zpět

Kybernetická bezpečnost SME: Nová pravidla bez paniky

Loading the Elevenlabs Text to Speech AudioNative Player...
13.5.2026
Monika Škubalová

Pět tisíc nově registrovaných firem a organizací pod novým zákonem o kybernetické bezpečnosti (nZKB) naznačuje, že regulace konečně zasahuje i menší hráče. Téměř dvě třetiny z nich spadají do tzv. režimu nižších povinností, což pro mnohé znamená první reálnou zkušenost s tímto typem legislativy. Pro vlastníky a vedení SME je zásadní pochopit, že nižší režim neznamená nulové povinnosti – znamená jen, že rozsah opatření je střídmější než u kritické infrastruktury, ale implementace je stále povinná a nesmí se ignorovat.

Prvním krokem je realistické zmapování aktuální situace. Základní otázky – která aktiva spadají pod regulaci, kdo je za bezpečnost odpovědný a jaká je úroveň stávajících kontrol – jsou rozhodující. Firmy, které tyto body ignorují, se rychle dostávají do situace, kdy implementace naráží na prázdná místa v procesech. GAP analýza je proto nejefektivnější start: tento jednoduchý nástroj odhalí rozdíly mezi současným stavem a požadavky nZKB, umožní prioritizovat kroky a snížit riziko administrativních pokut.

Praktické dopady a digitální aktiva

Konkrétní dopady pro SME se nejčastěji týkají provozních systémů. Například i střední firma provozující e-shop, která uchovává data zákazníků, se může stát subjektem regulace. To vyžaduje zavedení pravidelných aktualizací, řízení přístupových práv a zálohování kritických dat. Bez těchto opatření hrozí nejen finanční sankce od NÚKIB, ale i přímé riziko výpadků provozu, které mohou firmu stát desítky tisíc korun za každý den nefunkčnosti.

Pro SME, které nemají interní IT bezpečnostní tým, je vhodné využít externí podporu. Externí konzultanti mohou provést analýzu a doporučit konkrétní nástroje, které nejsou pro malou firmu neúměrně nákladné. Statistiky ukazují, že více než polovina subjektů v režimu nižších povinností kombinuje interní management s externím poradenstvím – je to cesta, jak efektivně splnit zákon a zároveň mít náklady pod kontrolou.

Klíčové priority pro režim nižších povinností:

  • •dentifikace aktiv: Přesný soupis hardwaru, softwaru a dat, které jsou pro chod firmy kritické. 
  • Řízení přístupů: Striktní pravidlo "nejmenších privilegií" – každý zaměstnanec má přístup jen k tomu, co nezbytně potřebuje. 
  • Vícefaktorové ověřování (MFA): Zavedení druhého faktoru u všech vstupů do firemní sítě a ke cloudovým službám. 
  • Plán kontinuity (BCM): Jasný scénář, co dělat, když systémy vypadnou (např. po útoku ransomwarem). 
  • Vzdělávání zaměstnanců: Pravidelné proškolování personálu, protože lidský faktor zůstává nejčastějším bodem průniku. 

Dokumentace jako důkaz shody

I když nižší režim vyžaduje menší rozsah opatření, firma musí mít záznamy o tom, co bylo provedeno, kdy a kým. V případě kontroly tyto záznamy často rozhodují o tom, zda sankce hrozí, či nikoli. Praktická zkušenost ukazuje, že firmy, které si vytvoří jednoduchý deník opatření a interní reportování, výrazně snižují administrativní riziko a mohou lépe reagovat na případné incidenty.

Efektivní je začít s nejkritičtějšími systémy: zákaznické databáze, finanční systémy a e-mailové servery. Implementace základních kontrol často pokryje většinu požadavků nZKB. Tento postup minimalizuje paralýzu z velkého množství nových povinností a dává vedení jasný akční plán. Cílem není "compliance pro compliance", ale vytvoření odolného prostředí, které ochrání byznys před reálnými hrozbami dnešního digitálního světa.

Často kladené dotazy (FAQ)

1. Jak poznám, zda moje firma spadá pod nový zákon o kybernetické bezpečnosti (nZKB)? 

Rozhodující je sektor, ve kterém působíte, a velikost podniku. Obecně se nZKB týká středních a velkých firem v regulovaných odvětvích (např. potravinářství, doprava, digitální infrastruktura). Pokud si nejste jistí, je vhodné provést tzv. samoidentifikaci podle kritérií NÚKIB.

2. Co mi hrozí, pokud povinnosti v režimu nižších povinností nesplním? Kromě rizika kybernetického útoku hrozí ze strany NÚKIB pokuty, které mohou dosahovat až 10 milionů korun nebo 2 % z celosvětového ročního obratu. U nižšího režimu jsou kontroly často zaměřeny spíše na existenci základních bezpečnostních politik.

3. Musíme mít kvůli nZKB nově pozici Manažera kybernetické bezpečnosti? 

V režimu nižších povinností není tato role striktně vyžadována jako samostatná pracovní pozice, ale odpovědnost za kybernetickou bezpečnost musí být jasně přiřazena konkrétní osobě ve vedení nebo pověřenému pracovníkovi.

4. Je cloudové úložiště (např. OneDrive, Dropbox) považováno za dostatečné zálohování? 

Samotný cloud není záloha, pokud není správně nakonfigurován (např. ochrana proti smazání verzí). nZKB vyžaduje, aby zálohy byly oddělené a pravidelně testované na obnovitelnost.

5. Jak často musíme provádět revizi kybernetické bezpečnosti? 

Zákon předpokládá, že bezpečnost je kontinuální proces. Minimálně jednou ročně nebo při každé významné změně v IT infrastruktuře by měla proběhnout revize rizik a aktualizace dokumentace.

Směna deviz, nejlepší kurzy, kurz euro, kurz dolar https://prim.cz Průmyslový summit knihy online levně skladem ihned beletrie detektivky thrillery romantické romány historické romány sci fi fantasy literatura faktu biografie a životopisy knihy o podnikání marketingu ekonomii osobním rozvoji kuchařky recepty vaření zdravá strava dětské kn
Vaše denní zprávy z devizových trhů.
© 2026 edevizy.cz. Všechna práva vyhrazena.