Je už čas brát nZKB vážně?
Jistě jste v médiích postřehli, že návrh nového zákona o kybernetické bezpečnosti (nZKB) konečně prošel 3. čtením ve sněmovně. Co to prakticky znamená? Co můžeme čekat nyní a jaká bude účinnost nZKB?
Je už ten správný čas brát nZKB vážně? - 9 bodů, které přepošlete šéfům své organizace
Návrh nového zákona o kybernetické bezpečnosti (nZKB) konečně prošel další fází schvalování. Dlouho trvající třetí čtení v poslanecké sněmovně je od 25.4.2025 konečně za námi.
1. Co to znamená?
Schválení nZKB sněmovnou znamená, že by již brzy mohla být známa platnost zákona a zároveň jeho účinnost (tedy doba, do kdy jej budou muset dotčené organizace plnit).
Podle oficiální zprávy NÚKIB, má nZKB za sebou:
Veřejné konzultace.
Meziresortní připomínkové řízení, které je povinnou částí legislativního procesu.
Doporučující stanovisko předsedy Legislativní rady vlády (LRV) k projednání návrhu zákona vládou.
Schválení vládou.
Schválení Poslaneckou sněmovnou Parlamentu České republiky ve znění přijatých pozměňovacích návrhů.
K zákonu bylo podáno několik pozměňovacích návrhů. Ty, které byly schváleny jsou např.:
Přechod některých pravomocí ve vztahu k mechanismu prověřování bezpečnosti dodavatelského řetězce z NÚKIB směrem na vládu a rovněž užší vymezení okruhu aktiv strategicky významných služeb, na které se bude zmíněný mechanismus vztahovat.
Schválení nové podoby ustanovení o účinnosti zákona. Ta je nyní nastavena tak, že zákon bude účinný první den třetího kalendářního měsíce následujícího po datu jeho platnosti (nZKB tedy bude 2 měs. platný, ale nebude účinný. Tzn., že povinným subjektům neběží lhůty pro plnění povinností).
2. Co následuje nyní?
Podle oficiální zprávy NÚKIB, má nZKB před sebou:
Schválení Senátem.
Podpis prezidentem.
Uvedení ve sbírce zákonů (termín platnosti).
Lhůtu pro nabytí účinnosti (po nabytí účinnosti se musí zákonem řídit povinné subjekty).
Brzy bude spuštěn legislativní proces prováděcích právních předpisů (tedy prováděcích vyhlášek). Bude se jednat např. o:
Vyhlášku o regulovaných službách.
Vyhlášku s bezpečnostními opatřeními pro tzv. režim nižších povinností.
Vyhlášku s bezpečnostními opatřeními pro tzv. režim vyšších povinností.
Úpravy cloudových vyhlášek (formální úprava terminologie).
atd.
Z časového hlediska je vhodné, aby se vše stihlo před blížícími se volbami. V opačném případě by se vydání nZKB mohlo podstatně prodloužit.
NÚKIB očekává, že nZKB bude účinný v druhé polovině roku 2025.
3. Kdy mohu čekat kontrolu z NÚKIB?
Na otázku “Kdy mohu čekat kontrolu z NÚKIB?” je potřeba zareagovat tak, že to není zcela vhodně položená otázka. Zástupce firem by nemělo trápit, kdy se k nim podívá NÚKIB, ale kdy se k nim “podívá” hacker / útočník. Aby to ale nebylo vnímáno jako strašení, pojďme se podívat na to, před čím nás varují experti - Zástupci organizace SANS Institutu ve svém keynote vystoupení na RSA konferenci (která proběhla na přelomu dubna/května 25) upozornili na těchto 5 aktuálních kyber hrozeb:
Rozptýlená autorizace (Cloud-SaaS-hybridní prostředí) – Situace, kdy uživatelé mají nadbytečná nebo často privilegovaná oprávnění napříč cloudem, SaaS a hybridními prostředími. Tato situace pak vytváří skryté “cestičky”, které mohou útočníci snadno zneužít.
Ransomware v ICS / OT - Útočníci využívající ransomware se stále častěji zaměřují na kritickou infrastrukturu využívající průmyslové řídící systémy a provozní technologie (ICS / OT).
Destruktivní útoky na ICS / OT - Nárůst útoků zaměřujících se na ICS / OT systémy s úmyslem způsobit destrukci s reálnými dopady.
Smazané forenzní důkazy - Pokročilí útočníci záměrně mažou nebo se vyhýbají vytváření digitálních forenzních důkazů, což výrazně ztěžuje nejen detekci jejich aktivit, ale i analýzu po incidentu. Bez forenzních dat je např. obtížné pochopit, jak došlo k útoku, jaký je přesný rozsah apod.
Regulace AI jako překážka pro security týmy - Security týmy používají AI k rychlejší a efektivnější detekci hrozeb. Oproti tomu navrhované zákony o ochraně osobních údajů související s AI mohou neúmyslně omezovat jejich schopnosti tím, že některé AI procesy a postupy označí za neoprávněné nebo vysoce rizikové zpracování dat. Security týmy pak mohou čelit zbytečné regulatorní překážce, zatímco útočník se ničím takovým netrápí.
CrowdStrike Global Threat Report 2025 uvádí, že:
Nejkratší naměřený čas, za který se útočníkům podařilo způsobit škodu poté, co se dostali do systému bylo 51 vteřin. Průměrný čas je 48 minut. (BTW: Je vaše organizace schopna v průměrném čase reagovat na detekované anomálie?)
O 50% vzrostl počet útoků založených na ukradených přihlašovacích údajích.
O 442% vzrostl počet vishingových útoků.
…
Proaktivní přístup k zajišťování kybernetické bezpečnosti je naprostý základ.
Zástupci firem by si tedy měli odpovědět spíše otázkou, zda a jak je jejich firma odolná vůči eCrime, do jaké míry je firma závislá na ICT/ICS/OT, jak moc plnou má firma “kasičku na prů*ery” pro případy, kdy ke kybernetické bezpečnosti nebude přistupovat proaktivně.
3. Co nového přináší nZKB firmám, které jej dosud řešit nemusely?
Konkrétní typy povinností se mohou pro jednotlivé firmy, na které se bude vztahovat nZKB, lišit. Je to s ohledem na režim regulace, do jakého spadnou. Nejkritičtější typy subjektů budou muset zajišťovat bezpečnostní opatření podle vyhlášky pro režim vyšších povinností. Méně kritické pak podle vyhlášky pro režim nižších povinností a specifické opatření podle prováděcího aktu EU k NIS2 pak musí plnit někteří poskytovatelé digitálních služeb (cloudy, MSP, MSSP, datová centra apod.).
Základní přehled povinností:
Níže uvedený přehled nerozlišuje mezi režimy povinností, uvádí úplný výčet:
Organizační opatření
Zavedení systému řízení bezpečnosti informací
Plnění povinností top managementu, zajištění bezpečnostních rolí
Řízení bezpečnostní politiky a dokumentace
Řízení aktiv a rizik
Řízení dodavatelů
Zajišťování bezpečnosti lidských zdrojů, vč. screeningu zaměstnanců (u digitálních služeb)
Řízení změn
Zajišťování bezpečnosti procesů akvizice, vývoj a údržba
Řízení přístupu
Zvládání kybernetických bezpečnostních událostí a incidentů, vč. hlášení na příslušný CERT tým.
Řízení kontinuity činností
Provádění auditu kybernetické bezpečnosti
Technická opatření
Zajišťování fyzické bezpečnosti
Zajišťování hardeningu infrastruktury (u digitálních služeb)
Implementace odolných kryptografických prostředků
Zajišťování bezpečnosti komunikačních sítí
Zajišťování aplikační bezpečnosti
Řízení přístupových oprávnění
Správa a ověřování identit
Detekce kybernetických bezpečnostních událostí
Zaznamenávání bezpečnostních a relevantních provozních událostí
Vyhodnocování kybernetických bezpečnostních událostí
Zajišťování dostupnosti regulované služby
Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv
Pro větší přehled se můžete kouknout na naše starší články, případně na tento příspěvek, kde se základní info dozvíte v 25 minutách z videozáznamu:
4. Co přináší nZKB z pohledu kyberbezpečnostních expertů?
Zeptáte li se bezpečnostního experta, co přináší nZKB nebo NIS2 nového, odpoví vám, že se v zásadě jedná o předepsání minimálního bezpečnostního rámce složeného ze základních požadavků na bezpečnostní opatření (dokumentace, procesy, technické nástroje).
Je potřeba si uvědomit, že legislativa je vždy pozadu ve srovnání s technologickým vývojem a tak opravdu v bezpečnostních opatřeních nenajdeme nic “převratného”. Naopak, stále budeme muset skrz tzv. “risk-based approach” sledovat aktuální hrozby související s obchodní činností dané firmy, s využívanými partnery, technologiemi atp.
5. Jaké jsou odpovědnosti vedení?
Podle nového kybernetického zákona vrcholné vedení firem musí:
Absolvovat školení.
Stanovit bezpečnostní politiky a cíle ISMS, slučitelné se strategickým směřováním firmy.
Zajistit integraci ISMS do procesů firmy a podporu k dosažení cílů ISMS vést zaměstnance k rozvíjení efektivity.
Podílet se na vypracování analýzy dopadů a na testování reakcí na incidenty, testování plánu kontinuity činností a havarijních plánů.
Podporovat osoby zastávající bezpečnostní role, zajistit jim pravomoci potřebné pro naplňování jejich rolí a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů.
Zajistit dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti.
Zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role (vyšší režim).
Prokazatelně se seznamovat se stavem KB organizace.
Zajistit zastupitelnost bezpečnostních rolí.
Protože zvládání hrozeb budoucnosti vyžaduje strategii, pojďme se podívat na to, co by strategie kybernetické bezpečnosti měla obsahovat:
Návaznost aktivit v oblasti kybernetické bezpečnosti na celkovou vizi, misi a cíle organizace.
Roadmapu jednotlivých kyberbezpečnostních aktivit/projektů.
Zajištění bezpečnostních rolí, odpovědností a komunikačních matic.
SMART cíle a prioritizace (+ definice metrik).
Cyber Threat profil organizace a risk profil organizace.
Kritéria pro akceptaci rizik.
Budget.
Strategii k dosažení maximální integrace kybernetické bezpečnosti do procesů organizace.
Způsoby reportingu, vyhodnocování relevantních metrik a návaznost na aktivity výboru pro řízení kybernetické bezpečnosti.
...
6. Pozor na NIS2 fantomy
Označení NIS2 fantom jsme použili historicky v jednom z našich článků jako označení pro firmu, která až tak nerozumí oboru a nabízí příliš levné a nekvalitní služby. NIS2 fantom se veze na vlně budoucí poptávky v souvislosti s přicházejícím novým kybernetickým zákonem a směrnicí NIS2 a často i klame odběratele nesmyslnými sliby a zárukami. Jaké to jsou? Když vám dodavatelé produktů a služeb tvrdí, že vám pomohou splnit nZKB a NIS2, zaměřte se například na:
Informace o tom, jaké požadavky zákona/vyhlášek vám jejich řešení / služba pomůže zajistit. Jak (jak toho dané řešení/služba dosáhne) a do jaké míry (zda na vše stačí daný produkt/služba, nebo zda jde např. o kombinaci produktu, implementace a nastavení souvisejícího procesu, který bude ve vaší odpovědnosti).
Znalost běžných cen produktu / služby a v případě, že cena, která vám je nabízena je až příliš nízká, ptejte se proč (může za tím samozřejmě i inovativnost nabízeného řešení, ale také rozsah služby).
7. “nZKB neřeším, já se pojistím”
Pakliže zvažujete, že se před kyber-bezpečnostními riziky pojistíte, určitě to nemusí být špatný krok. Je k tomu ale vhodné doplnit, že pojišťovna po vás bude vyžadovat plnění základních bezpečnostních opatření a zajištění souladu s relevantními zákony. Dle typu pojistky a konkrétních podmínek si u vás pravděpodobně udělá i Due Diligence a nebo bezpečnostní audit třetí stranou. Úvahy typu “pojistit se a strčit hlavu do písku a tvářit se, že kyberbezpečnost firmu netrápí jsou zcela mimo”.
8. Jak zjistit skutečná kyber-bezpečnostní rizika?
Způsobů, jak zjistit skutečná kyberbezpečnostní rizika firmy je několik, můžeme mezi ně zařadit např.:
Vytvoření Cyber Threat profilu organizace - zjistíte, jaké skupiny útočníků a hrozeb jsou pro Vaši organizaci relevantní.
Vytvoření risk profilu organizace - cílem je zjistit reálná rizika organizace, porovnat vaše prostředí s Cyber Threat profilem a mít tak vhodnou podporu pro rozhodování.
Provedení komplexního auditu kybernetické bezpečnosti.
Provedení penetračních testů případně red-teamingu.
Provedení simulací / cvičení (např. testování úrovně bezpečnostního povědomí skrz simulace vishingu, phishingu a jiných forem sociálního inženýrství, provedení různých forem cvičení s cílem procvičit krizové situace apod.).
apod.
9. Buďte součástí Executive Firewallu!
Executive Firewall je exkluzivní komunita lídrů (zástupců vrcholného vedení firem), kteří berou kybernetickou odpovědnost vážně.
Vstupte do uzavřené skupiny vybraných founderů, jednatelů a členů vrcholového vedení, kteří si uvědomují, že kybernetická bezpečnost není jen ICT problém – je to strategická priorita. Ve světě narůstajících hrozeb a nových legislativních povinností (např. kybernetický zákon, NIS2) pomáhá Executive Firewall s orientací, sdílením know-how a přípravou na výzvy, za které nese odpovědnost vedení firmy.
Svěřte soulad s NIS2 / nZKB do rukou Guardians.cz!
Pokud jste pravidelným čtenářem našich newsletterů, jistě víte, že poskytujeme služby v oblasti NIS2 / nZKB, ale i v oblastech ISMS, bezpečnosti využívání AI a LCNC apod. Přesto zde vypíchneme několik našich služeb, které vám pomohou se zajištěním shody s NIS2 a nZKB:
Gap analýza (pro vyšší/nižší režim nebo podle EU aktu k NIS2 pro digitální služby).
Konzultace v oblasti NIS2 a kybernetického zákona.
Podpora při výběru vhodných bezpečnostních nástrojů.
Konzultace ke compliance mapování a konsolidaci auditů a analýz (optimalizace nákladů v security compliance oblasti).
Školení formou zážitku - TTX, virtuální realita, demonstrace útoků,….
Můžeme vám pomoci s některou z těchto služeb? Ozvěte se nám prostřednictvím kontaktů na našem webu nebo přímo na email info@guardians.cz.
Mohlo by vás zajímat
Z našich dřívějších článků by vás mohly zajímat například:
O čem je výkon role manažera kybernetické bezpečnosti a jak na jeho outsourcing?
Jak NIS2 dopadá na poskytovatele digitálních služeb (cloudy, MSP, MSSP)?
Jak ušetřit nemalé peníze díky compliance mapování a konsolidaci auditů a analýz.
Jak útočníci využívají low-code / no-code a AI k phishingu (automatizace phishingu a vishingu).
Webinář: Jak NIS2 dopadá na poskytovatele digitálních služeb
Další ze série webinářů Guardians.cz, tentokrát na téma, jak NIS2 dopadá na poskytovatele digitálních služeb.
Datum: 29. 5. 2025 | 9:00-11:00 | Online
Webinář je určen výhradně pro zástupce poskytovatelů digitálních služeb (MSP, MSSP, poskytovatele hostingových služeb, služeb datových center, poskytovatele cloudových služeb apod.). Ti si z webináře odnesou informace jako např.:
Jak NIS2 dopadá na poskytovatele digitálních služeb?
Proč u digitálních služeb není třeba čekat na nový kybernetický zákon (respektive na některé jeho vyhlášky)?
Specifické povinnosti pro poskytovatele digitálních služeb.
Kdy se poskytovatelům digitálních služeb vyplácí využívat GRC nástroj?
Provazba na pravidla pro zápis do eGC (e-government cloud katalogu veřejné správy)
Jakou roli budou hrát "shared responsibility modely".
Jaké agendy přináší nejen NIS2 skrz řízení dodavatelů?
Odpovědi na své otázky a otázky dalších účastníků.
Webinář je pro poskytovatele digitálních služeb zdarma!
Vzdělávání k novému kybernetickému zákonu
Již rok pro zájemce provozujeme naši unikátní vzdělávací akademii - nZKB akademii - komplexní vzdělávání, díky kterému NIS2/nZKB opravdu pochopíte.
Proč je nZKB akademie 2025 unikátní?
Mezi lektory jsou zástupci NÚKIB a bývalí zaměstnanci NÚKIB, čímž garantujeme správnost a aktuálnost informací a praktické informace.
Akademie se skládá z výukové, tréninkové a komunitní fáze.
V rámci výuky a a tréninku se můžete těšit na pravidelně aktualizovaný online výukový obsah (přes 30 hodin audio/video i textového obsahu), online konzultace s lektory, bonusové rozhovory, úkoly a zpětnou vazbu.
Komunitní aspekt spočívá v pravidelném osobním setkávání a v networkingu s lektory a ostatními účastníky.
A nedílnou součástí je i znalostní báze k nZKB dostupná po celý rok 2025. Informace, které byste sami hledali v různých zdrojích, máte u nás na jednom místě a přehledně!
V akademii již máme přes 50 účastníků, ale kapacitně jsme připraveni letos proškolit až 500 expertů! Proto neváhejte a přesvědčte se, že náš unikátní vzdělávací program opravdu stojí za to!
BTW víte, že za paywallem najdete…
Případovky nebo podrobnější články.
Relevantní články i v angličtině.
Možnost diskutovat s námi přímo pod jednotlivými články.
Feedback
Podělte se s námi o svůj feedback k newsletteru a pomozte nám zlepšit jeho kvalitu! ⬇️
Do tvorby newsletteru investujeme poměrně velké úsilí, a proto nás zajímá, co se vám líbí a co bychom mohli ještě vylepšit. Věnujte prosím svých 5 minut ➡️ tomuto dotazníku ⬅️.
🎁 Jako poděkování za vyplnění celého dotazníku vám rádi zašleme slevový kód do nZKB akademie 2025 nebo poskytneme přístup k placenému obsahu newsletteru – výběr je na vás.