Co dělat prvních 12 měsíců po registraci u NÚKIB: praktický časový plán
Rozhodnutí o registraci regulované služby od NÚKIB přišlo.
Autor: Splnit.eu, Redakce Splnit.eu
Co se stane, když nic neuděláte
Než se pustíme do plánu, je důležité pochopit, co sazí. nZKB dává NÚKIB nástroje k sankcionování firem, které neplní povinnosti:
Nejde tedy jen o papírový soulad — jde o reputaci firmy, důvěru zákazníků a provozní schopnost.
- Pokuty až **250 000 000 Kč** nebo **2 % celosvětového ročního obratu**
- Veřejná výstraha (NÚKIB může zveřejnit, že vaše firma neplní zákonné povinnosti)
- Pro vedoucí osoby: individuální odpovědnost a pokuty až 5 000 000 Kč
Přehled celého roku na jednom místě
| Fáze | Termín | Co musíte udělat |
|---|---|---|
| Okamžitě | Do 24 hodin od rozhodnutí | Zaregistrovat přijetí, nastavit upomínky |
| Fáze 0 | Do 30 dnů od rozhodnutí | Nahlásit kontaktní a doplňující údaje (§ 11 nZKB) |
| Fáze 1 | Měsíc 1–2 | Stanovit rozsah řízení KB + gap analýza |
| Fáze 2 | Měsíc 2–5 | Dokumentace a bezpečnostní politiky |
| Fáze 3 | Měsíc 3–9 | Zavádění technických opatření |
| Fáze 4 | Měsíc 8–11 | Testování, školení, doladění |
| Fáze 5 | Měsíc 12 | Připravenost na hlášení incidentů + přezkum |
Okamžitě po obdržení rozhodnutí
Co udělat první den
**Potvrzení přijetí rozhodnutí** je formální krok, ale důležitý. Rozhodnutí o registraci je správní rozhodnutí — začíná lhůta. Ujistěte se, že víte, od jakého data lhůty běží.
**Nastavte si tři datum-upomínky do kalendáře:**
**Informujte vedení firmy.** nZKB výslovně počítá s odpovědností vedení — vedoucí osoby musejí být o povinnostech informovány a aktivně se podílet na jejich plnění. Compliance není jen záležitost IT oddělení.
- D+30: deadline pro nahlášení kontaktních a doplňujících údajů (§ 11 nZKB)
- D+365: deadline pro zavedení bezpečnostních opatření
- D+365: začátek povinnosti hlásit kybernetické bezpečnostní incidenty
Protiopatření platí okamžitě
Toto platí bez ohledu na to, v jaké fázi přípravy se nacházíte: pokud NÚKIB vydá výstrahu, varování nebo reaktivní protiopatření, jste povinni reagovat **ihned**. Rozhodnutí o protiopatření má okamžitý účinek bez odkladné lhůty.
Co to v praxi znamená: sledujte Portál NÚKIB (portal.nukib.gov.cz) a nastavte si e-mailové notifikace nebo RSS feed na bezpečnostní varování.
Fáze 0: Do 30 dnů — kontaktní a doplňující údaje (§ 11 nZKB)
Pokud jste kontaktní údaje nenahlásili již při ohlašování regulované služby, máte na to **30 dní od doručení rozhodnutí o registraci**. Jde o:
**Proč je to důležité:** NÚKIB bez těchto údajů nemůže kontaktovat vaši firmu při incidentu, varování nebo protiopatření. Navíc jejich nenahlášení je samo o sobě porušením povinnosti.
**Praktická rada:** formulář nejde uložit rozpracovaný — mějte všechny údaje připravené před tím, než ho otevřete. Zkontrolujte si aktuální IP rozsahy, doménová jména a kontaktní osoby předem.
**Kde to udělat:** Portál NÚKIB → sekce „Chci vyřídit" → formulář Hlášení údajů.
- **Kontaktní osoby** k regulovaným službám (jméno, funkce, telefon, e-mail)
- **IP adresy a rozsahy** využívané při poskytování regulované služby
- **Doménová jména** asociovaná s regulovanými službami
- Pokud jste poskytovatel digitálních služeb: informace o přeshraničním poskytování a provozovnách
Fáze 1: Měsíce 1–2 — Základ, bez kterého nic dalšího nefunguje
Krok 1: Stanovení rozsahu řízení kyberbezpečnosti
Toto je pravděpodobně nejdůležitější rozhodnutí celého roku — a většina firem ho přeskočí nebo podcení.
**Co to znamená:** Musíte definovat, která aktiva, systémy, procesy a organizační části jsou zahrnuty do rozsahu vašeho řízení kyberbezpečnosti (tzv. ISMS scope).
**Proč záleží:** Pokud rozsah nestanovíte, zákon automaticky předpokládá, že opatření aplikujete na **veškerá aktiva celé organizace**. To je v praxi pro MSP nebo středně velkou firmu nepraktické a mnohonásobně nákladnější.
**Jak rozsah stanovit:**
Začněte od regulované služby — co je nezbytné pro její poskytování? Zahrňte:
**Co nemusí být v rozsahu:** podpůrné systémy bez přístupu k regulované službě, administrativa, marketing — pokud tyto oblasti nemají přístup k regulovaným systémům nebo datům.
**Zdokumentujte rozsah** formálně — jako interní dokument podepsaný vedením. Tento dokument je první, co NÚKIB nebo auditor při kontrole požaduje.
- IT systémy, na nichž služba běží (servery, síťové prvky, cloudová prostředí)
- Data, která služba zpracovává (zákaznická data, konfigurační data, logy)
- Procesy, které jsou pro službu kritické (správa přístupů, zálohy, monitoring)
- Lidi, kteří mají přístup k výše uvedeným (interní zaměstnanci i externisté a dodavatelé)
Krok 2: Gap analýza
Gap analýza je structured přehled rozdílu mezi tím, kde jste teď, a tím, kde musíte být za 12 měsíců. Bez ní nevíte, kolik práce vás čeká — a nemůžete prioritizovat.
**Co gap analýza zjišťuje:**
Pro každé bezpečnostní opatření požadované vyhláškou (pro váš režim) určuje:
**Kolik opatření vás čeká:**
**Výsledkem gap analýzy** je prioritizovaný seznam toho, co je potřeba udělat — s odhadem náročnosti a časové náročnosti každé položky. Tento plán se pak stává základem pro fáze 2 a 3.
**Tip:** I přesto, že mnoho firem má část opatření fakticky zavedených (aktualizace systémů, zálohy, přístupy), chybí jim dokumentace. Velká část gap analýzy u MSP odhalí ne absenci opatření, ale absenci jejich záznamu.
- Stav: ✅ Zavedeno | Popis: Opatření existuje a funguje — potřebuje jen dokumentaci
- Stav: ⚠️ Částečně | Popis: Opatření existuje, ale je neúplné nebo nedokumentované
- Stav: ❌ Chybí | Popis: Opatření neexistuje — je potřeba vybudovat
- **Nižší režim:** 13 opatření (vyhl. č. 410/2025 Sb.)
- **Vyšší režim:** 25 opatření (vyhl. č. 409/2025 Sb.)
Fáze 2: Měsíce 2–5 — Dokumentace a bezpečnostní politiky
Dokumentace není byrokracie — je to zákonný požadavek a zároveň praktický nástroj. Při incidentu, auditu nebo personální změně vám ušetří obrovské množství práce.
Jaké politiky potřebujete a proč
**Politika řízení rizik** Základní dokument. Definuje, jak vaše firma identifikuje, hodnotí a zvládá bezpečnostní rizika. Bez ní nemůžete ospravedlnit, proč jste vybrali ta konkrétní opatření, která máte.
*Co musí obsahovat:* metodiku hodnocení rizik (stupnice pravděpodobnosti a dopadu), role a odpovědnosti, frekvenci přezkumu, způsob evidence.
**Politika řízení přístupů** Definuje, kdo smí přistupovat k jakým systémům a datům, za jakých podmínek a jak se přístupy udělují, mění a odebírají.
*Proč je kritická:* neoprávněný přístup nebo přístup bývalého zaměstnance patří k nejčastějším zdrojům bezpečnostních incidentů.
*Co musí obsahovat:* princip nejmenšího oprávnění, process onboardingu a offboardingu, požadavky na MFA, správu privilegovaných účtů.
**Politika řízení dodavatelů** Popisuje, jak hodnotíte bezpečnostní způsobilost dodavatelů, jaké požadavky na ně kladete a jak smluvně ošetřujete bezpečnostní závazky.
**Politika bezpečnosti lidských zdrojů** Pokrývá bezpečnostní aspekty celého životního cyklu zaměstnance: nábor (background check tam, kde je relevantní), onboarding (školení, přístupy), práci (pravidla chování) a offboarding (odebrání přístupů, vrácení zařízení).
**Politika řízení kontinuity a obnovy po havárii** Co se stane, když klíčový systém vypadne? Kdo co dělá, jak se obnovuje provoz, jak se komunikuje zákazníkům a NÚKIB?
**Politika řízení incidentů** Postup pro detekci, klasifikaci, eskalaci, řešení a dokumentaci bezpečnostních incidentů. Tato politika přímo podmiňuje vaši schopnost plnit zákonné oznamovací lhůty.
Jak politiky napsat správně
Tři zásady, které rozlišují funkční politiky od šanonového papírování:
- 1. **Srozumitelnost před délkou.** Politika, které nikdo nerozumí, se nedodržuje. Pište srozumitelně, strukturovaně, s příklady.
- 2. **Konkrétní odpovědnosti.** Každá politika musí jasně říkat, kdo za co odpovídá. „IT oddělení" nestačí — jmenujte role.
- 3. **Živé dokumenty.** Politiky musí mít datum vydání, verzi a plánovaný termín přezkumu. Minimálně jednou ročně — nebo po každé větší změně.
Fáze 3: Měsíce 3–9 — Zavádění technických opatření
Technická opatření zavádějte paralelně s dokumentací, ne po ní. Začněte těmi s nejvyšším rizikovým dopadem a nejnižší náročností implementace.
Priorita 1: Správa přístupů (měsíce 3–5)
Toto je nejrychlejší win — a jedno z nejúčinnějších opatření.
**Co zavést:**
- **Vícefaktorové ověřování (MFA)** na všech kritických systémech: e-mail, VPN, správa cloudové infrastruktury, správa zákazníků. MFA eliminuje velkou část útoků na přihlašovací údaje.
- **Princip nejmenšího oprávnění:** každý uživatel a systém má přístup pouze k tomu, co potřebuje pro svou funkci. Pravidelně přezkumujte a odebírejte nepotřebná oprávnění.
- **Offboarding proces:** okamžité odebrání přístupů při odchodu zaměstnance nebo ukončení spolupráce s externím pracovníkem. Definujte, kdo to dělá a do kdy.
- **Správa privilegovaných účtů:** administrátorské přístupy by měly být oddělené od běžných pracovních účtů, auditované a používané pouze pro konkrétní úkoly.
Priorita 2: Zálohy a obnova (měsíce 3–6)
**Pravidlo 3-2-1:** 3 kopie dat, na 2 různých typech médií, 1 mimo primární lokalitu (nebo offsite/cloudová záloha). Zálohy jsou k ničemu, pokud je nikdy netestujete.
**Co zavést:**
- Automatické zálohy kritických systémů a dat s definovanou frekvencí
- Pravidelné testování obnovy ze zálohy (nestačí jen zkontrolovat, že záloha proběhla — otestujte skutečnou obnovu)
- Oddělení zálohovacího systému od produkčního prostředí (ransomware jinak zašifruje i zálohy)
- Dokumentace RTO (Recovery Time Objective — jak dlouho smí trvat obnova) a RPO (Recovery Point Objective — o kolik dat si můžete dovolit přijít)
Priorita 3: Správa zranitelností a záplatování (měsíce 4–7)
**Co zavést:**
- Pravidelný patch management: jasný proces pro sledování, testování a aplikaci bezpečnostních aktualizací operačních systémů, aplikací a síťových prvků
- Definovaná SLA pro záplatování: kritické zranitelnosti (CVSS 9+) do 24–72 hodin, vysoké (CVSS 7–9) do 7 dní, střední do 30 dnů
- Inventura systémů: nelze záplatovat to, o čem nevíte. Udržujte aktuální seznam všech spravovaných systémů.
Priorita 4: Logování a monitoring (měsíce 5–8)
**Co zavést:**
- Centralizované logování kritických systémů (servery, síťové prvky, přístupy, VPN)
- Uchovávání logů minimálně 90 dní (doporučeno 12 měsíců pro forenzní účely)
- Alerting na podezřelé aktivity: opakované neúspěšné přihlášení, přihlášení ze zahraničí, neobvyklé přenosy dat
- Definice toho, kdo logy monitoruje a jak reaguje na alarmy
Priorita 5: Síťová bezpečnost a šifrování (měsíce 6–9)
**Co zavést:**
- Segmentace sítě: různé části sítě (produkce, vývoj, administrativa) odděleny — kompromitace jednoho segmentu neohrozí automaticky vše
- Šifrování přenášených dat: HTTPS všude, šifrované VPN pro vzdálený přístup
- Šifrování uložených dat: zejména zálohy a citlivá zákaznická data
- Firewall pravidla: pravidelná revize, blokování nepoužívaných portů a služeb
Fáze 4: Měsíce 8–11 — Testování, školení, doladění
Testování incident response plánu
Než uplyne rok, musíte být připraveni incidenty skutečně hlásit. To vyžaduje víc než mít plán napsaný — musíte ho otestovat.
**Proveďte tabletop cvičení:** Vyberte realistický scénář (ransomware, únik přihlašovacích údajů, výpadek klíčového systému) a projděte postup se všemi zodpovědnými osobami. Cílem je odhalit mezery — ne ukázat, jak dobří jste. Více o tom v článku o incident response cvičeních na tomto blogu.
**Co testovat:**
- Schopnost detekovat incident (funguje monitoring a alerting?)
- Schopnost posoudit závažnost (víte, kdy incident musíte hlásit NÚKIB?)
- Schopnost nahlásit incident v zákonné lhůtě (24 hodin pro nZKB)
- Schopnost komunikovat zákazníkům a dalším stakeholderům
- Schopnost obnovit provoz ze zálohy
Školení zaměstnanců
Bezpečnostní opatření selžou, pokud je zaměstnanci obcházejí — vědomě nebo nevědomě.
**Minimální obsah školení:**
**Uchovávejte záznamy** o tom, kdo byl proškolen a kdy. Tyto záznamy jsou důkaz pro NÚKIB i zákaznické auditory.
- Phishing a sociální inženýrství — jak rozpoznat podezřelý e-mail
- Správa hesel — proč je sdílení hesel problém a jak správně hesla spravovat
- Hlášení incidentů — jak zaměstnanec hlásí podezřelou aktivitu interně
- Práce s citlivými daty — co smí sdílet a čím a co ne
Interní audit
Před samotným dvanáctým měsícem si proveďte interní audit: projděte každé požadované opatření a ověřte, že je skutečně zavedené a zdokumentované, ne jen plánované.
Fáze 5: Měsíc 12 — Kde musíte být
Po uplynutí 12 měsíců od potvrzení registrace musíte plnit všechny zákonné povinnosti souběžně. To zahrnuje:
✅ Zavedená bezpečnostní opatření odpovídající vašemu režimu (nižší nebo vyšší) ✅ Aktivní hlášení kybernetických bezpečnostních incidentů (funkční proces, ne jen dokument) ✅ Aktuální bezpečnostní dokumentace a politiky ✅ Proškolení zaměstnanci se záznamy o školení ✅ Otestovaný incident response plán ✅ Pravidelné přezkumy nastaveny do kalendáře pro nadcházející rok
Nejčastější chyby a jak se jim vyhnout
**Čekání na „ideální čas"** Compliance nikdy nepřijde ve vhodný moment. Čím dřív začnete, tím méně stresu v posledních měsících. Začněte gap analýzou okamžitě po obdržení rozhodnutí.
**Přeskočení stanovení rozsahu** Bez definovaného rozsahu jsou opatření zbytečně rozsáhlá a nákladná. Toto je nejdůležitější investice prvních dvou měsíců.
**Politiky bez zodpovědností** „Zálohy se dělají automaticky" nestačí. Politika musí říkat kdo, co, kdy a jak. A kdo odpovídá za to, že to funguje.
**Opatření bez testování** Zálohy, které se netestují, jsou jen falešná jistota. Incident response plán, který nikdo nezkušel, selže v nejdůležitější chvíli.
**Ignorování dodavatelů** Velká část bezpečnostních incidentů přichází přes kompromitované dodavatele. Hodnocení dodavatelů není volitelný luxus — je to zákonný požadavek pro vyšší režim a nezbytná praxe pro nižší.
TL;DR
- Do 30 dnů: nahlaste kontaktní a doplňující údaje na NÚKIB portál.
- Měsíce 1–2: stanovte rozsah řízení KB a proveďte gap analýzu. Bez toho nevíte, co vás čeká.
- Měsíce 2–5: vytvořte základní bezpečnostní politiky — rizika, přístupy, dodavatelé, kontinuita, incidenty.
- Měsíce 3–9: zavádějte technická opatření podle priority: MFA a přístupy → zálohy → záplatování → logování → síťová bezpečnost.
- Měsíce 8–11: otestujte incident response plán a proškolte zaměstnance.
- Měsíc 12: musíte být schopni aktivně hlásit incidenty a doložit zavedená opatření.
Související přehled předpisu
Otevřít přehled: ZoKB / NIS2 →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma