Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 12/2025 -> Kyberbezpečnost není jen o NIS2
IT SYSTEMS 12/2025 , IT Security , IT právo

Kyberbezpečnost není jen o NIS2

Co čekat v roce 2026 ve vlnách IT compliance?

Martin Kubiš

Když došlo ke zveřejnění oficiálního znění směrnice NIS2, během pár měsíců se to na internetu začalo hemžit články s děsivými nadpisy o pokutách a revoluci, za kterou firmy draze zaplatí. NÚKIB totiž v souvislosti se zveřejněním NIS2 začal tvořit nový zákon o kybernetické bezpečnosti. Dnes už známý jako zákon č. 264/2025 Sb. Jenže kyberbezpečnost není jen o NIS2. Regulací jsou v IT desítky. Některé se teprve chystají, jiné jsou za rohem. Rok 2026 tak nebude o jedné zkratce. Kdo řeší jen NIS2, uvidí sotva půlku obrazu.


Které IT regulace se budou v roce 2026 řešit nejčastěji?

NIS2 a nový zákon o kybernetické bezpečnosti – kyberbezpečnost napříč sektory

Kdo podléhá regulaci, má 60 dní na registraci přes Portál NÚKIB – u firem, na které dopadá od listopadové účinnosti, je to do 31. 12. 2025. Další rok se rozjede agenda pro tisíce převážně středních a velkých firem, ale i jejich dodavatele. Firmy napříč režimy budou řešit bezpečnostní opatření, mezi které patří pojmy jako: systém řízení bezpečnosti informací, řízení dodavatelů a požadavky na vedení. 

DORA pro finanční sektor a jeho ICT dodavatele

Nařízení DORA je tu už od 17. ledna 2025. Rok 2026 pro firmy ale znamená první rok jeho „ostrého“ provozu. Místo implementace se už bude spíše hodnotit fungování v praxi. Tlak na řízení ICT dodavatelů a systémové závislosti může narůst s cílem zvýšit předvídatelnost a odolnost v dodavatelských řetězcích.

EU AI Act – nařízení o umělé inteligenci

Týká se těch, kdo vyvíjí/implementují AI. Ve veřejné debatě je to buď „konec inovací“, nebo „záchrana lidstva“. Ve skutečnosti spíše tlak na to, aby se AI používala i s vědomím rizik, ne jen s nadšením z produktivity. Obecná použitelnost nařízení začne 2. 8. 2026 (a s tím i velká část režimu dohledu a vymáhání). Jeho část se možná termínově oddálí – u „high-risk“ části byl navržen odklad na rok 2027.
 
 

CRA – Cyber Resilience Act

Vstoupil v platnost v prosinci 2024 a hlavní povinnosti mají začít od prosince 2027. Některé požadavky ale mohou platit dřív. Například hlášení závažných incidentů od září 2026. Výrobci a dodavatelé digitálních produktů (SW/HW s digitálními prvky) by měli začít řešit jejich bezpečnost v celém životním cyklu. Věci jako SBOM (Software Bill of Materials) nepůjdou moc dobře dohnat na poslední chvíli.

Opatření nestačí mít, musejí také fungovat

Pokutami a kontrolami se straší už od dob GDPR. Největší tlak ale nepřijde ze strany úřadů, mnohdy přijde od zákazníků. Velcí hráči v automotive, energetice, výrobě nebo financích budou tlačit své dodavatele. „Ukažte, že to řešíte, jinak nespolupracujeme.“ Zákaznické audity a smluvní požadavky mohou být tvrdší než obávaná návštěva z úřadu. 
Realita roku 2026 proto bude z hlediska IT compliance praktičtější. Firmy nebudou trestané za to, že nemají v pořádku „papíry“. Budou narážet na to, že nemají jistotu, jestli jim právě ty „papíry“ fungují v provozu a pomohou v krizi. To je podstatný rozdíl. 
Legislativa v kyberbezpečnosti a další evropské „dílky“ se totiž posouvají od otázky „máte opatření?“ k otázce „fungují vám?“. Nejde o to, mít v PDFku hezky vypadající plán. Jde o to, jestli v pondělí ráno v osm víte, kdo má co udělat, když vám napadnou klíčový systém, někdo klikne na phishing nebo když vypadne elektřina.

Čeká IT v roce 2026 regulační tsunami?

Compliance se mění z checklistové inventury na proces. Už nepostačí jednou ročně „oprášit šanony“. Bude nutné průběžně udržovat v kondici zabezpečení i shodu. Jenže firmy compliance nechtějí, ale potřebují. A už kvůli požadavkům trhů, investorů, zákonů nebo korporátů. Ale když už je potřeba to řešit, proč z toho místo byrokratického břemena neudělat užitečný nástroj? Regulace firmám může paradoxně pomoci ve vlnách výzev.

Vlna první: Technický dluh

Posledních pár let bylo o růstu a rychlosti. Nové systémy, AI integrace, přechody na cloud, remote práce, kompromisy. Jenže technický dluh je jako slepenec kabelů za rackem. Dlouho to „nějak jede“, dokud to nespadne. Pak nikdo neví, co je na co napojené, a incident je na světě. Regulace poslouží jako kompas. Netlačí nutně na drahá řešení, ale na základní hygienu – vědět, co mám, proč to mám, co tomu hrozí, jak je to chráněné a jak to obnovit.

Vlna druhá: Odpovědnost vedení v kyberbezpečnosti

Vedení firem kyberbezpečnost dlouho vnímalo jako „černou díru na peníze“. Často se škrtily investice do jejího rozvoje a řeklo se prostě: „Ajáku, zařiď, udělej, a mě to vlastně jako manažera dál nezajímá.“ Ale když nastal průšvih, první na ráně bylo právě IT. To by se mělo změnit. nZKB dle NIS2 po vedení firem vyžaduje, aby uvolnilo potřebné zdroje na rozvoj kyberbezpečnosti a angažovalo se v ní. IT oddělení tak konečně mohou získat podporu.

Vlna třetí: dodavatelé = vaše bezpečnost

Cloud, SaaS, integrátoři, MSP, subdodávky. Riziko třetích stran je vaše riziko. I velkou firmu může položit útok přes dodavatele. Proto roste význam smluv, auditů, kontaktů pro incidenty, jasných SLA, obnov, testů i krizových plánů. A nejen kvůli regulaci, ale i kvůli tendrům a kontinuitě byznysu. V tomhle případě firmy mohou využít požadavky v regulacích jako inspiraci pro vědomější a bezpečnější spolupráci, která je neohrozí.

Vlna čtvrtá: AI jako akcelerátor efektivity, a tím i potřeby pravidel

AI už je běžná. Máme ji skoro ve všem. Past je v tom, že co je běžné, to se přestane tolik hlídat. Firmy si s příchodem AI Act budou muset vyjasnit, jaká data smí do AI a jaká ne. Kdo může používat jaké nástroje. Co je výstup ovlivňující zákazníka nebo rozhodnutí. Kdo za to ručí a kdo to kontroluje. Zkrátka selský rozum podepřený regulací. Pokud to firma nevezme jako checklist, vyjde z toho silnější a efektivnější.

Co dává smysl udělat v roce 2026?

Může se zdát, že toho je příliš. Jenže tak horké to nebude. Myslete na pět jednoduchých, ale účinných zásad:
  • Pěstujte kulturu založenou na riziku. Zjistěte, co by firmu položilo (delší výpadek služby, dat, procesů, smluvní pokuty), a soustřeďte ochranu a obnovu tam. Zbytek řešte postupně.
  • Než koupíte technologie, mějte vstupní data z GAP analýzy. „Teď to všechno předěláme“ není cesta. Bezpečnost je proces. Poznejte, co vám funguje, co ne, a přidejte k tomu jen to, co chybí. Vyhnete se dvojení práce. 
  • Sbírejte důkazy průběžně. Největší bolest v compliance nebývá „dělat správné věci“, ale dohledávat, že se dělaly. Co jde automatizovat a logovat, to se vyplatí. A co jde přenést do procesu (onboarding, řízení změn, revize přístupů), to už důkaz je.
  • Dodavatele berte jako součást řízení rizik a kontinuity. U kriticky důležitých mějte kontakty pro incidenty, plány obnovy, kvalitní SLA a plán B (záložní dodavatele).
  • Opřete se o standardy jako o nástroje řízení. Firmy začínají zjišovat, že standardy jako ISO 42001, ISO 27001 nebo TISAXŽ jim dají víc než certifikát na zeď. Například nový zákon o kyberbezpečnosti z ISO 27001 do jisté míry vychází. Kdo má systém v řízení IT, nebude začínat od nuly ani v compliance.
 

Nehledejte alibi, ale bezpečnost, a to nejen na papíře

Regulace nebudou katastrofa. Jde o legislativně vyžadovaná pravidla pro informační bezpečnost, která už v IT možná řešíte, aniž byste to věděli. Kdo však řeší zimní gumy až na prvním sněhu, bude nadávat. Kdo je má v říjnu, je v klidu. Legislativa sama o sobě firmu nespasí. Ale dá se využít jako způsob, jak si položit správné otázky dřív, než je položí útočník, auditor, zákazník.
Pamatujte, že kontrola je sekundární povinností státu a sankce až poslední možnost. Je tak na svědomí každého zvl᚝, jestli chce jen alibi, nebo bezpečnost za hranice compliance, která firmu chrání nejen na papíře.
 
Martin Kubiš
Autor článku je auditor informační bezpečnosti a specialista na IT compliance ze společnosti Top Solution, s. r. o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked

Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.