Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 6/2025 -> Novela kybernetického zákona se blíží: Jak se připravit na nové povinnosti?
IT SYSTEMS 6/2025 , IT Security , IT právo

Novela kybernetického zákona se blíží: Jak se připravit na nové povinnosti?

Michal Štusák

S blížícím se schválením nového kybernetického zákona, který do naší legislativy převádí evropskou směrnici NIS2, se mnoho firem a institucí ocitá před výzvou, jak implementovat nová opatření. Zákon již prošel ve třetím čtení v Poslanecké sněmovně a brzy by tak mohlo dojít k jeho schválení. Připravovat se je ale potřeba již dnes, protože podoba zákona se již pravděpodobně nebude zásadně měnit a času na přípravu není mnoho. Na co se by se měly firmy zaměřit?


Zákon nám říká poměrně přesně jaká opatření přijmout a co je nutné dodržet. Co nám však neříká, je to, jaké nástroje k tomu využít. Je to o to složitější, že žádná firma vám nemůže poskytnout nějaký balíček jménem NIS2 na klíč, který vám prostě předá a máte hotovo. Každá společnost musí ke kyberbezpečnosti přistupovat individuálně a komplexně, univerzální řešení zkrátka neexistují. I proto může být pro některé z 6000 firem, kterých se zákon bude nově dotýkat, NIS2 velkým strašákem.

Neexistuje univerzální balíček opatření. Každá společnost musí ke kyberbezpečnosti přistupovat individuálně.

Výchozím bodem je analýza rizik

Analýza rizik primárně pomáhá s identifikací potřebných opatření a jejich postupného naplňování. Jejím prostřednictvím se odhalí již zavedená opatření, kterých si firma nemusí být doposud vědoma. Tento krok přináší nejen úsporu peněz, ale i lidských zdrojů a času, které by jinak byly vynaložené na opětovnou implementaci. Dále se zaměřuje na kritická rizika, která vyžadují okamžitou pozornost a měla by se stát prioritními. Stejně tak díky této analýze poznáme méně naléhavá opatření, která lze zanést do plánu a implementovat později. 
Zákon totiž uvádí, že opatření se mají zavádět s přiměřeným úsilím, takže vše nemusí být okamžitě. Nicméně to ale neznamená, že se opatření dají odkládat do nekonečna, je nutné je zanést do plánu, kdy se je chystá podnik zavést a při případné kontrole pak musí firma umět vysvětlit, proč je ještě nezavedla. Je velmi důležité umět upřednostnit, které riziko je větší a co je potřeba vyřešit co nejdříve. Například pokud máme síový perimetr se zastaralým firewallem a nějaké závadné fyzické vstupní mechanismy, například zámky, je v rámci kybernetické bezpečnosti důležitější upřednostnit aktualizaci firewallu. Zdůraznit je ale třeba to, že firmy by měly ke kybernetické bezpečnosti přistupovat ne jako k nějaké povinnosti, kterou zavádí regulace, ale jako v dnešní době naprosto nezbytnému opatření. 
Zákon uvádí, že opatření se mají zavádět s přiměřeným úsilím, takže nemusí být spuštěna okamžitě, ale také je nelze odkládat do nekonečna.

Co je třeba zohlednit?

Jedním z nejdůležitějších úkolů je stanovení toho, co je nutné splnit a kdy. V úvahu je potřeba vzít několik faktorů:
  • Míra rizika: Závažnost rizika určuje míru prioritizace.
  • Časová náročnost: Implementace některých opatření může trvat déle, proto je dobré s nimi začít nejdříve. 
  • Dostupnost kompetentních zaměstnanců a dostatek finančních zdrojů.
  • Vzájemné propojení: Vždy je dobré plánovat implementaci podle toho, jak spolu jednotlivá opatření vzájemně souvisí. Někdy je efektivnější přijmout je postupně, jindy jako jeden soubor.
Největší riziko pochází z lidské chyby či neznalosti, a proto nový kybernetický zákon zavádí povinná školení personálu i vedení.

Jaké oblasti jsou klíčové?

Stále platí, že největší riziko pochází z lidské chyby či neznalosti. I proto nový kybernetický zákon zavádí povinná školení personálu i vedení. Právě k těmto školením by ale společnosti neměly přistupovat jako k něčemu, co si odškrtnou a mají hotovo – jednak proto, že by měly být schopné prokázat, že ke školení skutečně došlo, ale především proto, že tím velmi snižují riziko lidské chyby. Ani ten nejdokonalejší software vám totiž nepomůže v případě neúmyslné „sabotáže“ zevnitř vaší organizace. Důležité je v tomto ohledu zkontrolovat také dodavatelské řetězce, protože i ty mohou představovat nebezpečí a je potřeba kontrolovat, co se děje s daty, která od vás mohou získávat.
Další oblastí je zabezpečení sítě. Aktualizace a správná konfigurace síových prvků, jako jsou firewally, jsou kritické pro ochranu před kybernetickými útoky. Důležitým pilířem je i řízení přístupu k citlivým datům a systémům. Toho lze dosáhnout například častou obměnou hesel, zaváděním složitějších hesel, dvoufázových ověření, biometrické autentizace a dalších bezpečnostních prvků při vstupu do firemní sítě. 
Nová opatření nelze implementovat jednorázově. Je důležité pravidelně analyzovat jejich efektivitu, přehodnocovat priority a rizika.

Jednorázová implementace pro zajištění kybernetické bezpečnosti nestačí

Nová opatření nelze implementovat jednorázově a dále se o ně nestarat. Je důležité pravidelně analyzovat současný stav, hodnotit efektivitu přijatých opatření a podle nově zjištěných okolností neustále přehodnocovat priority i rizika a upravovat plán implementace. 
Vzhledem ke komplexnosti požadavků NIS2 může být pro mnoho organizací výhodné spolupracovat s externími partnery. Ti mohou poskytnout nezávislý pohled na interní nastavení mechanismů, ale také pomohou s nastavením priorit a průběhem plánování implementace. 
Implementace povinností, které ukládá směrnice NIS2, může být náročná. Je však nutné k ní přistupovat co nejkomplexněji a využít příležitosti maximálně zlepšit bezpečnost vlastní IT infrastruktury a nezaměřovat se pouze na naplňování povinností, které z ní vyplývají. 
 
Michal Štusák
Autor článku je spolumajitel společnosti ComSource.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked

Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.