15.1.2026
Novinky:
AktuálněBezpečnost

Jak efektivně aplikovat přiměřená bezpečnostní opatření podle nového režimu povinností

Redakce ISVS.CZ , ,

KYBEZ: Přiměřenost bezpečnostních opatření podle nového režimu nižších povinností – jak ji správně aplikovat?

Zveřejnila Pavla Chvalkovská 14. 1. 2026 82

Zdroj: NÚKIB – Podpůrný materiál „Přiměřenost v režimu nižších povinností“ (leden 2026, verze 1.0, PDF, 13 stran)

Úvod

Nový zákon o kybernetické bezpečnosti a navazující vyhlášky přinášejí do českého prostředí zásadní změnu v přístupu k regulaci kybernetické bezpečnosti. Vedle režimu vyšších povinností zavádějí také režim nižších povinností, který se dotkne širokého spektra organizací napříč veřejným i soukromým sektorem.

Jedním z klíčových pojmů tohoto režimu je přiměřenost bezpečnostních opatření. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) k tomuto tématu vydal podpůrný materiál, jehož cílem je pomoci povinným osobám pochopit, jak přiměřenost vykládat a aplikovat v praxi.

Tento článek shrnuje hlavní myšlenky dokumentu a převádí je do srozumitelného a praktického rámce pro organizace, které se na nový režim připravují.

Co znamená přiměřenost v kontextu kybernetické bezpečnosti

Přiměřenost v režimu nižších povinností neznamená snižování bezpečnostních standardů. Naopak představuje vědomý a odpovědný výběr opatření, která odpovídají:

  • povaze poskytované regulované služby,
  • významu chráněných informací a systémů,
  • reálným hrozbám a rizikům,
  • organizačním, personálním a technickým možnostem dané organizace.

Vyhláška nestanovuje konkrétní technologie ani detailní konfigurace. Používá tzv. performativní pravidla, která definují požadovaný cíl, nikoli konkrétní cestu k jeho dosažení. Odpovědnost za volbu vhodného řešení tak zůstává na povinné osobě.

Přiměřenost není nahodilost

NÚKIB ve svém materiálu opakovaně zdůrazňuje, že přiměřenost neznamená libovůli ani minimální snahu splnit zákonné požadavky. Každé přijaté (nebo nepřijaté) opatření musí být obhajitelné, a to zejména s ohledem na:

  • dopady případného kybernetického incidentu,
  • pravděpodobnost jeho vzniku,
  • dostupnost alternativních opatření.

I když režim nižších povinností přímo nevyžaduje formální analýzu rizik, zohlednění rizik je nezbytnou součástí rozhodování. Organizace by měla být schopna doložit, proč zvolila právě danou úroveň zabezpečení.

Klíčové faktory pro posouzení přiměřenosti

Znalost vlastního prostředí

Základem přiměřenosti je porozumění tomu, co organizace chrání. To zahrnuje:

  • klíčové informační systémy a služby,
  • citlivost zpracovávaných dat,
  • vazby na další subjekty a dodavatele,
  • možné dopady výpadku nebo narušení.

Bez tohoto přehledu nelze smysluplně rozhodovat o bezpečnostních opatřeních.

Rizika a hrozby

Přiměřenost vychází z realistického pohledu na hrozby, kterým organizace čelí. Ne každá organizace musí čelit sofistikovaným cíleným útokům, ale každá by měla počítat alespoň s běžnými scénáři, jako jsou:

  • phishing a sociální inženýrství,
  • zneužití slabých hesel,
  • malware a ransomware,
  • lidská chyba.
Náklady a přínosy

Materiál NÚKIB otevřeně pracuje s principem cost-benefit. Pokud by náklady na zavedení určitého opatření byly v hrubém nepoměru k přínosu, je možné zvolit jiný způsob ochrany – za předpokladu, že výsledná úroveň bezpečnosti zůstane adekvátní.

Procesní přístup: PDCA cyklus

Pro řízení přiměřenosti doporučuje NÚKIB využívat osvědčený cyklus PDCA (Plan – Do – Check – Act):

  • Plan – plánování opatření na základě znalosti prostředí a rizik,
  • Do – implementace zvolených opatření,
  • Check – ověření jejich funkčnosti a účinnosti,
  • Act – úprava opatření podle výsledků kontroly nebo změn v prostředí.

Tento přístup podporuje dlouhodobou udržitelnost bezpečnosti a umožňuje reagovat na technologický i hrozbový vývoj.

Praktické uplatnění přiměřenosti

Podpůrný materiál ilustruje princip přiměřenosti na konkrétních oblastech, například:

  • bezpečnost lidských zdrojů – rozsah školení odpovídající roli zaměstnanců,
  • řízení přístupů – úroveň autentizace dle citlivosti systémů,
  • kontinuita činností – zálohování a obnova v rozsahu odpovídajícím dopadům výpadku,
  • detekce událostí – monitoring a logování tam, kde přináší skutečnou přidanou hodnotu.

Společným jmenovatelem je fakt, že stejného cíle lze dosáhnout různými způsoby – a právě volba vhodné cesty je podstatou přiměřenosti.

Závěr

Přiměřenost v režimu nižších povinností není zjednodušením odpovědnosti, ale jejím přesunutím na kvalitu rozhodování. Organizace, které dokážou:

  • znát své prostředí,
  • realisticky hodnotit rizika,
  • dokumentovat svá rozhodnutí,
  • průběžně opatření přehodnocovat,
  • budou schopny plnit zákonné požadavky efektivně a bez zbytečné administrativní zátěže.

Podpůrný materiál NÚKIB v tomto směru představuje důležitý interpretační nástroj a měl by být povinnou četbou pro všechny, kterých se nový režim nižších povinností týká.

Jak může organizacím pomoci nástroj CSA

V praxi se princip přiměřenosti stává opravdu hodnotným nástrojem až tehdy, když je podpořen efektivními procesy a přehlednými výstupy. A právě tady může pro řadu organizací nastoupit řešení Cyber Security Audit (CSA) – aplikace určená k řízení kybernetické bezpečnosti, která propojuje metodiky NÚKIB, ISO 27000 a standardní legislativní požadavky do jednoho přehledného prostředí.

CSA umožňuje nasadit princip přiměřenosti v praxi bez zbytečné administrativní komplikace. Místo práce s izolovanými tabulkami a textovými dokumenty zpracováváte analýzu rizik, evidenci aktiv, identifikaci hrozeb, návrhy opatření, plán zvládání rizik i závěrečné výstupy v jednom zabezpečeném online nástroji 24/7, což výrazně zrychluje a zefektivňuje celý proces.

Takový nástroj pomáhá zejména v tom, že:

  • sjednocuje klíčová data – aktivita, hrozby, zranitelnosti a rizika jsou viditelná na jednom místě a propojená logickými vazbami, nikoli roztříštěná po různých tabulkách a dokumentech.
  • zrychluje rozhodování – přehledné reporty a vizualizace umožní managementu i bezpečnostním specialistům rychleji posoudit, kde je aktuální riziko a jaká opatření jsou přiměřená.
  • podporuje opakovatelnost a auditovatelnost – každý krok analýzy i volba opatření je zaznamenána, což významně usnadňuje případnou kontrolu nebo interní audit.

Pro organizace, které teprve začínají s řízením kybernetické bezpečnosti, stejně jako pro ty, kdo chtějí navázat nový režim nižších povinností na systematický a udržitelný proces, se tak CSA může stát praktickým partnerem na cestě od teorie k reálným výsledkům — bez nadbytečné byrokracie a s důrazem na to nejpodstatnější: odolnost vůči hrozbám a informovanost rozhodování.

📉 Vyzkoušet nástroj CSA

Zdroj:

K tématu:

Tweet
Share
Share
Pin

Mohlo by se vám také líbit

S novým rokem se mění přístup do ISZR

Redakce ISVS.CZ

DIA: Elektronický dokument s formulářem není elektronický formulář

Redakce ISVS.CZ

KYBEZ: Polsko úspěšně odvrátilo kyberútok na vodovodní síť města

Redakce ISVS.CZ