Už víte, že musíte řešit kyberbezpečnost? Ale jak na to?

Krok 1: Ještě nevíte, jestli musíte zákon řešit? Tak neotálejte! 

Pokud si myslíte, že by se vás NZKB mohl týkat, měli jste si to do konce roku 2025 ověřit a nahlásit se u NÚKIB. Už to udělalo okolo 5000 firem. Pokud jste to tedy ještě neudělali, je nejvyšší čas se do toho pustit! 

Zjistěte si v prvé řadě to, kolik máte zaměstnanců, jaký máte obrat a co všechno děláte. A pak to porovnejte s vyhláškou č. 408/2025 Sb., o regulovaných službách. Nebo nám dejte vědět a my vám s tím pomůžeme. Více informací se dozvíte v tomto našem článku zde.

Samotná registrace na NÚKIB je jednoduchá, kéž by tak fungovaly všechny portály státu. NÚKIB k ní vytvořil dokonce vysvětlující videa. Více informací najdete zde. Portál NÚKIB je dobré znát i do budoucna, protože bude takovým „nervovým centrem“ téměř všeho ohledně kybernetické bezpečnosti.

Krok 2: Zjistěte, jak jste na tom teď. Gap analýza? Možná ji nepotřebujete. 

Registrace u NÚKIB hotová? Výborně. Teď máte rok od registrace na to požadavky NZKB naplnit – tedy zavést potřebná bezpečnostní opatření.

Než se do toho ale pustíte, měli byste znát svoji výchozí pozici, a tedy zmapovat současné nastavení. Třeba už jste ve firmě podstoupili ISO 27001 certifikaci. V tom případě gratulujeme, máte velký náskok, ale NZKB stejně musíte řešit. Nebo jste aspoň investovali do zabezpečení perimetru sítě, hlídání bezpečnostních incidentů… Nová regulace samozřejmě neznamená, že toto všechno jde do koše. 

Varianty jsou v zásadě dvě: 

1. Kybernetickou bezpečnost jste úplně nezanedbávali 

Kybernetická bezpečnost pro vás není žádná novinka a už jste ji někdy řešili? V tom případě bychom určitě doporučovali nechat si vypracovat gap analýzu, která vám ukáže, co splňujete a co ne. Pomůže vám odhalit hlavní slabiny a ty následně můžete jednu po druhé zacelovat. 

Gap analýza by se měla zaměřovat na každou oblast kybernetické bezpečnosti (ideálně každou povinnost v zákoně), kdy její zpracovatel zhodnotí, co už jste udělali oproti tomu, co vlastně chce zákon. A nalezený rozdíl je právě ten gap. Správná analýza by vám měla říct, kde jsou tyto „gapy“ největší a nejbolavější. 

Gap analýza je proces, jehož součástí by měly být schůzky s vedením a hlavními „hráči“ (říká se jim také „garanti aktiv“) u vás a vysvětlení výsledků analýzy, případně i školení. Správná gap analýza by navíc neměla zůstávat jen u „tohle je špatně“, ale měla by dodávat „takhle to vyřešte“.

Protože kyberbezpečnost se neopírá pouze o jeden obor, nedoporučujeme svěřovat gap analýzu pouze právníkům nebo pouze technikům. Mělo by jít o vzájemnou spolupráci obou stran. Zároveň se mějte na pozoru před „NIS2 fantomy“ (termín vypůjčený od Martina Konečného z Guardians.cz), kteří vám nabídnou polovičaté řešení nebo ještě stále dělají analýzu souladu se směrnicí NIS2.

Máte zájem o gap analýzu? S našimi partnery ji pro vás umíme vytvořit. 

Na nás bude v prvé řadě posouzení toho, jestli a jak musíte NZKB řešit. Nemusíte se tak obávat, že bychom prováděli celou gap analýzu a pak vám řekli, že se na vás vlastně zákon nevztahuje. V gap analýze pak posoudíme, jak jsou na novou regulaci připraveni vaši dodavatelé a smlouvy s nimi a jaká je vaše odpovědnost vůči zákazníkům. Naši techničtí partneři na to naváží posouzením toho, jak splňujete konkrétní technická opatření, která NZKB vyžaduje. 

2. Kybernetickou bezpečnost jsme vůbec neřešili

Co když u vás téma kybernetické bezpečnosti nikdy nezaznělo? V takovém případě je nejspíš zbytečné objednávat si gap analýzu – jejím výsledkem by byla změť červené barvy a doporučení, že musíte řešit postupně všechno. To asi není výsledek, za který byste chtěli platit nižší statisíce korun, že? 

Jistě, zpracovatel analýzy vám díky „gapce“ pomůže určit priority hlavních úkolů, ale k tomu nutně nemusí dělat takto rozsáhlou analýzu. 

V tomto případě je lepší dát si úvodní schůzku s někým, kdo vám srozumitelně představí základ nové regulace a hlavní povinnosti. 

Můžu to být já, mrkněte do mého kalendáře nebo napište na napistenam@elegal.cz.

Krok 3: Když už se do toho pustíte, udělejte si „domácí úkol“

Gap analýzu – nebo ostatně jakoukoliv spolupráci na řešení kybernetické bezpečnosti u vás ve firmě – neberte jako nutné zlo a nečekejte, že dostanete dokument „do šuplíku“ a máte splněno.

Analýza je spojena s pravidelnými schůzkami s důležitými osobami u vás ve společnosti (vedení, garanti aktiv, právní oddělení, HR…). Je to proces, který u menších a středních společností zabere cca 2–3 měsíce času. I proto je ideální s ním začít na jaře 2026 a nejpozději od podzimu už zavádět nejdůležitější opatření. 

Chcete být na gap analýzu dobře připraveni? Níže najdete orientační checklist toho, co pro její provedení bude chtít ten, kdo ji pro vás zpracovává. A pokud od vás nic takového nechce, tak je možná na místě obezřetnost. Co za podklady tedy správná analýza potřebuje? 

• Přehled o vaší organizační struktuře a počtu zaměstnanců (včetně toho, kdo je na HPP a s jakým úvazkem a kdo na dohodu). 
• Přehled o vašem obratu v posledních letech, včetně odhadu za rok 2025. 
• Popis rolí ve firmě, tedy kdo ve firmě má cybersec na starost a bude celý projekt vést a kdo všechno se bude podílet. 
• Seznam aktiv, kdy aktivy jsou zejména základní služby, které poskytujete, a zásadní procesy, které u vás probíhají a které musíte chránit. Zde nastává někdy první kámen úrazu, tomuto bodu tedy věnujte zvláštní pozornost. Se zpracováním seznamu aktiv vám taky můžeme pomoct. 
• Seznam dodavatelů a smlouvy s nimi. Dodavatele, kteří jsou relevantní z hlediska kybernetické bezpečnosti, bude třeba do gap analýzy taky zapojit. Půjde zejména o klíčové dodavatele v oblasti informačních a komunikačních technologií (ICT). 
• Informace o používaných bezpečnostních nástrojích. Pokud už používáte nějaké bezpečnostní nástroje, od antiviru a firewallu přes systém detekce incidentů, je třeba je mít zmapované. 
• Informace o požadavcích hlavních zákazníků, případně jejich seznam, ať je možné posoudit, jestli se nebudete muset přizpůsobit ještě dalším požadavkům. Na vás totiž třeba může spadat jen nižší režim NZKB, ale váš hlavní zákazník je ve vyšším režimu nebo dokonce podléhá speciálním regulacím jako je DORA pro finanční služby. 
  Bezpečnostní politiky a další dokumenty, pokud je máte. 
• Další bezpečnostně relevantní informace (informace o bezpečnostních incidentech a jiných relevantních událostech, o penetračních testech, certifikacích ISO či jiných, auditech, kontrolách). 

Krok 4: Na co dalšího už můžete myslet během následujících měsíců?

Během přípravy gap analýzy je vhodné dělat další přípravné kroky. Rok zní jako dlouhá doba, ale když objednáte analýzu na začátku roku 2026, dostanete ji třeba až před prázdninami. Přes prázdniny se vám to nebude chtít řešit a všichni jsou na dovolené. A pak vám naráz zbývá jen pár měsíců do konce roku. 
Nad čím tedy aspoň přemýšlet?

Máte někoho, kdo bude u vás cybersec řešit? Kyberbezpečnost není triviální oblast a vyžaduje poměrně robustní znalosti a schopnosti v této oblasti. Zároveň bude vyžadovat intenzivní zapojení a sebere nemálo času. Zamyslete se tedy nad tím, zda je to vhodné břemeno pro jednatele firmy nebo některého z ajťáků, kdo třeba vyvíjí váš software nebo řeší provozní věcí. Kromě toho, že jednou z dobrých cybersec praktik je „Oddělte produkci a. bezpečnost“ (tedy nechte někoho tvořit a někoho jiného to kontrolovat) – přibalení této povinnosti vaším ajťákům nebo jednatelům tak může jít proti takové praktice. Menší firmy nebo firmy, co už něco v oblasti cybersec řešily, mohou využít službu externího manažera kybernetické bezpečnosti, kterou nabízí na trhu řada společností včetně některých našich partnerů. Vyplatí se však ideálně i aspoň jeden interní člověk, styčný důstojník, který zná vaši firmu. 

Uzavíráte novou smlouvu? Už na cybersec myslete. Pokud letos budete uzavírat novou smlouvu, není na škodu tam hlavní kybernetické povinnosti zakotvit už rovnou než pak vyjednávat o dodatku za půl roku. Samozřejmě myslíme relevantní smlouvu, pokud řešíte nového dodavatele obědů, není to nutné. I když i tam je dobré myslet například na fyzickou bezpečnost budovy.

Najděte si na kyberbezpečnost prostor v rozpočtu. Pokud jste si na rok 2026 na cybersec nic nevyhradili, doporučujeme tam peníze alokovat a přemýšlet i nad výhledem na další roky. Gap analýza vám dá lepší představu o ceně, která je skutečně u každé firmy individuální. Ale počítejte dohromady určitě s jednotkami milionů. 

Až si projdete registrací u NÚKIB a budete mít v ruce kvalitní gap analýzu, nastává teprve čas pro hlavní investice do zabezpečení vaší firmy. Ale o tom až někdy příště. Pokud vás zajímá víc, určitě napistenam@elegal.cz.