Bezpečnost firem

    NIS2 a malé firmy: proč se vás zákon týká, i když o něm nevíte

    Váš zákazník je velká firma. Nebo dodáváte IT služby nemocnici. Nebo jste účetní firma, která zpracovává data pro výrobní podnik. Od listopadu 2025 platí v ČR nový zákon o kybernetické bezpečnosti – a nepřímo se dotkne i vás.

    11. března 202612 min čteníTým digitalnibezpeci.cz

    Váš zákazník je velká firma. Nebo dodáváte IT služby nemocnici. Nebo jste účetní firma, která zpracovává data pro výrobní podnik. Od listopadu 2025 platí v ČR nový zákon o kybernetické bezpečnosti, implementující evropskou směrnici NIS2. Přímo pod něj spadá přibližně 6 000 organizací. Ale Tomáš Krejčí z NÚKIB a advokátka Monika Mareková v nedávné debatě shodně varovali: nepřímo se zákon dotkne tisíců dalších firem v dodavatelském řetězci. I vaší.

    Co je NIS2 a proč vznikla

    NIS2 je evropská směrnice o kybernetické bezpečnosti, která v ČR vstoupila v platnost jako nový zákon o kybernetické bezpečnosti v listopadu 2025. Reaguje na realitu, kterou experti popisují jako alarmující: kybernetická kriminalita je dnes odhadována na 10 bilionů dolarů ročně, což z ní fakticky dělá třetí největší ekonomiku světa.

    Zákon vychází z jednoduché logiky: útoky se profesionalizovaly, staly se nástrojem státních aktérů i organizovaného zločinu, a firmy k nim přistupovaly jako k IT problému. NIS2 z kybernetické bezpečnosti dělá manažerský a právní závazek.

    Koho zákon přímo reguluje

    Přímo pod zákon spadá přibližně 6 000 organizací v ČR. Patří sem:

    Energetika a distribuce elektřiny
    Zdravotnictví a nemocnice
    Doprava a logistika
    Bankovnictví a finanční infrastruktura
    IT služby a cloudoví poskytovatelé
    Státní správa a samospráva
    Nově také fotovoltaika a výrobní podniky nad určitou velikost

    Tyto firmy mají zákonem danou povinnost zavést bezpečnostní opatření, hlásit incidenty a – a to je klíčové – odpovídat za bezpečnost svého dodavatelského řetězce.

    Dodavatelský řetězec: kde vstupujete vy

    A právě zde začíná část příběhu, která se týká firem mimo 6 000 regulovaných.

    Regulovaná firma musí ze zákona prověřit a řídit bezpečnostní rizika svých dodavatelů. To v praxi znamená, že pokud dodáváte regulované firmě cokoliv, kde existuje digitální přístup nebo sdílení dat, budete muset prokázat určitou úroveň bezpečnosti.

    Konkrétní příklady:

    Jste IT firma a spravujete servery nemocnici.
    Jste účetní kancelář a přistupujete do systémů energetické firmy.
    Jste marketingová agentura a máte přístup k databázi zákazníků výrobního podniku.
    Dodáváte software logistické společnosti.

    Ve všech těchto případech na vás regulovaná firma přenese část svých povinností smluvně. Buď splníte bezpečnostní požadavky, nebo přijdete o zakázku.

    Co zákon konkrétně vyžaduje – a co to znamená pro malou firmu

    Zákon nestanoví, že musíte být ajťáci. Jak vysvětlil Tomáš Krejčí z NÚKIB: management musí věnovat bezpečnosti pozornost, dedikovat zdroje a řídit ji na manažerské úrovni. Stejně jako řídí obchod nebo marketing.

    Pro malou firmu to v praxi znamená několik věcí:

    Správa přístupů a hesel

    Každý zaměstnanec musí mít vlastní přihlašovací údaje. Sdílená hesla nejsou přijatelná. Silná hesla a správce hesel jsou základem.

    Password manager pro firmy →

    Dvoufaktorové ověření

    Pro přístup k firemním systémům, e-mailu a cloudovým nástrojům. Toto je jedno z nejjednodušších a nejúčinnějších opatření.

    Zálohy

    Pravidelné, testované a oddělené od hlavní sítě. Záloha připojená k síti je po útoku ransomwaru k ničemu.

    Zálohovací strategie pro firmy →

    Šifrovaná komunikace

    Zejména pokud přenášíte citlivá data zákazníků nebo přistupujete k systémům klientů vzdáleně.

    VPN pro firmu →

    Základní dokumentace

    Co děláte, kdo má přístup k čemu, jak reagujete na incident. Nemusí to být stránkový dokument, ale musí existovat.

    Odpovědnost managementu – nová realita

    NIS2 explicitně adresuje odpovědnost vedení. Pokud management firmy kybernetickou bezpečnost ignoruje a dojde k incidentu, může nést osobní odpovědnost.

    „V zahraničí už jsou precedentní rozsudky, kde soud odsoudil manažery, že nekonali. U nás to zatím není, ale časem přijde."

    — Monika Mareková, advokátka

    K tomu je třeba přidat GDPR rozměr. Pokud útočník data nejen zablokuje, ale ukradne a hrozí zveřejněním, firma nese odpovědnost za únik osobních údajů. Pokuta může přijít z obou směrů zároveň – od regulátora kybernetické bezpečnosti i od úřadu pro ochranu osobních dat.

    Nejslabší článek je stále člověk

    Experti ze všech stran se shodují: technická opatření jsou důležitá, ale nejslabší článek zůstává člověk. Phishingový e-mail, který vypadá jako zpráva od kolegy. Přihlášení přes nezabezpečené připojení z kavárny. Slabé heslo používané na více místech.

    Útočník nehledá díru v softwaru. Hledá jednoho zaměstnance, který klikne na špatný odkaz. Obránce musí pokrýt celou oblast, útočník potřebuje jen jeden průlom.

    Proto je vzdělávání zaměstnanců součástí regulatorních požadavků. Nestačí koupit software. Lidé musí vědět, co dělat a čeho se vyvarovat. Jak poznat phishing →

    Nebýt ten nejslabší – proč to pro většinu firem stačí

    „Před sto lety si lékaři nemyli ruce, byla vysoká úmrtnost. Dnes je mytí rukou samozřejmost. Kybernetická hygiena je totéž – základní opatření, která odfiltrují 80 procent útoků."

    — Martin Půlpán, České Radiokomunikace

    A klíčová věta, která by měla uklidnit každého majitele malé firmy: „Když se na vás zaměří státní aktér, je to jiná hra. Pro většinu firem ale stačí nebýt ten nejslabší."

    Přesně tak funguje kyberkriminalita jako byznys. Útočníci hledají nejsnazší cíl. Firmy, které mají základní opatření, jsou automaticky méně zajímavé. Zločinci nepřekonávají zábrany zbytečně – jdou tam, kde žádné nejsou.

    Co tvoří oněch 80 procent ochrany?

    Proškolení zaměstnanců
    Segmentace sítě
    Řízení přístupů
    Zálohy oddělené od sítě

    Čtyři věci. Žádná z nich nevyžaduje velký rozpočet ani IT oddělení.

    Kde zákon nestačí – rizikový dodavatel jako státní problém

    Jedna část debaty se dotkla tématu, které malá firma sama nevyřeší. Tomáš Krejčí z NÚKIB upozornil, že strategická závislost na rizikových dodavatelích – například technologiích z Číny nebo Ruska – přesahuje možnosti jednotlivé firmy.

    „Pokud máme strategickou závislost na rizikových dodavatelích, to už firma nemůže řešit sama. Tady musí převzít zodpovědnost stát."

    — Tomáš Krejčí, NÚKIB

    Pro malou firmu z toho plyne jedna praktická věc: pokud používáte technologie nebo cloudové služby od dodavatelů z rizikových zemí, zjistěte si, jak k nim přistupují vaši zákazníci z regulovaných sektorů. Může to být téma při smluvních jednáních dřív, než to čekáte.

    Praktický checklist: kde začít

    Pokud nevíte, kde začít, tady je pořadí, které dává smysl:

    1

    Zjistěte, zda jste přímý dodavatel regulované firmy

    Pokud ano, kontaktujte svého zákazníka a zeptejte se na jejich bezpečnostní požadavky pro dodavatele. Přijdou dřív nebo později.

    2

    Správce hesel pro celý tým

    Každý zaměstnanec, vlastní přihlašovací údaje, silná a unikátní hesla. Toto je základ, bez kterého nemá smysl nic dalšího.

    3

    Zapněte dvoufaktorové ověření

    Všude, kde to systém umožňuje. E-mail, cloudové úložiště, firemní aplikace.

    4

    Zkontrolujte zálohy

    Kdy naposledy jste zálohu otestovali? Víte, že funguje? Je oddělena od sítě?

    5

    Projděte s týmem základy phishingu

    Jedna hodina ročně může zabránit mnohem větším problémům.

    Správa hesel pro celý tým – základ, který zákon vyžaduje

    NordPass Business umožňuje centrální správu přihlašovacích údajů pro celý tým. Sdílené trezory, správa přístupů, audit log.

    Affiliate odkaz – podpoříte tím provoz webu.

    Bezplatné alternativy: Bitwarden (správce hesel zdarma pro týmy), Proton Mail free.

    Závěr

    NIS2 není jen zákon pro velké korporace. Je to systémová změna, která přes dodavatelský řetězec dolehne na tisíce malých a středních firem.

    Monika Mareková to v závěru debaty shrnula výstižně: klíčové je smysluplné zavedení NIS2 a nařízení Cyber Resilience Act – ne formální splnění na papíře, ale reálná změna v tom, jak firmy bezpečnost řídí.

    Tomáš Krejčí z NÚKIB přidal zprávu pro jednotlivce: začít u sebe. Věnovat jednou za měsíc pozornost sebevzdělávání. Česká republika je na tom relativně dobře – ale musíme na tom pracovat.

    Firmy, které se připraví dřív, nebudou dohánět požadavky zákazníků pod tlakem. A nebudou řešit incident, který mohl být preventabilní. Kybernetická hygiena je dnes stejná nutnost jako mytí rukou. A stejně tak je levná – pokud ji zavedete dřív, než ji budete potřebovat.

    Chcete zabezpečit celou firmu krok za krokem?

    Přečtěte si průvodce bezpečností hesel, zálohovací strategií a obranou před phishingem.