soledpro
jp-logo-w-small

Máte splněny všechny zákonné povinnosti?

Zákon o kybernetické bezpečnosti

Od 1. listopadu 2025 vstupuje v účinnost nový Zákon o kybernetické bezpečnosti (ZKB), který zásadně rozšiřuje požadavky na řízení kybernetických rizik, odpovědnost vedení organizace a zabezpečení IT prostředí.

Pokud poskytujete jednu z regulovaných služeb definovanou touto legislativou, budete muset zajistit své fungování kybernetické bezpečnosti v režimu vyšších nebo nižších povinností.

Čtěte dále

Regulovaná služba

Spadá vaše organizace pod ZKB? Prvním krokem je posouzení, zda poskytujete tzv. regulovanou službu.

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, zavádí pojem „regulovaná služba“, který určuje, zda se na vaši organizaci vztahují povinnosti podle ZKB.

 Co se posuzuje:

  • Odvětví poskytované služby (např. zdravotnictví, doprava, energetika, digitální infrastruktura, veřejná správa, atd.)
  • Velikost organizace (podle obratu, bilační sumy, počtu zaměstnanců)
  • Významnost dopadu případného incidentu

Pokud vaše služba odpovídá vyhlášce č. 408/2025 Sb., o regulovaných službách, stáváte se regulovanou osobou a máte povinnost dodržovat ZKB.

Regulovaná odvětví

  • veřejná správa,
  • energetika,
  • výrobní průmysl,
  • potravinářský průmysl,
  • chemický průmysl,
  • vodní hospodářství,
  • odpadové hospodářství,
  • doprava,
  • digitální infrastruktura a služby,
  • finanční trh,
  • zdravotnictví,
  • věda, výzkum a vzdělávání,
  • poštovní a kurýrní služby,
  • obranný průmysl,
  • vesmírný průmysl

Jaké povinnosti zákon o kybernetické bezpečnosti přináší?

Zákon o kybernetické bezpečnosti zásadně mění rozsah odpovědnosti organizace za oblast kybernetické bezpečnosti. Netýká se pouze IT oddělení, ale i vedení, procesů a dodavatelů.

Zjednodušeně je můžeme rozdělit do 4 oblastí:

  • Odpovědnost vedení – Vedení organizace (statutární orgán) nese odpovědnost za zavedení a fungování systému řízení kybernetické bezpečnosti.
  • Systém řízení bezpečnosti (ISMS) – Povinnost vést přehled aktiv, provádět analýzu rizik, řídit dodavatele, zajišťovat dokumentaci, plánovat kontinuitu, školit zaměstnance.
  • Technická opatření – Ochrana sítě, správa identit, segmentace, logování, zálohování, detekce událostí, řízení zranitelností, šifrování.
  • Monitoring a audit – Kontinuální dohled nad bezpečností, vedení záznamů, reakce na incidenty, interní audit, připravenost na kontrolu ze strany NÚKIB.

Zákon a jeho prováděcí vyhlášky rozlišují dva režimy:

Vyšší režim

Organizační opatření (OO)

  1. systém řízení bezpečnosti informací
  2. požadavky na vrcholné vedení
  3. stanovení bezpečnostních rolí
  4. řízení bezpečnostní politiky a bezpečnostní dokumentace
  5. řízení aktiv
  6. řízení rizik
  7. řízení dodavatelů
  8. bezpečnost lidských zdrojů
  9. řízení změn
  10. akvizice, vývoj a údržba
  11. řízení přístupu
  12. zvládání kybernetických bezpečnostních událostí a incidentů
  13. řízení kontinuity činností
  14. provádění auditu kybernetické bezpečnosti,
 

Technická opatření k OO

  1. fyzická bezpečnost
  2. bezpečnost komunikačních sítí
  3. správa a ověřování identit
  4. řízení přístupových práv a oprávnění
  5. detekce kybernetických bezpečnostních událostí
  6. zaznamenávání událostí
  7. vyhodnocování kybernetických bezpečnostních událostí
  8. aplikační bezpečnost
  9. kryptografické algoritmy
  10. zajišťování dostupnosti regulované služby
  11. zabezpečení průmyslových, řídících a obdobných specifických technických aktiv

Nižší režim

  1. systém zajišťování minimální kybernetické bezpečnosti
  2. požadavky na vrcholné vedení
  3. řízení aktiv
  4. řízení rizik
  5. bezpečnost lidských zdrojů
  6. řízení kontinuity činností
  7. řízení přístupu
  8. řízení identit a jejich oprávnění
  9. detekce a zaznamenávání kybernetických bezpečnostních událostí
  10. řešení kybernetických bezpečnostních incidentů
  11. bezpečnost komunikačních sítí
  12. aplikační bezpečnost
  13. kryptografické algoritmy

Kdo jsme a jak vám můžeme pomoci?

Spojili jsme odbornosti dvou partnerů, abychom organizacím nabídli skutečně komplexní řešení, od právních a organizačních povinností až po technickou implementaci a provozní bezpečnost. 

Společně pokrýváme požadavky zákona, prováděcích vyhlášek, normy ISO/IEC 27001:2022 i reálné bezpečnostní potřeby vaší organizace

J&P Guard
Právní a procesní zajištění

  • Návrh a implementace systému řízení bezpečnosti informací (ISMS)
  • Legislativní a compliance podpora dle ZKB a jiných právních a regulačních norem
  • Definice a inventarizace IT aktiv, hodnocení rizik
  • Návrh bezpečnostních politik, směrnic a procesů
  • Školení managementu, zaměstnanců
  • Interní audity a compliance reporting
  • Příprava na certifikaci dle ISO 27001
 

SOLEDPRO
Technická implementace

  • Implementace a správa bezpečnostních nástrojů
  • Zabezpečení komunikační infrastruktury, segmentace sítí
  • Monitoring, detekce a reakce na bezpečnostní události a incidenty
  • Správa přístupových práv, autentizace a logování
  • Zálohování, obnova dat a plány kontinuity provozu
  • Pravidelná aktualizace, patch management a správa zranitelností

Náš postup

Úvodní posouzení

Zjistíme, zda na vaši organizaci dopadá ZKB, v jakém rozsahu a jaké služby mohou být regulované.

Dekompozice aktiv a analýza rizik

Zmapujeme klíčová aktiva, provedeme analýzu rizik a připravíme návrhy opatření.

GAP analýza

Porovnáme současný stav s požadavky ZKB a normy ISO/IEC 27001:2022.
Identifikujeme nedostatky a rizika. 

Implementace technických opatření

Zajistíme technickou realizaci požadavků vyhlášky: logování, zálohování, řízení přístupů, segmentace sítě, aj.

Školení, testy a připravenost na kontrolu

Proškolíme váš tým, připravíme vás na kontrolu ze strany regulátorů, včetně interního auditu.

Zavedení systému řízení (ISMS)

Zpracujeme bezpečnostní dokumentaci, nastavíme procesy a zavedeme systém interního řízení kybernetické bezpečnosti.

Dlouhodobá podpora a bezpečnostní dohled

Naše spolupráce nekončí implementací. Nabídneme i průběžnou podporu včetně:

  • pravidelných revizí opatření
  • aktualizací podle změn legislativy
  • asistence při řešení bezpečnostních událostí a incidentů
  • technická podpora
  • a hlášení incidentů dle požadavků ZKB
 

V případě potřeby můžeme také zajistit outsourcované zastřešení bezpečnostních rolí, například výkon funkce manažera kybernetické bezpečnosti (vyšší režim) / pověřené osoby kybernetické bezpečnosti (nižší režim) nebo interní podpory při auditech a kontrolách.

Kontaktujte nás

Navrhujeme nezávazné posouzení, zda a v jakém rozsahu na vás zákon o kybernetické bezpečnosti dopadá.

Prosím formou dotazníku, jehož prostřednictvím zefektivníme úvodní konzultaci:

Základní screening pro zařazení režimu povinností

Kontaktní osoba

Úroveň řízení kybernetické a informační bezpečnosti

Organizační

Technická

Doplňující poznámky