Zákon o kybernetické bezpečnosti („ZKB“), účinný od 1. listopadu 2025, představuje nové povinnosti dané směrnicí NIS2. Pokud vaše organizace poskytuje regulovanou službu, musíte ji do 60 dnů ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost („NÚKIB“). Po registraci běží lhůty pro plnění dalších požadavků, mimo jiné je do 1 roku nutné zavést bezpečnostní opatření a vypracovat bezpečnostní dokumentaci.
Jedním z prvních kroků po registraci je vymezit tzv. stanovený rozsah, tedy určit, na která aktiva se zaměří systém řízení kybernetické bezpečnosti.[1] Jinak řečeno, je potřeba si ujasnit, co všechno musíte chránit. Pokud rozsah neurčíte, zákon předpokládá, že zahrnuje celou organizaci, což je zbytečně finančně i časově náročné.
Jak v praxi určit rozsah řízení kybernetické bezpečnosti
ZKB popisuje tři jednoduché kroky:
- Identifikace primárních aktiv: vše, co představuje nejdůležitější hodnoty vaší organizace a zejména aktiva, jejichž ztráta nebo narušení by mělo dopad na chod, funkčnost, účel nebo bezpečnost organizace (např. klíčové služby, produkty, informace).
- Vyřazení nerelevantních aktiv: Primární aktiva, která nejsou potřebná pro poskytování regulované služby, z rozsahu vypustíte.
- Určení podpůrných aktiv: Pro každé zbývající primární aktivum identifikujte všechna podpůrná aktiva, která jej udržují v chodu (systémy, aplikace, technologie, procesy, dodavatele, dokumentaci, zaměstnance).
Výsledkem je seznam aktiv potřebných pro zajištění dané regulované služby, které tvoří váš stanovený rozsah řízení kybernetické bezpečnosti. Na tento rozsah se pak vztahují veškeré další povinnosti dle zákona, tedy zavádění bezpečnostních opatření, hlášení incidentů apod.
Co se rozumí aktivem?
Zákon definuje aktivum velmi široce jako „fyzický nebo digitální prostředek, osobu nebo činnost související se zpracováváním informací a dat v elektronické podobě“. Aktivem tedy může být server, zaměstnanec, proces nebo třeba budova datového centra. Pro potřeby řízení kybernetické bezpečnosti zákon rozlišuje několik druhů aktiv:
- Primární aktivum – to hlavní, kvůli čemu vaše organizace existuje. Typicky poskytovaná služba nebo klíčová informace.
Například u advokátní kanceláře mezi primární aktiva patří poskytované právní poradenství a s ním spojené klientské dokumenty.
- Podpůrná aktiva – vše, co zajišťuje chod primárních aktiv.
Například zaměstnanci, dodavatelé, budovy a kanceláře, ale i organizační postupy a procesy uvnitř organizace. Zjednodušeně, podpůrná aktiva představují zázemí a prostředky, bez nichž by primární aktiva nemohla fungovat.
- Technická aktiva –podskupina podpůrných aktiv, která zahrnuje technické a programové prostředky.
Jsou to IT systémy a vybavení: servery, síťová zařízení, počítače, software apod. Technická aktiva se často sledují samostatně, protože právě na ně cílí většina kybernetických opatření.
Hodnocení aktiv
Jakmile máte seznam aktiv sestaven, je potřeba provést jejich hodnocení, tedy posoudit důležitost každého aktiva z hlediska bezpečnosti. Praxe i zákon doporučují hodnotit význam aktiv podle tří základních kritérií:
- důvěrnost (jak citlivé informace obsahuje a kdo k nim smí mít přístup),
- integrita (jak závažné by bylo jejich pozměnění nebo chyba v datech) a
- dostupnost (jak moc je kritické, aby aktivum bylo stále k dispozici).
Tím zjistíte, která aktiva mají největší dopad na váš byznys a zaslouží si nejsilnější ochranu.
Důležité je také uvědomit si vzájemnou provázanost aktiv. Primární aktiva nemohou fungovat bez těch podpůrných, a selhání jediného prvku může ohrozit celou službu. Například výpadek klíčového serveru může znemožnit zaměstnancům přístup k zákaznickým datům; nebo nedostatečně zaškolený pracovník (podpůrné aktivum v podobě činnosti osoby) může způsobit chyby v systému a incidenty.
Evidence aktiv
ZKB ukládá povinným osobám povinnost vést aktuální a úplný seznam aktiv. Tento inventář musí odpovídat realitě, tedy zahrnovat všechna aktiva, která organizace využívá pro poskytování regulované služby. Bez takového přehledu není možné plnit další povinnosti; například určit, kterého aktiva se týká bezpečnostní incident nebo jaký dopad může mít na provoz.
Součástí evidence je také určení garanta, tedy osoby odpovědné za každé významné aktivum. Garant je ten, kdo aktivum nejlépe zná a dokáže jako první rozpoznat změnu, problém nebo zranitelnost. Může jím být například vedoucí výroby u řídicího systému výrobní linky nebo finanční ředitel u ekonomického softwaru. Jde zkrátka o člověka, který s aktivem pracuje každý den a ví, jak má správně fungovat. Garant včas informuje manažera kybernetické bezpečnosti o podezřelých jevech a pomáhá zajistit, že žádné kritické aktivum nezůstane bez odpovědné osoby.
Jak může pomoct cybreg
Pro mnoho organizací je nejnáročnější část ZKB vůbec zmapovat všechny služby, aktiva, procesy a odpovědné osoby a udržet je dlouhodobě aktuální. Ruční evidence v tabulkách bývá časem nepřehledná a náchylná k chybám.
Moderní softwarová řešení pro compliance a řízení kybernetické bezpečnosti (jako je např. software cybreg) tuto agendu výrazně zjednodušují a zautomatizují. Cybreg umožňuje:
- centrální evidenci služeb, aktiv, procesů, rizik, dodavatelů i zaměstnanců,
- přiřazování garantů a sledování změn,
- průběžnou kontrolu souladu s požadavky ZKB,
- generování potřebných výstupů (např. přehled opatření nebo dokumentace pro audit).
Výsledkem je přehledný a stále aktuální obraz toho, co organizace spravuje a jak je to chráněno. Při kontrole NÚKIB tak máte k dispozici jasné podklady, které prokazují, že máte aktiva pod kontrolou a plníte požadavky zákona. Prakticky to znamená méně manuální práce, nižší riziko chyb a efektivnější splnění všech povinností ZKB.
[1] Proces určení, hodnocení a řízení aktiv je podrobně upraven pouze pro režim vyšších povinností ve vyhlášce č. 409/2025 Sb. V režimu nižších povinností (vyhláška č. 410/2025 Sb.) se s tímto konceptem pracuje v obecnější rovině.
Autoři: Kateřina Mikulová a Petr Staroštík z advokátní kanceláře FINREG PARTNERS.
