www.systemonline.cz

Hlavní partner sekce

Tematické sekce

ERP systémy

CRM systémy

Plánování a řízení výroby

AI a Business Intelligence

DMS/ECM - Správa dokumentů

HRM/HCM - Řízení lidských zdrojů

EAM/CMMS - Správa majetku a údržby

Účetní a ekonomické systémy

ITSM (ITIL) - Řízení IT

Cloud a virtualizace IT

IT Security

Logistika, řízení skladů, WMS

IT právo

GIS - geografické informační systémy

Projektové řízení

Trendy ICT

E-commerce B2B/B2C

CAD/CAM/CAE/PLM/3D tisk

Branžové sekce

Automobilový průmysl

Banky a finanční organizace

Energetika a utility

Potravinářský průmysl

Stavebnictví - BIM, CAFM

Veřejný sektor a zdravotnictví

Inzerce

SystemNEWS


	Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Archiv SystemNEWS

Přehledy

Přehledy IS
APS (20)
BPM - procesní řízení (23)
Cloud computing (IaaS) (10)
Cloud computing (SaaS) (32)
CRM (51)
DMS/ECM - správa dokumentů (20)
EAM (17)
Ekonomické systémy (68)
ERP (76)
HRM (28)
ITSM (6)
MES (32)
Řízení výroby (36)
WMS (29)
Dodavatelé IT služeb a řešení
Datová centra (25)
Dodavatelé CAD/CAM/PLM/BIM... (38)
Dodavatelé CRM (38)
Dodavatelé DW-BI (50)
Dodavatelé ERP (69)
Informační bezpečnost (50)
IT řešení pro logistiku (45)
IT řešení pro stavebnictví (26)
Řešení pro veřejný a státní sektor (27)

Inzerce

Partneři webu

Best WordPress Themes

Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 6/2025 -> Novela kybernetického zákona se blíží: Jak se připravit na nové povinnosti?

IT SYSTEMS 6/2025 , IT Security , IT právo

Novela kybernetického zákona se blíží: Jak se připravit na nové povinnosti?

Michal Štusák

S blížícím se schválením nového kybernetického zákona, který do naší legislativy převádí evropskou směrnici NIS2, se mnoho firem a institucí ocitá před výzvou, jak implementovat nová opatření. Zákon již prošel ve třetím čtení v Poslanecké sněmovně a brzy by tak mohlo dojít k jeho schválení. Připravovat se je ale potřeba již dnes, protože podoba zákona se již pravděpodobně nebude zásadně měnit a času na přípravu není mnoho. Na co se by se měly firmy zaměřit?

Zákon nám říká poměrně přesně jaká opatření přijmout a co je nutné dodržet. Co nám však neříká, je to, jaké nástroje k tomu využít. Je to o to složitější, že žádná firma vám nemůže poskytnout nějaký balíček jménem NIS2 na klíč, který vám prostě předá a máte hotovo. Každá společnost musí ke kyberbezpečnosti přistupovat individuálně a komplexně, univerzální řešení zkrátka neexistují. I proto může být pro některé z 6000 firem, kterých se zákon bude nově dotýkat, NIS2 velkým strašákem.

Neexistuje univerzální balíček opatření. Každá společnost musí ke kyberbezpečnosti přistupovat individuálně.

Výchozím bodem je analýza rizik

Analýza rizik primárně pomáhá s identifikací potřebných opatření a jejich postupného naplňování. Jejím prostřednictvím se odhalí již zavedená opatření, kterých si firma nemusí být doposud vědoma. Tento krok přináší nejen úsporu peněz, ale i lidských zdrojů a času, které by jinak byly vynaložené na opětovnou implementaci. Dále se zaměřuje na kritická rizika, která vyžadují okamžitou pozornost a měla by se stát prioritními. Stejně tak díky této analýze poznáme méně naléhavá opatření, která lze zanést do plánu a implementovat později.

Zákon totiž uvádí, že opatření se mají zavádět s přiměřeným úsilím, takže vše nemusí být okamžitě. Nicméně to ale neznamená, že se opatření dají odkládat do nekonečna, je nutné je zanést do plánu, kdy se je chystá podnik zavést a při případné kontrole pak musí firma umět vysvětlit, proč je ještě nezavedla. Je velmi důležité umět upřednostnit, které riziko je větší a co je potřeba vyřešit co nejdříve. Například pokud máme síťový perimetr se zastaralým firewallem a nějaké závadné fyzické vstupní mechanismy, například zámky, je v rámci kybernetické bezpečnosti důležitější upřednostnit aktualizaci firewallu. Zdůraznit je ale třeba to, že firmy by měly ke kybernetické bezpečnosti přistupovat ne jako k nějaké povinnosti, kterou zavádí regulace, ale jako v dnešní době naprosto nezbytnému opatření.

Zákon uvádí, že opatření se mají zavádět s přiměřeným úsilím, takže nemusí být spuštěna okamžitě, ale také je nelze odkládat do nekonečna.

Co je třeba zohlednit?

Jedním z nejdůležitějších úkolů je stanovení toho, co je nutné splnit a kdy. V úvahu je potřeba vzít několik faktorů:

Míra rizika: Závažnost rizika určuje míru prioritizace.
Časová náročnost: Implementace některých opatření může trvat déle, proto je dobré s nimi začít nejdříve.
Dostupnost kompetentních zaměstnanců a dostatek finančních zdrojů.
Vzájemné propojení: Vždy je dobré plánovat implementaci podle toho, jak spolu jednotlivá opatření vzájemně souvisí. Někdy je efektivnější přijmout je postupně, jindy jako jeden soubor.

Největší riziko pochází z lidské chyby či neznalosti, a proto nový kybernetický zákon zavádí povinná školení personálu i vedení.

Jaké oblasti jsou klíčové?

Stále platí, že největší riziko pochází z lidské chyby či neznalosti. I proto nový kybernetický zákon zavádí povinná školení personálu i vedení. Právě k těmto školením by ale společnosti neměly přistupovat jako k něčemu, co si odškrtnou a mají hotovo – jednak proto, že by měly být schopné prokázat, že ke školení skutečně došlo, ale především proto, že tím velmi snižují riziko lidské chyby. Ani ten nejdokonalejší software vám totiž nepomůže v případě neúmyslné „sabotáže“ zevnitř vaší organizace. Důležité je v tomto ohledu zkontrolovat také dodavatelské řetězce, protože i ty mohou představovat nebezpečí a je potřeba kontrolovat, co se děje s daty, která od vás mohou získávat.

Další oblastí je zabezpečení sítě. Aktualizace a správná konfigurace síťových prvků, jako jsou firewally, jsou kritické pro ochranu před kybernetickými útoky. Důležitým pilířem je i řízení přístupu k citlivým datům a systémům. Toho lze dosáhnout například častou obměnou hesel, zaváděním složitějších hesel, dvoufázových ověření, biometrické autentizace a dalších bezpečnostních prvků při vstupu do firemní sítě.

Nová opatření nelze implementovat jednorázově. Je důležité pravidelně analyzovat jejich efektivitu, přehodnocovat priority a rizika.

Jednorázová implementace pro zajištění kybernetické bezpečnosti nestačí

Nová opatření nelze implementovat jednorázově a dále se o ně nestarat. Je důležité pravidelně analyzovat současný stav, hodnotit efektivitu přijatých opatření a podle nově zjištěných okolností neustále přehodnocovat priority i rizika a upravovat plán implementace.

Vzhledem ke komplexnosti požadavků NIS2 může být pro mnoho organizací výhodné spolupracovat s externími partnery. Ti mohou poskytnout nezávislý pohled na interní nastavení mechanismů, ale také pomohou s nastavením priorit a průběhem plánování implementace.

Implementace povinností, které ukládá směrnice NIS2, může být náročná. Je však nutné k ní přistupovat co nejkomplexněji a využít příležitosti maximálně zlepšit bezpečnost vlastní IT infrastruktury a nezaměřovat se pouze na naplňování povinností, které z ní vyplývají.

Michal Štusák
Autor článku je spolumajitel společnosti ComSource.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

AI mění pravidla hry

Zatímco v minulém vydání IT Systems jsme se dívali na IT především z perspektivy průmyslu, obsah čísla 10 je mnohem pestřejší. Zaměřili jsme se například na vývoj v oblasti e-commerce, která patřila vždy mezi velmi progresivní z hlediska adopce nových technologií. Není divu v tak silně konkurenčním prostředí, kde je potřeba na každý podnět či změnu velmi rychle reagovat. A právě nyní se ve světě online nakupování rodí opravdu zásadní proměna. Přichází s nástupem umělé inteligence a má potenciál změnit samotnou podstatu, jak lidé nakupují, jak značky soutěží a jak budou fungovat e-shopy budoucnosti.