Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ZoKB / NIS29 min24. května 2026

Co dělat prvních 12 měsíců po registraci u NÚKIB: praktický časový plán

Rozhodnutí o registraci regulované služby od NÚKIB přišlo.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Co se stane, když nic neudělátePřehled celého roku na jednom místěOkamžitě po obdržení rozhodnutíFáze 0: Do 30 dnů — kontaktní a doplňující údaje (§ 11 nZKB)Fáze 1: Měsíce 1–2 — Základ, bez kterého nic dalšího nefungujeFáze 2: Měsíce 2–5 — Dokumentace a bezpečnostní politikyFáze 3: Měsíce 3–9 — Zavádění technických opatřeníFáze 4: Měsíce 8–11 — Testování, školení, doladěníFáze 5: Měsíc 12 — Kde musíte býtNejčastější chyby a jak se jim vyhnoutTL;DR

Co se stane, když nic neuděláte

Než se pustíme do plánu, je důležité pochopit, co sazí. nZKB dává NÚKIB nástroje k sankcionování firem, které neplní povinnosti:

Nejde tedy jen o papírový soulad — jde o reputaci firmy, důvěru zákazníků a provozní schopnost.

  • Pokuty až **250 000 000 Kč** nebo **2 % celosvětového ročního obratu**
  • Veřejná výstraha (NÚKIB může zveřejnit, že vaše firma neplní zákonné povinnosti)
  • Pro vedoucí osoby: individuální odpovědnost a pokuty až 5 000 000 Kč

Přehled celého roku na jednom místě

FázeTermínCo musíte udělat
OkamžitěDo 24 hodin od rozhodnutíZaregistrovat přijetí, nastavit upomínky
Fáze 0Do 30 dnů od rozhodnutíNahlásit kontaktní a doplňující údaje (§ 11 nZKB)
Fáze 1Měsíc 1–2Stanovit rozsah řízení KB + gap analýza
Fáze 2Měsíc 2–5Dokumentace a bezpečnostní politiky
Fáze 3Měsíc 3–9Zavádění technických opatření
Fáze 4Měsíc 8–11Testování, školení, doladění
Fáze 5Měsíc 12Připravenost na hlášení incidentů + přezkum

Okamžitě po obdržení rozhodnutí

Co udělat první den

**Potvrzení přijetí rozhodnutí** je formální krok, ale důležitý. Rozhodnutí o registraci je správní rozhodnutí — začíná lhůta. Ujistěte se, že víte, od jakého data lhůty běží.

**Nastavte si tři datum-upomínky do kalendáře:**

**Informujte vedení firmy.** nZKB výslovně počítá s odpovědností vedení — vedoucí osoby musejí být o povinnostech informovány a aktivně se podílet na jejich plnění. Compliance není jen záležitost IT oddělení.

  • D+30: deadline pro nahlášení kontaktních a doplňujících údajů (§ 11 nZKB)
  • D+365: deadline pro zavedení bezpečnostních opatření
  • D+365: začátek povinnosti hlásit kybernetické bezpečnostní incidenty

Protiopatření platí okamžitě

Toto platí bez ohledu na to, v jaké fázi přípravy se nacházíte: pokud NÚKIB vydá výstrahu, varování nebo reaktivní protiopatření, jste povinni reagovat **ihned**. Rozhodnutí o protiopatření má okamžitý účinek bez odkladné lhůty.

Co to v praxi znamená: sledujte Portál NÚKIB (portal.nukib.gov.cz) a nastavte si e-mailové notifikace nebo RSS feed na bezpečnostní varování.

Fáze 0: Do 30 dnů — kontaktní a doplňující údaje (§ 11 nZKB)

Pokud jste kontaktní údaje nenahlásili již při ohlašování regulované služby, máte na to **30 dní od doručení rozhodnutí o registraci**. Jde o:

**Proč je to důležité:** NÚKIB bez těchto údajů nemůže kontaktovat vaši firmu při incidentu, varování nebo protiopatření. Navíc jejich nenahlášení je samo o sobě porušením povinnosti.

**Praktická rada:** formulář nejde uložit rozpracovaný — mějte všechny údaje připravené před tím, než ho otevřete. Zkontrolujte si aktuální IP rozsahy, doménová jména a kontaktní osoby předem.

**Kde to udělat:** Portál NÚKIB → sekce „Chci vyřídit" → formulář Hlášení údajů.

  • **Kontaktní osoby** k regulovaným službám (jméno, funkce, telefon, e-mail)
  • **IP adresy a rozsahy** využívané při poskytování regulované služby
  • **Doménová jména** asociovaná s regulovanými službami
  • Pokud jste poskytovatel digitálních služeb: informace o přeshraničním poskytování a provozovnách

Fáze 1: Měsíce 1–2 — Základ, bez kterého nic dalšího nefunguje

Krok 1: Stanovení rozsahu řízení kyberbezpečnosti

Toto je pravděpodobně nejdůležitější rozhodnutí celého roku — a většina firem ho přeskočí nebo podcení.

**Co to znamená:** Musíte definovat, která aktiva, systémy, procesy a organizační části jsou zahrnuty do rozsahu vašeho řízení kyberbezpečnosti (tzv. ISMS scope).

**Proč záleží:** Pokud rozsah nestanovíte, zákon automaticky předpokládá, že opatření aplikujete na **veškerá aktiva celé organizace**. To je v praxi pro MSP nebo středně velkou firmu nepraktické a mnohonásobně nákladnější.

**Jak rozsah stanovit:**

Začněte od regulované služby — co je nezbytné pro její poskytování? Zahrňte:

**Co nemusí být v rozsahu:** podpůrné systémy bez přístupu k regulované službě, administrativa, marketing — pokud tyto oblasti nemají přístup k regulovaným systémům nebo datům.

**Zdokumentujte rozsah** formálně — jako interní dokument podepsaný vedením. Tento dokument je první, co NÚKIB nebo auditor při kontrole požaduje.

  • IT systémy, na nichž služba běží (servery, síťové prvky, cloudová prostředí)
  • Data, která služba zpracovává (zákaznická data, konfigurační data, logy)
  • Procesy, které jsou pro službu kritické (správa přístupů, zálohy, monitoring)
  • Lidi, kteří mají přístup k výše uvedeným (interní zaměstnanci i externisté a dodavatelé)

Krok 2: Gap analýza

Gap analýza je structured přehled rozdílu mezi tím, kde jste teď, a tím, kde musíte být za 12 měsíců. Bez ní nevíte, kolik práce vás čeká — a nemůžete prioritizovat.

**Co gap analýza zjišťuje:**

Pro každé bezpečnostní opatření požadované vyhláškou (pro váš režim) určuje:

**Kolik opatření vás čeká:**

**Výsledkem gap analýzy** je prioritizovaný seznam toho, co je potřeba udělat — s odhadem náročnosti a časové náročnosti každé položky. Tento plán se pak stává základem pro fáze 2 a 3.

**Tip:** I přesto, že mnoho firem má část opatření fakticky zavedených (aktualizace systémů, zálohy, přístupy), chybí jim dokumentace. Velká část gap analýzy u MSP odhalí ne absenci opatření, ale absenci jejich záznamu.

  • Stav: ✅ Zavedeno | Popis: Opatření existuje a funguje — potřebuje jen dokumentaci
  • Stav: ⚠️ Částečně | Popis: Opatření existuje, ale je neúplné nebo nedokumentované
  • Stav: ❌ Chybí | Popis: Opatření neexistuje — je potřeba vybudovat
  • **Nižší režim:** 13 opatření (vyhl. č. 410/2025 Sb.)
  • **Vyšší režim:** 25 opatření (vyhl. č. 409/2025 Sb.)

Fáze 2: Měsíce 2–5 — Dokumentace a bezpečnostní politiky

Dokumentace není byrokracie — je to zákonný požadavek a zároveň praktický nástroj. Při incidentu, auditu nebo personální změně vám ušetří obrovské množství práce.

Jaké politiky potřebujete a proč

**Politika řízení rizik** Základní dokument. Definuje, jak vaše firma identifikuje, hodnotí a zvládá bezpečnostní rizika. Bez ní nemůžete ospravedlnit, proč jste vybrali ta konkrétní opatření, která máte.

*Co musí obsahovat:* metodiku hodnocení rizik (stupnice pravděpodobnosti a dopadu), role a odpovědnosti, frekvenci přezkumu, způsob evidence.

**Politika řízení přístupů** Definuje, kdo smí přistupovat k jakým systémům a datům, za jakých podmínek a jak se přístupy udělují, mění a odebírají.

*Proč je kritická:* neoprávněný přístup nebo přístup bývalého zaměstnance patří k nejčastějším zdrojům bezpečnostních incidentů.

*Co musí obsahovat:* princip nejmenšího oprávnění, process onboardingu a offboardingu, požadavky na MFA, správu privilegovaných účtů.

**Politika řízení dodavatelů** Popisuje, jak hodnotíte bezpečnostní způsobilost dodavatelů, jaké požadavky na ně kladete a jak smluvně ošetřujete bezpečnostní závazky.

**Politika bezpečnosti lidských zdrojů** Pokrývá bezpečnostní aspekty celého životního cyklu zaměstnance: nábor (background check tam, kde je relevantní), onboarding (školení, přístupy), práci (pravidla chování) a offboarding (odebrání přístupů, vrácení zařízení).

**Politika řízení kontinuity a obnovy po havárii** Co se stane, když klíčový systém vypadne? Kdo co dělá, jak se obnovuje provoz, jak se komunikuje zákazníkům a NÚKIB?

**Politika řízení incidentů** Postup pro detekci, klasifikaci, eskalaci, řešení a dokumentaci bezpečnostních incidentů. Tato politika přímo podmiňuje vaši schopnost plnit zákonné oznamovací lhůty.

Jak politiky napsat správně

Tři zásady, které rozlišují funkční politiky od šanonového papírování:

  • 1. **Srozumitelnost před délkou.** Politika, které nikdo nerozumí, se nedodržuje. Pište srozumitelně, strukturovaně, s příklady.
  • 2. **Konkrétní odpovědnosti.** Každá politika musí jasně říkat, kdo za co odpovídá. „IT oddělení" nestačí — jmenujte role.
  • 3. **Živé dokumenty.** Politiky musí mít datum vydání, verzi a plánovaný termín přezkumu. Minimálně jednou ročně — nebo po každé větší změně.

Fáze 3: Měsíce 3–9 — Zavádění technických opatření

Technická opatření zavádějte paralelně s dokumentací, ne po ní. Začněte těmi s nejvyšším rizikovým dopadem a nejnižší náročností implementace.

Priorita 1: Správa přístupů (měsíce 3–5)

Toto je nejrychlejší win — a jedno z nejúčinnějších opatření.

**Co zavést:**

  • **Vícefaktorové ověřování (MFA)** na všech kritických systémech: e-mail, VPN, správa cloudové infrastruktury, správa zákazníků. MFA eliminuje velkou část útoků na přihlašovací údaje.
  • **Princip nejmenšího oprávnění:** každý uživatel a systém má přístup pouze k tomu, co potřebuje pro svou funkci. Pravidelně přezkumujte a odebírejte nepotřebná oprávnění.
  • **Offboarding proces:** okamžité odebrání přístupů při odchodu zaměstnance nebo ukončení spolupráce s externím pracovníkem. Definujte, kdo to dělá a do kdy.
  • **Správa privilegovaných účtů:** administrátorské přístupy by měly být oddělené od běžných pracovních účtů, auditované a používané pouze pro konkrétní úkoly.

Priorita 2: Zálohy a obnova (měsíce 3–6)

**Pravidlo 3-2-1:** 3 kopie dat, na 2 různých typech médií, 1 mimo primární lokalitu (nebo offsite/cloudová záloha). Zálohy jsou k ničemu, pokud je nikdy netestujete.

**Co zavést:**

  • Automatické zálohy kritických systémů a dat s definovanou frekvencí
  • Pravidelné testování obnovy ze zálohy (nestačí jen zkontrolovat, že záloha proběhla — otestujte skutečnou obnovu)
  • Oddělení zálohovacího systému od produkčního prostředí (ransomware jinak zašifruje i zálohy)
  • Dokumentace RTO (Recovery Time Objective — jak dlouho smí trvat obnova) a RPO (Recovery Point Objective — o kolik dat si můžete dovolit přijít)

Priorita 3: Správa zranitelností a záplatování (měsíce 4–7)

**Co zavést:**

  • Pravidelný patch management: jasný proces pro sledování, testování a aplikaci bezpečnostních aktualizací operačních systémů, aplikací a síťových prvků
  • Definovaná SLA pro záplatování: kritické zranitelnosti (CVSS 9+) do 24–72 hodin, vysoké (CVSS 7–9) do 7 dní, střední do 30 dnů
  • Inventura systémů: nelze záplatovat to, o čem nevíte. Udržujte aktuální seznam všech spravovaných systémů.

Priorita 4: Logování a monitoring (měsíce 5–8)

**Co zavést:**

  • Centralizované logování kritických systémů (servery, síťové prvky, přístupy, VPN)
  • Uchovávání logů minimálně 90 dní (doporučeno 12 měsíců pro forenzní účely)
  • Alerting na podezřelé aktivity: opakované neúspěšné přihlášení, přihlášení ze zahraničí, neobvyklé přenosy dat
  • Definice toho, kdo logy monitoruje a jak reaguje na alarmy

Priorita 5: Síťová bezpečnost a šifrování (měsíce 6–9)

**Co zavést:**

  • Segmentace sítě: různé části sítě (produkce, vývoj, administrativa) odděleny — kompromitace jednoho segmentu neohrozí automaticky vše
  • Šifrování přenášených dat: HTTPS všude, šifrované VPN pro vzdálený přístup
  • Šifrování uložených dat: zejména zálohy a citlivá zákaznická data
  • Firewall pravidla: pravidelná revize, blokování nepoužívaných portů a služeb

Fáze 4: Měsíce 8–11 — Testování, školení, doladění

Testování incident response plánu

Než uplyne rok, musíte být připraveni incidenty skutečně hlásit. To vyžaduje víc než mít plán napsaný — musíte ho otestovat.

**Proveďte tabletop cvičení:** Vyberte realistický scénář (ransomware, únik přihlašovacích údajů, výpadek klíčového systému) a projděte postup se všemi zodpovědnými osobami. Cílem je odhalit mezery — ne ukázat, jak dobří jste. Více o tom v článku o incident response cvičeních na tomto blogu.

**Co testovat:**

  • Schopnost detekovat incident (funguje monitoring a alerting?)
  • Schopnost posoudit závažnost (víte, kdy incident musíte hlásit NÚKIB?)
  • Schopnost nahlásit incident v zákonné lhůtě (24 hodin pro nZKB)
  • Schopnost komunikovat zákazníkům a dalším stakeholderům
  • Schopnost obnovit provoz ze zálohy

Školení zaměstnanců

Bezpečnostní opatření selžou, pokud je zaměstnanci obcházejí — vědomě nebo nevědomě.

**Minimální obsah školení:**

**Uchovávejte záznamy** o tom, kdo byl proškolen a kdy. Tyto záznamy jsou důkaz pro NÚKIB i zákaznické auditory.

  • Phishing a sociální inženýrství — jak rozpoznat podezřelý e-mail
  • Správa hesel — proč je sdílení hesel problém a jak správně hesla spravovat
  • Hlášení incidentů — jak zaměstnanec hlásí podezřelou aktivitu interně
  • Práce s citlivými daty — co smí sdílet a čím a co ne

Interní audit

Před samotným dvanáctým měsícem si proveďte interní audit: projděte každé požadované opatření a ověřte, že je skutečně zavedené a zdokumentované, ne jen plánované.

Fáze 5: Měsíc 12 — Kde musíte být

Po uplynutí 12 měsíců od potvrzení registrace musíte plnit všechny zákonné povinnosti souběžně. To zahrnuje:

✅ Zavedená bezpečnostní opatření odpovídající vašemu režimu (nižší nebo vyšší) ✅ Aktivní hlášení kybernetických bezpečnostních incidentů (funkční proces, ne jen dokument) ✅ Aktuální bezpečnostní dokumentace a politiky ✅ Proškolení zaměstnanci se záznamy o školení ✅ Otestovaný incident response plán ✅ Pravidelné přezkumy nastaveny do kalendáře pro nadcházející rok

Nejčastější chyby a jak se jim vyhnout

**Čekání na „ideální čas"** Compliance nikdy nepřijde ve vhodný moment. Čím dřív začnete, tím méně stresu v posledních měsících. Začněte gap analýzou okamžitě po obdržení rozhodnutí.

**Přeskočení stanovení rozsahu** Bez definovaného rozsahu jsou opatření zbytečně rozsáhlá a nákladná. Toto je nejdůležitější investice prvních dvou měsíců.

**Politiky bez zodpovědností** „Zálohy se dělají automaticky" nestačí. Politika musí říkat kdo, co, kdy a jak. A kdo odpovídá za to, že to funguje.

**Opatření bez testování** Zálohy, které se netestují, jsou jen falešná jistota. Incident response plán, který nikdo nezkušel, selže v nejdůležitější chvíli.

**Ignorování dodavatelů** Velká část bezpečnostních incidentů přichází přes kompromitované dodavatele. Hodnocení dodavatelů není volitelný luxus — je to zákonný požadavek pro vyšší režim a nezbytná praxe pro nižší.

TL;DR

  • Do 30 dnů: nahlaste kontaktní a doplňující údaje na NÚKIB portál.
  • Měsíce 1–2: stanovte rozsah řízení KB a proveďte gap analýzu. Bez toho nevíte, co vás čeká.
  • Měsíce 2–5: vytvořte základní bezpečnostní politiky — rizika, přístupy, dodavatelé, kontinuita, incidenty.
  • Měsíce 3–9: zavádějte technická opatření podle priority: MFA a přístupy → zálohy → záplatování → logování → síťová bezpečnost.
  • Měsíce 8–11: otestujte incident response plán a proškolte zaměstnance.
  • Měsíc 12: musíte být schopni aktivně hlásit incidenty a doložit zavedená opatření.

Související přehled předpisu

Otevřít přehled: ZoKB / NIS2 →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||