Na bezpečnostních konferencích to zní samozřejmě: „Potřebujete SIEM a SOC." Jenže firmě s 80 zaměstnanci a dvěma ajťáky to může znít jako výzva postavit si domácí raketodrom.
Zákon č. 264/2025 Sb. vyžaduje detekci a zaznamenávání bezpečnostních událostí. To je holý fakt. Ale NEZNAMENÁ to, že musíte vybudovat vlastní bezpečnostní centrum za miliony. Existuje celé spektrum řešení – od „stačí EDR" po outsourcovaný SOC – a smyslem tohoto článku je pomoci vám se v tom orientovat.
Začněme tím, co ty zkratky vlastně znamenají.
Malý slovníček IT žargonu
Logy jsou záznamy o tom, co se děje v systémech. Kdo se přihlásil, kdy, odkud, k čemu přistupoval, co se změnilo. Je to jako bezpečnostní kamera, jen digitální a pro každý systém zvlášť.
SIEM (vyslovujte „sím", zkratka z anglického Security Information and Event Management – řízení bezpečnostních informací a událostí) je systém, který tyto záznamy ze všech vašich systémů sbírá na jedno místo, porovnává je navzájem a upozorňuje, když najde podezřelý vzor. Například: uživatel se normálně přihlašuje z Prahy. Dnes se přihlásil z Číny a zároveň se z Prahy pokouší přihlásit někdo jiný s jeho heslem. SIEM to spojí a vyhlásí alarm.
SOC (Security Operations Center, „bezpečnostní operační centrum") jsou lidé – analytici – kteří ty alarmy čtou, vyhodnocují a reagují na ně. SIEM jim říká, co se děje. Oni rozhodují, co to znamená a co s tím dělat. SOC bez SIEM je jako hasič bez displeje od detektoru. SIEM bez SOC je jako detektor, který pípá v prázdné budově.
EDR (Endpoint Detection and Response, „detekce a reakce na koncových zařízeních") je nástroj instalovaný přímo do počítačů a serverů, který sleduje, co na nich běží, a dokáže automaticky blokovat podezřelé procesy. Jednodušší a levnější než SIEM, ale má menší rozsah pohledu – vidí jen na zařízení, ne na celou síť.
MDR (Managed Detection and Response, „spravovaná detekce a reakce") je outsourcovaný bezpečnostní tým, který za vás sleduje, analyzuje a reaguje – 24 hodin denně, 7 dní v týdnu. Nemusíte mít vlastní analytiky. Platíte měsíčně za službu, jako platíte za alarm s pultovou ochranou.
Co zákon říká a co to v praxi znamená
Zákon č. 264/2025 Sb. a na něj navazující vyhlášky dělí firmy do dvou skupin podle závažnosti jejich regulované služby.
Vyšší povinnosti (vyhláška 409/2025): Zákon vyžaduje v podstatě plnohodnotný systém detekce. Konkrétně: nástroj pro detekci kybernetických bezpečnostních událostí a jejich zaznamenávání (§21 a §22), centralizovaný sběr logů s uchováním po dobu 18 měsíců (§22 odst. 5 písm. c)), a nástroj pro nepřetržité vyhodnocování bezpečnostních událostí (§23), který upozorňuje a koreluje záznamy. To je v praxi SIEM nebo jeho ekvivalent. Zákon neříká „musíte mít produkt jménem SIEM" – říká, co musí váš systém dělat. A SIEM to dělá.
Nižší povinnosti (vyhláška 410/2025): Požadavky jsou mírnější. Zákon vyžaduje detekci a zaznamenávání bezpečnostních událostí (§9), antivirovou ochranu na serverech a koncových stanicích, kontrolu perimetru a včasné varování. Záznamy musíte uchovávat po dobu stanovenou na základě vlastních bezpečnostních potřeb (§9 odst. 3). Plnohodnotný SIEM zákon explicitně nevyžaduje, ale de facto ho k naplnění smyslu potřebujete – nebo musíte mít jiné řešení, které stejnou úroveň pohledu zajistí.
Praktický překlad: pro nižší povinnosti vám může stačit kvalitní EDR s cloudovým centralizovaným záznamem a e-mailové alerty při kritických událostech. Pro vyšší povinnosti bez SIEM nebo jeho ekvivalentu neprojdete.
Tři cesty, kterými se vydat
Cesta 1: EDR + cloudový monitoring (pro nižší povinnosti, menší firmy)
EDR nasadíte na všechny počítače a servery. Záznamy putují automaticky do cloudu (většina moderních EDR to nabízí jako součást). Dostáváte alerty při podezřelé aktivitě.
Co to dá: detekce malwaru, podezřelého chování na zařízeních, základní přehled.
Co to nedá: pohled na celou síť, propojení událostí napříč systémy, detekci útoků, které se odehrávají mimo koncová zařízení (například v síťové infrastruktuře).
Pro koho: firmy v nižším režimu s malým IT týmem, kde bezpečnost není primárním regulatorním tématem. Cena: řádově tisíce korun měsíčně za celou firmu.
Cesta 2: Outsourcovaný SOC / MDR (zlatá střední cesta)
Najměte si bezpečnostní tým jako službu. Poskytovatel nasadí svá čidla (nebo se napojí na vaše systémy), sleduje provoz 24/7 a v případě problému reaguje – sám izoluje napadené zařízení, kontaktuje vás, pomáhá s incidentem.
Co to dá: 24/7 pokrytí bez vlastních nočních analytiků, přístup k expertíze, škálovatelnost, dokumentace pro audit.
Co to nedá: úplnou kontrolu nad procesy (jste závislí na dodavateli), plnou přizpůsobivost specifickým systémům.
Pro koho: středně velké firmy ve vyšším i nižším režimu, které mají IT tým, ale ne bezpečnostní specialisty. Cena: typicky 25–150 USD za endpoint za měsíc (v roce 2025), nebo paušál za celé prostředí. Outsourcovaný SOC pro SME vychází přibližně na 120 000 až 360 000 USD ročně za komplexní 24/7 pokrytí – stále přibližně třetina až desetina nákladů na vlastní tým.
Cesta 3: Vlastní SIEM (pro velké firmy ve vyšším režimu)
Implementujete SIEM platformu (Microsoft Sentinel, Splunk, IBM QRadar, Wazuh pro open-source variantu...). Logujete do ní vše. Najímáte nebo vyčleníte interní analytiky.
Co to dá: maximální kontrolu, přizpůsobivost, žádná závislost na externím dodavateli.
Co to nedá: levné řešení. Vlastní SOC stojí 1–4 miliony dolarů ročně jen na provoz (analytici, technologie, licenční poplatky). Globální nedostatek kybernetických specialistů (4,8 milionu volných pozic celosvětově) navíc znamená, že sehnat a udržet kvalitní tým je obtížné.
Pro koho: velké firmy (stovky zaměstnanců a výše) ve vyšším režimu, firmy kritické infrastruktury, organizace, kde regulatorní požadavky nebo citlivost dat neumožňují outsourcing.
Jak to celé propojit s požadavky zákona
Zákon nevyžaduje konkrétní produkty. Vyžaduje výsledky:
- Musíte detekovat bezpečnostní události – zjistit, že se něco děje, v co nejkratší době.
- Musíte události zaznamenávat – mít záznamy, ze kterých lze incidenty zpětně rekonstruovat.
- Musíte záznamy uchovávat – 18 měsíců pro vyšší povinnosti; přiměřenou dobu dle vlastního rozhodnutí pro nižší.
- Musíte vyhodnocovat – mít nástroj nebo proces, který z dat dělá smysluplné alarmy, ne jen hromadu textu.
- Musíte reagovat – mít definovaný postup, co dělat, když alarm přijde.
EDR + outsourcovaný SOC toto splňuje. Vlastní SIEM to splňuje. Klíčové je, aby vaše řešení bylo zdokumentované a prokazatelné – protože při auditu neobhájíte „máme to nějak nastavené, snad to funguje."
Na co si dát pozor při výběru poskytovatele
Kde jsou vaše data? SIEM sbírá logy, ve kterých mohou být citlivé obchodní informace nebo osobní údaje. Váš poskytovatel musí být transparentní v tom, kde data ukládá, kdo k nim má přístup a jak jsou chráněná. GDPR platí.
Co vlastně dostanete za reakci? Někteří poskytovatelé vám pošlou e-mail „nalezena anomálie". Jiní incident prošetří, izolují napadené zařízení a doručí vám zprávu o tom, co se stalo a jak to opravit. Rozdíl je zásadní – ptejte se na SLA (Service Level Agreement), tedy garantovanou dobu reakce a rozsah zásahu.
Integruje se to s vašimi systémy? SIEM je tak dobrý, jak dobrá jsou data, která dostává. Pokud se nedokáže napojit na váš e-mailový server, ERP, VPN nebo cloudové služby, vidí jen část obrázku.
Jak poznám, že to funguje? Dobrý poskytovatel pravidelně reportuje: kolik událostí bylo detekováno, kolik vyhodnoceno jako falešný alarm a kolik jako skutečný problém, jak dlouho trvala reakce. Pokud nedostáváte žádné reporty, buď se nic neděje (nepravděpodobné), nebo nástroj nic nezachytil (problém).
Praktický postup pro firmy, které začínají
Krok 1: Ujasněte si svůj režim. Jste ve vyšším nebo nižším režimu povinností? To určí, jak striktní požadavky na vás zákon klade.
Krok 2: Zmapujte, co máte. Máte EDR na všech zařízeních? Kde jsou logy z vašich serverů, VPN, e-mailu, cloudových služeb? Kdo je teď čte a jak?
Krok 3: Identifikujte mezery. Záznamy existují, ale nikdo je systematicky nevyhodnocuje? Máte antivirus, ale ne centralizovaný přehled? Tam je problém.
Krok 4: Rozhodněte se pro model. EDR a poučení IT administrátor nestačí pro firmu ve vyšším režimu. Pro nižší režim to jako první krok může stačit – pokud to zdokumentujete.
Krok 5: Vyberte řešení podle reálné kapacity, ne podle ideálu. Nevybudujete dokonalý SOC za šest měsíců. Ale můžete za šest týdnů nasadit EDR s cloudovým centralizovaným logováním a uzavřít smlouvu s poskytovatelem MDR. To je lepší než čekat na dokonalé řešení.
Jedno číslo, které stojí za zapamatování
Průměrná doba od průlomu do jeho zjištění a uzavření byla v roce 2025 241 dní (IBM Cost of a Data Breach 2025) – nejnižší za devět let díky nasazení AI nástrojů, ale stále téměř osm měsíců, kdy útočník tiše brouzdá vaší sítí.
Smyslem SIEM, SOC a EDR je tuto dobu zkrátit – ideálně na hodiny nebo dny. Ne proto, že zákon to říká (i když říká). Ale proto, že sedm měsíců útočníka ve vaší síti je dost na to, aby ukradl vše, co má cenu, a ještě zablokoval vaše zálohy, než nasadí ransomware.
Detekce není luxus. Je to věc přežití.
Chcete zjistit, jak vaše firma stojí v oblasti detekce a zaznamenávání bezpečnostních událostí podle nové legislativy? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: IBM Cost of a Data Breach Report 2025 (průměrná celková doba detekce + uzavření incidentu 241 dní), Total Assure – Outsourced SOC Cost 2025 (ceny managed SOC), Petronella Cybersecurity – MDR vs SIEM vs SOC 2025, Arctic Wolf – SIEM vs MSSP vs MDR, Sygnia – MDR vs SIEM, zákon č. 264/2025 Sb. §14, vyhláška 409/2025 Sb. §21, §22, §23, vyhláška 410/2025 Sb. §9