Blog
Připravte se na nejhorší: Plán obnovy provozu pro vaši firmu

Připravte se na nejhorší: Plán obnovy provozu pro vaši firmu

David Martínek
30. proince 2025
8 min čtení

Připravte se na nejhorší: Plán obnovy provozu pro vaši firmu

„Co se stane, když nám vypadnou servery? Jak dlouho vydržíme bez dat? Kolik nás to bude stát?" Pokud na tyto otázky neumíte odpovědět, máte problém. A nový zákon o kybernetické bezpečnosti vás nutí ho vyřešit.

Business Continuity Planning (BCP) a Disaster Recovery (DR) nejsou jen buzzwords pro velké korporace. Jsou to plány, které rozhodují o tom, zda vaše firma přežije vážný incident – nebo skončí.

V tomto článku se dozvíte, co tyto pojmy vlastně znamenají, jak je rozlišit a hlavně – jak si připravit funkční plán během několika týdnů, ne měsíců.

BCP vs. DR: Jaký je rozdíl?

Většina lidí tyto pojmy hází do jednoho pytle. Ale není to totéž.

Business Continuity Plan (BCP)

= Plán kontinuity provozu

Co řeší: Jak udržet firmu v chodu během krize.

Otázka: „Když nám vypadne klíčový systém, jak budeme pokračovat v práci?"

Příklad:

  • Vyhořel vám sklad → dočasně pronajmete náhradní prostor a přesměrujete dodávky
  • Vypadl e-shop → přepnete na záložní způsob objednávání (telefon, email)
  • Onemocněl jediný člověk s přístupem k fakturaci → kolega má zastupující oprávnění

Zaměření: Celá firma, všechny procesy (nejen IT)

Disaster Recovery Plan (DRP)

= Plán obnovy po havárii

Co řeší: Jak co nejrychleji obnovit IT systémy po výpadku.

Otázka: „Když nám spadne server, jak rychle ho vrátíme do provozu?"

Příklad:

  • Ransomware zašifroval data → obnovíte ze zálohy z včerejška
  • Vypálil se storage → přepnete na záložní infrastrukturu (hot standby)
  • Výpadek datacentra → přesunete provoz na cloud backup

Zaměření: IT infrastruktura a data

Jednoduše řečeno:

  • BCP = Co dělat, když fungujeme v nouzovém režimu
  • DR = Jak co nejrychleji vrátit IT do normálu

Potřebujete obojí? Ano. DR je technická část, BCP je širší organizační rámec.

Proč to potřebujete (a proč teď)

1. Nový zákon to vyžaduje

Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), který implementuje evropskou směrnici NIS2 a nabývá účinnosti 1. listopadu 2025, výslovně požaduje, aby organizace měly:

✅ Plán kontinuity provozu (§ 14 odst. 1 – řízení kontinuity činností)

✅ Pravidelně testovanou strategii zálohování a obnovy

✅ Analýzu dopadů výpadku (Business Impact Analysis)

Není to doporučení – je to povinnost. A kontrola od NÚKIB bude chtít vidět, že plány máte a že fungují.

2. Výpadek stojí majlant

Podle aktuálních průzkumů (ITIC 2024, Gartner) stojí hodina výpadku kritického systému u střední firmy v průměru 200 000 – 500 000 Kč. U menších firem se náklady pohybují v rozmezí 50 000 – 250 000 Kč za hodinu.

Příklady reálných scénářů:

  • E-shop nefunguje 24 hodin = ztráta objednávek + reputační škoda
  • Výrobní linka stojí kvůli výpadku řídícího systému = prostoje, penále dodavatelům
  • Ransomware zašifroval zákaznická data a nemáte zálohu = výkupné + GDPR pokuta + ztráta důvěry

Otázka není „jestli", ale „kdy" se to stane.

3. Zákazníci a partneři to očekávají

Velcí klienti a dodavatelské řetězce stále častěji vyžadují důkaz, že máte plán obnovy provozu.

Pokud nemůžete prokázat, že zvládnete incident, můžete přijít o zakázku nebo o pozici v dodavatelském řetězci.

Jak vytvořit BCP a DR plán: Praktický postup

Nemusíte najímat konzultanty za statisíce. Základní funkční plán si vytvoříte sami za 4–6 týdnů. Mějte však na paměti, že zákon dává firmám 12 měsíců od registrace na plnou implementaci bezpečnostních opatření – komplexnější plán s testováním a zapojením celé organizace může trvat déle.

Krok 1: Business Impact Analysis (BIA)

Co to je: Zmapujete, které procesy a systémy jsou pro firmu kritické a co se stane, když vypadnou.

Jak na to:

  1. Sestavte seznam všech klíčových procesů (výroba, prodej, fakturace, logistika...)
  2. U každého procesu určete:
    • RTO (Recovery Time Objective) = Jak dlouho můžete být bez něj? (4 hodiny? 24 hodin? Týden?)
    • RPO (Recovery Point Objective) = Kolik dat si můžete dovolit ztratit? (poslední hodinu? Den? Týden?)
    • Dopad výpadku = Co se stane, když to nebude fungovat? (ztráta tržeb, pokuty, reputace)

Příklad:

Proces RTO RPO Dopad výpadku
E-shop 4 hodiny 1 hodina Ztráta objednávek, přesun ke konkurenci
Fakturace 24 hodin 24 hodin Zpoždění plateb, cash-flow problémy
Email 8 hodin 4 hodiny Zpomalení komunikace, ztráta obchodů
Výroba (řídicí systém) 2 hodiny 0 minut Prostoje linky, penále, ztráta 500k/den

Výstup: Víte, co je opravdu kritické a jak rychle to musíte obnovit.

Krok 2: Identifikace hrozeb a scénářů

Jaké katastrofy vám hrozí?

Nečekejte apokalypsu – většina „katastrof" je docela obyčejných:

IT selhání:

  • Výpadek serveru (hardware selhání)
  • Ransomware nebo jiný kyberútok
  • Výpadek internetu / cloudu
  • Smazání dat omylem

Fyzické hrozby:

  • Požár, povodeň, výpadek elektřiny
  • Krádež / vandalismus
  • Přírodní katastrofa

Lidské faktory:

  • Klíčový zaměstnanec onemocní / odejde
  • Chyba při aktualizaci systému
  • Fyzické poškození infrastruktury

Vyberte 5–7 nejpravděpodobnějších scénářů a pro každý připravte postup.

Krok 3: Strategie obnovy (DR)

Pro každý kritický systém definujte:

A) Zálohování

  • Co zálohovat: Databáze, dokumenty, konfigurace, zákaznická data
  • Jak často: Denně? Hodinově? V reálném čase?
  • Kde ukládat: Cloud, externí disk, offsite lokace
  • Jak dlouho uchovávat: 7 dní? 30 dní? 1 rok?

Příklad:

  • Databáze zákazníků: záloha každou hodinu, uloženo v cloudu + místní backup
  • Účetní systém: denní záloha, 30denní historie
  • Dokumenty: kontinuální synchronizace do cloudu (OneDrive, Google Drive)

B) Redundance a náhrada

  • Máte záložní hardware? (hot standby, cold standby)
  • Můžete přepnout na cloud?
  • Máte smlouvu s dodavatelem na rychlou náhradu?

C) Postup obnovy

  • Krok za krokem: Jak obnovit systém ze zálohy
  • Kdo to udělá? (jméno, kontakt)
  • Jak dlouho to trvá? (odhad)

💡 Důležité: Testujte obnovu pravidelně! Záloha, kterou nikdy neotestujete, je jen iluze bezpečí.

Krok 4: Strategie kontinuity (BCP)

Pro každý kritický proces definujte:

Nouzový režim:

  • Jak proces poběží, když primární systém nefunguje?
  • Existuje manuální alternativa?

Příklad:

  • E-shop vypadl → zákazníci objednávají přes email/telefon, zadáváme ručně do systému
  • Fakturační software nefunguje → dočasně používáme Excel, pak data přeneseme zpět
  • Výroba bez řídícího systému → ruční řízení s papírovými příkazy (dočasně)

Komunikace:

  • Kdo informuje zákazníky/dodavatele?
  • Jaký komunikační kanál použijeme, když email nefunguje?

Nezapomeňte: Zákon vyžaduje hlášení kybernetických incidentů NÚKIB do 24 hodin (prvotní hlášení). Váš BCP musí obsahovat postup, kdo a jak toto hlášení provede.

Role a odpovědnosti:

  • Kdo koordinuje reakci? (Crisis Manager)
  • Kdo komunikuje s médii?
  • Kdo obnovuje systémy?

Krok 5: Dokumentace a školení

Napište plán (ale jednoduše!):

✅ Kontakty na klíčové osoby

✅ Seznam kritických systémů a procesů

✅ Postup pro nejčastější scénáře (požár, ransomware, výpadek serveru...)

✅ Kde jsou zálohy, jak je obnovit

✅ Kdo co dělá

Formát: Max 10–15 stránek přehledného textu s checklisty. Musí to být použitelné ve stresu.

Školení: Projděte plán s týmem. Každý musí vědět, co má dělat.

Krok 6: Testování

Nejdůležitější krok, který většina firem přeskočí.

Plán, který nebyl nikdy otestován, je jen teorie. Musíte vyzkoušet, že funguje.

Typy testů:

  1. Tabletop exercise (simulace na papíře)
    • Sedíte u stolu a projdete scénář: „Představte si, že nám vypadl hlavní server. Co teď?"
    • Rychlé, levné, odhalí velké díry v plánu
  2. Partial test (částečný test)
    • Otestujete jeden systém: zkusíte obnovit databázi ze zálohy
    • Měříte, jak dlouho to trvá
  3. Full simulation (plná simulace)
    • Simulujete reálný výpadek v testovacím prostředí
    • Testujete celý proces od začátku do konce

Frekvence: Doporučujeme minimálně 1× ročně celý plán, každé 3 měsíce testujte obnovu ze zálohy. Zákon konkrétní frekvenci nestanovuje, ale vyžaduje, aby opatření byla funkční a účinná.

Časté chyby (a jak se jim vyhnout)

❌ Chyba 1: „Máme zálohy, jsme v pohodě"

Zálohy jsou skvělé. Ale:

  • Testovali jste, že jdou opravdu obnovit?
  • Máte zálohy uložené odděleně od produkčních systémů? (Ransomware zašifruje i síťové zálohy!)
  • Víte, jak dlouho obnova trvá?

Řešení: Pravidelně testujte obnovu. Minimálně každé 3 měsíce.

❌ Chyba 2: Plán má 80 stránek a nikdo ho nečetl

Když propukne krize, nikdo nebude číst román. Potřebujete checklisty a jasné kroky.

Řešení: Stručný, přehledný dokument + jednoduchý flowchart (vývojový diagram).

❌ Chyba 3: Plán dělá IT a zbytek firmy o něm neví

DR je technická věc, ale BCP je celofiremní záležitost. HR, finance, prodej – všichni musí vědět, co dělat.

Řešení: Zapojte všechna oddělení do tvorby plánu. Definujte role mimo IT.

❌ Chyba 4: Plán je z roku 2018 a nikdy se neaktualizoval

Firma roste, mění systémy, přidává služby. Plán musí držet krok.

Řešení: Aktualizujte plán minimálně 1× ročně nebo při každé velké změně (nový systém, nový dodavatel...).

Checklist: Máte připraveno?

✅ Máte zmapované kritické procesy a systémy? (BIA)

✅ Víte, jak rychle je musíte obnovit? (RTO/RPO)

✅ Máte funkční zálohy a pravidelně je testujete?

✅ Existuje jasný postup pro nejčastější scénáře? (ransomware, výpadek serveru, požár)

✅ Víte, kdo co dělá při incidentu? (jmenné určení rolí)

✅ Máte nouzový komunikační plán? (jak budete komunikovat, když email nefunguje)

✅ Je plán dokumentovaný a dostupný? (ne jen na serveru, který může vypadnout!)

✅ Školili jste tým a testovali plán?

Jak vám pomůže Kraita Cyber One

Business Continuity a Disaster Recovery jsou klíčové požadavky nového zákona. Kraita Cyber One vám pomůže je splnit:

Business Impact Analysis

  • Nástroj vás provede mapováním kritických aktiv a procesů
  • Automaticky vyhodnotí rizikovost a priority

Šablony a dokumentace

  • Generuje šablony BCP/DR plánů na míru vaší firmě
  • Jasné checklisty pro různé scénáře

Testování a evidence

  • Sledujete plnění testů obnovy
  • Automatické připomínky: „Je čas otestovat zálohy"

Integrace s řízením rizik

  • Propojení BCP/DR s analýzou rizik
  • Vidíte, které hrozby máte pokryté a které ne

Závěr: Plán je jako pojistka – nemáte ho pro radost

Nikdo nechce přemýšlet o katastrofách. Ale když se stane něco vážného (a stane se – jde jen o čas), budete rádi, že máte plán.

Business Continuity a Disaster Recovery nejsou zbytečná byrokracie. Jsou to nástroje, které rozhodují o přežití firmy.

A dobrou zprávou je, že základní funkční plán si dokážete připravit sami během několika týdnů. Nemusí to být komplikované – začněte jednoduše:

  1. Zmapujte, co je kritické (BIA)
  2. Připravte postup obnovy (DR)
  3. Definujte nouzový režim (BCP)
  4. Testujte, testujte, testujte

Začněte dnes. Vaše budoucí Já vám poděkuje.

Potřebujete pomoc s přípravou BCP/DR plánu? Kraita Cyber One vás provede celým procesem – od analýzy po dokumentaci a testování.

[Vyzkoušet Kraita Cyber One]

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies