Hlavní strana -> Časopis IT Systems -> Rok 2026 -> Cyber Security -> Bezpečnostní politika a dokumentace. Nástroj nebo byrokracie?
Cyber Security , IT Security , IT právo

Bezpečnostní politika a dokumentace. Nástroj nebo byrokracie?

dle nového zákona o kyberbezpečnosti

Jakub Radiměřský

Bezpečnostní dokumentace má v IT špatnou pověst. Často působí jako papíry pro audit, které jen zabírají místo na SharePointu. Nový zákon o kybernetické bezpečnosti (nZKB), který do našeho právního řádu převádí požadavky evropské směrnice NIS2, ji ale nechce kvůli formě. Bere ji jako organizační opatření, které má převést bezpečnost do jasných pravidel, odpovědností a postupů. V tomto článku si ukážeme, jak dokumentaci nastavit, aby vám fungovala nejen na papíře.


Dodnes se totiž stále potkáme s tímto scénářem: Firma má SIEM, EDR i zkušený tým. Jenže pak přijde incident a půl dne se řeší, kdo má vlastně rozhodnout, koho eskalovat a kde je správný postup pro obnovu. To pak každou krizi ještě prodlouží a prodraží.
Právě tady se láme rozdíl mezi užitečným systémem a byrokratickou kulisou. Nejde o to mít hezky pojmenovanou složku na SharePointu. Ale o to, jestli firma ví, co a proč chrání, kdo za to odpovídá a jak postupovat ve chvíli, kdy už není čas improvizovat a jde do tuhého. Například, když onemocní admin nebo vypadne kritický systém a je potřeba vědět postup.

Proč legislativa podle NIS2 vůbec chce dokumentaci

NIS2 a navazující česká legislativa nechtějí, aby firmy měly kyberbezpečnost jako bokovku pro IT oddělení. Chtějí, aby byla běžnou součástí řízení firmy. Od vrcholového vedení až po běžné zaměstnance. Průběžně. Ne jednou ročně pro audit. A už vůbec ne až po incidentu.
Aby to šlo řídit, musí být jasné čtyři věci. Co a proč chráníte. Kdo za to odpovídá. Jak se v klíčových situacích postupuje. A jak poznáte, že to reálně funguje?
Proto je dokumentace organizační opatření. Ne, aby adminům přibylo další papírování, ale proto, aby bezpečnost nezůstala jen v hlavách pár klíčových lidí. Bez dokumentace totiž můžete mít sebelepší technologie, lidi i rozpočet. Ale nemáte jistotu, že se věci budou dělat stejně, opakovatelně, prokazatelně a včas. A bez toho se bezpečnost řídí fakt špatně.

Co je bezpečnostní politika a co je navazující dokumentace?

Bezpečnostní politika je rámec. Říká, co chce firma chránit, proč to chrání, jaké zásady uplatňuje a kdo za co odpovídá. Navazující dokumentace (směrnice, záznamy) obsah politik rozvíjí, jde víc do detailů a reality. Popisuje, jak se pravidla z politik naplňují v praktickém provozu. Třeba, jak se přidělují přístupy, jak se hlásí incidenty, jak se hodnotí dodavatelé, jak se školí lidé nebo jak se řeší obnova po výpadku.
Dá se to přirovnat i k legislativě. Zákon je jako politika. Říká, co se má řešit, koho se to týká a proč. Vyhlášky jsou jako směrnice. Rozvádějí požadavky do většího detailu a ukazují, jak mají být uchopena jednotlivá pravidla.
Ve firmě to funguje podobně: Politika určuje směr. Směrnice převádějí směr do provozu. Záznamy a evidence dokazují, že to v provozu funguje. A právě v té třetí vrstvě firmy často narážejí. Směrnici mají, ale bez důkazů o tom, že se podle ní opravdu pracuje a postupuje.
 

Když dokumentace nechybí, ale spíše přebývá

Problém v praxi nebývá v tom, že má firma moc dokumentace. Spíš naopak. Když přijde incident, výpadek, odchod admina nebo nečekaný audit, najednou se ukáže, že spousta věcí existuje jen ústně. Někdo ví, jak se obnovuje služba. Někdo ví, kdo schvaluje přístupy. Někdo zase, jaké jsou požadavky na dodavatele. Ale málokdy je to někde popsané, a to už není byrokracie, ale provozní riziko.
Typický příklad? Řízení přístupů. Firma má obecnou „směrnici“, kde se píše, že se přístupy řídí jednotně. Jenže v praxi část věcí řeší přes e-mail, část přes ticketing, část ústně. Někde je AD, někde Entra, někde lokální účet v aplikaci. Když pak přijde na revize nebo incident, nikdo rychle nezjistí, kdo má kam přístup, kdo to schválil a co se mělo už dávno odebrat.
Přitom správně udělaná dokumentace firmě pomůže fungovat i ve chvíli, kdy se něco pokazí. To potvrzuje například studie IBM Cost of a Data Breach 2023, podle které měly organizace s připraveným a testovaným plánem reakce na incident v průměru o 1,49 milionu USD nižší náklady na bezpečnostní incident než firmy bez této připravenosti.

Co z dokumentace je podle nZKB opravdu nutné?

nZKB nepočítá s jedním univerzálním „bezpečnostním PDF“. Počítá se soustavou politik, pravidel, postupů a záznamů, které jsou navázané na relevantní rizika a opatření ve firmě. A třeba na řízení rizik nebo aktiv ve vyšším režimu vyhláška dává i konkrétní šablony, jak  to řešit. Nemá ale smysl začít tím, že odškrtáte celý seznam z vyhlášky. To je cesta do byrokratické pasti.

Co za dokumentace řeší režim nižších povinností

Hlavně zastřešující bezpečnostní politika, pravidla pro řízení aktiv a rizik, pravidla pro řízení dodavatelů, bezpečnost lidských zdrojů a pro řízení přístupů, incidentů a kontinuity. Jinými slovy: musíte vědět, co chráníte, kdo to používá, kdo k tomu má přístup, kdo vám do toho vstupuje zvenku a co kdo uděláte, když se něco pokazí.

Jak je to pro režim vyšších povinností

Tady už nestavíte jen základ. Budujete plnohodnotný systém řízení bezpečnosti informací.V praxi je klíčové mít hlavně zastřešující politiky k řízení bezpečnosti informací, jako: řízení rizik (evidence, metodika), aktiv (garanti, vazby, rozsah), řízení dodavatelského řetězce (smlouvy, hodnocení), prohlášení o aplikovatelnosti, řízení přístupů, změn, kontinuity a obnovy po incidentu. Hodí se také navazující zprávy, přezkumy a evidence.
Ve vyšším režimu je to zkrátka přísnější. Nestačí říct, že „to nějak máme“. Musíte být schopni doložit, že systém bezpečnosti funguje, vyhodnocuje se a průběžně zlepšuje.
 
***vsuvka modrá ***
Detailní výčet konkrétních oblastí, politik a navazujících povinností pak najdete přímo v zákoně č. 264/2025 Sb. a v prováděcích vyhláškách pro režim nižších a vyšších povinností.
************************
 

Jak o dokumentaci přemýšlet normálně. Ne právnicky?

Správná dokumentace je návod. Popisuje, co se ve firemní kultuře skutečně děje a pomáhá to udržovat dál v kvalitním chodu. Začněte tím, co skutečně drží firemní bezpečnost pohromadě. Zamyslete se: „Co potřebujeme chránit nejvíce? Jak to chceme chránit? Jak to podat všem tak, aby ta pravidla pro ochranu těch věcí fungovala a lidé je dodržovali?”.
Třeba „politika hesel“. Často nebývá samostatný dokument, ale bývá součástí politiky bezpečného chování a politiky řízení přístupů. Co má taková politika ostatním říct? Popsat realitu toho, jak to chcete mít, například: účty se zakládají jen na schválený požadavek. Administrátorské účty jsou oddělené od běžných. Vzdálený přístup a administrátorské role mají povinné vícefaktorové ověření. Sdílení hesel je zakázané. Nouzové účty mají zvláštní režim. Oprávnění se při změně role nebo odchodu bezodkladně ruší. Přístupy se revidují dvakrát ročně.
Takový popis je pro politiku hesel dostatečný. Cílem je pravidla nastavit srozumitelně pro všechny, ne vytvořit 10 stran, které nikdo nečte.
Čím pak na politiku navázat? Směrnicí pro adminy, kde popíšete postup a odpovědnosti za založení, změnu a zrušení účtu. Formulářem nebo workflow na schvalování přístupů pro uživatele. Evidencí přidělených oprávnění. Záznamy z pravidelných revizí přístupů. Onboardingovými poučeními pro uživatele. Nebo letáky na nástěnkách o tom, co nedělat s hesly. To všechno živí bezpečnostní kulturu a slouží i jako důkaz pro jakýkoli audit.

Jak to řešit tak, aby z toho nebylo jen alibi pro audit?

Pište dokumentaci tak, aby se podle ní dalo žít. Představte si, že proces, pro který dokumentaci píšete, máte srozumitelně vysvětlit tak, aby to pochopilo i malé dítě. To znamená vysvětlit kontext (proč to děláme). Pravidla podat jasně, podle reality firmy a důsledně vyžadovat jejich dodržování. Psát věci bez právnické vaty a floskulí. Nastavit cíle s konkrétní odpovědností, kroky a termíny. A s návazností na skutečné procesy i rizika. 
Řiďte se pravidlem KISS „Keep It Stupid Simple”. Špatný text říká: „Organizace zajišťuje adekvátní řízení autentizačních údajů.“ Dobrý text říká: „Vícefaktorové ověření je povinné pro administrátory a vzdálený přístup. Běžné účty a privilegované účty musí být oddělené. Oprávnění schvaluje vedoucí role na základě požadavku z vedení nebo HR a IT je jednou za čtvrt roku reviduje.“

Kde firmy narážejí nejčastěji?

V tom, že se dokumentace dělají napůl. Něco se tehdy napsalo a od té doby se na to nesáhlo. Nikdo to nedodržuje a už to ani neodpovídá realitě aktuálního provozu. Existuje směrnici, ale nikdo ji nezná. Jsou pravidla, ale nejsou aktuální. Je evidence, ale nikdo ji neudržuje. Pak přijde audit či incident a začne dohledávání. Právě tady firmy zjišťují, že největší bolest compliance není dělat správné věci, ale pozdě dokazovat, že se opravdu dělaly. Proto dává smysl sbírat důkazy průběžně a co jde, přenést přímo do procesů, ať se ty důkazy generují průběžně.
Dokumentace musí žít. Jinak je to opravdu jen byrokracie
V řízení dokumentace se láme chleba, proto je to organizační opatření ze zákona. Jak se dokumentace řídí? Udržujte ji aktuální, když se něco změní, doplňte to tam. Alespoň jednou ročně na to koukněte. Mějte je dostupné těm, kterých se týkají, v elektronické nebo listinné podobě. Musí se s ní prokazatelně seznámit také vedení společnosti a schválit ji. Když se změní infrastruktura, dodavatel, odpovědnosti nebo způsob práce a dokumentace zůstane stejná, není to stabilita. Je to signál, že na ni nikdo nesáhl.

Jak bezpečnostní vizi oživit nejen na papíře?

  1. Připomínejte pravidla průběžně – Ne jednou ročně při školení. Krátce a pravidelně. Třeba měsíčním newsletterem s hrozbou, dopadem a jednoduchým doporučením či pravidlem ze směrnice, politiky. 
  2. Školte lidi podle role – Admin potřebuje něco jiného než běžný uživatel. Školení má být stručné, praktické a navázané na to, co člověk opravdu dělá. 
  3. Mluvte na vedení řečí dopadů – Ne „způsobí to incident“, ale: zastaví to provoz, prodraží obnovu o XY, zkomplikuje audit nebo ohrozí důvěru klienta. 
  4. Propisujte pravidla do procesů a systémů – Do onboardingu. Do ticketingu. Do schvalování přístupů. Do revizí. Když pravidlo není přirozeně v pracovním procesu lidí, nebude fungovat. 
  5. Udržujte dokumentaci živou – Jakmile se změní systém, dodavatel nebo role, musí se změnit i dokumentace. Jinak z ní bude rychle archiv, ne nástroj řízení.

Užitečná věc, nebo zbytečná byrokracie?

Je tedy bezpečnostní politika a dokumentace dle nového zákona o kyberbezpečnosti užitečná věc, nebo zbytečná byrokracie? Obojí je možné. Záleží, jak k tomu přistoupíte. Když bezpečnostní politiku a dokumentaci vezmete jako papír, skončí přesně tak, jak si zaslouží skončit, jako obecný soubor, který nikdo nepoužívá a nic firmě nepřináší. Když je ale vezmete jako způsob, jak si udělat pořádek v odpovědnostech, procesech, rizicích a důkazech, dostanete něco mnohem cennějšího než splněnou povinnost. Dostanete větší stabilitu, řízení, menší závislost na improvizaci a užitek za hranice compliance. Každý si musí rozhodnout, jestli bude jeho firma stát na systému, nebo na dobré vůli několika lidí.
 
Jakub Radiměřský
Autor článku je konzultant ISO systémů řízení a specialista na kyberbezpečnost a IT compliance ze společnosti Top Solution, s.r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

2. ročník podujatia ManageEngine Meetup

Stretnutie IT odborníkov a praktikov v Bratislave

21. mája sa v Bratislave uskutoční stretnutie IT špecialistov, systémových administrátorov a IT lídrov zodpovedných za rozvoj a bezpečnosť technologickej infraštruktúry. Druhý ročník podujatia ManageEngine Meetup ponúka jedinečnú príležitosť získať praktické vedomosti, oboznámiť sa s osvedčenými implementáciami a vymeniť si skúsenosti s odborníkmi a používateľmi riešení ManageEngine.