jak postupovat?

⏰ OKAMŽITĚ (15:45)

  • Aktivujte incident response plán
  • Zahajte logování všech akcí
  • Kontaktujte poskytovatele DDoS ochrany

⏰ DO 24 HODIN (pátek 15:45)

  1. Prvotní hlášení na Portál NÚKIB:
    • Typ: DDoS útok
    • Dotčená služba: E-shop (regulovaná služba)
    • Dopad: Úplná nedostupnost od 15:30
    • Přijatá opatření: Aktivována DDoS ochrana, komunikace s ISP
  2. Pokračujte v řešení:
    • ISP přesměroval provoz přes scrubbing centrum
    • Web částečně obnoven v pátek 2:00

⏰ DO 72 HODIN (neděle 15:45) 3. Doplňující informace:

  • Celková doba výpadku: 10,5 hodiny
  • Dotčení zákazníci: cca 15 000 (nemohli nakupovat)
  • Technické detaily: Volumetrický útok 50+ Gbps
  • Finanční dopad: Odhadovaná ztráta tržeb 500 000 Kč

⏰ DO 1 MĚSÍCE (15. února) 4. Závěrečná zpráva:

  • Root cause: Nedostatečná DDoS ochrana
  • Implementované změny: Upgrade na vyšší tier DDoS ochrany, redundantní ISP připojení
  • Lessons learned: Nutnost pravidelných zátěžových testů

Co NESMÍTE dělat

Čekat, až incident vyřešíte, a pak to nahlásit → Lhůta běží od zjištění, ne od vyřešení

Nehlásit "menší" incidenty (v režimu vyšších povinností) → Musíte hlásit všechny relevantní incidenty

Zatajit incident před vedením → Vedení nese odpovědnost a musí být informováno

Komunikovat s médii bez koordinace → Může zkomplikovat vyšetřování a poškodit reputaci

Ignorovat doporučení NÚKIB → Jejich pokyny jsou závazné

Neprovádět preventivní opatření po incidentu → Opakované incidenty stejného typu = závažné pochybení

Sankce za nehlášení nebo pozdní hlášení

Pro režim vyšších povinností

Finanční pokuty:

  • 10 milionů EUR nebo 2 % ročního obratu (vyšší částka)
  • Typicky: 500 000 – 5 000 000 Kč podle závažnosti

Další sankce:

  • Zvýšená frekvence kontrol
  • Nařízení okamžitých nápravných opatření
  • Možný zákaz výkonu funkce pro členy vedení

Pro režim nižších povinností

Finanční pokuty:

  • Nižší než u vyššího režimu, ale stále významné
  • Typicky: 100 000 – 1 000 000 Kč

Další důsledky:

  • Reputační škody
  • Ztráta důvěry zákazníků
  • Možnost přeřazení do vyššího režimu

Polehčující okolnosti

Sankce může být mírnější, pokud: ✓ Incident jste hlásili s minimálním zpožděním (např. 25 hodin místo 24) ✓ Prokazatelně jste učinili vše pro rychlé řešení ✓ Spolupracovali jste aktivně s NÚKIB ✓ Jde o první pochybení

Jak se připravit: 7 kroků před prvním incidentem

1. Vytvořte Incident Response Plán (IRP)

Co musí obsahovat:

  • Role a odpovědnosti (kdo dělá co)
  • Kontaktní seznam (tým, NÚKIB, dodavatelé)
  • Eskalační procedury
  • Šablony pro hlášení
  • Komunikační strategie

2. Jmenujte Incident Response Tým

Klíčové role:

  • Incident Manager – koordinuje celý proces
  • Technický lead – řeší technickou stránku
  • Komunikační specialista – komunikace ven
  • Právní poradce – posouzení právních dopadů
  • Kontaktní osoba pro NÚKIB – oficiální komunikace s úřadem

3. Připravte si šablony hlášení

Vytvořte předpřipravené formuláře:

  • Prvotní hlášení (základní údaje předvyplněné)
  • Doplňující informace
  • Závěrečná zpráva

💡 Tip: Nástroj Kraita Cyber One obsahuje šablony všech typů hlášení a pomůže vám je vyplnit.

4. Zřiďte přístup na Portál NÚKIB

Před prvním incidentem:

  • Zaregistrujte odpovědné osoby
  • Nastavte přístupová práva
  • Otestujte funkčnost portálu

5. Implementujte detekční nástroje

Musíte být schopni rychle detekovat incidenty:

  • SIEM nebo log management
  • IDS/IPS systémy
  • Endpoint detection and response (EDR)
  • Monitoring dostupnosti služeb

Pravidlo: Pokud incident nezjistíte, nemůžete ho nahlásit včas.

6. Proškolte zaměstnance

Všichni musí vědět:

  • Co je incident a jak ho rozpoznat
  • Komu to okamžitě nahlásit
  • Co NESMÍ dělat (např. mazat logy)

Pravidelné testy:

  • Simulované incidenty
  • Tabletop exercises (teoretické scénáře)
  • Technické cvičení

7. Otestujte celý proces

Minimálně 1x ročně:

  • Simulujte incident od začátku do konce
  • Změřte, jak dlouho trvá každá fáze
  • Identifikujte slabá místa
  • Aktualizujte IRP podle zjištění

Časté otázky a odpovědi

„Co když zjistíme incident až po několika dnech?"

Lhůta běží od okamžiku zjištění, ne od okamžiku vzniku incidentu. Pokud útok probíhal týden, ale vy jste ho objevili dnes, máte 24/72 hodin od dnešního dne.

DŮLEŽITÉ: Musíte prokázat, že jste používali přiměřená detekční opatření. Pokud zjistíte incident pozdě kvůli nedostatečnému monitoringu, může to být posouzeno jako samostatné pochybení.

„Musím hlásit i pokus o útok, který selhal?"

Režim vyšších povinností: ANO, pokud jde o relevantní bezpečnostní událost

Režim nižších povinností: NE, pokud neměl významný dopad

„Co když se incident stane o víkendu nebo v noci?"

Lhůta běží nepřetržitě, včetně víkendů a svátků. Proto musíte mít zajištěnou:

  • 24/7 monitoring a detekci
  • Pohotovostní tým schopný incident eskalovat
  • Přístup k hlášení kdykoliv

NÚKIB také funguje 24/7 a musí zareagovat do 24 hodin i o víkendu.

„Můžeme hlášení delegovat na externího dodavatele?"

Odpovědnost za hlášení nemůžete delegovat. Dodavatel vám může pomoci s technickou analýzou nebo přípravou zprávy, ale:

  • Hlášení musí jít oficiálně od vás
  • Odpovědnost nese vaše organizace
  • Vedení musí být informováno

„Co když nevíme všechny detaily při prvotním hlášení?"

To je normální. Prvotní hlášení je předběžné – účelem je rychle informovat NÚKIB o situaci. Detaily můžete:

  • Doplnit v následném hlášení (72 hodin)
  • Zapsat do závěrečné zprávy (1 měsíc)

Nikdy nečekejte, až budete mít kompletní informace – to byste zmeškali lhůtu.

„Jak poznám, že incident má 'významný dopad'?"

V prováděcí vyhlášce budou konkrétní kritéria (např. doba výpadku, počet uživatelů). Obecně platí:

Pokud incident:

  • Přeruší poskytování služby na delší dobu
  • Ovlivní velké množství uživatelů
  • Způsobí únik citlivých dat
  • Má finanční nebo reputační dopad

Má významný dopad

Tip: V případě pochybností se raději zeptejte NÚKIB (non-incident konzultace) nebo hlaste preventivně.

Jak vám pomůže Kraita Cyber One

Modul Řízení incidentů

Kraita Cyber One obsahuje specializovaný modul pro správu kybernetických incidentů:

Detekce a evidence

  • Centrální místo pro zaznamenání všech bezpečnostních událostí
  • Automatické vyhodnocení, zda jde o incident

Automatické šablony hlášení

  • Předpřipravené formuláře pro NÚKIB/CERT
  • Automatické vyplnění známých údajů
  • Export v požadovaném formátu

Timeline a dokumentace

  • Automatické zaznamenávání všech kroků
  • Kompletní audit trail
  • Přehledný časový průběh

Připomínky lhůt

  • Upozornění na blížící se deadliny (24h, 72h, 1 měsíc)
  • Automatické notifikace odpovědným osobám
  • Sledování stavu každého hlášení

Analýza a reporty

  • Statistiky incidentů
  • Identifikace trendů
  • Podklady pro závěrečné zprávy

Lessons learned databáze

  • Evidence ponaučení z každého incidentu
  • Sdílení znalostí v týmu
  • Prevence opakování

Shrnutí: Checklist pro přípravu

Před účinností zákona (do 1. 11. 2025):

□ Vytvořit Incident Response Plán □ Jmenovat Incident Response Tým □ Zaregistrovat se na Portálu NÚKIB □ Připravit šablony hlášení □ Implementovat detekční nástroje □ Proškolit všechny zaměstnance □ Otestovat celý proces hlášení

Po registraci (nejpozději do 1 roku od registrace regulované služby):

□ Aktivní 24/7 monitoring □ Okamžitá eskalace podezřelých událostí □ Rychlé vyhodnocení (incident vs. událost) □ Prvotní hlášení do 24/72 hodin □ Průběžná komunikace s NÚKIB/CERT □ Doplňující informace do 72 hodin □ Závěrečná zpráva do 1 měsíce □ Implementace preventivních opatření

Závěr: Čas je váš nepřítel

Hlášení incidentů není jen administrativní povinnost. Je to kritický proces, který může:

✓ Pomoci rychle zmírnit dopad incidentu ✓ Chránit další organizace před podobným útokem ✓ Získat odbornou podporu od NÚKIB ✓ Prokázat proaktivní přístup k bezpečnosti

Klíčem k úspěchu je příprava. Pokud incident řešíte poprvé a nevíte, jak ho nahlásit, ztrácíte drahocenný čas. Proto:

  1. Připravte se NYNÍ – před prvním incidentem
  2. Otestujte proces – simulované cvičení vám ukáže slabiny
  3. Využijte nástroje – Kraita Cyber One zautomatizuje rutinu
  4. Buďte proaktivní – lepší falešný poplach než přehlédnutý incident

Pamatujte: První incident může přijít kdykoliv. A když přijde, budete mít jen 24 hodin.

Chcete mít proces hlášení incidentů pod kontrolou? Vyzkoušejte modul Řízení incidentů v nástroji Kraita Cyber One a ušetřete si stres při prvním skutečném útoku.

Zjistěte více o modulu Řízení incidentů

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies