Proč školit pravidelně
Kybernetická bezpečnost nestojí jen na nástrojích, ale především na lidech. Útočníci cílí na e‑mail, komunikátory a sociální inženýrství – tedy na situace, kde rozhoduje pozornost uživatele. Pravidelné školení proto není „nice to have“, ale základní prevence chyb vedoucích k úniku dat, výpadku provozu nebo reputační škodě.
Jednorázový workshop funguje jako očkování bez přeočkování. Paměť vyprchá, návyky se neukotví.
Co říká nový zákon o kybernetické bezpečnosti
Právní rámec: Nový zákon o kybernetické bezpečnosti (účinnost 1. 11. 2025) vyžaduje systematické zvyšování povědomí zaměstnanců a evidenci proškolení. Viz aktuální metodická doporučení NÚKIB k novému zákonu.
V praxi to znamená:
- mít program školení s cíli pro různé role (uživatel, administrátor, management),
- nastavit periodicitu (onboarding + pravidelné opakování; vybrané role častěji),
- vést evidenci: kdo školení absolvoval, kdy a s jakým výsledkem.
Co má evidence školení obsahovat (minimum):
- Jméno a příjmení zaměstnance
- Role / útvar
- Název modulu a stručný obsah
- Datum absolvování
- Výsledek testu/kvízu (v % nebo počet bodů)
- Potvrzení účasti (podpis nebo systémový záznam z LMS)
- Doba uchování záznamu (dle interní směrnice; např. 36 měsíců)
Vzor záznamu (mini‑box)
Jméno: Jana Nováková
Role: Obchod / Key Account
Modul: Phishing & e‑mailová bezpečnost (10 min)
Datum: 12. 9. 2025
Výsledek kvízu: 9/10 (90 %)
Potvrzení: záznam v LMS (ID: 2025‑09‑12‑KRAITA‑PHI‑JNOV)
Retence: 36 měsíců (interní směrnice SB‑04)
Jak často a v jaké formě
- Onboarding: krátké interaktivní školení v první pracovní týden.
- Mikro‑learning: 5–10 minut měsíčně (video, kvíz, scénka ze života firmy).
- Phishing simulace: 1× za čtvrtletí, bez sankcí – cílem je učení, ne „nachytávání“.
- Role‑based: administrátoři a správci systémů 2–4× ročně specializované moduly (hesla, aktualizace, zálohy, reakce na incident).
- Management: 1–2× ročně byznys pohled – rizika, odpovědnosti, schvalování rozpočtu.
Trigger‑based školení (doporučení): Spouštějte krátké školení i při změně role, po bezpečnostním incidentu (lessons learned) nebo při onboardingu dodavatele. Krátké just‑in‑time tipy (banner v e‑mailu, notifikace v Teams) vhodně doplní měsíční mikro‑learning.
Obsah školení v kostce
- Phishing & sociální inženýrství (e‑mail, telefon, messenger)
- Hesla a správa přístupů (vícefaktorové ověření – MFA, správce hesel / password manager, bezpečné sdílení tajemství)
- Práce na dálku a mobilita (VPN, veřejná Wi‑Fi, ztracená zařízení)
- Bezpečná práce s daty (klasifikace, sdílení, šifrování, práce s AI asistenty)
- Základy reakce na incident (jak nahlásit, co si zapsat, jak reagovat)
- Pravidla pro dodavatele (předávání dat, NDA, přístup do systémů)
7 tipů, jak z „povinnosti“ udělat přínos
1. Zapojte vedoucí
Když manažeři školení podporují a sami jdou příkladem, účast i dopad rostou.
2. Méně teorie, více příkladů
Ukazujte reálné situace z vaší firmy (falešné faktury, ztracený notebook, volání „banky“). Lidé si zapamatují příběh, ne paragraf.
3. Krátké dávky, pravidelnost
Raději měsíční mikro‑learning než dvouhodinové sezení jednou ročně.
4. Jeden klik na nahlášení
Tlačítko „Nahlásit phishing“ přímo v poště + jednoduchý formulář pro jakékoli podezření.
5. Měřte to, co chcete zlepšovat
KPI: účast, výsledky kvízů, míra kliknutí na phishing simulace, doba nahlášení. Sdílejte trendy, ne „viníky“.
6. Propojte školení s nástroji
Po školení rovnou zaveďte správce hesel, nastavte MFA a připomeňte zásady pro sdílení dat.
7. Bez studu a trestů
Z chyb se učíme. Místo „nálepek“ dávejte nápovědy a okamžitou zpětnou vazbu. Budujte psychologicky bezpečné prostředí – bez obviňování, s důrazem na učení a podporu.
30–60–90 denní plán zavedení
0–30 dní
- Vyberte obsah pro onboarding a první tři mikro‑moduly.
- Připravte šablony e‑mailů pro simulace a tlačítko „Nahlásit“.
- Vložte osnovu a periodicitu do směrnice bezpečnosti.
31–60 dní
- Spusťte první vlnu školení a první phishing simulaci.
- Zaveďte správce hesel a MFA pro všechny.
61–90 dní
- Vyhodnoťte KPI, upravte témata podle chybovosti.
- Přidejte role‑based moduly (administrátoři, nákup, HR).
- Začněte čtvrtletní report pro vedení.
KPI pro jednotlivé fáze (cílové hodnoty):
- 0–30 dní: Onboarding modul absolvovalo ≥ 80 % nováčků; připraveno a otestováno tlačítko „Nahlásit“ v e‑mailu; připraveny min. tři mikro‑moduly (5–10 min) pro další měsíce.
- 31–60 dní: Míra kliknutí na první phishing simulaci < 15 %; time‑to‑report (od nahlášení do reakce týmu) < 30 min; aktivní účet ve správci hesel ≥ 80 % uživatelů; MFA zapnuto u ≥ 80 % kritických účtů.
- 61–90 dní: Zlepšení míry kliknutí o ≥ 5 p. b. oproti první simulaci; účast na mikro‑learningu ≥ 90 %; time‑to‑report < 20 min; role‑based moduly dokončeny: administrátoři ≥ 90 %, nákup/HR ≥ 80 %.
Tip: Do čtvrtletního reportu pro vedení zařaďte jednoduchý trendový graf KPI (účast, míra kliknutí, time‑to‑report).
Jak to prodat – bez nátlaku
- Nižší riziko výpadku = stabilnější tržby a méně prostojů.
- Nižší náklady na podporu – méně resetů hesel, méně incidentů „omylem“.
- Lepší audit a due diligence – rychle předložíte záznamy o proškolení.
- Employer branding – lidé oceňují firmy, které je vzdělávají a chrání jejich práci.
Smyslem školení není „odškrtnout kolonku“. Cílem je zlepšování návyků a kultura, kde se problémy rychle hlásí.
Časté otázky (FAQ)
Musí školení dělat každý?
Ano, ale obsah a hloubka se liší podle role.
Jak dlouho mají školení trvat?
5–10 minut měsíčně + 1–2 delší moduly ročně bohatě stačí.
Co když někdo neprojde kvízem?
Dá se zopakovat. Cílem není trest, ale pochopení.
Shrnutí
- Pravidelné, krátké a praktické školení s evidencí splní požadavky nového zákona a zvýší odolnost.
- Měřte dopad, ne jen účast.
- Spojte školení s nástroji (MFA, správce hesel, hlášení incidentů).
👉 Tip: V Kraita Cyber One připravíme pro vaši firmu plán školení, měsíční mikro‑learning a phishing simulace. Vše s evidencí a reporty pro vedení.