Naše CyberSecurityPlatform.cz pořádá ve spolupráci se svými partnery další ze série regionálních setkání na téma NIS2 a nový kybernetický zákon. Po úspěšných meetupech v Brně, Praze a Ústí nad Labem tentokrát míří znovu do Brna, tentokrát v jiném, samozřejmě lepším rozměru!

📍 Kde? Clubco, Vlněna 5, Brno

📅 Kdy? 5. 2. 2026

🕛 V kolik? 12:30 - 18:00

Koupit vstupenku

Program

• 12:30-13:00 - otevření dveří a registrace

• 13:00-13:15 - úvodní slovo

• 13:15-13:45 - Začínáme s implementací požadavků nZKB
  Martin Konečný, CEO & Founder, Guardians.cz

• 13:45-14:25 - NIS2 a dodavatelé: od smlouvy k reálné bezpečnosti
  Jiří Císek, partner, advokátní kancelář Císek

• 14:25-14:40 - přestávka

• 14:40-15:25 - Screening a prověření spolehlivosti dle aktuálních směrnic a právních norem
  Petr Moroz, CEO, Scaut

• 15:25-16:00 - Zero Trust Architektura pro ZoKB / NIS2
  Michal Čížek, CEO & Co-Founder, GoodAccess

• 16:00-16:15 - přestávka

• 16:15-16:45 - Role log managementu ve splnění požadavků NIS2
  Jan Kalabus, obchodní ředitel, Logmanager

• 16:45-17:05 - Proč Excel nestačí: NIS2 a DORA vyžadují skutečný software
  Petr Sýkora, Co-Founder, cybreg s.r.o.

• 17:05-18:00 - diskuze a networking

Těšit se můžete také na:

• Nové informace, nápady a inspiraci

• Networking

• Krásné prostory brněnského Clubca

• Pohodovou atmosféru

• Občerstvení

• apod.

Více informací

Aneb, kéž by takto fungovaly všechny portály státu

V Guardians máme za sebou první zkušenosti s registrací / ohlašováním regulovaných služeb přes Portál NÚKIB. Až na drobnosti, které souvisí spíše s UX, nemáme co vytknout, naopak – NÚKIB odvedl skvělou práci. Navíc, s čím se na úřadech běžně nesetkáte jsou video návody k formulářům. Rozhodně doporučujeme sledovat YT kanál @nukib_cz, kde najdete tento (a další) video návod, který se jistě bude hodit:

Věříme, že pro ostatní státní instituce, které se s digitalizací “perou” může být přístup NÚKIB příkladem.

Nyní k samotné registraci - sepsali jsme pro vás detailní článek, který postupně aktualizujeme. Najdete ho na našem webu.

Klíčové je, abyste věděli, že k provedení ohlášení regulované služby přes Portál NÚKIB budete potřebovat:

1. Přihlášení přes identitu občana (NIA).

2. Součinnost statutárního zástupce (je možné pověřit zástupce organizace – jinou fyzickou osobu, která má identitu občana, např. manažera kybernetické bezpečnosti).

3. Podrobnosti o dopadu nZKB na organizaci, tzn.:

   1. znát velikost podniku (počet zaměstnanců, velikost obratu a rozvahy),

   2. seznam (regulovaných) služeb, které daná organizace poskytuje.

4. Kontaktní a další údaje:

   1. seznam kontaktních osob,

   2. seznam IP adres/rozsahů,

   3. seznam doménových jmen vztahujících se k regulovaným službám.

5. U služeb z odvětví Digitální infrastruktura a služby informace o státu, kde se nachází hlavní provozovna a její název.

Článek o registraci regulované služby

Naše kalkulačka posoudila již více než 200 organizací

Máme velikou radost, že naše kalkulačka již pomohla více než 200 organizacím s posouzením možného dopadu regulace.

Do kalkulačky jsme zohlednili finální verzi vyhlášky o regulovaných službách a také jsme opravili identifikované chyby. Rovněž jsme doplnili i velice důležitý disclaimer, neboť právní služby spojené s posouzením dopadu regulace na vaši firmu naše kalkulačka bohužel suplovat nemůže. Vždy je nutné přihlédnout na služby, které organizace opravdu poskytuje, ne jen na služby, které má uvedené v rejstřících, např. v CZ-NACE kódech, dále také na propojené podniky a další skutečnosti.

⇨ kalkulacka.kyberzakon.cz ⇦

Za hranice naší kalkulačky jde např. expertní analýza Verief.

Nový článek o regulovaných službách

Jaké jsou regulované služby podle nového kybernetického zákona? Jaké jsou rozdíly mezi režimy u jednotlivých služeb? Jistě víte, že toto definuje vyhláška č. 408/2025 Sb., o regulovaných službách.

My jsme si pro vás na náš web připravili nový článek. Tento článek poskytuje přehled regulovaných služeb z vyhlášky, vč. kritérií pro zařazení do režimu „vyšších“ nebo „nižších“ povinností. Postupně jej doplňujeme o nové poznatky a zkušenosti, které získáváme, zatímco s jeho plněním podporujeme své klienty.

Najdete tu např.:

• Relevantní poznámky u digitální infrastruktury a služeb, abychom upozornili na situace, kdy se i na poskytování ICT služeb firmám uvnitř holdingu může vztahovat kybernetický zákon.

• Info, že pod kybernetický zákon spadnou také subjekty kritické infrastruktury. Takové subjekty mají být identifikovány ze strany NÚKIB a spadají vždy do režimu VYŠŠÍCH POVINNOSTÍ.

Přečíst celý článek

Co se událo v říjnu v Guardians.cz

Říjen byl ve znamení měsíce kybernetické bezpečnosti. Pro nás byl akcemi a zkušenostmi doslova nabitý, např.:

• Začátkem měsíce jsme dokončili speciální workshop na míru pro kolegy z NÚKIB, který se zaměřoval na ISMS vs. ZKB.

• Lukáš Hrníček na webináři v rámci Festivalu bezpečného internetu poskytl informace o tom, jak dopadá NIS2 na poskytovatele digitálních služeb. O tomto tématu jsme psali již dříve a publikovali jsme i záznam z obdobného webináře.

• Stala se nám zajímavá situace, kdy nám potenciální klient řekl, že od nás nechce gap analýzu, neboť bychom objevili, co nechce - ano, i to se stává a ano, snažíme se to dělat smysluplně a tak analýzy “na oko” neděláme. Paradoxně jsme se s jednou takovou setkali u jiného potenciálního klienta. Ten měl analýzu zpracovanou podle staré regulace, pro KII, i když na něj má dopadat jen nižší režim. Z analýzy plynoucí doporučení jsou pak vy víte k čemu … Pozor na to, že NIS2 Fantomové tu jsou stále!

• Již jste od nás slyšeli, že jsme přišli s novým produktem - expertní analýzou Verief. Na té spolupracujeme s kolegy z AK Cisek se kterými jsme si týmovou spolupráci i “přestřelku” vyzkoušeli, mimo jiné, na společné laser game.

  

• Martin Konečný představil své zkušenosti z příprav organizací na novou kyberbezpečnostní regulaci na akci “innogyCyberCon”.

• Kolega Jakub Lehečka klientovi pomohl s bezpečnostní analýzou Kubernetes infrastruktury.

• Jakub si také připravil školení pro GasNet, kde účastníkům představil, jak jednoduché může být zneužít identitu pomocí deepfake videa / AI.

• Vanesa a Zuzana se zúčastnily konference Ženy v kyber, odkud odjížděly plné dojmů a nových podnětů.

• Matej Olexa si připravil pro klienta školení na téma SSDLC s demo ukázkou vhodných nástrojů pro SCA, SAST, DAST.

• Úspěšně jsme prošli dohledovým ISMS auditem certifikovaným od TÜV, což považujeme za důkaz, že to s informační a kybernetickou bezpečností myslíme opravdu vážně.

• Guardians.cz je oficiální autorizovanou osobou pro profesní kvalifikace bezpečnostních rolí manažer kybernetické bezpečnosti a auditor kybernetické bezpečnosti. Jsme tedy oprávněni vás oficiálně “rekvalifikovat” ✅ a v říjnu jsme spustili předběžné registrace pro zájemce.

• atd.

Vzdělávání v nZKB akademii

Nejen vzdělávání, ale i příručka ke kybernetickému zákonu do kapsy na 1 rok

Už jen do 15.11.2025 můžete využít speciální promo kód, díky kterému můžete mít nZKB akademii jen za 17.000 Kč bez DPH, tedy o 8.000 Kč / 32% levněji!

slevový kód: CSM2025

Proč naše nZKB akademie stojí za to?

• Získáte přístup k přehledně zpracovanému obsahu o novém zákoně o kybernetické bezpečnosti.

• Akademií vás provází tým zkušených lektorů, včetně těch, kteří se přímo podíleli na tvorbě nového kybernetického zákona – Adam Kučínský, Martin Švéda, Martin Konečný, CISM a Jakub Lehečka. Součástí programu jsou navíc i bonusové rozhovory se zajímavými hosty z různých oblastí praxe.

• Součástí Akademie je také online platforma s diskusním fórem, online konzultace a osobní setkání s lektory i s dalšími účastníky. Díky tomu se můžete kdykoli zeptat na to, co vám nebude jasné.

• Na rozdíl od školních lavic si Akademii můžete projít vlastním tempem a odkudkoli, v čase, který vám vyhovuje. Přístup vám zůstane až do konce školního roku.

• S mobilní aplikací můžete studovat i na cestách a máte nZKB příručku doslova do kapsy.

• Akademie vás připraví na profesní kvalifikaci / zkoušku pro roli manažera kybernetické bezpečnosti.

• + další výhody - viz produktová stránka Akademie.

Subscribe now

⇨ kalkulacka.kyberzakon.cz ⇦

Naše nZKB kalkulačka, nebo spíše pomůcka k posouzení dopadu nZKB na organizaci vám pomůže zjistit, zda na vaši organizaci dopadne nový kybernetický zákon. Unikátní je v tom, že vám bude stačit jen IČ posuzované organizace, email a případné doplnění detailů, které kalkulačka nezjistí z veřejných zdrojů. Další odlišnost oproti jiným kalkulačkám je v tom, že vás naše kalkulačka upozorní na propojené podniky, což může mít vliv na finální výsledek posouzení.

Samozřejmě je dobré upozornit na to, že se jedná o pomůcku, která rozhodně nenahrazuje právní posouzení. To vám můžeme zajistit naší profesionální službou – Verief.

Mohlo by vás zajímat

• Úskalí samoidentifikace - viz na náš článek v Blogu CyberSecurityPlatform.cz.

• Registrace na Portálu NÚKIB - viz info z minulého newsletteru.

Buďte součástí Guardians týmu

Do Guardians týmu hledáme dynamického člověka s alespoň 3-letou praxí relevantní k roli manažera kybernetické bezpečnosti. Nový člen týmu by doplnil náš tým konzultantů a manažerů KB a pomáhal by našim klientům se zajišťováním shody s novým kybernetickým zákonem.

Pokud jste vhodnou kadidátkou / kandidátem, koukněte na náš inzerát a neváhejte se ozvat. Případně budeme rádi, když náš inzerát přepošlete svému známému, který přemýšlí o změně kariéry.

Buďte Guardianem i vy!

Požadavky pozice a přihlášení kandidáta

Co pro organizace regulované podle ZKB / nZKB znamená nedávno vydané varování NÚKIB

NÚKIB vydal varování před hrozbou spojenou s předáváním dat a vzdálenou správou z Číny. Týká se toto varování i vaší organizace? A jaká konkrétní opatření byste měli zavést, abyste se ochránili?

Více u nás na Blogu

Profesní kvalifikace bezpečnostních rolí

Guardians.cz je oficiální autorizovanou osobou pro profesní kvalifikace bezpečnostních rolí manažer kybernetické bezpečnosti a auditor kybernetické bezpečnosti.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nám v září 2025 udělil autorizaci pro tyto profesní kvalifikace:

• 18-015-T Manažer/manažerka kybernetické bezpečnosti

• 18-019-T Auditor/auditorka kybernetické bezpečnosti

Jsme tedy oprávněni vás oficiálně “rekvalifikovat” ✅

Získejte osvědčení o profesní kvalifikaci!

Chcete se rekvalifikovat, nebo si jen zvýšit dopamin tím, že úspěšně podstoupíte rekvalifikační zkoušku? Pak neváhejte a udělejte první krok.

Jak to bude fungovat?

🟢 Člověku s letitou praxí v dané roli bude jistě stačit prostudovat si hodnotící standard a jít rovnou ke zkoušce 💪 .

🟢 Pokud se máte v plánu “rekvalifikovat” v pravém slova smyslu, pak doporučujeme využít kompletní balíček, tedy kurz i přípravu a zkoušku.

🟢 Zkouška probíhá před zkušební komisí a trvá přibližně 8 hodin, kdy musíte absolvovat písemný test, ústní zkoušku a praktická cvičení s obhajobou.

Manažer kybernetické bezpečnosti

1. Kurz - nZKB akademie [cena: 25.000 Kč bez DPH] - 💰 koupit

2. Příprava na zkoušku (materiály ke zkoušce + konzultace) a zkouška před komisí [cena: 35.000 Kč bez DPH] - připravujeme

3. Kompletní balíček (kurz, příprava, zkouška) [cena: 49.000 Kč bez DPH] - připravujeme

Auditor kybernetické bezpečnosti

1. Kurz [cena: 30.000 Kč bez DPH] - připravujeme

2. Příprava na zkoušku (materiály ke zkoušce + konzultace) a zkouška před komisí [cena: 35.000 Kč bez DPH] - připravujeme

3. Kompletní balíček (kurz, příprava, zkouška) [cena: 59.000 Kč bez DPH] - připravujeme

Projevit předběžný zájem

Projevit předběžný zájem můžete vyplněním formuláře na našem webu. Jak budeme mít vše připraveno, ozveme se vám.

Projevit předběžný zájem

Pozvánky na naše akce

Na závěr bychom vás rádi pozvali na následující události, které připravujeme:

• Webinář - Jak NIS2 dopadá na poskytovatele digitálních služeb, který proběhne již 16.10.2025 od 10:00.

• Meetup - NIS2 a nový kybernetický zákon prakticky v Českých Budějovicích, který proběhne 25. 11. 2025.

Máme tu nový zákon o kybernetické bezpečnosti (zák. č. 264/2025 Sb.) s účinností od 1. listopadu 2025, co to znamená?

Jistě víte, že od data účinnosti nZKB se odvíjí povinnost registrace dotčených organizací na Portálu NÚKIB. Má to ale jedno ale.

Prakticky totiž musí být učinný nejen zákon o kybernetické bezpečnosti, ale také vyhláška o regulovaných službách. Teprve od její účinnosti se může odvíjet výše zmíněná povinnost registrace.

Účinnost vyhlášky o regulovaných službách se přepokládá k 1. listopadu 2025. Pokud by se to náhodou nestihlo, hlavní milník pro začátek plnění povinností se posune.

Návrh vyhlášky o regulovaných službách má za sebou mezirezortní připomínkové řízení a míří do rukou Legislativní rady vlády. Aktuální podobu, vč. připomínek najdete zde:

🔗 https://odok.gov.cz/portal/veklep/material/pripominky/KORNDGQGJKME/

Dopadne nZKB i na vaši firmu?

Zkuste naši “kalkulačku”!

nZKB kalkulačka, nebo spíše pomůcka k posouzení dopadu nZKB na organizaci vám pomůže zjistit, zda na vaši organizaci dopadne nový kybernetický zákon. Stačí Vám zadat IČ posuzované organizace, email, doplnit případné detaily, které nezjistíme z veřejných zdrojů a máte jasněji.

⇨ ⇨ ⇨ kalkulacka.kyberzakon.cz ⇦ ⇦ ⇦

Samozřejmě je dobré upozornit na to, že se jedná o pomůcku, která rozhodně nenahrazuje právní posouzení.

Gap analýza 2.0, to je Verief

Chcete si “Veriefikovat”, jak si vaše organizace stojí s ohledem na požadavky nové regulace (nZKB), které bude muset plnit?

Pak byste se měli zajímat o naši novou službu, kterou si pro vás připravili experti z Guardians.cz ve spolupráci s právními experty z AK Cisek – “Verief”.

Verief je expertní gap analýza, která srozumitelně a efektivně odhalí, kde vaše organizace nesplňuje požadavky nového zákona o kybernetické bezpečnosti a směrnice NIS2.

Proč gap analýza 2.0? Spojujeme totiž právní jistotu s technickou odborností, což z naší služby dělá službu s unikátní přidanou hodnotou pro zákazníky. V rámci jedné služby tak dostanete právní posouzení dopadu regulace a podrobnou právní i info/cybersec analýzu současného stavu srovnanou s cílovými požadavky, které musí vaše organizace plnit.

Více info na webu 🔗 Verief

Registrace na Portálu NÚKIB

Jak bude probíhat registrace a kdo ji může provést?

Tento dotaz dostáváme často od účastníků naší nZKB akademie. Jak to tedy pravděpodobně bude?

Registrace přes Portál NÚKIB, kdy povinné subjekty provedou ohlášení regulované služby pravděpodobně bude moci provést:

1. Statutární zástupce.

2. Zástupce, který bude nominován statutárním orgánem přes Portál NÚKIB (může jít o interního nebo externího manažera KB, právníka atp.).

K provedení ohlášení regulované služby bude nutné přihlášení přes NIA. Z toho vyplývají určitá omezení, kterým budou muset regulované subjekty zřejmě čelit, např.:

• cizinec MKB/CISO nemá identitu u NIA,

• portál zatím nepodporuje cizí jazyk.

nZKB akademie 2025

Máme tu nový školní rok a protože vzdělávání je celoživotní proces, můžete září využít k zápisu do nZKB Akademie. Je to příležitost, jak se nachytřit před účinností nového kybernetického zákona a zároveň mít oporu i během jeho zavádění do praxe doslova do kapsy (díky naší mobilní appce).

• Získáte přístup k přehledně zpracovanému obsahu o novém zákoně o kybernetické bezpečnosti.

• Odborníci vás provedou všemi požadavky zákona i prováděcími předpisy a doplní je praktickými tipy, jak konkrétní bezpečnostní opatření přizpůsobit specifickým potřebám vaší organizace.

• Součástí Akademie je také online platforma s diskusním fórem, online konzultace a osobní setkání s lektory i s dalšími účastníky. Díky tomu se můžete kdykoli zeptat na to, co vám nebude jasné.

• Na rozdíl od školních lavic si Akademii můžete projít vlastním tempem a odkudkoli, v čase, který vám vyhovuje. Přístup vám zůstane až do konce školního roku.

Akademií vás provází tým zkušených lektorů z praxe, včetně těch, kteří se přímo podíleli na tvorbě zákona – Adam Kučínský, Martin Sveda, Martin Konečný, CISM a Jakub Lehečka. Součástí programu jsou navíc i bonusové rozhovory se zajímavými hosty z různých oblastí praxe.

NOVINKA! Brzy se můžete těšit na doplňující “balíčky” k naší nZKB akademii – jako budoucí autorizované osoby pro roli manažera kybernetické bezpečnosti a auditora kybernetické bezpečnosti se vám chystáme nabídnout rekvalifikace k těmto rolím!

CyberSecurityPlatform.cz okénko

Pozvánka mini konferenci v RedHat v Brně

Brňákům a Pražákům, kteří jsou v Brně často, ale rádi vtípkují o tom, jak do brněnské vesničky nikdy nemohou trefit, jistě chyběly naše akce. A tak tu hned jednu máme, a velice zajímavou! Tak se zastavte!

📆 29. 9. 2025 | 🕒 17:30–22:00 | 🔴 Red Hat, Purkyňova 647/111, Brno

🔗 Více info: https://www.cybersecurityplatform.cz/udalosti/mini-konference-communitni-akce-v-red-hat

Pozvánka na NIS2 meetup v Českých Budějovicích

Na závěr tohoto newsletteru pro vás máme pozvánku na další z “NIS2 meetupů” z produkce naší CyberSecurityPlatform.cz:

NIS2 meetup v Českých Budějovicích – 25. 11. 2025

Po úspěšných setkáních v Brně, Praze a Ústí nad Labem míříme do Českých Budějovic. Přijďte na regionální meetup k NIS2 a novému kybernetickému zákonu, který přinese praktické zkušenosti i prostor pro networking.

📅 Kdy: pondělí 25. listopadu 2025
📍 Kde: Riegrova 51, České Budějovice
💰 Účastnický poplatek: 500 CZK

Na co se můžete těšit:

• Prakticky zaměřené přednášky k přípravě na plnění nových povinností

• Sdílení zkušeností odborníků z advokátní kanceláře Cisek, společností Comma0, GoodAccess, Guardians.cz a Logmanager

• Otevřenou debatu o výzvách i osvědčených postupech

• Neformální networking s kolegy u šálku kávy

Setkání je určeno všem, kdo se věnují kybernetické bezpečnosti – od vrcholového vedení a manažerů až po IT a compliance specialisty.

Více informací najdete na webu platformy.

Kapacita je omezená, proto se registrujte co nejdříve.
🔗 Registrovat se na meetup [registrace přes platformu GoOut]

Video záznam z webináře

Zde můžete shlédnout video záznam z webináře.

Prezentace ke stažení

Tady najdete i prezentaci v PDF ke stažení.

Schopnost odolat hrozbám AI znamená zbavit se zbytečných blokátorů rozvoje a businessu a zajištění jeho udržitelnosti

Setkáváme se s případy, kdy od klientů zaznívá:

nebo naopak

Obě situace jsou ale strategicky neudržitelné - v obou případech vás totiž může předběhnout konkurence, která AI využívá a řídí s tím související rizika. Řešit AI rizika je proto nezbytné nejen z hlediska compliance, ale i business strategie.

Rizika AI

Vybraná rizika AI popisuje Martin Konečný ve své prezentaci (doporučujeme shlédnout záznam nebo PDF viz výše). Některá z nich přesto stojí za zmínku i zde. např.:

• Vibe coding a zběsilé sdílení API klíčů ze strany uživatelů.

• Ztráta know-how díky útokům založeným na extrakci.

• Nadměrná autonomie jazykového modelu při integraci a automatizaci (např. nevhodně nastavenými přístupovými oprávněními - model má vyšší práva než uživatel - uživatel pak zneužívá model k práci s daty, ke kterým by se jinak nedostal).

• Zneužití AI útočníky (např. k tvorbě malware, deepfakes atp.).

• Rizika dodavatelského řetězce a bezpečnost, poskytovaných modelů (krásným příkladem může být Varování NÚKIB před některými produkty společnosti DeepSeek upozorňující na nízké zabezpečení, ukládání/sdílení dat na serverech čínských společností - např. ByteDance (TikTok), odesílání dat na území Ruské federace atd. - více v metodice k samotnému varování od NÚKIB).

Níže ještě najdete některé ze zdrojů, které mohou pomoci s modelováním hrozeb u jazykových modelů.

MITRE ATLAS

Bezpečáci jistě znají MITRE ATT&CK. MITRE ATLAS je v podstatě totéž, jen pro velké jazykové modely. Obsahuje přehled tzv. taktik a technik útočníků (postupů útočníků) v případě, kdy jsou jejich cílem právě LLM, ML a související procesy, technologie a data.

AI Risk Index od Lakera

Organizace Lakera, jeden z předních vendorů security řešení pro LLM, publikovala “Independent, Real-World LLM Security Benchmark“. Jde o užitečný nástroj pro riskařinu nad jazykovými modely.

OWASP

OWASP v bezpečnostní komunitě jistě netřeba představovat. Za zmínku stojí relevantní zdroje, které OWASP cílí na AI / LLM / ML nebo OWASP AI Exchange.

AIID

AIID je AI Incident Database, kde najdete odkazy na články o incidentech, které mohou souviset s AI.

AI Management System (AIMS) = ISO/IEC 42001:2023

AIMS je mezinárodní standard, který poskytuje komplexní rámec pro organizace, aby zavedly, implementovaly, udržovaly a neustále zlepšovaly způsob, jakým řídí své činnosti v oblasti umělé inteligence.

Jedná se o další standard ze systému řízení, jako např. ISMS (ISO/IEC 27001). Proto, pokud máte certifikované ISMS a zároveň využíváte pro klíčový business jazykových modelů, zvažte, zda ISMS certifikaci nespojit s AIMS.

Hlavním cílem AIMS je pomoci organizacím odpovědně vyvíjet, poskytovat nebo používat systémy AI, zatímco dosahují svých strategických cílů a splňují relevantní požadavky a očekávání zúčastněných stran.

Shoda se standardem (=systematický přístup) může organizaci pomoci doložit její odpovědnost a transparentnost s ohledem na její roli v oblasti systémů AI, ale i se zvládnutím EU AI Actu. Hodí se např. pro:

• organizace, které využívají AI / ML / LLM ve svých podnikových procesech nebo tyto technologie vyvíjí, integrují, implementují pro své klienty.

• organizace, které jsou zákazníky takových firem (viz předchozí bod) - požadavek na certifikaci jako “assurance”.

Pozn.: Více o normě se dozvíte v záznamu.

GUARDIANS.cz tým vám s bezpečností AI rád pomůže!

Nevyznáte se v tom? Nevadí! GUARDIANS.cz tým vám rád pomůže např. s/se:

• Získáním konkurenční výhody díky SMYSLUPLNĚ zvládnutým požadavkům na kybernetickou bezpečnost ze strany regulace/zákazníků.

• Přípravou na ISO/IEC 42001 certifikaci.

• Posouzením bezpečnosti AI.

• Analýzou rizik AI.

• Výběrem a nasazením GRC nástroje (DRATA, ISMS Online, ...), který usnadní implementaci požadavků AIMS a EU AI Act.

• + více v našem portfoliu na webu https://www.guardians.cz/cs/

Mimo jiné, jsme tuto situaci konzultovali se zástupci NÚKIB a díky tomu vznikl tento nový podpůrný materiál na Portálu NÚKIB.

Kdo by měl zpozornět?

Zvláštní pozornost těmto specifikům by měli věnovat zástupci organizací, jejichž poskytované služby jsou v návrhu vyhlášky o regulovaných službách uvedeny v následujících kategoriích:

• 16.4 Poskytování služby systému překladu doménových jmen s výjimkou služby poskytované jako součást 16.1

• 16.6 Správa a provoz registru domény nejvyšší úrovně

• 16.8 Poskytování služby cloud computingu

• 16.9 Poskytování služby datového centra

• 16.10 Poskytování služby sítě pro doručování obsahu (CDN)

• 16.12 Poskytování služby vytvářející důvěru podle přímo použitelného předpisu EU

• 16.13 Poskytování řízené služby (MSP) s výjimkou služby uvedené v bodu 16.14 

• 16.14 Poskytování řízené bezpečnostní služby (MSSP)

• 16.15 Poskytování služby on-line tržiště podle zákona upravujícího ochranu spotřebitele)

• 16.16 Poskytování služby internetového vyhledávače podle přímo použitelného právního předpisu Evropské unie)

• 16.17 Poskytování platformy sociální sítě

Proč zpozornět?

Pro poskytovatele výše uvedených typů regulovaných služeb je rozhodující, zda organizace poskytovatele naplní kritéria uvedená ve vyhlášce o regulovaných službách, ale…

… z hlediska bezpečnostních opatření se nehledí na vyšší / nižší režim regulace, ale na specifická bezpečnostní opatření podle NIS2 prováděcího nařízení pro digitály.

Pozor na kombinaci požadavků na bezpečnostní opatření

Aby to nebylo zcela jednoduché, často může docházet k situacím, kdy např.:

• Organizace poskytující primárně jiné typy regulovaných služeb, poskytují centrálně MSP, MSSP prostřednictvím svých “center sdílených služeb”.

  • Např. holding v energetice s MSP/MSSP

    • Hlavní business (energetika) spadá do regulovaných služeb, do vyššího režimu a bezpečnostní opatření se uplatní podle vyhlášky pro vyšší režim.

    • Poskytované služby typu MSP/MSSP sice spadají do vyššího režimu taktéž, ale bezpečnostní opatření se uplatní podle NIS2 prováděcího nařízení pro digitály.

• Organizace zaměřené primárně na poskytování telekomunikačních a dalších digitálních služeb.

  • Telekomunikační služby, které se mimo jiné řídí i zákonem o elektronických komunikacích, spadají často do vyššího/nižšího režimu regulace a bezpečnostní opatření se uplatní podle vyhlášky pro příslušný režim regulace.

  • Poskytované služby jako služby datových center, cloudy, MSP/MSSP sice spadají do vyššího/nižšího režimu, ale bezpečnostní opatření se vždy uplatní podle NIS2 prováděcího nařízení pro digitály.

Úskalí, výzvy a příležitosti

Jaká jsou s těmito specifiky spojena úskalí, výzvy a příležitosti se dozvíte v záznamu z celého webináře. Abychom vás motivovali na záznam kouknout, zmíníme, že se zde dozvíte např.:

• Požadavky na hlášení incidentů s ohledem na významnost, kterou NIS2 definuje.

• Specifická bezpečnostní opatření, jako screening zaměstnanců, hardening atp.

• Jak vám může pomoci compliance mapování.

• K čemu jsou GRC nástroje a jak poskytovatelům digitálních služeb mohou pomoci “Trust Portály”.

• atd.

Záznam z webináře

Video záznam z webináře GUARDIANS.cz na téma, jak dopadá NIS2 a nZKB na digitální služby (ze dne 29.5.2025)

Prezentace z webináře ke stažení

Prezentace v PDF ke stažení: https://www.guardians.cz/files/webinar-guardians-nis2-a-digitalni-sluzby.pdf

GUARDIANS.cz tým vám rád pomůže!

Nevyznáte se v tom? Nevadí! GUARDIANS.cz tým vám rád pomůže např. s/se:

• Získáním konkurenční výhody díky SMYSLUPLNĚ zvládnutým požadavkům na kybernetickou bezpečnost ze strany regulace/zákazníků.

• Compliance mapováním.

• Výběrem a nasazením GRC nástroje (DRATA, ISMS Online, ...).

• Posouzením dopadu regulace ve spolupráci s partnery (právní služby).

• Gap analýzou.

• Přípravou na ISO/IEC 27001 certifikace vč. případného rozšíření o ISO/IEC 27017 a ISO/IEC 27018.

• Přípravou pro SOC2 Type I a Type II.

• Poskytováním role Manažera kybernetické bezpečnosti.

• Zajištěním shody s nZKB / NIS2 obecně.

• Mapováním požadavků nové regulace na SOC2 a/nebo ISO/IEC 27k (značná úspora nákladů).

• Registrace do eGC ve spolupráci s partnery (kombinace právních, cyber/info sec. konzultačních služeb a pentestů)

• + více v našem portfoliu na webu https://www.guardians.cz/cs/

Minulý týden proběhl živý kulatý stůl na téma nZKB, který hostoval Gordic Cyber Security. S moderátorem Janem Dienstbierem se tentokrát potkal Martin Konečný (Guardians.cz) a Martin Švéda (NÚKIB). Mimo jiné, dva bývalí kolegové.

V rozhovoru zazněly odpovědi na otázky:

• Co konkrétně nový zákon přinese?

• Jaká rizika hrozí při podcenění příprav?

• A jak správně zareagovat, než začnou padat první sankce?

• Jaké jsou dosavadní zkušenosti ze strany regulátora a ze strany konzultantské firmy?

Zatímco probíhal kulatý stůl, došlo ke schválení návrhu nového kybernetického zákona (nZKB) v Senátu. nZKB nyní putuje k podpisu prezidenta a můžeme se těšit na jeho účinnost, která by měla být asi od 1.11.2025.

Pokud jste kulatý stůl nestihli, můžete se kouknout na záznam.

Co dělat od účinnosti nZKB (1.11.2025)?

1. Ohlášení regulované služby (“samoidentifikace”) [povinný subjekt] - nejpozději do 60 dní od data účinnosti nového kybernetického zákona. Tento krok učiníte pomocí Portálu NÚKIB.

2. Rozhodnutí o registraci [NÚKIB] - cca do 30 dní od bodu 1.

3. Hlášení kontaktních údajů [povinný subjekt] - nejpozději do 30 dní od bodu 2. Tento krok učiníte pomocí Portálu NÚKIB.

4. Povinnost hlásit bezpečnostní incidenty a mít zavedená bezpečnostní opatření [povinný subjekt] - nejpozději do 1 roku od bodu 2.

Jak s nZKB může pomoci Guardians tým?

Několik našich služeb, které vám pomohou se zajištěním shody s NIS2 a nZKB:

• Gap analýza (pro vyšší/nižší režim nebo podle EU aktu k NIS2 pro digitální služby).

• Služby manažera kybernetické bezpečnosti.

• Služby auditora kybernetické bezpečnosti.

• Konzultace v oblasti NIS2 a kybernetického zákona.

• Podpora při výběru vhodných bezpečnostních nástrojů.

• Konzultace ke compliance mapování a konsolidaci auditů a analýz (optimalizace nákladů v security compliance oblasti).

• Školení formou zážitku - TTX, virtuální realita, demonstrace útoků,….

• + další naše služby.

Můžeme vám pomoci s některou z těchto služeb? Ozvěte se nám prostřednictvím kontaktů na našem webu nebo přímo na email info@guardians.cz.

Odborníky máte “in-house”? Pak se vám pro ně může hodit nějaké z našich školení!

• Hybridní forma vzdělávání v naší nZKB akademii - pokud jste s přihláškou otáleli, nyní je ten pravý čas!

• Unikátní jednodenní workshop na míru určený pro 3-10 členné security týmy v rámci organizace, který vám dodá externí pohled k tomu, jak zefektivnit zvládání nZKB a NIS2 v organizaci.

Dovolím si malé retro před tím, než vás pozvu na nové školení. Tento týden 21.5. to totiž bylo přesně 10 let, co jsme, tenkrát ještě za NBÚ, začali s Adamem Kučínským organizovat semináře ke kybernetickému zákonu (ilustrace níže vychází z mých historických záznamů). První ročník v r. 2015 byl celkem komorní, ale i tak přišlo dost zástupců regulovaných subjektů, další 2-3 roky již akce měla podstatně větší rozměr, i díky podpoře sponzorů. Následující roky došlo ke sloučení semináře a původního CyberConu a vznikla z toho tradiční velká CyberCon konference, kterou NÚKIB organizuje každý rok v září. Velice rád na ty roky vzpomínám.

Pro mě, i Adama je to již více než 10 let, co se zabýváme kybernetickým zákonem a společně jsme si pro vás připravili online školení k brzy očekávanému novému kybernetickému zákonu.

Martin K.

Nový kybernetický zákon pod lupou (online školení)

Rádi bychom vás pozvali na jednodenní online školení "Nový kybernetický zákon pod lupou", které si pro vás pod záštitou naší CyberSecurityPlatform.cz připravili Adam Kučínský (NÚKIB) a Martin Konečný (Guardians.cz).

Školení proběhne online již 18. 6. 2025 v čase 9:00 - 16:00.

Těšit se můžete na témata jako např.:

• návaznosti nZKB na NIS2

• aktuální podoba nZKB

• aktuální podoba prováděcích právních předpisů

• způsoby identifikace regulovaných subjektů

• detailní přehledy povinností pro jednotlivé režimy regulace

• praktické rady, ukázky a zkušenosti lektorů

Se slevovým kódem “BENEFIT-25” máte školení jen za 3.000 Kč!

Toto školení je určeno primárně pro zástupce budoucích nově regulovaných společností z různých sektorů (jako například veřejný sektor, energetika, průmyslová výroba, chemický a potravinářský průmysl, doprava, digitální infrastruktura a služby, zdravotnictví).

Pokud máte na starosti kybernetickou bezpečnost těchto organizací, ať už jste na pozici vrcholového managementu, CISO, CIO, současného/budoucího manažera kybernetické bezpečnosti, auditora kybernetické bezpečnosti, compliance manažera nebo podnikového právníka, právě toto školení se vám bude rozhodně hodit.

Registrovat

Webináře

Jak NIS2 dopadá na poskytovatele digitálních služeb

Webinář na téma, jak NIS2 dopadá na poskytovatele digitálních služeb.

Datum: 29. 5. 2025 | 9:00-11:00 | Online

Webinář je určen výhradně pro zástupce poskytovatelů digitálních služeb (MSP, MSSP, poskytovatele hostingových služeb, služeb datových center, poskytovatele cloudových služeb apod.). Ti si z webináře odnesou informace jako např.:

• Jak NIS2 dopadá na poskytovatele digitálních služeb?

• Proč u digitálních služeb není třeba čekat na nový kybernetický zákon (respektive na některé jeho vyhlášky)?

• Specifické povinnosti pro poskytovatele digitálních služeb.

• Kdy se poskytovatelům digitálních služeb vyplácí využívat GRC nástroj?

• Provazba na pravidla pro zápis do eGC (e-government cloud katalogu veřejné správy)

• Jakou roli budou hrát "shared responsibility modely".

• Jaké agendy přináší nejen NIS2 skrz řízení dodavatelů?

• Odpovědi na své otázky a otázky dalších účastníků.

Webinář je pro poskytovatele digitálních služeb zdarma!

Registrujte se zde

Jak zabezpečit AI a zajistit shodu s EU AI Act pomocí AIMS

Zajímá vás, jak zavádět AI v organizaci bezpečně a odpovědně? Jaké povinnosti přináší často skloňované nařízení AI Act a jak s tím souvisí nový standard AIMS (ISO 42001)? Na praktickém webináři propojíme právní i bezpečnostní pohled na využití AI v organizacích.

Dozvíte se, jaké povinnosti a rizika z AI Actu vyplývají, jak vyhodnotit rizikovost AI systémů a co znamená být v souladu s legislativou v praxi.
Zároveň vám představíme nový mezinárodní standard AIMS (ISO 42001), který pomáhá nastavit odpovědné procesy, zvládat dokumentaci, řídit rizika a propojit AI se stávajícími bezpečnostními a GRC nástroji.

Webinářem vás provedou Mgr. Jiří Císek (Císek, advokátní kancelář s.r.o.) a Ing. Martin Konečný, MBA, CISM (Guardians).

Datum: 19. 6. 2025 | 9:00-11:00 | Online

Webinář je určen pro:

• Právníky, compliance specialisty, CTOs, product ownery, vývojáře a manažery

• Firmy implementující AI technologie do svých procesů

• Týmy odpovědné za shodu s EU AI Actem nebo zavádění AIMS

Registrace a podrobnosti

Jde o klíčovou vyhlášku pro všechny organizace s businessem v ČR. Organizace ji uplatní tehdy, pokud posuzují, zda a v jakém rozsahu se na ně vztahuje nový kybernetický zákon.

Změny ve vyhlášce o regulovaných službách

Co se změnilo od původních návrhů vyhlášky o regulovaných službách? Je to např.:

• Byly odstraněny strategicky významné služby (budou totiž upraveny nařízením vlády).

• Aktuální verze návrhu obsahuje méně detailní kritéria pro zařazení do režimů regulace oproti původnímu návrhu - např. v odvětví Elektřina, Vodní hospodářství, Letectví, Zdravotnictví byla odstraněna doplňující kritéria založená na počtu odběrných/předávacích míst pro elektřinu nebo na počtu obyvatel, kterým jsou poskytovány služby vodovodů/kanalizací nebo počtu cestujících nebo počtu lůžek. Kritéria jsou nyní založena jen na velikosti podniku. Pozor, mohou nastat situace, kdy organizace, které se připravovaly na vyšší režim (na základě původních tezí vyhlášky), nyní spadnou do nižšího režimu regulace! Přesto je ale třeba brát v úvahu ještě provazbu na směrnici CER / nový krizový zákon.

• Digitální infrastruktura a služby

  • U poskytování služby systému překladu doménových jmen (DNS) je explicitně uvedena výjimka pro službu poskytovanou jako součást regulované služby podle bodu 16.1.

  • Přibylo “Poskytování služby registrace a správy doménových jmen” (“Osoba poskytující služby registrace doménových jmen s přístupem k Centrálnímu registru doménových jmen pro více než 100 000 doménových jmen druhého řádu v doméně .cz, je poskytovatelem regulované služby v režimu nižších povinností.”).

  • Přibyla “Správa a provoz domény gov.cz“ (“Osoba spravující a provozující doménu gov.cz je poskytovatelem regulované služby v režimu vyšších povinností.“)

  • MSP a MSSP - nově upřesněno a omezeno jen na B2B!

• Vodní doprava upravena na námořní vodní dopravu.

• Poštovní a kurýrní služby jsou rozděleny do dvou samostatných kategorií, na poštovní služby a kurýrní služby.

Organizacím, které se již na nový kybernetický zákon zodpovědně připravují, a pro které by navrhované změny měly přestavovat přeřazení z nižšího do vyššího režimu, oproti prvotním posouzením dopadu regulace provedeným na základě tezí, doporučujeme vyčkat na finální verzi této vyhlášky.

Zdroj:

• https://www.odok.cz/portal/veklep/material/KORNDGQGJKME

Vyhláška o Portálu Úřadu a požadavcích na vybrané úkony

Návrh vyhlášky o Portálu Úřadu a požadavcích na vybrané úkony upravuje např. způsoby práce s Portálem NÚKIB, náležitosti formulářů a informací, které musí být regulátorovi sděleny v rámci registrace regulované služby, hlášení kontaktů, incidentů atp.

Tuto vyhlášku využijí organizace tehdy, jakmile si provedou “samoidentifikaci”, kdy zjistí, že na základě kritérií uvedených ve vyhlášce o regulovaných službách spadají pod nový kybernetický zákon. Vyhláška jim totiž napoví, jak komunikovat s regulátorem a jaké informace v jakých situacích sdělovat.

Změny vyhlášky o portálu

Jak se změnila vyhláška o Portálu Úřadu a požadavcích na vybrané úkony oproti původním tezím?

Vybrané změny jsou např.:

• Došlo ke změně struktury vyhlášky a mírně se změnila terminologie.

• Došlo k úpravám požadovaných informací v rámci hlášení údajů - např. již se nevyžaduje ASN, informace o vlastnické struktuře, ale vyžaduje se informace o tom, zda je organizace součástí koncernu.

• Došlo ke zpřesnění na základě kterého je patrné, že se přes portál budou hlásit reakce na reaktivní protiopatření, nikoliv na opatření, jak tomu bylo v původních tezích.

• Formulář hlášení informací o dodavatelích je detailnější.

• Ustanovení o hlášení nápravných opatření již v aktuální verzi návrhu této vyhlášky není.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQCSH7Q

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností obsahuje přehled požadavků na bezpečnostní opatření.

Tuto vyhlášku musí plnit organizace, které na základě vyhlášky o regulovaných službách spadnou do nižšího (méně přísného) režimu regulace.

Změny v bezpečnostních požadavcích pro nižší režim

Jak se změnily požadavky na bezpečnostní opatření pro nižší režim od původních návrhů vyhlášky?

Nejedná se o žádné zcela zásadní změny, spíše o pozitivní změny vedoucí k upřesnění některých opatření.

Přehled změn pro nižší režim najdete v tomto PDF dokumentu, který jsme pro vás vytvořili.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQCWPDA

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností obsahuje přehled požadavků na bezpečnostní opatření.

Tuto vyhlášku musí plnit organizace, které na základě vyhlášky o regulovaných službách spadnou do vyššího (přísnějšího) režimu regulace.

Změny v bezpečnostních požadavcích pro vyšší režim

Jak se změnily požadavky na bezpečnostní opatření pro vyšší režim od původních návrhů vyhlášky?

Nejedná se o žádné zcela zásadní změny, spíše o pozitivní změny vedoucí k upřesnění některých opatření.

Přehled změn pro vyšší režim najdete v tomto PDF dokumentu, který jsme pro vás vytvořili.

Zdroj:

• https://www.odok.cz/portal/veklep/material/ALBSDGQC3VXQ

Vyhláška o bezpečnostních úrovních informačních systémů veřejné správy a vyhláška o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu

Jedná se o úpravu současné vyhlášky č. 315/2021 Sb. a vyhlášky č. 190/2023 Sb., kde dochází k úpravám terminologie vůči nové regulaci kybernetické bezpečnosti.

Tyto vyhlášky jsou relevantní pro veřejnou správu a poskytovatele cloudových služeb, kteří poskytují nebo chtějí poskytovat své služby veřejné správě, tedy musí mít služby zapsané v katalogu eGovernment cloudu.

Podle informací, které zveřejnil na svém LinkedIn kolega Adam Kučínský z NÚKIB, můžeme brzy v mezirezortním připomínkovém řízení očekávat ještě upravenou vyhlášku č. 316/2021 Sb. (o vstupních kritériích do katalogu cloud computingu).

Zdroj:

• úprava vyhlášky č. 315/2021 Sb. - https://www.odok.cz/portal/veklep/material/KORNDGQBWYX8

• úprava vyhlášky č. 190/2023 Sb. https://www.odok.cz/portal/veklep/material/KORNDGQEVKNP

Související vládní předpisy

Na základě posledních změn návrhu nového kybernetického zákona, by měly být vydány ještě další dva prováděcí předpisy související s mechanismem prověřování bezpečnosti dodavatelského řetězce:

• Nařízení vlády o nepominutelných funkcích.

• Nařízení vlády o strategicky významných službách.

Návrhy pro tyto předpisy pravděpodobně můžeme očekávat později.

Časová osa pohledem organizací, na které nový kybernetický zákon dopadne

Jedna z nejčastějších otázek organizací, které pod nový kybernetický zákon spadnou je, kolik na jeho splnění budou mít času. Vše se odvíjí od data účinnosti samotného zákona, což nyní (18.5.2025) zatím nevíme. Nicméně zde přehledně posloupnost povinností v čase i s termíny:

1. účinnost nového zákona o kybernetické bezpečnosti [ČR] - sledujte oficiální zdroje, např. https://portal.nukib.gov.cz/.

2. ohlášení regulované služby (“samoidentifikace”) [povinný subjekt] - nejpozději do 60 dní od bodu 1.

3. rozhodnutí o registraci [NÚKIB] - cca do 30 dní od bodu 2.

4. hlášení kontaktních údajů [povinný subjekt] - nejpozději do 30 dní od bodu 3.

5. povinnost hlásit bezpečnostní incidenty a mít zavedená bezpečnostní opatření [povinný subjekt] - nejpozději do 1 roku od bodu 3.

Mohlo by vás zajímat

Z našich dřívějších článků by vás mohly zajímat například:

• O čem je výkon role manažera kybernetické bezpečnosti a jak na jeho outsourcing?

• Jak NIS2 dopadá na poskytovatele digitálních služeb (cloudy, MSP, MSSP)?

• Whitepaper o gap analýzách ke stažení z našeho webu.

• Webináře Guardians - webinář o tom, jak dopadá NIS2 na poskytovatele digitálních služeb a webinář o AI managementu pomocí ISO 42001.

Vzdělávání k novému kybernetickému zákonu

Již rok pro zájemce provozujeme naši unikátní vzdělávací akademii - nZKB akademii - komplexní vzdělávání, díky kterému NIS2/nZKB opravdu pochopíte.

Proč je nZKB akademie 2025 unikátní?

• Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.

• Akademie se skládá z výukové, tréninkové a komunitní fáze.

• V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.

• Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.

• A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!

V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!

Feedback

Podělte se s námi o svůj feedback k newsletteru a pomozte nám zlepšit jeho kvalitu! ⬇️

Do tvorby newsletteru investujeme poměrně velké úsilí, a proto nás zajímá, co se vám líbí a co bychom mohli ještě vylepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Jako poděkování za vyplnění celého dotazníku vám rádi zašleme slevový kód do nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru – výběr je na vás.

Návrh nového zákona o kybernetické bezpečnosti (nZKB) konečně prošel další fází schvalování. Dlouho trvající třetí čtení v poslanecké sněmovně je od 25.4.2025 konečně za námi.

1. Co to znamená?

Schválení nZKB sněmovnou znamená, že by již brzy mohla být známa platnost zákona a zároveň jeho účinnost (tedy doba, do kdy jej budou muset dotčené organizace plnit).

Podle oficiální zprávy NÚKIB, má nZKB za sebou:

• Veřejné konzultace.

• Meziresortní připomínkové řízení, které je povinnou částí legislativního procesu.

• Doporučující stanovisko předsedy Legislativní rady vlády (LRV) k projednání návrhu zákona vládou.

• Schválení vládou.

• Schválení Poslaneckou sněmovnou Parlamentu České republiky ve znění přijatých pozměňovacích návrhů.

K zákonu bylo podáno několik pozměňovacích návrhů. Ty, které byly schváleny jsou např.:

• Přechod některých pravomocí ve vztahu k mechanismu prověřování bezpečnosti dodavatelského řetězce z NÚKIB směrem na vládu a rovněž užší vymezení okruhu aktiv strategicky významných služeb, na které se bude zmíněný mechanismus vztahovat.

• Schválení nové podoby ustanovení o účinnosti zákona. Ta je nyní nastavena tak, že zákon bude účinný první den třetího kalendářního měsíce následujícího po datu jeho platnosti (nZKB tedy bude 2 měs. platný, ale nebude účinný. Tzn., že povinným subjektům neběží lhůty pro plnění povinností).

2. Co následuje nyní?

Podle oficiální zprávy NÚKIB, má nZKB před sebou:

• Schválení Senátem.

• Podpis prezidentem.

• Uvedení ve sbírce zákonů (termín platnosti).

• Lhůtu pro nabytí účinnosti (po nabytí účinnosti se musí zákonem řídit povinné subjekty).

Brzy bude spuštěn legislativní proces prováděcích právních předpisů (tedy prováděcích vyhlášek). Bude se jednat např. o:

• Vyhlášku o regulovaných službách.

• Vyhlášku s bezpečnostními opatřeními pro tzv. režim nižších povinností.

• Vyhlášku s bezpečnostními opatřeními pro tzv. režim vyšších povinností.

• Úpravy cloudových vyhlášek (formální úprava terminologie).

• atd.

Z časového hlediska je vhodné, aby se vše stihlo před blížícími se volbami. V opačném případě by se vydání nZKB mohlo podstatně prodloužit.

NÚKIB očekává, že nZKB bude účinný v druhé polovině roku 2025.

3. Kdy mohu čekat kontrolu z NÚKIB?

Na otázku “Kdy mohu čekat kontrolu z NÚKIB?” je potřeba zareagovat tak, že to není zcela vhodně položená otázka. Zástupce firem by nemělo trápit, kdy se k nim podívá NÚKIB, ale kdy se k nim “podívá” hacker / útočník. Aby to ale nebylo vnímáno jako strašení, pojďme se podívat na to, před čím nás varují experti - Zástupci organizace SANS Institutu ve svém keynote vystoupení na RSA konferenci (která proběhla na přelomu dubna/května 25) upozornili na těchto 5 aktuálních kyber hrozeb:

1. Rozptýlená autorizace (Cloud-SaaS-hybridní prostředí) – Situace, kdy uživatelé mají nadbytečná nebo často privilegovaná oprávnění napříč cloudem, SaaS a hybridními prostředími. Tato situace pak vytváří skryté “cestičky”, které mohou útočníci snadno zneužít.

2. Ransomware v ICS / OT - Útočníci využívající ransomware se stále častěji zaměřují na kritickou infrastrukturu využívající průmyslové řídící systémy a provozní technologie (ICS / OT).

3. Destruktivní útoky na ICS / OT - Nárůst útoků zaměřujících se na ICS / OT systémy s úmyslem způsobit destrukci s reálnými dopady.

4. Smazané forenzní důkazy - Pokročilí útočníci záměrně mažou nebo se vyhýbají vytváření digitálních forenzních důkazů, což výrazně ztěžuje nejen detekci jejich aktivit, ale i analýzu po incidentu. Bez forenzních dat je např. obtížné pochopit, jak došlo k útoku, jaký je přesný rozsah apod.

5. Regulace AI jako překážka pro security týmy - Security týmy používají AI k rychlejší a efektivnější detekci hrozeb. Oproti tomu navrhované zákony o ochraně osobních údajů související s AI mohou neúmyslně omezovat jejich schopnosti tím, že některé AI procesy a postupy označí za neoprávněné nebo vysoce rizikové zpracování dat. Security týmy pak mohou čelit zbytečné regulatorní překážce, zatímco útočník se ničím takovým netrápí.

CrowdStrike Global Threat Report 2025 uvádí, že:

1. Nejkratší naměřený čas, za který se útočníkům podařilo způsobit škodu poté, co se dostali do systému bylo 51 vteřin. Průměrný čas je 48 minut. (BTW: Je vaše organizace schopna v průměrném čase reagovat na detekované anomálie?)

2. O 50% vzrostl počet útoků založených na ukradených přihlašovacích údajích.

3. O 442% vzrostl počet vishingových útoků.

4. …

5. Proaktivní přístup k zajišťování kybernetické bezpečnosti je naprostý základ.

Zástupci firem by si tedy měli odpovědět spíše otázkou, zda a jak je jejich firma odolná vůči eCrime, do jaké míry je firma závislá na ICT/ICS/OT, jak moc plnou má firma “kasičku na prů*ery” pro případy, kdy ke kybernetické bezpečnosti nebude přistupovat proaktivně.

3. Co nového přináší nZKB firmám, které jej dosud řešit nemusely?

Konkrétní typy povinností se mohou pro jednotlivé firmy, na které se bude vztahovat nZKB, lišit. Je to s ohledem na režim regulace, do jakého spadnou. Nejkritičtější typy subjektů budou muset zajišťovat bezpečnostní opatření podle vyhlášky pro režim vyšších povinností. Méně kritické pak podle vyhlášky pro režim nižších povinností a specifické opatření podle prováděcího aktu EU k NIS2 pak musí plnit někteří poskytovatelé digitálních služeb (cloudy, MSP, MSSP, datová centra apod.).

Základní přehled povinností:

Níže uvedený přehled nerozlišuje mezi režimy povinností, uvádí úplný výčet:

Organizační opatření

• Zavedení systému řízení bezpečnosti informací

• Plnění povinností top managementu, zajištění bezpečnostních rolí

• Řízení bezpečnostní politiky a dokumentace

• Řízení aktiv a rizik

• Řízení dodavatelů

• Zajišťování bezpečnosti lidských zdrojů, vč. screeningu zaměstnanců (u digitálních služeb)

• Řízení změn

• Zajišťování bezpečnosti procesů akvizice, vývoj a údržba

• Řízení přístupu

• Zvládání kybernetických bezpečnostních událostí a incidentů, vč. hlášení na příslušný CERT tým.

• Řízení kontinuity činností

• Provádění auditu kybernetické bezpečnosti

Technická opatření

• Zajišťování fyzické bezpečnosti

• Zajišťování hardeningu infrastruktury (u digitálních služeb)

• Implementace odolných kryptografických prostředků

• Zajišťování bezpečnosti komunikačních sítí

• Zajišťování aplikační bezpečnosti

• Řízení přístupových oprávnění

• Správa a ověřování identit

• Detekce kybernetických bezpečnostních událostí

• Zaznamenávání bezpečnostních a relevantních provozních událostí

• Vyhodnocování kybernetických bezpečnostních událostí

• Zajišťování dostupnosti regulované služby

• Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv

Pro větší přehled se můžete kouknout na naše starší články, případně na tento příspěvek, kde se základní info dozvíte v 25 minutách z videozáznamu:

4. Co přináší nZKB z pohledu kyberbezpečnostních expertů?

Zeptáte li se bezpečnostního experta, co přináší nZKB nebo NIS2 nového, odpoví vám, že se v zásadě jedná o předepsání minimálního bezpečnostního rámce složeného ze základních požadavků na bezpečnostní opatření (dokumentace, procesy, technické nástroje).

Je potřeba si uvědomit, že legislativa je vždy pozadu ve srovnání s technologickým vývojem a tak opravdu v bezpečnostních opatřeních nenajdeme nic “převratného”. Naopak, stále budeme muset skrz tzv. “risk-based approach” sledovat aktuální hrozby související s obchodní činností dané firmy, s využívanými partnery, technologiemi atp.

5. Jaké jsou odpovědnosti vedení?

Podle nového kybernetického zákona vrcholné vedení firem musí:

• Absolvovat školení.

• Stanovit bezpečnostní politiky a cíle ISMS, slučitelné se strategickým směřováním firmy.

• Zajistit integraci ISMS do procesů firmy a podporu k dosažení cílů ISMS vést zaměstnance k rozvíjení efektivity.

• Podílet se na vypracování analýzy dopadů a na testování reakcí na incidenty, testování plánu kontinuity činností a havarijních plánů.

• Podporovat osoby zastávající bezpečnostní role, zajistit jim pravomoci potřebné pro naplňování jejich rolí a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.

• Zajistit dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti.

• Zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role (vyšší režim).

• Prokazatelně se seznamovat se stavem KB organizace.

• Zajistit zastupitelnost bezpečnostních rolí.

Protože zvládání hrozeb budoucnosti vyžaduje strategii, pojďme se podívat na to, co by strategie kybernetické bezpečnosti měla obsahovat:

• Návaznost aktivit v oblasti kybernetické bezpečnosti na celkovou vizi, misi a cíle organizace.

• Roadmapu jednotlivých kyberbezpečnostních aktivit/projektů.

• Zajištění bezpečnostních rolí, odpovědností a komunikačních matic.

• SMART cíle a prioritizace (+ definice metrik).

• Cyber Threat profil organizace a risk profil organizace.

• Kritéria pro akceptaci rizik.

• Budget.

• Strategii k dosažení maximální integrace kybernetické bezpečnosti do procesů organizace.

• Způsoby reportingu, vyhodnocování relevantních metrik a návaznost na aktivity výboru pro řízení kybernetické bezpečnosti.

• ...

6. Pozor na NIS2 fantomy

Označení NIS2 fantom jsme použili historicky v jednom z našich článků jako označení pro firmu, která až tak nerozumí oboru a nabízí příliš levné a nekvalitní služby. NIS2 fantom se veze na vlně budoucí poptávky v souvislosti s přicházejícím novým kybernetickým zákonem a směrnicí NIS2 a často i klame odběratele nesmyslnými sliby a zárukami. Jaké to jsou? Když vám dodavatelé produktů a služeb tvrdí, že vám pomohou splnit nZKB a NIS2, zaměřte se například na:

• Informace o tom, jaké požadavky zákona/vyhlášek vám jejich řešení / služba pomůže zajistit. Jak (jak toho dané řešení/služba dosáhne) a do jaké míry (zda na vše stačí daný produkt/služba, nebo zda jde např. o kombinaci produktu, implementace a nastavení souvisejícího procesu, který bude ve vaší odpovědnosti).

• Znalost běžných cen produktu / služby a v případě, že cena, která vám je nabízena je až příliš nízká, ptejte se proč (může za tím samozřejmě i inovativnost nabízeného řešení, ale také rozsah služby).

7. “nZKB neřeším, já se pojistím”

Pakliže zvažujete, že se před kyber-bezpečnostními riziky pojistíte, určitě to nemusí být špatný krok. Je k tomu ale vhodné doplnit, že pojišťovna po vás bude vyžadovat plnění základních bezpečnostních opatření a zajištění souladu s relevantními zákony. Dle typu pojistky a konkrétních podmínek si u vás pravděpodobně udělá i Due Diligence a nebo bezpečnostní audit třetí stranou. Úvahy typu “pojistit se a strčit hlavu do písku a tvářit se, že kyberbezpečnost firmu netrápí jsou zcela mimo”.

8. Jak zjistit skutečná kyber-bezpečnostní rizika?

Způsobů, jak zjistit skutečná kyberbezpečnostní rizika firmy je několik, můžeme mezi ně zařadit např.:

• Vytvoření Cyber Threat profilu organizace - zjistíte, jaké skupiny útočníků a hrozeb jsou pro Vaši organizaci relevantní.

• Vytvoření risk profilu organizace - cílem je zjistit reálná rizika organizace, porovnat vaše prostředí s Cyber Threat profilem a mít tak vhodnou podporu pro rozhodování.

• Provedení komplexního auditu kybernetické bezpečnosti.

• Provedení penetračních testů případně red-teamingu.

• Provedení simulací / cvičení (např. testování úrovně bezpečnostního povědomí skrz simulace vishingu, phishingu a jiných forem sociálního inženýrství, provedení různých forem cvičení s cílem procvičit krizové situace apod.).

• apod.

9. Buďte součástí Executive Firewallu!

Executive Firewall je exkluzivní komunita lídrů (zástupců vrcholného vedení firem), kteří berou kybernetickou odpovědnost vážně.

Vstupte do uzavřené skupiny vybraných founderů, jednatelů a členů vrcholového vedení, kteří si uvědomují, že kybernetická bezpečnost není jen ICT problém – je to strategická priorita. Ve světě narůstajících hrozeb a nových legislativních povinností (např. kybernetický zákon, NIS2) pomáhá Executive Firewall s orientací, sdílením know-how a přípravou na výzvy, za které nese odpovědnost vedení firmy.

Více info o Executive Firewall

Svěřte soulad s NIS2 / nZKB do rukou Guardians.cz!

Pokud jste pravidelným čtenářem našich newsletterů, jistě víte, že poskytujeme služby v oblasti NIS2 / nZKB, ale i v oblastech ISMS, bezpečnosti využívání AI a LCNC apod. Přesto zde vypíchneme několik našich služeb, které vám pomohou se zajištěním shody s NIS2 a nZKB:

• Gap analýza (pro vyšší/nižší režim nebo podle EU aktu k NIS2 pro digitální služby).

• Služby manažera kybernetické bezpečnosti.

• Služby auditora kybernetické bezpečnosti.

• Konzultace v oblasti NIS2 a kybernetického zákona.

• Podpora při výběru vhodných bezpečnostních nástrojů.

• Konzultace ke compliance mapování a konsolidaci auditů a analýz (optimalizace nákladů v security compliance oblasti).

• Školení formou zážitku - TTX, virtuální realita, demonstrace útoků,….

• + další naše služby.

Můžeme vám pomoci s některou z těchto služeb? Ozvěte se nám prostřednictvím kontaktů na našem webu nebo přímo na email info@guardians.cz.

Mohlo by vás zajímat

Z našich dřívějších článků by vás mohly zajímat například:

• O čem je výkon role manažera kybernetické bezpečnosti a jak na jeho outsourcing?

• Jak NIS2 dopadá na poskytovatele digitálních služeb (cloudy, MSP, MSSP)?

• Jak ušetřit nemalé peníze díky compliance mapování a konsolidaci auditů a analýz.

• Jak útočníci využívají low-code / no-code a AI k phishingu (automatizace phishingu a vishingu).

Webinář: Jak NIS2 dopadá na poskytovatele digitálních služeb

Další ze série webinářů Guardians.cz, tentokrát na téma, jak NIS2 dopadá na poskytovatele digitálních služeb.

Datum: 29. 5. 2025 | 9:00-11:00 | Online

Webinář je určen výhradně pro zástupce poskytovatelů digitálních služeb (MSP, MSSP, poskytovatele hostingových služeb, služeb datových center, poskytovatele cloudových služeb apod.). Ti si z webináře odnesou informace jako např.:

• Jak NIS2 dopadá na poskytovatele digitálních služeb?

• Proč u digitálních služeb není třeba čekat na nový kybernetický zákon (respektive na některé jeho vyhlášky)?

• Specifické povinnosti pro poskytovatele digitálních služeb.

• Kdy se poskytovatelům digitálních služeb vyplácí využívat GRC nástroj?

• Provazba na pravidla pro zápis do eGC (e-government cloud katalogu veřejné správy)

• Jakou roli budou hrát "shared responsibility modely".

• Jaké agendy přináší nejen NIS2 skrz řízení dodavatelů?

• Odpovědi na své otázky a otázky dalších účastníků.

Webinář je pro poskytovatele digitálních služeb zdarma!

Registrujte se zde

Vzdělávání k novému kybernetickému zákonu

Již rok pro zájemce provozujeme naši unikátní vzdělávací akademii - nZKB akademii - komplexní vzdělávání, díky kterému NIS2/nZKB opravdu pochopíte.

Proč je nZKB akademie 2025 unikátní?

• Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.

• Akademie se skládá z výukové, tréninkové a komunitní fáze.

• V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.

• Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.

• A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!

V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!

BTW víte, že za paywallem najdete…

• Případovky nebo podrobnější články.

• Relevantní články i v angličtině.

• Možnost diskutovat s námi přímo pod jednotlivými články.

Feedback

Podělte se s námi o svůj feedback k newsletteru a pomozte nám zlepšit jeho kvalitu! ⬇️

Do tvorby newsletteru investujeme poměrně velké úsilí, a proto nás zajímá, co se vám líbí a co bychom mohli ještě vylepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Jako poděkování za vyplnění celého dotazníku vám rádi zašleme slevový kód do nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru – výběr je na vás.

Používání AI technologií se stalo nedílnou součástí našich životů, možnosti využití jsou nekonečné a všichni se předhání v nápadech, jak a kde je využít. Ať už vám AI asistuje jakkoliv, jedno máme všichni společné - tyto nástroje nám šetří čas.

Ačkoli vnímáme AI jako užitečnou pomůcku, je nutné si uvědomit, že může být zároveň aktivně zneužívána proti nám. Pomineme li deepfakes, o kterých tento díl nebude, tak např. k automatizaci vishingu a phishingu.

Phishing

To, že phishing je dnes už naprosto běžná technika sociálního inženýrství zaměřená na uživatele s cílem přimět je k nějaké akci, díky které se útočníkovi podaří získat údaje potřebné k dalšímu “útoku” na základě jeho cíle, pro vás jistě není nic nového. Proto naším cílem není popisovat, jak funguje phishing. Rádi bychom se zabývali tím, jak mohou útočníci zvýšit pravděpodobnost phishingu díky tomu, že jej doprovodí o automatizovaný vishing.

Pozn.: Můžeme si představit i technicky jednodušší variantu, než uvádíme níže ve video ukázce – prostý podvodný email, nebo BEC (např. kompromitovaný email obchodního partnera) navádějící k provedení platby doprovázený vishingem díky automatizaci.

AI vishing

S vishingem nám pomohla platforma vapi.ai, kde jsme vytvořili svého asistenta a následně mu zadali prompt. V promptu definujeme jasné instrukce včetně vlastností: jak se má chovat, co je jeho úkolem, jak zvládat námitky, atd. Zjednodušeně, prompt je prostor, kam by útočník vložil svůj pretext/scénář pro svou kampaň.

Parametrizace hlasového asistenta

Možnosti parametrizace asistenta jsou bohaté a zahrnují například:

• volbu hlasu (možná integrace s ElevenLabs API - vlastní naklonovaný hlas),

• výběr z řady modelů (ovlivňující prodlevu při hovoru a výslovnost asistenta),

• detekci emocí (reaguje na emoce druhé osoby, přizpůsobuje tón a intonaci),

• řízení náhodnosti výstupu (do jaké míry se má asistent řídit zadáním z promptu),

• prodleva při přerušení (doba, po kterou je asistent ticho, aplikuje se např. při přerušení asistenta během jeho výkladu),

Telefonní seznam (zdroj kontaktů)

Jelikož se snažíme demonstrovat masivní zneužití z pohledu útočníka, potřebujeme nějaký zdroj kontaktů, ze kterého bude asistent čerpat. Můžeme si pod tím představit například uniklou databázi kontaktů z nějakého webu, z aplikace pro e-mailing atp. V našem případě uměle vytvořený kontaktní seznam obětí v Google Sheets, obsahující telefonní číslo, jméno, e-mail, status (called/not-called) -> Status se dynamicky mění v momentě, kdy hovor proběhne.

Automatizace volání

Celý scénář je realizován skrze no-code platformu make.com. Pokud bychom to měli shrnout, linka automatizace zajišťuje napojení na zdroj dat v Google Sheets, důležité záznamy poté uloží do proměnných a následně je posílá skrze API hlasovému asistentovi na vapi.ai. Pomocí dynamické proměnné jsme schopni zajistit, že asistent osloví dotyčnou oběť relevantním jménem přiřazeným k odpovídajícímu telefonnímu číslu. Po ukončeném hovoru se změní status v Google Sheets z "not-called" na "called", čímž je ošetřen opakovaný hovor. Veškerá komunikace z hovoru je přepsána do jiného sešitu v Google Sheets, kde může útočník v případě potřeby kontrolovat sdělené informace ze strany oběti.

Video ukázka

Před samotnou demonstrací bychom rádi zrekapitulovali sled událostí, které uvidíte.

Link na video najdete také zde.

Jak se tomu bránit?

Příklady opatření, které by vám měly pomoci s ochranou před tím, co jste mohli vidět v ukázce:

• Snaha o minimalizaci zveřejňovaných osobních údajů (např. na sociálních sítích, webech).

• Zajištění bezpečnosti emailové komunikace (vyjít můžete např. z této metodiky od NÚKIB).

• Školení zaměstnanců o technikách phishingu, vishingu a o sociálním inženýrství obecně, vč. trénování, jak tyto metody rozpoznat.

• Školení zaměstnanců ohledně deepfakes, vč. tréninku rozpoznání obrazových a hlasových deepfakes.

• Procesní zabezpečení operací s penězy (platby faktur, bankovní převody, online platby atp.).

• MFA za využití hardwarových klíčů (protokol FIDO2) nebo password less autentizace.

• Geo-based nebo IP restrikce (pouze důvěryhodné lokality).

• Správné řízení oprávnění.

• Session management.

• Šifrování mobilních zařízení (mobily, tablety, notebooky), na kterých mohou být osobní data vašich zákazníků / zaměstnanců apod. za účelem předcházení zneužití těchto dat při ztrátě nebo odcizení zařízení.

• atd.

Jak vám můžeme pomoci my?

• Ukázky hackingu na míru pro vaši firmu.

• Školení bezpečnostního povědomí.

• Zabezpečení AI a LCNC technologií.

• Zavedení požadavků normy ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system

Neváhejte a kontaktujte autory tohoto newsletteru - Jakuba Lehečku a Martina Konečného.

Bezpečnost AI a LCNC

Téma bezpečnosti AI a LCNC jsme otevřeli už pár newsletterů zpětně, kdy jsme představili whitepaper, který tvořil společně s kolegou Nikolasem Strakou, expertem na LCNC. Protože je to téma více než aktuální, dovolíme si tom sem znovu vytáhnout a vyzvat vás, abyste si whitepaper stáhli přímo z našeho webu: https://www.guardians.cz/#whitepapery

🔍 Co najdete uvnitř?

• Jak správně vybírat a využívat online AI/LCNC nástroje pro malé a střední podniky.

• Tipy na automatizaci firemních procesů a na integraci firemních aplikací.

• Praktická bezpečnostní doporučení pro práci s LCNC a AI nástroji.

📚 Proč si přečíst tento whitepaper?

• Získáte cenné rady a návody, jak efektivně využívat moderní technologie.

• Naučíte se, jak zůstat moderní a zároveň při tom chránit své podnikání před kybernetickými hrozbami spojenými s využíváním moderních technologií.

Organizace regulované podle současného zákona o kybernetické bezpečnosti (ZKB) se, v souvislosti se směrnicí NIS2, musí připravit na související změny národní legislativy. Tyto změny se promítají do nového kybernetického zákona (nZKB) a jeho prováděcích právních předpisů. A to nejen do typů povinných osob, ale přinášejí i řadu nových povinností, na které se musí povinné subjekty v předstihu připravit. Organizacím, které již pod kybernetický zákon spadají, nZKB nejčastěji rozšiřuje rozsah regulace. To proto, že definuje nové typy regulovaných služeb. Nový kybernetický zákon ale nedopadá jen na organizace, které jím již byly dříve regulovány, ale i na tisíce organizací v ČR, které se dosud souladem s tímto zákonem zabývat nemusely.

Gap analýza podle NIS2 / nZKB je analytický nástroj, který má pomoci organizacím zmapovat dopad nové regulace v oblasti kybernetické bezpečnosti a současný stav plnění bezpečnostních opatření s cílem identifikovat nedostatky a doporučit vhodný postup k zajištění shody s novou regulací.

Gap analýza je užitečná zejm. pro organizace, které poskytují služby v následujících odvětvích:

• Veřejná správa

• Energetika – Elektřina, ropa a ropné produkty, plynárenství, teplárenství a vodík

• Výrobní průmysl

• Potravinářský průmysl

• Chemický průmysl

• Vodní hospodářství

• Odpadové hospodářství

• Doprava - Letecká, drážní, vodní a silniční doprava

• Digitální infrastruktura a služby

• Finanční trh

• Zdravotnictví

• Věda, výzkum a vzdělávání

• Poštovní a kurýrní služby

• Vojenský průmysl

• Vesmírný průmysl
  

V tomto materiálu vám popíšeme, jak v GUARDIANS.cz postupujeme při provádění gap analýz, abyste měli představu, v čem taková analýza spočívá, jak dlouho trvá, kolik stojí a co by mělo být jejím výstupem.

Cíle gap analýzy

Hlavním cílem gap analýzy podle NIS2 / nZKB je vytvoření kvalifikované analýzy dopadu připravované regulace na organizaci a provedení komplexní analýzy současného stavu aktuálních bezpečnostních opatření (směrnice, procesy a postupy, bezpečnostní nástroje) v kontextu příslušného režimu regulace. Zároveň je klíčové definovat nezbytné kroky vedoucí k zajištění souladu s novou regulací tak, aby výstupy z gap analýzy poskytly organizaci podporu pro rozhodování o dalších činnostech v oblasti kybernetické bezpečnosti.

Otázky, na které gap analýza odpovídá

Gap analýza by vám měla odpovědět na následující otázky:

• Jak na vaši organizaci dopadá NIS2 nebo nový kybernetický zákon?

• Jaké jsou přesné požadavky, které musí právě vaše organizace plnit?

• Jaký je současný stav kybernetické bezpečnosti vaší organizace ve vztahu k požadavkům nové regulace?

• Jaká jsou vaše současná kyber-bezpečnostní a obchodní rizika?

• Co musíte udělat pro zajištění shody s NIS2 / nZKB?

• Kolik vás to přibližně bude stát?

• Jaké příležitosti vám NIS2 / nZKB přináší?

Pozn.: Nejste předplatiteli našeho newsletteru? Pak si whitepaper k našim gap analýzám můžete stáhnout u nás na webu.

Read more

V rámci konference jsme veřejnosti také představili kyber-bezpečnostní alianci GoodAccess, ProID a LogManager.

Základní otázky k plnění NIS2 / nZKB

Jste zástupce firmy, na kterou dopadne nový kybernetický zákon? Pak byste si měli být schopni průběžně odpovědět na základní otázky:

• Kdo jsem? (Určení typu regulované služby)

• Co musím plnit? (Seznam konkrétních požadavků dle typu regulované služby)

• V jakém rozsahu? (Stanovení aktiv, která je nutné chránit)

• Jaký je můj současný stav řízení kybernetické bezpečnosti? (Gap analýza, compliance mapování)

• Co mi zbývá „dodělat”? (K zajištění shody s nZKB)

• Kdo to bude dělat? (Určení odpovědných bezpečnostních rolí)

• Jaké procesy a technologie implementovat? (Výběr vhodných řešení, např. RfP, PoC, ...)

• Jak to vyhodnocovat? (Stanovení metrik, testování, audity, cvičení, ...)

S první otázkou by vám v ideálním případě měl pomoci právní tým, ostatní body pak jsou primárně prací manažera kybernetické bezpečnosti a dalších bezpečnostních rolí, samozřejmě ve spolupráci s vrcholným vedením a s garanty aktiv.

Videozáznam s přednáškou

Celý videozáznam z virtuální konference s úvodní Guardians.cz přednáškou (Nový kyberzákon ve 25 minutách) si můžete shlédnout zde:

Naše přednáška ke stažení v PDF.

Nechte NIS2 / nZKB na nás!

Pokud jste pravidelným čtenářem našich newsletterů, jistě víte, že poskytujeme služby v oblasti NIS2 / nZKB, ale i v oblastech ISMS, bezpečnosti využívání AI a LCNC apod. Přesto zde vypíchneme několik našich služeb, které vám pomohou se zajištěním shody:

• Gap analýza (pro vyšší/nižší režim nebo podle aktu pro digitály)

• Služby manažera kybernetické bezpečnosti

• Služby auditora kybernetické bezpečnosti

• Konzultace v oblasti NIS2 a kybernetického zákona

• Podpora při výběru vhodných bezpečnostních nástrojů

• Pro velké korporace konzultace ke compliance mapování a konsolidaci auditů a analýz (optimalizace nákladů v security compliance oblasti)

• Školení formou zážitku - TTX, virtuální realita, demonstrace útoků,…

• + další naše služby

Můžeme vám pomoci s některou z těchto služeb? Ozvěte se nám prostřednictvím kontaktů na našem webu nebo přímo na email info@guardians.cz.

Mohlo by vás zajímat

• O čem je výkon role manažera kybernetické bezpečnosti a jak na jeho outsourcing?

• Jak NIS2 dopadá na poskytovatele digitálních služeb (cloudy, MSP, MSSP)?

• Jak ušetřit nemalé peníze díky compliance mapování a konsolidaci auditů a analýz.

• Jak útočníci využívají low-code / no-code a AI k phishingu (automatizace phishingu a vishingu).

• nZKB akademie - komplexní vzdělávání, díky kterému NIS2/nZKB opravdu pochopíte.

BTW víte, že za paywallem najdete…

• Případovky nebo podrobnější články.

• Relevantní články i v angličtině.

• Možnost diskutovat s námi přímo pod jednotlivými články.

Subscribe now

Feedback

Podělte se s námi o svůj feedback k našemu newsletteru a pomozte nám zlepšit jeho kvalitu! ⬇️

Do tvorby newsletteru investujeme poměrně velké úsilí, a proto nás zajímá, co se vám líbí a co bychom mohli ještě vylepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Jako poděkování za vyplnění celého dotazníku vám rádi zašleme slevový kód do nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru – výběr je na vás.

Úkoly manažera kybernetické bezpečnosti

Nejprve se pojďme zaměřit na vybrané úkoly manažera kybernetické bezpečnosti obecně. Jsou jimi např.:

• Porozumění kontextu organizace a jejím strategickým a obchodním cílům.

• Podpora při stanovení rozsahu, hodnocení aktiv a jejich vazeb na ostatní aktiva a tím i na poskytování regulovaných služeb.

• Mapování současného stavu řízení kybernetické bezpečnosti organizace.

• Zajištění procesu řízení rizik a podpora s identifikací a hodnocením rizik.

• S ohledem na rizika, sestavení plánu zvládání rizik (RTP) a prohlášení o aplikovatelnosti (SoA) (přehled bezpečnostních opatření).

• V návaznosti na předchozí kroky, sestavení/aktualizace bezpečnostní strategie kybernetické bezpečnosti.

• Odpovědnost za projekt zavádění jednotlivých bezpečnostních opatření.

  • Podpora při výběru vhodných technologických partnerů, dodavatelů bezpečnostních řešení (end-point protection, ZTNA, log management, SIEM/SOAR atd.).

• U vyššího režimu regulace, spolupráce s architektem kybernetické bezpečnosti na definici cílové bezpečnostní architektury organizace.

• Spolupráce na zavádění a testování bezpečnostních procesů (např. incident management, řízení přístupů atd.).

• Komunikace s NÚKIB a příslušným CERT týmem ve věcech regulace.

• Podpora při zajišťování kyberbezpečnostních školení a zvyšování úrovně bezpečnostního povědomí.

• Reporting směrem k vedení organizace.

• Koordinace schůzek výboru pro řízení KB (vyšší režim).

• ...

Kompetence MKB

Z výše uvedeného výčtu úkolů jsou patrné i jisté kompetence, které by osoba zastávající roli MKB měla mít. NÚKIB v oblasti kompetencí definuje určité požadavky, u MKB jsou jimi:

Znalosti:

• Normy řady ISO/IEC 27000 (ISMS) a obdobné normy z oblasti bezpečnosti a ICT.

• Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost.

• Řízení rizik, řízení kontinuity činností.

• Relevantní právní a regulatorní požadavky, zejména zákon.

• Kontext povinné osoby.

Zkušenosti:

• Prosazování ISMS.

• Porozumění definicím rizik a rizikovým scénářům, řízení rizik.

• Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.

Vzdělání a praxe:

• Min. 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo VŠ a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.

Relevantní certifikace:

• CISM (ISACA), CRISC (ISACA), CISSP (ISC2) a obdobné.

BTW: ke získání těchto kompetencí vám jako MKB pomůže i naše nZKB akademie.

Zařazení MKB v organizační struktuře

“Kam MKB zařadit v organizační struktuře firmy?” To je častá otázka, kterou dostáváme. Bohužel toto upraveno v regulaci není. Jediné omezení se týká SoD (segregation of duties), konkrétně toho, že MKB nesmí být odpovědný i za provozní aspekty regulované služby. Tato role by zkrátka měla odpovídat jen za kybernetickou bezpečnost.

Otázka umístění MKB v organizační struktuře souvisí s kulturou firmy. Máte li kulturu organizace takovou, že se u vás hodně “hraje” na tituly a postavení v orgchartu" (typicky univerzitní prostředí, zdravotnictví, státní správa, bezpečnostní složky), pak doporučujeme MKB zařadit pod úroveň vrcholného vedení. U MKB role je obecně klíčová vazba na business (garanty aktiv) a na vrcholné vedení a v neposlední řadě velmi úzká spolupráce s ICT / OT týmy.

Kdy MKB outsourcovat a kdy nikoliv

Pár situací, kdy dává smysl MKB outsourcovat a kdy nikoliv. Vnímejte však prosím, že jde o časté případy, se kterými se setkáváme, které však nutně nemusí platit všude. Pro podrobné posouzení ve vaší organizaci bude vhodné posoudit outsourcing vůči využití vlastních zdrojů individuálně (na úrovni strategického řízení vaší firmy, CFO apod.).

Kdy se pravděpodobně hodí/vyplatí MKB outsourcovat:

• Pokud jste malá / střední firma bez vlastních security týmů.

• “Zelená louka” v oblasti řízení KB.

• Jste např. úspěšný startup, uplatňujete security by default/by design principy, ale nemáte dostatek vlastních lidských zdrojů na MKB roli.

• Z důvodu finanční optimalizace (tlak investora, založení vlastní firmy coby kompetenčního centra / centra sdílených služeb apod.).

• …

Kdy outsourcing MKB nemusí být vhodný nebo se nemusí vyplácet:

• Pokud jste velká korporace bez vlastních security týmů, bude pro vás MKBaaS s největší pravděpodobností natolik nákladná, že budete zvažovat, zda se Vám více vyplatí vlastní zdroje.

• Pokud jste velká korporace s vlastními security týmy.

• Pokud jste firma se zahraničním vlastníkem a přesahem do zahraničí (váš poskytovatel MKBaaS nemusí vždy znát specifika regulací v jiných členských státech).

• Typ businessu, kdy se vám ze strategického hlediska nehodí, aby vaši bezpečnost řešil jen externí dodavatel.

• …

Výhody

V čem pro vás může být outsourcing MKB výhodný:

• Expertní, nezávislý pohled.

  • Zkušenosti, které poskytovatel MKBaaS získá během jednoho roku získá vlastní zaměstnanec až v průběhu několika let (pokud vůbec).

  • Expertíza - Znalost trendů a best-practices.

  • Kontakty na kolegy z oboru a dodavatele security služeb a vendory.

• Úspora nákladů.

  • Škálovatelnost služby v čase dle potřeb klienta (zpravidla při zahájení spolupráce, kdy se začíná se zaváděním požadavků nZKB jsou vyšší nároky na čas poskytovatele, což se v čase může snižovat).

  • Úspora na vlastních zdrojích (náklady na zaměstnance vs. outsourcing).

• Nezávislost na vendorech.

  • MKBaaS je většinou služba, která není závislá na konkrétním vendorovi bezpečnostního řešení. I když vám pravděpodobně MKB bude schopen doporučit určitá řešení, se kterými má dobré zkušenosti a se kterými může mít uzavřená partnerství.

• Možnost téměř okamžitého poskytování služeb (snadný onboarding).

  • Onboarding MKBaaS může být poměrně rychlý, zpravidla se skládá s předání potřebných kontaktů a provedení úvodní analýzy současného stavu (chcete li - gap analýzy). Následně se zahajuje samotné poskytování MKBaaS.

Nevýhody

Jaké jsou nevýhody outsourcingu MKB:

• MKBaaS = Nový významný dodavatel.

• Omezené kapacity a tím i dostupnost (definované ve smlouvě).

• MKBaaS není totéž, co vlastní zaměstnanec.

  • Nezná nebo není součástí vaší firemní kultury a nemusí být dostupný tak, jako vlastní zaměstnanec.

  • Tím, že externí MKB netráví všechen svůj čas jen ve vaší firmě, je hodně závislý informacích, které mu poskytnete.

• Co když se stane kritický incident u více zákazníků poskytovatele MKBaaS, zvládne se všem současně věnovat?

• MKBaaS nemusí být výhodný pro velké korporace s vlastními security týmy - viz kapitola “Kdy MKB outsourcovat a kdy nikoliv“.

• Pokud je MKB závislý na vendorech může se vám stát, že nezná konkrétní bezpečnostní aspekty vašich technologií, pokud jsou odlišné od jeho partnerských vendorů. Prověřujte si to.

Mylná očekávání

Myslete prosím na to, že u využití MKBaaS NEPLATÍ, že:

• MKB udělá vše za regulovanou firmu (bez součinnosti).

• Outsourcingem MKB se firma zbavuje odpovědnosti.

• Regulovaná firma nebude muset zajistit další zdroje (HR, finance, nástroje atd.).

• MKB bude provozovat a konfigurovat bezpečnostní nástroje.

• MKB bude analyzovat podezřelé emaily a malware.

Úskalí

Vybraná úskalí MKBaaS, která byste měli vnímat:

• I když outsourcujete MKB, je nutné počítat s tím, že MKB vezme hodně času i vašim ostatním zaměstnancům - bude usilovně komunikovat s vrcholným vedením, s garanty aktiv a s ICT/OT týmy atd.

• Exit strategie - Co když se po půl roce, kdy vám externí MKB pomáhá zajišťovat shodu s nZKB, rozhodnete spolupráci ukončit? Startujete znovu na zelené louce?

• GRC a obdobné nástroje a jejich vlastnictví.

• Komunikace - zákazník - MKB - vendoři.

• Pozor na kompetence zaměstnanců dodavatele! Dejte si pozor na to, aby u vás poskytovatel MKB nevyhrál zakázku jen proto, že má jednoho externího experta, který má požadovanou praxi, certifikace atd., kterého k vám však po získání zakázky “nepustí”. To si ošetřujte už při výběrových řízeních. Stává se to opravdu často.

• Nedostatečná transparentnost poskytování MKBaaS.

• “Hope is not enough strategy” aneb, když statutár prohlásí: “Já doufám, že když tu máme podepsanou smlouvu na MKBaaS, kyber útok nám už nehrozí.”

• Definice shared responsibility modelu ve smlouvě na MKBaaS, definice zákonem požadovaných smluvních požadavků s tímto významným dodavatelem.

• Pozor na hybridní/centrální řízení KB ze strany zahraničních mateřských společností.

• Metriky související s MKBaaS (jako alespoň míra zajištění shody v čase).

Výběr dodavatele MKBaaS

Na co se soustředit:

• Prokazatelné reference - jednotlivců i týmu (dodavatelské firmy).

• Odborné certifikace členů týmu - jsou důležité, ale měly by se hodnotit v kombinaci s praxí.

• Certifikace společnosti dodavatele podle ISO/IEC 27001 je základní minimum, ale nespoléhejte jen na to a myslete např. i na zákaznické audity.

• Kompetence jednotlivců v týmu dodavatele.

• Dostupnost (zastupitelnost týmu dodavatele + pohotovost).

• Transparentnost a podpora při exit strategii!

• Definice smlouvy a shared responsibility modelu ve smlouvě.

• Vhodné nastavení hodnotících kritérií (výběr pouze na základě ceny nedoporučujeme).

V GUARDIANS.cz je MKBaaS jedna z našich standardních služeb, proto vám rádi s rolí MKB pomůžeme.

Na co se můžete těšit v naší CyberSecurityPlatform.cz

nZKB akademie 2025

Ještě jste o naší nZKB akademii neslyšeli? Jelikož čtete tento newsletter, tak vás můžeme ujistit, že nZKB akademie je pro vás relevantní a nabízí zcela unikátní vzdělávání v oblasti nového kybernetického zákona!

Proč je nZKB akademie 2025 unikátní?

• Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.

• Akademie se skládá z výukové, tréninkové a komunitní fáze.

• V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.

• Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.

• A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!

V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!

#CyberPivo

3. dubna od 18:00 v Immigrant v Brně! 🍺

Tentokrát se můžete těšit na přednášku Mgr. Jiřího Císka a Mgr. Jana Přívory z AK Císek, kteří se nedávno stali komerčním partnerem naší platformy. Kolegové představí case study reálného bezpečnostního incidentu, který postihl jednoho z jejich klientů.

#CyberPanel

14. dubna od 18:00 v event prostoru Clubco, Vlněna 5, Brno.

Minulý rok kolegyně dostala nápad zorganizovat náš první #CyberPanel. Akci, určenou primárně pro nováčky v cybersecurity. Jelikož měla akce úspěch, rozhodli jsme se v těchto konceptech pokračovat. Tentokrát na téma informačních zdrojů pro účely studia kyberbezpečnosti.

Vybrané novinky a zajímavosti

• NÚKIB aktualizoval nové požadavky na kryptografické algoritmy, což musí zohlednit i regulované subjekty již regulované současným kyberzákonem.

• Zatím jen 7 z 27 zemí EU stihlo transponovat NIS2. Jak jistě víte, ČR mezi nimi bohužel není.

• nZKB je u Garančního výboru a čeká ho třetí čtení.

• NÚKIB varuje před podvodnými telefonáty, mezi případy je i zneužívání pohotovostního čísla, které využívá k hlášení incidentů.

• Evropská komise zveřejnila pokyny k zakázaným praktikám AI podle AI Act.

• Americká CISA publikovala nové doporučení v souvislosti s Ghost (Cring) Ransomware.

BTW víte, že za paywallem našeho newsletteru najdete…

• Případovky nebo podrobnější články, jako je dnešní díl.

• Relevantní články i v angličtině.

Subscribe now

Feedback

Poskytněte prosím svůj feedback k našemu newsletteru a zvyšte s námi jeho kvalitu! ⬇️

Jelikož do tvorby newsletteru investujeme poměrně velké úsilí, rádi bychom se dozvěděli, co se vám na něm líbí nebo co bychom naopak měli zlepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

🎁 Respondentům, kteří budou mít zájem, pošleme na oplátku emailem slevový kód do naší nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru (dle výběru).

Imagine a company where the fol…

Read more

V tomto roce nás čeká spousta výzev 📈, mohou jimi být např.:

• Rok 2025 - rok transpozice NIS2 v ČR?

  • Velké množství regulací z EU + transponovaná NIS2 ve většině zemí EU.

  • Věříme, že i v ČR stihneme transpozici NIS2 ještě před volbami a budeme mít letos nový kybernetický zákon. Ostatně jeho druhé čtení ve sněmovně již máme za sebou, proběhlo 21.1.2025. K pozměňovacím návrhům si můžete přečíst víc např. v tomto článku na Lupě od Jaromíra Nováka.

  • Na začátku letošního roku se můžeme těšit na legislativní proces nových vyhlášek k nZKB.

• HR aneb, kdo to bude všechno dělat?

  • Balancování mezi nedostatkem lidských zdrojů na kybernetickou bezpečnost a příležitostmi spojenými s využitím moderních technologií pro automatizaci a využití AI / LLM s cílem tento nedostatek eliminovat.

  • Při hiringu si musíme dát pozor na uchazeče s falešnou identitou, často zástupce státem sponzorovaných aktérů hrozeb. Neměli bychom proto zapomínat na background-checky.

• Ukončí moderní Governance, Risk and Compliance (GRC) v kombinaci s automatizací a AI business “papírovým čertům”, nebo jej naopak “naboostuje”?

  • Trochu řečnická otázka, ale myslíme, že aktuální. Zkuste nad tím zapřemýšlet.

  • Moderní pojetí GRC s využitím AI, automatizace a integrace může bezpečáky z GRC oblasti posunout na vyšší level.

• Útoky využívající umělou inteligenci

  • Využití AI a LLM k phishingu, vishingu (SMS útokům) a dalším útokům založeným na sociálním inženýrství.

  • Podvody pomocí deepfakes.

  • Podle předních kyber bezpečnostních organizací se čekává, že útočníci budou stále více experimentovat s LLM pro výzkum zranitelností, vývoj kódu a skenování prostředí. Na nelegálních fórech pravděpodobně vzroste poptávka po LLM bez bezpečnostních omezení.

  • Útočníci pravděpodobně budou i nadále využívat AI-generovaný obsah k ovlivňování veřejného mínění.

  • Čím dál více se zmenšuje časové okno mezi zveřejněním zranitelnosti a jejím masivním zneužíváním útočníky. Rovněž se razantně zkracuje doba mezi průnikem útočníka do systému a eskalací jeho aktivit. To zvýrazňuje důležitost role preventivních bezpečnostních opatření.

• Útoky na cloudová prostředí

  • Cloudová prostředí budou pravděpodobně v budoucnu častějším cílem, protože do cloudu přechází stále více podniků. Chybná konfigurace, nedostatečný monitoring, nevhodný credential management, otevřená a zranitelná API apod. jsou častými vektory útoku na cloud.

• Útoky na embedded systémy

  • Pro embedded systémy obvykle nejsou dostupné nástroje typu EDR/XDR. Forenzní analýza a reakce na incidenty jsou na těchto systémech také složitější. Proto je možné očekávat, že v roce 2025 budou útočníci stále častěji cílit právě na embedded systémy.

• Útoky na OT

  • Kritická infrastruktura je stále častěji cílem hybridní války. Nedostatečně zabezpečená, do internetu vystavená OT zařízení, která řídí kritickou infrastrukturu, jsou stále častěji cílem hackerů.

  • OT řešení jsou stále více integrována s moderními cloudovými a AI/ML technologiemi pro průmyslové řídicí procesy, což může představovat výzvy pro stávající bezpečnostní opatření.

• eCrime

  • Na vrcholu eCrime hrozeb pravděpodobně stále bude figurovat ransomware.

  • Aktuální zřejmě zůstane i infostealer malware.

• Útoky na Web3 a kryptoměny

  • Organizace působící v oblasti Web3 a kryptoměn budou v budoucnu stále častějším cílem útoků.

  • Útoky na kryptoměnové burzy pravděpodobně vzrostou zejména v regionu JAPAC, kde je vysoká míra adopce a růstu ve využití kryptoměn.

• Státem sponzorovaní aktéři

  • Geopolitické napětí ve světě se projevuje samozřejmě i v kyberprostoru. Aktuální reporty bezpečnostních lídrů například zmiňují, že:

    • Rusko bude zaměřovat na Ukrajinu a spojence NATO.

    • Čína cílí na Tchaj-wan a oblast Jihočínského moře, rovněž usiluje o deployment malware na embedded systémy.

    • Írán upřednostňuje jako cíl Izrael.

    • Severní Korea se snaží získat finanční prostředky prostřednictvím krádeží kryptoměn.

    • Všichni zmínění aktéři často cílí na dodavatelský řetězec právě za účelem útoků proti vládním a dalším odvětvím.

• Nejvíce ohrožená odvětví

  • Nejvíce ohrožená odvětví mají být:

    • Technologie (zejména kvůli know-how a průmyslovému vlastnictví).

    • Zdravotnictví (kvůli cenným datům).

    • Finanční služby.

    • Veřejná správa (zajímavá pro státem sponzorované aktéry - špionáž, operace vlivu apod.).

Zdroje informací

• Při sestavování přehledu jsme, kromě našich zkušeností, vycházeli z následujících zdrojů:

  • CrowdStrike 2024 Threat Hunting Report

  • CrowdStrike Global Threat Report 2024

  • Intercepting Impact: 2024 Trend Micro Cyber Risk Report

  • Microsoft Digital Defense Report 2024

  • Google Cloud Cybersecurity Forecast 2025

  • PAN: The Convergence of Cybersecurity and AI: 7 Game-Changing Predictions for 2025

Zveřejnění šablon směrnic k nZKB

Poslední dobou si v Guardians.cz hrajeme s myšlenkou, že bychom zveřejnili šablony směrnic k novému kybernetickému zákonu. Měli byste o něco takového zájem? Za jakých podmínek?

Co nás k myšlence vede? Čím dál častěji se setkáváme s organizacemi, které mají dokonale zpracované směrnice, ale praktická situace řízení kybernetické bezpečnosti je doslova mizerná. Bezpečnost není o směrnicích, ty nás před hackery neochrání a proto bychom chtěli své obchodní partnery dotlačit k praktické stránce věci, ušetřit čas a peníze za tvorbu směrnic a poskytnout je partnerům za nějakou rozumnou cenu s návodem, jak je aplikovat do praxe.

Narozeniny newsletteru

Již déle než rok pro vás píšeme tento newsletter. Čtenářů subscriberů nám postupně přibývá, z čehož máme samozřejmě velikou radost. Vážíme si toho, že je pro vás náš newsletter cenným zdrojem informací z oblasti kybernetického zákona a že máte zájem i o náš obsah za paywallem (např. doporučení ke stanovení rozsahu podle nZKB).

Poskytněte prosím svůj feedback a zvyšte s námi kvalitu newsletteru! ⬇️

Feedback

Jelikož do tvorby newsletteru investujeme poměrně velké úsilí, rádi bychom se dozvěděli, co se vám na něm líbí nebo co bychom naopak měli zlepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.

Respondentům, kteří budou mít zájem, pošleme na oplátku emailem slevový kód do naší nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu (dle výběru).

Read more

Read more

V tomto díle newsletteru se dočtete:

• Že některé organizace v odvětví "digitální infrastruktura a služby" zavádí bezpečnostní opatření podle speciálního nařízení EU, nikoliv podle požadavků pro vyšší nebo nižší režim regulace.

• Jaké jsou povinnosti pro poskytovatele regulovaných služeb z odvětví digitální infrastruktura a služby.

• V jakých případech firmy regulované kybernetickým zákonem musí plnit 2 rozdílné typy požadavků NAJEDNOU u rozdílných typů regulovaných služeb a co s tím prakticky.

• V závěru najdete malý dárek - slevu do nZKB akademie 2025, záznam z webináře, pozvánku na Guardians.cz webinář na míru a pozvánku na #CyberPivo v Brně.

Úvod - Akt pro digitály

V říjnu nám EU při příležitosti měsíce kybernetické bezpečnosti nadělila dárek v podobě prováděcího nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 (zjednodušeně tomu tady budeme říkat “Akt pro digitály”).

• Detail k aktu pro digitály si můžete prostudovat na oficiálním webu EU.

• Zároveň je možné nahlédnout i do připomínek, které předcházely finální verzi.

• Postoj NÚKIB k Aktu pro digitály pak najdete na Portálu NÚKIB.

Akt pro digitály je prováděcí nařízení k NIS2.

Nařízení = žádný stupeň volnosti ve členských státech. Platí tak, jak je v něm uvedeno v rámci celé unie, jednotně.

Co nám Akt pro digitály přináší?

Akt pro digitály stanovuje technické a metodické požadavky na bezpečnostní opatření pro některé poskytovatele digitálních služeb, kterými jsou:

• provozovatelé DNS,

• registry domén nejvyšší úrovně,

• poskytovatelé služeb cloud computingu,

• poskytovatelé služeb datových center,

• poskytovatelé sítí pro doručování obsahu,

• poskytovatelé řízených služeb (MSP),

• poskytovatelé řízených bezpečnostních služeb (MSSP),

• poskytovatelé on-line tržišť,

• poskytovatelé internetových vyhledávačů a služeb platforem sociálních sítí,

• poskytovatelé služeb vytvářejících důvěru.

Dále upřesňuje případy, v nichž se kybernetický bezpečnostní incident považuje za významný.

Přehledová tabulka k regulaci KB digitálních služeb

Níže je zobrazená přehledová tabulka ilustrující relevantní dopad nZKB / NIS2 na jednotlivé digitální služby. V tabulce je znázorněno, na které ze služeb se uplatní národní specifika (nižší/vyšší režim regulace) a na které naopak dopadne Akt pro digitály.

Vyšší režim regulace, nižší režim regulace, nebo?

💡 V souvislosti s výše uvedenou tabulkou už víme, že v odvětví digitální infrastruktura a služby se u regulovaných služeb neuplatní pouze vyšší a nižší režim regulace z hlediska povinností na bezpečnostní opatření. V některých případech se uplatní jen Akt pro digitály.

🇨🇿 🇪🇺 Dvojí bezpečnostní požadavky

V jakých případech firmy regulované kybernetickým zákonem musí plnit dvojí typy rozdílných požadavků NAJEDNOU pro rozdílné typy regulovaných služeb a co s tím prakticky?

K ilustraci situace, na kterou chci upozornit, si vytvoříme novou variantu naší tabulky. Vidíme na ni příklad holdingu, který poskytuje regulovanou službu v oblasti energetiky (Obchod s elektřinou). Dále jsou v rámci holdingu centrálně poskytovány řízené služby (správa ICT). Na příkladu tedy vidíme dvě regulované služby a zároveň dva typy povinností ohledně bezpečnostních opatření - jednou podle vyhlášky pro vyšší režim regulace, podruhé podle Aktu pro digitály.

Co s tím? Většinou je nad situací uvažováno tak, že řešením by mohlo být, když se v holdingu zřídí dceřinná organizace, ta bude poskytovat 1 regulovanou službu (MSP) a řídit se aktem pro digitály. Mateřská organizace zůstane u poskytování obchodu s elektřinou a bude se řídit vyhláškou pro vyšší režim. Jenže to má háček - u tohoto nápadu se zapomíná na to, proč taková kompetenční centra v rámci holdingů vznikají - aby centralizovaly přístupy řízení ICT v rámci holdingu. Prakticky tak není úplně vhodné zvolit tento rozdílný přístup (jiný framework u kompetenčního centra - MSP, jiný u mateřské organizace) a potřebujeme zvolit spíše jednotný rámec. Tím se vracím k jednomu z předešlých dílů newsletteru o compliance mapování. Abychom mohli zvolit jednotný přístup v oblasti nZKB / NIS2 regulace, compliance mapováním to začíná.

❓ Týká se vás tento dvojí přístup?

❓Máte namapovány požadavky nZKB pro vyšší režim vs. Akt pro digitály?

⁉️ Tak do toho a ušetřete nemalé zdroje!

Povinnosti pro odvětví digitální infrastruktura a služby

Jaké jsou obecně povinnosti pro vybrané poskytovatele regulovaných služeb z odvětví digitální infrastruktura a služby podle Aktu pro digitály? Rámcově se dají shrnout do oblastí níže:

1. Provádění a uplatňování technických a metodických požadavků opatření k řízení kybernetických bezpečnostních rizik. Tato opatření jsou rozdělena do následujících kategorií:

   1. Politika bezpečnosti sítí a informačních systémů

   2. Politika řízení rizik

   3. Řešení incidentů

   4. Kontinuita podnikání a krizové řízení

   5. Bezpečnost dodavatelského řetězce

   6. Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů

   7. Politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik

   8. Základní postupy v oblasti kybernetické hygieny a bezpečnostní školení

   9. Kryptografie

   10. Bezpečnost lidských zdrojů

   11. Kontrola přístupu

   12. Správa aktiv

   13. Environmentální a fyzická bezpečnost

2. Přizpůsobit klasifikaci pro významnost kybernetického bezpečnostního incidentu podle Aktu pro digitály. Incidenty, které Akt pro digitály považuje za významné pak hlásit příslušnému CERT týmu (Pozn.: pozor na to, že nařízení definuje významnosti incidentů obecně + je doplňuje o odlišnosti pro jednotlivé typy digitálních služeb. Povinnost hlásit takové významné incidenty vychází přímo z NIS2.).

📚 nZKB akademie 2025 🧑🏻‍🎓 👩🏻‍🎓

V newsletteru vás pravidelně informujeme o 4-měsíčním kurzu k novému kybernetickému zákonu. Ani tento díle nebude vyjímkou - tentokrát bychom vás rádi informovali, že náš kurz má za sebou “UPGRADE” - stala se z něj totiž 🧑🏻‍🎓 👩🏻‍🎓nZKB Akademie 2025 📚

• Více než 30 hodin výukového obsahu, který studujete kdykoliv a kdekoliv se vám to hodí.

• Online konzultace s lektory.

• Osobní setkání s lektory a účastníky akademie a networking.

• Aktuální informace z oblasti nového kybernetického zákona.

• Znalostní bázi, která vám bude dostupná po celý rok 2025.

🎁 Dárek pro vás - slevový kód k příležitosti Cyber Monday: CM2024
Cena s využitím kódu: 19.000 Kč bez DPH.

Registrace do akademie

Záznam z webináře ManpowerIT

Záznam z webináře o nZKB a práci manažera KB:

Na Youtube kanálu ManpowergroupCz najdete i zbývající 2 části webináře. Pokud řešíte ZTNA, mohla by vás zajímat druhá část webináře. Jestli jsou u vás na pořadu dne lidské zdroje v cybersecurity (hiring, jak si lidi udržet apod.), rozhodně mrkněte na část 3.

Před-Vánoční webinář Guardians.cz k nZKB 🎄

Již příští týden 10.12. od 13:00 organizujeme exkluzivní webinář o implementaci požadavků nového kybernetického zákona. Jde totiž o webinář, jehož obsah můžete ovlivnit! Během 90 minut se zaměříme na klíčová témata, která vás nejvíce zajímají – konkrétně ta, která uvedete při registraci.

Nebaví vás poslouchat všude totéž? Zeptejte se na to, co je pro vás důležité a pomůžete nám postavit webinář na míru 🛠️.

Chci se zúčastnit!

Přijďte na před-Vánoční #CyberPivo

🗓️ Středa 11. 12. 2024 | 📍The Immigrant na Veveří v Brně | ⏱️ od 18:00

Zdarma pro všechny přátele CyberSecurityPlatform.cz (i nečleny).

🧩 Zahrajeme si “cybersecurity poznávačku” o ceny.

Čas běží a schvalování nového kybernetického zákona se neustále protahuje. Smutné je proč se protahuje. nZKB totiž přináší nové strategické bezpečnostní instituty, které vzbuzují rozruch. Jsou jimi třeba:

• dostupnost strategicky významných služeb z území ČR,

• mechanismus bezpečnosti dodavatelského řetězce u nepominutelných funkcí.

Pozn.: Důležité je vnímat, že výše uvedené instituty jsou strategické. Strategické = (mimo jiné) dlouhodobé. Tedy jejich dopad pocítíme s velikou pravděpodobností později, než například za jedno volební období.

Tyto strategické instituty se zcela logicky nehodí do strategie jiných zájmových skupin (např. států), které mohou strategickými kroky regulátora/státu utrpět. A to třeba právě proto, že součástí dlouhodobé strategie takových zájmových skupin je něco, jako dosažení “vendor-lock-inu na úrovni států”. Schválení nZKB se tedy protahuje z důvodu značného lobby doprovázeného a mnohdy spouštěného řadou desinformací pravděpodobně podporovanými dotčenými zájmovými skupinami.

U bezpečáků to přináší nové schopnosti, které se musíme naučit - schopnosti vysvětlit a obhájit u vrcholného vedení proč neplatí, že nejlevnější/nejvýhodnější = bezpečné.

Neradi bychom z našeho newsletteru dělali kyber bulvár a tak si dovolíme odkázat na některé zdroje, abyste si obrázek mohli udělat sami.

• Z oficiálních zdrojů NÚKIB a z předložených návrhů nZKB si můžete ověřit, že výše uvedené strategické instituty se vztahují na velmi úzkou část v budoucnu regulovaných subjektů (v zásadě především na ty, na jejichž službách je kriticky závislá společnost). Některými médii často zmiňované enormí dopady tak nejsou pravdivé.

• Zde si můžete přečíst různé střípky, které s tím, co výše popisujeme, mohou souviset:

  • Výroční zpráva NÚKIB z r. 2023 a Vojenského zpravodajství z let 2018-2022.

  • https://pagenotfound.cz/clanek/kauza-huawei-cina-vydirala-ceskou-republiku

  • https://pagenotfound.cz/clanek/poslanci-ods-a-ano-chteji-vykastrovat-kyberneticky-zakon

  • https://www.lightreading.com/5g/huawei-counts-on-influential-friends-to-remain-european-5g-force

Automatizace phishingu a vishingu

Používání AI technologií se stalo nedílnou součástí našich životů, možnosti využití jsou nekonečné a všichni se předhání v nápadech, jak a kde je využít. Ať už vám AI asistuje jakkoliv, jedno máme všichni společné - tyto nástroje nám šetří čas.

Ačkoli vnímáme AI jako užitečnou pomůcku, je nutné si uvědomit, že může být zároveň aktivně zneužívána proti nám. Pomineme li deepfakes, o kterých tento díl nebude, tak např. k automatizaci vishingu a phishingu.

Phishing

To, že phishing je dnes už naprosto běžná technika sociálního inženýrství zaměřená na uživatele s cílem přimět je k nějaké akci, díky které se útočníkovi podaří získat údaje potřebné k dalšímu “útoku” na základě jeho cíle, pro vás jistě není nic nového. Proto naším cílem není popisovat, jak funguje phishing. Rádi bychom se zabývali tím, jak mohou útočníci zvýšit pravděpodobnost phishingu díky tomu, že jej doprovodí o automatizovaný vishing.

Pozn.: Můžeme si představit i technicky jednodušší variantu, než uvádíme níže ve video ukázce – prostý podvodný email, nebo BEC (např. kompromitovaný email obchodního partnera) navádějící k provedení platby doprovázený vishingem díky automatizaci.

AI Vishing

S vishingem nám pomohla platforma vapi.ai, kde jsme vytvořili svého asistenta a následně mu zadali prompt. V promptu definujeme jasné instrukce včetně vlastností: jak se má chovat, co je jeho úkolem, jak zvládat námitky, atd. Zjednodušeně, prompt je prostor, kam by útočník vložil svůj pretext/scénář pro svou kampaň.

Parametrizace hlasového asistenta

Možnosti parametrizace asistenta jsou bohaté a zahrnují například:

• volbu hlasu (možná integrace s ElevenLabs API - vlastní naklonovaný hlas),

• výběr z řady modelů (ovlivňující prodlevu při hovoru a výslovnost asistenta),

• detekci emocí (reaguje na emoce druhé osoby, přizpůsobuje tón a intonaci),

• řízení náhodnosti výstupu (do jaké míry se má asistent řídit zadáním z promptu),

• prodleva při přerušení (doba, po kterou je asistent ticho, aplikuje se např. při přerušení asistenta během jeho výkladu),

Telefonní seznam (zdroj kontaktů)

Jelikož se snažíme demonstrovat masivní zneužití z pohledu útočníka, potřebujeme nějaký zdroj kontaktů, ze kterého bude asistent čerpat. Můžeme si pod tím představit například uniklou databázi kontaktů z nějakého webu, z aplikace pro e-mailing atp. V našem případě uměle vytvořený kontaktní seznam obětí v Google Sheets, obsahující telefonní číslo, jméno, e-mail, status (called/not-called) -> Status se dynamicky mění v momentě, kdy hovor proběhne.

Automatizace volání

Celý scénář je realizován skrze no-code platformu make.com. Pokud bychom to měli shrnout, linka automatizace zajišťuje napojení na zdroj dat v Google Sheets, důležité záznamy poté uloží do proměnných a následně je posílá skrze API hlasovému asistentovi na vapi.ai. Pomocí dynamické proměnné jsme schopni zajistit, že asistent osloví dotyčnou oběť relevantním jménem přiřazeným k odpovídajícímu telefonnímu číslu. Po ukončeném hovoru se změní status v Google Sheets z "not-called" na "called", čímž je ošetřen opakovaný hovor. Veškerá komunikace z hovoru je přepsána do jiného sešitu v Google Sheets, kde může útočník v případě potřeby kontrolovat sdělené informace ze strany oběti.

Video ukázka

Před samotnou demonstrací bychom rádi zrekapitulovali sled událostí, které uvidíte.

Jak se tomu bránit?

Příklady opatření, které by vám měly pomoci s ochranou před tím, co jste mohli vidět v ukázce:

• Snaha o minimalizaci zveřejňovaných osobních údajů (např. na sociálních sítích, webech).

• Zajištění bezpečnosti emailové komunikace (vyjít můžete např. z této metodiky od NÚKIB).

• Školení zaměstnanců o technikách phishingu, vishingu a o sociálním inženýrství obecně, vč. trénování, jak tyto metody rozpoznat.

• Školení zaměstnanců ohledně deepfakes, vč. tréninku rozpoznání obrazových a hlasových deepfakes.

• Procesní zabezpečení operací s penězy (platby faktur, bankovní převody, online platby atp.).

• MFA za využití hardwarových klíčů (protokol FIDO2) nebo password less autentizace.

• Geo-based nebo IP restrikce (pouze důvěryhodné lokality).

• Správné řízení oprávnění.

• Session management.

• atd.

Jak vám můžeme pomoci my?

• Ukázky hackingu na míru pro vaši firmu.

• Školení bezpečnostního povědomí.

• Zabezpečení AI a LCNC technologií.

• Zavedení požadavků normy ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system

Neváhejte a kontaktujte autory tohoto newsletteru - Jakuba Lehečku a Martina Konečného.

Bezpečnost AI a LCNC

Téma bezpečnosti AI a LCNC jsme otevřeli už pár newsletterů zpětně, kdy jsme představili whitepaper, který tvořil společně s kolegou Nikolasem Strakou, expertem na LCNC. Protože je to téma více než aktuální, dovolíme si tom sem znovu vytáhnout a vyzvat vás, abyste si whitepaper stáhli přímo z našeho webu: https://www.guardians.cz/#whitepapery

🔍 Co najdete uvnitř?

• Jak správně vybírat a využívat online AI/LCNC nástroje pro malé a střední podniky.

• Tipy na automatizaci firemních procesů a na integraci firemních aplikací.

• Praktická bezpečnostní doporučení pro práci s LCNC a AI nástroji.

📚 Proč si přečíst tento whitepaper?

• Získáte cenné rady a návody, jak efektivně využívat moderní technologie.

• Naučíte se, jak zůstat moderní a zároveň při tom chránit své podnikání před kybernetickými hrozbami spojenými s využíváním moderních technologií.

Organizovali jsme…

V říjnu 2024 jsme organizovali konferenci a NIS2 meetup v Brně

Tentokrát každoroční konferenci naší CyberSecurityPlatform.cz hostila Fakulta elektrotechniky a komunikačních technologií, VUT v Brně. Tato událost se konala 22. října 2024 a byla spojena s putovním NIS2 meetupem. Jak se celá akce povedla se můžete přesvědčit přímo na webu platformy, kde najdete i fotogalerii.

Již podruhé jsme pomáhali s organizací konference pro ČSRES

Na konci října 2024 proběhl v Hotelu Ski na Vysočině již 2. ročník kyberbezpečnostní konference sdružení energetiků – ČSRES. A my jsme byli u toho! Kromě toho, že jsme pomáhali s obsahem konference a s moderováním, Martin Konečný a Jakub Lehečka pro účastníky konference připravili table-top cvičení (TTX). Scénář TTX byl vytvořen pro elektroenergetiku a jedním z jeho cílů bylo zabývat se i problematikou bezpečnosti dodavatelského řetězce. Účastníci TTX museli, mimo jiné, řešit otázku proporcionality mezi krátkodobým ziskem díky nákupu levných technologií a strategickou bezpečností. Tím jsme navázali i na jedna z klíčových témat v panelové diskuzi, kam přijali pozvání vzácní hosté ze státní správy.

Chystáme…

Před-Vánoční webinář Guardians.cz 🎄

Na začátek prosince, konkrétně na 10.12. od 13:00, jsme si pro vás připravili exkluzivní webinář o implementaci požadavků nového kybernetického zákona. Jde totiž o webinář, jehož obsah můžete ovlivnit! Během 90 minut se zaměříme na klíčová témata, která vás nejvíce zajímají – konkrétně ta, která uvedete při registraci.

Chci se zúčastnit!

V lednu startujeme 4. kolo našeho nZKB kurzu

Velice nás těší, že účastníci 4-měsíčního kurzu k novému kybernetickému zákonu jsou s kurzem velice spokojeni - posuďte sami a koukněte na reference, zveřejněné na webu kurzu.

V lednu 2025 startujeme již 4. kolo kurzu a my vám sdělíme, proč byste u toho neměli chybět:

1. Náš kurz tu opravdu nemá obdoby ve své formě, v rozsahu, aktuálnosti, kvalitě a lektorském týmu.

2. Průběžně aktualizujeme obsah kurzu v závislosti na vývoji stavu regulace.

3. S námi máte garanci vrácení peněz v případě nespokojenosti.

4. Všichni, kteří stihnou registraci do konce letošního roku budou mít přístup k materiálům po celý rok 2025! Získáte tak interaktivního průvodce doslova do kapsy po dobu, kdy se vám přijde nejvíce vhod - po dobu, kdy budete svoji firmu na nZKB připravovat.

5. Nabízíme výhodné cenové balíčky pro firmy o 2 a více účastnících.

Více informací a REGISTRACI najdete přímo na webu 4-měsíčního kurzu.

Můžete využít slevový kód, který jsme publikovali v minulém newsletteru, tak neváhejte a včas se registrujte.

Guardians.cz je nyní držitelem certifikace podle ISO/IEC 27001:2023!

V oblasti informační a kybernetické bezpečnosti nezůstáváme jen u slov a abychom to dokázali i svým partnerům, zavedli jsme systém managementu informační bezpečnosti (ISMS) v souladu s požadavky mezinárodní normy ISO/IEC 27001:2023. Naše poskytování služeb v oblasti kybernetické bezpečnosti a poskytování služeb manažera kybernetické bezpečnosti (MKBaaS) je nyní certifikováno podle výše uvedeného standardu.

Jestli o ISMS certifikaci také přemýšlíte, rádi vám s tím pomůžeme.