Blog
Zálohování dat podle NIS2: Co stačí a co už ne?

Zálohování dat podle NIS2: Co stačí a co už ne?

David Martínek
18.11.2025
7 min čtení

„Máme přece zálohy."

To je věta, kterou slyšíme pořád. A pak přijde ransomware. Nebo vyhoří server. Nebo někdo omylem smaže databázi zákazníků.

A najednou se ukáže, že zálohy jsou ze srpna, nevíte kde jsou hesla, a poslední test obnovy byl... nikdy.

Nový zákon o kybernetické bezpečnosti v tom dělá jasno: zálohy musí být, musí fungovat a musíte je testovat. Pojďme se podívat, co to vlastně znamená.

Co říká nový zákon

NIS2 (a náš nový zákon) vyžaduje:

Pravidelné zálohování všech důležitých dat a systémů
Plán obnovy (Disaster Recovery Plan) – jak rychle musíte být zpět v provozu
Testování obnovy – ověření, že zálohy opravdu fungují
Řízení kontinuity provozu (Business Continuity Management) – co děláte, když vše padne

Zákon neříká „zálohujte jednou týdně" nebo „použijte konkrétní technologii". Ale říká: musíte být schopni se po incidentu rychle postavit na nohy.

To znamená, že vaše strategie zálohování musí odpovídat tomu, jak moc by vás bolelo ztratit data.

Pravidlo 3-2-1 (a lepší varianta 3-2-1-1-0)

Základní průmyslový standard pro zálohování se jmenuje pravidlo 3-2-1:

3 kopie dat (originál + 2 zálohy)
2 různá media/technologie (disk + cloud, disk + páska...)
1 kopie offsite (mimo vaši kancelář)

Proč to funguje:

  • Pokud vyhoří server → máte zálohu na disku
  • Pokud selže disk → máte zálohu v cloudu
  • Pokud vyhoří celá budova → máte kopii jinde

Modernější verze: pravidlo 3-2-1-1-0

To samé plus:

  • 1 kopie immutable (nelze přepsat, smazat ani zašifrovat – ochrana před ransomwarem)
  • 0 chyb při testu obnovy

Ten poslední bod je klíčový: Záloha, kterou jste nikdy neobnovili, není záloha. Je to naděje.

Jak často zálohovat (závislost na typu dat)

Kritická provozní data (objednávky, účetnictví, systémy):

  • Minimálně 1× denně
  • Ideálně kontinuálně (každých pár hodin nebo real-time replikace)
  • Retention: alespoň 30 dní zpětně

Dokumenty a běžná firemní data:

  • 1× denně až 3× týdně
  • Retention: 90 dní (abyste zachytili pomalu postupující problémy)

Konfigurace systémů, politiky, postupy:

  • Po každé změně + 1× týdně
  • Retention: rok (potřebujete vědět, jak to vypadalo loni)

Archivní data:

  • 1× měsíčně může stačit
  • Ale pozor – pokud je někdo změní (malware), měli byste to zachytit

Pravidlo palce:
Kolik dat si můžete dovolit ztratit? Pokud „maximálně půl dne práce", musíte zálohovat 2× denně.

Co přesně zálohovat (nejsou to jen „data")

Většina firem dělá chybu: zálohují dokumenty, ale zapomenou na:

Konfigurace systémů – nastavení firewallu, serveru, aplikací
Databáze – pokud máte databázi, nestačí jen zkopírovat soubory (musíte dělat dump)
Hesla a přístupy – hesla k různým službám, SSH klíče, certifikáty
Virtuální stroje jako celek – ne jen data v nich
Email servery – celé schránky včetně pravidel a nastavení

Checklist „co zálohovat":

  • Všechny uživatelské dokumenty (síťové disky, OneDrive/Google Drive)
  • Všechny databáze (zákaznická data, účetnictví, CRM, ERP)
  • Všechny konfigurace (servery, switche, firewally)
  • Kódy a scripty (pokud programujete)
  • Emaily (celé schránky)
  • Nastavení aplikací a licence

Testování obnovy: Nejdůležitější krok (který nikdo nedělá)

80 % firem zjistí, že jejich zálohy nefungují, až když je potřebují.

Proč?

  • Záloha běží automaticky = nikdo to nekontroluje
  • Záloha „proběhla úspěšně" = neznamená, že se dá obnovit
  • Změnil se systém, hesla, konfigurace – záloha už neodpovídá

Jak často testovat:

  • Minimálně 1× za čtvrtletí (kompletní test obnovy)
  • Ideálně 1× měsíčně (alespoň částečný test)

Co testovat:

Varianta A: Plný test (důkladné, ale pracné)

  1. Vyberte náhodný den ze zálohy
  2. Obnovte celý systém/databázi na testovací prostředí
  3. Ověřte, že funguje (že se můžete přihlásit, data jsou čitelná)
  4. Změřte, jak dlouho to trvalo

Varianta B: Rychlý test (kompromis)

  1. Obnovte pár náhodných souborů
  2. Otevřete je – jsou čitelné?
  3. Zkuste obnovit kus databáze – jde to?
  4. Logujte si výsledky

Co hledat: 

✅ Jsou data kompletní?
✅ Jdou otevřít/použít?
✅ Máte všechna hesla/klíče k obnově?
✅ Víte, jak dlouho obnova trvá?

Zásadní pravidlo:
Pokud nemáte dokumentovaný test obnovy z posledních 3 měsíců, nemáte funkční zálohy.

Časté chyby (a jak se jim vyhnout)

Chyba 1: Zálohy na stejném místě jako dataProblém: Požár/povodeň zničí i zálohy, ransomware je zašifruje

Řešení: Minimálně jedna kopie musí být geograficky jinde (jiná budova, jiné město, cloud)

Chyba 2: Pouze jedna generace zálohyProblém: Malware se šíří týdny – přepíšete starou zálohu novou (taky nakaženou)

Řešení: Retention 30-90 dní (máte z čeho obnovit starší verzi)

Chyba 3: Zálohy bez ochrany proti ransomwaruProblém: Ransomware zašifruje/smaže i zálohy

Řešení: Immutable zálohy (WORM – Write Once Read Many), air-gapped úložiště, nebo Cloud s Object Lock

Chyba 4: „Mám zálohy v cloudu, jsem v pohodě"Problém: Cloud je skvělý, ale co když:

  • Přijdete o přihlašovací údaje
  • Útočník smaže i cloudové zálohy (pokud má přístup)
  • Poskytovatel cloudu má výpadek

Řešení: Cloud + lokální záloha (hybridní přístup)

Chyba 5: Nevíte, jak rychle musíte být zpět provozuschopníProblém: Obnovení trvá 3 dny, ale za 6 hodin výpadku přijdete o zákazníky

Řešení: Definujte RTO a RPO (viz níže)

Chyba 6: Zálohujete, ale nevíte kamProblém: Nikdo neví, kde jsou zálohy uložené, jak se k nim dostat, jaká jsou hesla

Řešení: Dokumentace! Jasný postup, kde jsou zálohy, jak se obnovují, kdo má přístup

RTO a RPO: Dva důležité pojmy

RPO = Recovery Point Objective (Jak moc starý backup použijete)

  • „Kolik dat si můžeme dovolit ztratit?"
  • Příklad: RPO 4 hodiny = ztratíte maximálně 4 hodiny práce

RTO = Recovery Time Objective (Jak rychle musíte být zpět “na koni”)

  • „Jak dlouho můžeme být offline?"
  • Příklad: RTO 2 hodiny = za 2 hodiny musíte fungovat

Prakticky:

  • E-shop během Vánoc: RPO 15 minut, RTO 1 hodina (každá minuta = ztráta peněz)
  • Kancelářské dokumenty: RPO 1 den, RTO 8 hodin (zvládnete den počkat)

Čím kratší RTO/RPO, tím dražší řešení (rychlejší zálohy, redundance, hot standby...).

Doporučení:
Sepište si RTO/RPO pro každý kritický systém – vězte, co je priorita při obnově.

Praktický plán: jak to nastavit za 4 týdny

Týden 1: Inventura a prioritizace

  • Napište si, co všechno máte (systémy, data, aplikace)
  • Ohodnoťte kritičnost (co kdyby to zmizelo zítra?)
  • Definujte RTO/RPO pro každou položku
  • Zjistěte, co už zálohujete a co ne

Týden 2: Výběr řešení a nastavení

  • Rozhodněte se pro technologii (cloud backup, lokální NAS, hybridní...)
  • Nakonfigurujte první zálohy (začněte s nejkritičtějším)
  • Nastavte retention (30-90 dní pro provozní data)
  • Ověřte, že zálohy běží

Týden 3: Rozšíření a offsite kopie

  • Přidejte zbývající systémy do zálohy
  • Nastavte offsite/cloud kopii (alespoň pro kritická data)
  • Zapněte immutable zálohy (pokud technologie podporuje)

Týden 4: Test a dokumentace

  • Udělejte test obnovy! (vyberte náhodný soubor/systém a obnovte)
  • Napište postup obnovy (krok za krokem)
  • Uložte do bezpečného místa (ne jen na serveru, který může spadnout)
  • Naplánujte pravidelné testy (1× měsíčně do kalendáře)

Scénáře, kdy zálohy zachrání život

Scénář 1: Ransomware

  • Útočník zašifruje všechny soubory
  • Požaduje výkupné 500 000 Kč
  • Co děláte: Obnovíte ze zálohy před dvěma dny, ztratíte 2 dny práce místo půl milionu

Scénář 2: Hardwarové selhání

  • Disk serveru selže uprostřed noci
  • Celá firma nemůže pracovat
  • Co děláte: Nabootujete záložní server ze zálohy, za 2 hodiny fungujete

Scénář 3: Lidská chyba

  • Někdo omylem smaže složku s projekty za poslední měsíc
  • Zjistí to až odpoledne
  • Co děláte: Obnovíte ze zálohy z rána, ztratíte pár hodin práce

Scénář 4: Požár/povodeň

  • Celá budova je zničená
  • Veškerý hardware pryč
  • Co děláte: Máte zálohy v cloudu, za týden fungujete z nového místa

Ve všech scénářích platí:
Bez funkčních záloh = konec firmy. Se zálohami = nepříjemnost, ale přežijete.

Jak s tím může pomoct Kraita

V Kraita Cyber One najdete:

  • Checklist zálohovací strategie – co všechno musíte pokrýt
  • Šablonu plánu obnovy – jak sepsat Disaster Recovery Plan
  • Harmonogram testů – aby vám neuteklo pravidelné testování
  • Evidence zálohovacích systémů – kde máte co zálohované

Kraita vám připomene, že je čas na test, hlídá vám compliance s požadavky zákona a ukáže, kde máte mezery.

Ale zálohy musíte pořád nastavit a testovat sami – Kraita jen zkrátí cestu od chaosu k pořádku.

Shrnutí

Zálohy nejsou raketová věda. Je to jednoduchá pojistka: když se něco pokazí, můžete se vrátit.

Klíčové body: 

✅ Pravidlo 3-2-1-1-0: 3 kopie, 2 media, 1 offsite, 1 immutable, 0 chyb při testu
✅ Testujte alespoň 1× za čtvrtletí (ideálně 1× měsíčně)
✅ Zálohujte i konfigurace, ne jen dokumenty
✅ Definujte RTO/RPO – vězte, jak rychle musíte být zpět
✅ Offsite kopie je povinná (ransomware jinak zničí i zálohy)

Nejčastější chyby: 

❌ Zálohy na stejném místě jako data
❌ Nikdy netestujete obnovu
❌ Nevíte, kde jsou zálohy a jak se obnovují
❌ Pouze jedna generace zálohy

Zálohy jsou jako airbag v autě: doufáte, že je nikdy nepoužijete. Ale když je budete potřebovat, budete rádi, že tam jsou.

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies