Blog
Zálohování dat podle NIS2: Co stačí a co už ne?

Zálohování dat podle NIS2: Co stačí a co už ne?

David Martínek
18.11.2025
7 min čtení

„Máme přece zálohy."

To je věta, kterou slyšíme pořád. A pak přijde ransomware. Nebo vyhoří server. Nebo někdo omylem smaže databázi zákazníků.

A najednou se ukáže, že zálohy jsou ze srpna, nevíte kde jsou hesla, a poslední test obnovy byl... nikdy.

Nový zákon o kybernetické bezpečnosti v tom dělá jasno: zálohy musí být, musí fungovat a musíte je testovat. Pojďme se podívat, co to vlastně znamená.

Co říká nový zákon

NIS2 (a náš nový zákon) vyžaduje:

Pravidelné zálohování všech důležitých dat a systémů
Plán obnovy (Disaster Recovery Plan) – jak rychle musíte být zpět v provozu
Testování obnovy – ověření, že zálohy opravdu fungují
Řízení kontinuity provozu (Business Continuity Management) – co děláte, když vše padne

Zákon neříká „zálohujte jednou týdně" nebo „použijte konkrétní technologii". Ale říká: musíte být schopni se po incidentu rychle postavit na nohy.

To znamená, že vaše strategie zálohování musí odpovídat tomu, jak moc by vás bolelo ztratit data.

Pravidlo 3-2-1 (a lepší varianta 3-2-1-1-0)

Základní průmyslový standard pro zálohování se jmenuje pravidlo 3-2-1:

3 kopie dat (originál + 2 zálohy)
2 různá media/technologie (disk + cloud, disk + páska...)
1 kopie offsite (mimo vaši kancelář)

Proč to funguje:

  • Pokud vyhoří server → máte zálohu na disku
  • Pokud selže disk → máte zálohu v cloudu
  • Pokud vyhoří celá budova → máte kopii jinde

Modernější verze: pravidlo 3-2-1-1-0

To samé plus:

  • 1 kopie immutable (nelze přepsat, smazat ani zašifrovat – ochrana před ransomwarem)
  • 0 chyb při testu obnovy

Ten poslední bod je klíčový: Záloha, kterou jste nikdy neobnovili, není záloha. Je to naděje.

Jak často zálohovat (závislost na typu dat)

Kritická provozní data (objednávky, účetnictví, systémy):

  • Minimálně 1× denně
  • Ideálně kontinuálně (každých pár hodin nebo real-time replikace)
  • Retention: alespoň 30 dní zpětně

Dokumenty a běžná firemní data:

  • 1× denně až 3× týdně
  • Retention: 90 dní (abyste zachytili pomalu postupující problémy)

Konfigurace systémů, politiky, postupy:

  • Po každé změně + 1× týdně
  • Retention: rok (potřebujete vědět, jak to vypadalo loni)

Archivní data:

  • 1× měsíčně může stačit
  • Ale pozor – pokud je někdo změní (malware), měli byste to zachytit

Pravidlo palce:
Kolik dat si můžete dovolit ztratit? Pokud „maximálně půl dne práce", musíte zálohovat 2× denně.

Co přesně zálohovat (nejsou to jen „data")

Většina firem dělá chybu: zálohují dokumenty, ale zapomenou na:

Konfigurace systémů – nastavení firewallu, serveru, aplikací
Databáze – pokud máte databázi, nestačí jen zkopírovat soubory (musíte dělat dump)
Hesla a přístupy – hesla k různým službám, SSH klíče, certifikáty
Virtuální stroje jako celek – ne jen data v nich
Email servery – celé schránky včetně pravidel a nastavení

Checklist „co zálohovat":

  • Všechny uživatelské dokumenty (síťové disky, OneDrive/Google Drive)
  • Všechny databáze (zákaznická data, účetnictví, CRM, ERP)
  • Všechny konfigurace (servery, switche, firewally)
  • Kódy a scripty (pokud programujete)
  • Emaily (celé schránky)
  • Nastavení aplikací a licence

Testování obnovy: Nejdůležitější krok (který nikdo nedělá)

80 % firem zjistí, že jejich zálohy nefungují, až když je potřebují.

Proč?

  • Záloha běží automaticky = nikdo to nekontroluje
  • Záloha „proběhla úspěšně" = neznamená, že se dá obnovit
  • Změnil se systém, hesla, konfigurace – záloha už neodpovídá

Jak často testovat:

  • Minimálně 1× za čtvrtletí (kompletní test obnovy)
  • Ideálně 1× měsíčně (alespoň částečný test)

Co testovat:

Varianta A: Plný test (důkladné, ale pracné)

  1. Vyberte náhodný den ze zálohy
  2. Obnovte celý systém/databázi na testovací prostředí
  3. Ověřte, že funguje (že se můžete přihlásit, data jsou čitelná)
  4. Změřte, jak dlouho to trvalo

Varianta B: Rychlý test (kompromis)

  1. Obnovte pár náhodných souborů
  2. Otevřete je – jsou čitelné?
  3. Zkuste obnovit kus databáze – jde to?
  4. Logujte si výsledky

Co hledat: 

✅ Jsou data kompletní?
✅ Jdou otevřít/použít?
✅ Máte všechna hesla/klíče k obnově?
✅ Víte, jak dlouho obnova trvá?

Zásadní pravidlo:
Pokud nemáte dokumentovaný test obnovy z posledních 3 měsíců, nemáte funkční zálohy.

Časté chyby (a jak se jim vyhnout)

Chyba 1: Zálohy na stejném místě jako dataProblém: Požár/povodeň zničí i zálohy, ransomware je zašifruje

Řešení: Minimálně jedna kopie musí být geograficky jinde (jiná budova, jiné město, cloud)

Chyba 2: Pouze jedna generace zálohyProblém: Malware se šíří týdny – přepíšete starou zálohu novou (taky nakaženou)

Řešení: Retention 30-90 dní (máte z čeho obnovit starší verzi)

Chyba 3: Zálohy bez ochrany proti ransomwaruProblém: Ransomware zašifruje/smaže i zálohy

Řešení: Immutable zálohy (WORM – Write Once Read Many), air-gapped úložiště, nebo Cloud s Object Lock

Chyba 4: „Mám zálohy v cloudu, jsem v pohodě"Problém: Cloud je skvělý, ale co když:

  • Přijdete o přihlašovací údaje
  • Útočník smaže i cloudové zálohy (pokud má přístup)
  • Poskytovatel cloudu má výpadek

Řešení: Cloud + lokální záloha (hybridní přístup)

Chyba 5: Nevíte, jak rychle musíte být zpět provozuschopníProblém: Obnovení trvá 3 dny, ale za 6 hodin výpadku přijdete o zákazníky

Řešení: Definujte RTO a RPO (viz níže)

Chyba 6: Zálohujete, ale nevíte kamProblém: Nikdo neví, kde jsou zálohy uložené, jak se k nim dostat, jaká jsou hesla

Řešení: Dokumentace! Jasný postup, kde jsou zálohy, jak se obnovují, kdo má přístup

RTO a RPO: Dva důležité pojmy

RPO = Recovery Point Objective (Jak moc starý backup použijete)

  • „Kolik dat si můžeme dovolit ztratit?"
  • Příklad: RPO 4 hodiny = ztratíte maximálně 4 hodiny práce

RTO = Recovery Time Objective (Jak rychle musíte být zpět “na koni”)

  • „Jak dlouho můžeme být offline?"
  • Příklad: RTO 2 hodiny = za 2 hodiny musíte fungovat

Prakticky:

  • E-shop během Vánoc: RPO 15 minut, RTO 1 hodina (každá minuta = ztráta peněz)
  • Kancelářské dokumenty: RPO 1 den, RTO 8 hodin (zvládnete den počkat)

Čím kratší RTO/RPO, tím dražší řešení (rychlejší zálohy, redundance, hot standby...).

Doporučení:
Sepište si RTO/RPO pro každý kritický systém – vězte, co je priorita při obnově.

Praktický plán: jak to nastavit za 4 týdny

Týden 1: Inventura a prioritizace

  • Napište si, co všechno máte (systémy, data, aplikace)
  • Ohodnoťte kritičnost (co kdyby to zmizelo zítra?)
  • Definujte RTO/RPO pro každou položku
  • Zjistěte, co už zálohujete a co ne

Týden 2: Výběr řešení a nastavení

  • Rozhodněte se pro technologii (cloud backup, lokální NAS, hybridní...)
  • Nakonfigurujte první zálohy (začněte s nejkritičtějším)
  • Nastavte retention (30-90 dní pro provozní data)
  • Ověřte, že zálohy běží

Týden 3: Rozšíření a offsite kopie

  • Přidejte zbývající systémy do zálohy
  • Nastavte offsite/cloud kopii (alespoň pro kritická data)
  • Zapněte immutable zálohy (pokud technologie podporuje)

Týden 4: Test a dokumentace

  • Udělejte test obnovy! (vyberte náhodný soubor/systém a obnovte)
  • Napište postup obnovy (krok za krokem)
  • Uložte do bezpečného místa (ne jen na serveru, který může spadnout)
  • Naplánujte pravidelné testy (1× měsíčně do kalendáře)

Scénáře, kdy zálohy zachrání život

Scénář 1: Ransomware

  • Útočník zašifruje všechny soubory
  • Požaduje výkupné 500 000 Kč
  • Co děláte: Obnovíte ze zálohy před dvěma dny, ztratíte 2 dny práce místo půl milionu

Scénář 2: Hardwarové selhání

  • Disk serveru selže uprostřed noci
  • Celá firma nemůže pracovat
  • Co děláte: Nabootujete záložní server ze zálohy, za 2 hodiny fungujete

Scénář 3: Lidská chyba

  • Někdo omylem smaže složku s projekty za poslední měsíc
  • Zjistí to až odpoledne
  • Co děláte: Obnovíte ze zálohy z rána, ztratíte pár hodin práce

Scénář 4: Požár/povodeň

  • Celá budova je zničená
  • Veškerý hardware pryč
  • Co děláte: Máte zálohy v cloudu, za týden fungujete z nového místa

Ve všech scénářích platí:
Bez funkčních záloh = konec firmy. Se zálohami = nepříjemnost, ale přežijete.

Jak s tím může pomoct Kraita

V Kraita Cyber One najdete:

  • Checklist zálohovací strategie – co všechno musíte pokrýt
  • Šablonu plánu obnovy – jak sepsat Disaster Recovery Plan
  • Harmonogram testů – aby vám neuteklo pravidelné testování
  • Evidence zálohovacích systémů – kde máte co zálohované

Kraita vám připomene, že je čas na test, hlídá vám compliance s požadavky zákona a ukáže, kde máte mezery.

Ale zálohy musíte pořád nastavit a testovat sami – Kraita jen zkrátí cestu od chaosu k pořádku.

Shrnutí

Zálohy nejsou raketová věda. Je to jednoduchá pojistka: když se něco pokazí, můžete se vrátit.

Klíčové body: 

✅ Pravidlo 3-2-1-1-0: 3 kopie, 2 media, 1 offsite, 1 immutable, 0 chyb při testu
✅ Testujte alespoň 1× za čtvrtletí (ideálně 1× měsíčně)
✅ Zálohujte i konfigurace, ne jen dokumenty
✅ Definujte RTO/RPO – vězte, jak rychle musíte být zpět
✅ Offsite kopie je povinná (ransomware jinak zničí i zálohy)

Nejčastější chyby: 

❌ Zálohy na stejném místě jako data
❌ Nikdy netestujete obnovu
❌ Nevíte, kde jsou zálohy a jak se obnovují
❌ Pouze jedna generace zálohy

Zálohy jsou jako airbag v autě: doufáte, že je nikdy nepoužijete. Ale když je budete potřebovat, budete rádi, že tam jsou.

Full name
David Martínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies