Základní filozofie NIS2 a navazující české legislativy je poměrně jednoduchá. Kyberbezpečnost má být procesně řízená, opřená o rizika a skutečně funkční v provozu, ne jen na papíře. Má být běžnou součástí řízení organizace. Ne něčím navíc, co řeší jen IT a co „stojí peníze“, jak je dodnes často vnímáno.

Zákon proto nepředepisuje konkrétní IT řešení „v souladu s NIS2“ ani univerzální šablony. Vede organizace k tomu, aby přiměřeně řešily základní věci: věděly, co je pro jejich fungování kritické, na čem to závisí, jaká rizika tomu hrozí, jak je snížit a jak se zachovat ve chvíli, kdy se něco pokazí.

Přesně na těchto „risk-based“ principech stojí i systém řízení bezpečnosti informací (ISMS), klíčové opatření ve vyšším režimu regulace. Ať už ISMS tvoříte podle vyhlášky č. 409/2025 Sb., mezinárodní normy ISO/IEC 27001, standardu TISAX® nebo rámců typu NIST 800-53, princip je podobný. Není to náhoda. Evropská regulace dlouhodobě vychází z mezinárodních standardů a osvědčené praxe.

ISMS představuje systematický způsob, jak organizace řídí rizika spojená s informacemi. Zahrnuje pravidla, procesy, odpovědnosti i technická opatření napříč lidmi, IT i dodavateli. Cílem je chránit důvěrnost, integritu a dostupnost informací a neustále zlepšovat odolnost.

nZoKB tak v řadě oblastí kopíruje logiku, kterou ISO/IEC 27001 používá už roky. Organizace, které mají ISMS poctivě zavedené, proto nečeká začátek od nuly, ale spíše upgrade toho, co jim už dnes funguje. A tím pádem také časové i finanční úspory.

Vyhlášky (č. 409/2025 a 410/2025 Sb.) obsahují celkem 25 bezpečnostních opatření pro regulované firmy ve vyšším režimu a 13 pro ty v nižším režimu. Jde o organizační a technická opatření. Vedou nás k budování přístupu založeného na řízení rizik a ve vyšším režimu také k tvorbě systému řízení bezpečnosti informací.

Požadavků je ale tolik, že to organizaci snadno svede k checklistovému přístupu, kvůli kterému může skončit se spoustou „papírů” bez reálného užitku pro kyberbezpečnost. Tady do hry vstupuje ISO/IEC 27001, mezinárodní norma pro řízení bezpečnosti informací. Poslouží jako rámec pro implementaci přiměřeného ISMS a zákon z ní do jisté míry vychází. 

Rozdíl mezi normou a zákonem je ale zásadní. Norma je sada doporučení, je dobrovolná. Naopak, nZoKB je legislativa, která je povinná. ISO řeší, jestli děláte správné věci. Zákon řeší, jestli je děláte správně. Bezpečnostní opatření ze zákona ale můžeme namapovat na přílohu A normy, jak můžete vidět ve stručném porovnání níže, sdílí toho spolu většinu.

 

ISO/IEC 27001 pokrývá širší spektrum kybernetických rizik než samotná legislativa a pomáhá omezit duplicitní práci tím, že sjednocuje různé požadavky do jednoho rámce. 

Certifikace ISMS podle této normy navíc umožňuje prokazatelně doložit vyspělost zabezpečení klientům, partnerům i regulátorům.

To nepřináší jen vyšší odolnost, ale i obchodní přínosy. Empirická studie „Information security and value creation: The performance implications of ISO/IEC 27001” ukazuje, že firmy s certifikací dlouhodobě vykazují vyšší profitabilitu, produktivitu práce a v některých případech i růst tržeb. ISO 27001 tak funguje nejen jako nástroj pro compliance, ale i jako posilovač důvěry a konkurenceschopnosti.

Bez aktualizace o legislativní požadavky z nZoKB to nebude stačit a roste riziko průšvihů u případné kontroly. Příloha A z ISO/IEC 27001 sice pokrývá celkem 93 bezpečnostních opatření, ale norma je záměrně obecná, aby se dala aplikovat jak na malou firmu, tak na mezinárodní korporát. Zákon a prováděcí vyhlášky jsou v některých oblastech výrazně konkrétnější a jdou nad rámec samotného ISMS.

Například u politiky hesel standardy neurčují jejich délku, kdežto zákon ano. Podobně je to i u analýzy rizik či aktiv, kde je potřeba přesně vědět, co se jakých aktiv týká i jaké jsou mezi nimi vazby. Nebo například regulatorní proces řešení incidentů a protiopatření, který norma ani mít nemůže, protože jde o specialitu naší národní legislativy. A je toho více. 

Kdo má ISO 27001, TISAX nebo jiné ISMS, má super náskok, ale ne hotovo s legislativou. Bude dobré udělat si rozdílovou (GAP) analýzu. Pomůže najít, co dobře funguje, co chybí a jak to vyřešit bez dvojení práce a nákladů. 

Kdo ISMS nemá, může využít požadavky regulace. Ta přidaná hodnota funguje obousměrně. Organizace splňující vyhlášku pro vyšší režim je totiž poměrně kvalitně připravena i na případnou certifikaci ISO/IEC 27001, která ji posílí nejen odolnost, ale i konkurenceschopnost na trhu.

Legislativa nepřináší nic nového pod sluncem. Jde o pravidla, které už možná ve firmě řešíte, aniž byste to věděli. Normy a regulace v IT jdou často ruku v ruce. Mohou být užitečným nástrojem, pokud je uchopíme se selským rozumem. Nebo brzdou, pokud je vnímáme jen jako byrokracii. Technologie bez dokumentace vedou k chaosu. Dokumentace bez technologií dává jen iluzi kontroly. Skutečný přínos přichází ve chvíli, kdy kyberbezpečnost řešíme jako proces, ne jako checklist. Kdy cílem není jen projít kontrolou, ale mít bezpečnost, která firmu podporuje nejen na papíře a za hranice compliance.