Jednou za rok přijde mail od IT oddělení. „Prosím absolvujte povinné školení o kybernetické bezpečnosti." Otevřete odkaz, proklikáte 40 slidů plných varování a červených ikon, na konci zodpovíte kvíz, jehož odpovědi jsou de facto v otázkách samotných. Certifikát stažen. Hotovo. Příští rok zase.
Výsledek? Příští měsíc 33 % vašich lidí klikne na phishingový odkaz. Úplně stejně jako před tím školením.
Tohle není hyperbola. Je to benchmark. KnowBe4 testoval stovky tisíc zaměstnanců a zjistil, že průměrná míra kliknutí na phishingový e-mail se pohybuje kolem 33 %. Jednou ročně. Compliance checkbox. Žádná změna chování.
A přitom zákon říká, že to nestačí.
Co zákon skutečně vyžaduje (a proč to nestačí odškrtnout)
Zákon o kybernetické bezpečnosti č. 264/2025 Sb. a na něj navazující vyhlášky 409 a 410/2025 se školení věnují v celé sekci. A neříkají „absolvujte jednou ročně kurz". Říkají víc.
Vyhláška 410/2025 (nižší povinnosti, §5) ukládá: vstupní školení pro všechny zaměstnance, pravidelná školení v průběhu zaměstnání, a – pozor! – speciální odborná školení pro administrátory a osobu pověřenou kybernetickou bezpečností. Vrcholné vedení musí absolvovat školení o svých povinnostech prokazatelně.
Vyhláška 409/2025 (vyšší povinnosti, §10) jde ještě dál: vyžaduje formální Plán rozvoje bezpečnostního povědomí, který musí zahrnovat formu, obsah i rozsah školení pro různé skupiny zaměstnanců. A klíčová věta: povinná osoba pravidelně hodnotí účinnost plánu rozvoje bezpečnostního povědomí.
Účinnost. Nikoliv docházku. Nikoliv, kolik lidí kliklo na tlačítko „dokončit". Účinnost, tedy jestli to skutečně funguje.
Tady většina firem havaruje. Protože změřit, jestli zaměstnanci skutečně změnili chování, je o dost náročnější než počítat prokliknuté slideshow.
Proč tradiční školení nefungují: čísla, která bolí
Brightside AI agregoval data z více než 100 studií. Závěr: 21,5 % zaměstnanců hodnotí firemní školení jako „téměř neúčinná nebo zcela neúčinná". A proč?
30 % respondentů říká: nudný obsah. Nikdo nechce číst 50 slidů o bezpečnostní politice hesel.
27 % říká: příliš řídká frekvence. Roční školení se nevtiskne do paměti. Lidé zapomínají rychle – a útočníci na to spoléhají.
24 % říká: příliš generické. Účetní dostane stejný obsah jako programátor. Přitom čelí úplně jiným hrozbám.
22 % říká: příliš technické. Záplava zkratek a žargonu, které řadový zaměstnanec nechápe.
Výsledek: pouze 7,5 % organizací používá adaptivní školení, které přizpůsobuje obsah podle rolí a výsledků testů. Zbytek posílá všem totéž.
A pak jsou tu noví zaměstnanci. Studie z platformy Help Net Security zjistila, že 71 % nováčků je náchylnějších ke kliknutí na phishing v prvních 90 dnech. Přesně tehdy, kdy jsou plní „Honem, musím udělat dobrý dojem, tenhle mail z HR asi bude legitimní".
Mezitím: AI útočníci se učí rychleji než vaše PowerPointy
Tohle je věc, která by měla v každém vedení firmy vyvolat neklid. Hoxhunt v březnu 2025 změřil: AI-generované phishingové emaily jsou dnes o 24 % účinnější než ty psané lidskými útočníky. Před dvěma lety to bylo naopak – AI zaostávala za lidmi o 31 %.
Ruské a čínské skupiny patří k nejaktivnějším uživatelům těchto nástrojů. APT28 (Rusko) nebo APT31 (Čína), které NÚKIB opakovaně zmiňuje v kontextu hrozeb pro ČR, dávno nepíší phishingové maily ručně. Mají nástroje, které email přizpůsobí konkrétní firmě, konkrétní roli, konkrétnímu člověku – na základě dat ze sociálních sítí, LinkedIn, firemního webu.
Deepfake incidenty vzrostly o 3000 % od roku 2022. Voice phishing o více než 400 % meziročně.
Vy trénujete zaměstnance na „nigerijského prince". Oni posílají personalizovaný e-mail, který vypadá jako zpráva od jejich nadřízeného o mimořádné platbě dodavateli.
Zákon vám neříká, jak rychle útočníci inovují. Ale implicitně to od vás vyžaduje: pravidelně aktualizovat obsah školení dle aktuálních potřeb. (§10 odst. 2 písm. e) vyhlášky 409/2025)
Co skutečně funguje: tři metody podložené daty
1. Phishing simulace (a jejich správné použití)
Phishing simulace nejsou o tom chytit zaměstnance za ruku a plácnout ho přes prsty. Jsou o tom nastavit bezpečné prostředí, kde chyba nestojí firmu miliony.
Data jsou přesvědčivá: firmy provádějící simulace každých 90 dní vidí 50% zlepšení v klikacích sazbách. Konzistentní trénink snižuje phish-prone percentage z průměrných 33 % na 5,5 % za 12 měsíců – tedy ze třetiny zaměstnanců na necelou jednu ze dvaceti.
Klíč není chytit lidi, ale naučit je správně reagovat. Zaměstnanci dobře vyškolení v bezpečnosti hlásí podezřelé maily pětkrát pravděpodobněji než ti bez tréninku. To je to, co chcete: ne paranoidní firmu, ale firmu, která dokáže hrozbu identifikovat a eskalovat.
Pozor na jeden detail: podle zákonných požadavků musíte dokumentovat výsledky a hodnotit účinnost. Simulace, ze kterých neumíte vytáhnout reporty a trendy, vám k audit-trail nepomůžou.
2. Microlearning: méně je více
Klasické školení zabere hodiny. Microlearning trvá 3–5 minut a přichází tehdy, kdy je relevantní.
Zaměstnanec právě dostal podezřelý email? Systém mu pošle krátký modul přesně o tomto typu útoku. Nastoupí nový zaměstnanec? Dostane sérii krátkých lekcí rozložených do prvních 90 dní – přesně v době, kdy je nejzranitelnější.
Efekt: zlepšení v první třetině roku 30–40 %, po půl roce 50–60 %. Kontext a načasování mají větší vliv na zapamatování než délka obsahu.
3. Gamifikace: je to herní mechanika, žádné blbnutí
Leaderboardy, odznaky, výzvy, soutěže mezi odděleními. Zní to možná infantilně – ale čísla říkají jiné.
Firmy implementující gamifikované školení hlásí 83% nárůst motivace zaměstnanců. A konkrétní statistika, která přesvědčí i skeptické vedení: simulace phishingových kliků klesají na 3 % u firem, kde je školení gamifikované – oproti průměrným 8–14 % u standardních přístupů.
Proč to funguje? Protože zapojujete přirozené motivátory – soutěžení, postup, uznání. Bezpečnostní povědomí přestane být vnímáno jako „povinná otrava od IT" a stane se součástí firemní kultury.
Fortinet ve svém výzkumu z března 2026 zjistil: 67 % organizací s implementovaným průběžným tréninkem hlásí střední nebo výrazné snížení počtu incidentů a průlomů.
Jak měřit, jestli to funguje (a co chce zákon)
Zákon vyžaduje hodnocení účinnosti. To není jen formalita pro audit – je to věc, která rozhoduje, jestli váš program skutečně funguje.
Metriky, které dávají smysl:
Phish-prone percentage (PPP) – kolik procent zaměstnanců klikne na simulovaný phishing? Měřte ji čtvrtletně a sledujte trend. Pokud po 6 měsících neklesá, program nefunguje.
Reporting rate – kolik procent zaměstnanců podezřelý email nahlásí? Průměr je 30–45 %, špičkové programy mají přes 70 %. Tohle je vlastně důležitější metrika než klikací sazba – reportující zaměstnanec je aktivní participant obrany.
Time to report – jak rychle se nahlásí podezřelý incident? Čím kratší, tím lepší.
Role-based performance – kdo jsou vaši nejrizikovější zaměstnanci? Finance? Nováčci? Lidé na manažerských pozicích, na které se útočníci cílí přes spear-phishing? Školte podle rizikovosti role, ne paušálně.
A jeden praktický tip: zákon vyžaduje dokumentaci o provedených školení včetně seznamu absolvujících (§10 odst. 5 vyhlášky 409/2025). Pokud to děláte ručně v Excelu, čeká vás bolest při auditu. Systém, který tohle generuje automaticky, vám ušetří hodiny administrativy a eliminuje riziko, že vám při kontrole NÚKIB chybí docházka z října.
Co si z toho odnést
Zákon vám dává povinnost. Ale skutečný cíl není zákon splnit – je to mít firmu, kde lidé správně reagují na hrozby, které přicházejí každý den.
A hrozby přicházejí. Rusko a Čína investují do ofenzivních kybernetických operací víc než kdykoli dřív. AI-generované phishingové kampaně cílí na konkrétní firmy a konkrétní lidi. Útočníci se učí rychleji, než jakou kadencí se aktualizují vaše školicí materiály.
Dobrou zprávou je, že data jsou na vaší straně: průběžné, personalizované, gamifikované školení s pravidelnými simulacemi dokáže snížit phishingovou susceptibilitu o 70–86 % za rok. To je měřitelná, obhajitelná investice, která má přímý dopad na pravděpodobnost průlomu.
Jednou ročně proklikaná slideshow tohle neumí. A zákon už to ví.
Praktické kroky
- Audit stávajícího stavu – kdy jste naposledy měřili phish-prone percentage svých zaměstnanců? Pokud nevíte, začněte tím.
- Segmentujte podle rolí – finance, IT admini, noví zaměstnanci a management jsou různé rizikové skupiny, které potřebují různý obsah.
- Nastavte frekvenci – měsíční microlearning + čtvrtletní phishing simulace je standard, který funguje. Roční školení nestačí.
- Zapněte měření – phish-prone %, reporting rate, time to report. Sledujte trendy, ne jen absolutní čísla.
- Dokumentujte – zákon vyžaduje přehled o školení včetně jmenného seznamu absolvujících. Automatizujte to od začátku.
Chcete vidět, jak Kraita Cyber One pokrývá bezpečnostní vzdělávání zaměstnanců – včetně automatizované dokumentace pro zákonné požadavky? Vyzkoušejte demo zdarma nebo si domluvte nezávaznou konzultaci.
Zdroje: KnowBe4 Phishing Benchmark 2025, Fortinet Security Awareness and Training Global Research Report 2025 (1 850 respondentů), Brightside AI Meta-Analysis 2025 (100+ studií), Hoxhunt Blog (Briscoe, leden 2026), IBM Cost of a Data Breach Report 2025, Infrascale Security Awareness Survey 2025 (58 984 respondentů), vyhláška 409/2025 Sb. §10, vyhláška 410/2025 Sb. §5