Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (NIS 2) přináší významné změny v oblasti regulace kybernetické bezpečnosti. 

Tato směrnice je implementována novým zákonem č. 264/2025 Sb., o kybernetické bezpečnosti, který oproti původnímu zákonu č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, stanovuje pouze jeden typ povinné osoby, kterým je tzv. „poskytovatel regulované služby“. Současně zákon v návaznosti na směrnici NIS 2, respektive její rozdělení subjektů na základní (Essential) a důležité (Important), zavádí pro poskytovatele regulované služby dva samostatné režimy povinností. Konkrétně se jedná o tzv. režim vyšších povinností a tzv. režim nižších povinností.

Tento materiál se věnuje pouze režimu vyšších povinností, který je upraven prostřednictvím vyhlášky č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. Tato vyhláška upravuje obsah, způsob zavádění a provádění bezpečnostních opatření a dále pak stanovení významnosti dopadu kybernetického bezpečnostního incidentu. 

Používané zkratky

---

Slovník často používaných zkratek

• Vyhláška: Vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
• Zákon: Zákon č. 264/2025 Sb., o kybernetické bezpečnosti.
• Úřad: Národní úřad pro kybernetickou a informační bezpečnost.
• ISMS: Systém řízení bezpečnosti informací (z angl. Information Security Management System).
• IT: Informační technologie
• Rozsah řízení KB: Rozsah řízení kybernetické bezpečnosti dle § 12 zákona.
• KBU: Kybernetická bezpečnostní událost.
• KBI: Kybernetický bezpečnostní incident.

Vyhláška č. 409/2025 Sb.

---

Vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností definuje v § 3 až § 27 nezbytná bezpečnostní opatření v oblasti kybernetické bezpečnosti, pomocí jejichž aplikace by mělo být dosaženo přiměřené bezpečnosti informací. Vyhláška rozděluje bezpečnostní opatření na dvě základní části:

• Organizační opatření – § 3 až § 16.
• Technická opatření – § 17 až § 27.

Na přehled organizačních a technických opatření dle jednotlivých paragrafů vyhlášky se můžete podívat níže.

Organizační opatření dle vyhlášky 

Základem organizačních opatření je vytvoření uceleného rámce řízení kybernetické bezpečnosti, kterým je ISMS. Organizační opatření zajišťují, že kybernetická bezpečnost je systematicky integrována do řízení organizace, jejích procesů a odpovědností a je řízena jednotným, přehledným a srozumitelným způsobem.

Seznam organizačních opatření dle vyhlášky

§ 3 Systém řízení bezpečnosti informací

§ 4 Požadavky na vrcholné vedení 

§ 5 Stanovení bezpečnostních rolí 

§ 6 Řízení bezpečnostní politiky a bezpečnostní dokumentace 

§ 7 Řízení aktiv 

§ 8 Řízení rizik 

§ 9 Řízení dodavatelů 

§ 10 Bezpečnost lidských zdrojů 

§ 11 Řízení změn 

§ 12 Akvizice, vývoj a údržba 

§ 13 Řízení přístupu 

§ 14 Zvládání kybernetických bezpečnostních událostí a incidentů 

§ 15 Řízení kontinuity činností 

§ 16 Provádění auditu kybernetické bezpečnosti 

Technická opatření dle vyhlášky 

Technická opatření zajišťují, že kybernetická bezpečnost je prakticky realizována prostřednictvím funkčních bezpečnostních mechanismů, jako je zabezpečení komunikačních sítí, správa identit, detekce událostí či kryptografie, čímž dochází k posílení odolnosti organizace vůči hrozbám a zranitelnostem. 

Seznam technických opatření dle vyhlášky

 § 17 Fyzická bezpečnost 

 § 18 Bezpečnost komunikačních sítí 

 § 19 Správa a ověřování identit 

 § 20 Řízení přístupových práv a oprávnění 

 § 21 Detekce kybernetických bezpečnostních událostí 

 § 22 Zaznamenávání událostí 

 § 23 Vyhodnocování kybernetických bezpečnostních událostí 

 § 24 Aplikační bezpečnost 

 § 25 Kryptografické algoritmy 

 § 26 Zajišťování dostupnosti regulované služby 

 § 27 Zabezpečení průmyslových, řídících a obdobných specifických technických aktiv

V tomto kurzu se dále soustředíme pouze na organizační opatření a rozebíráme tedy § 3 až § 16.

Příklady bezpečnostních opatření

Bezpečnostní opatření musí být zaváděna v souladu se stanovenými cíli ISMS, bezpečnostními potřebami organizace a hodnocením rizik. Konkrétní bezpečnostní opatření, která budou aplikována, vyplynou z provedeného hodnocení rizik a zaváděná opatření by měla být vždy přiměřená významu a hodnotě chráněných aktiv, identifikovaným hrozbám a míře rizika. Rozsah a úroveň opatření mají odpovídat možným dopadům narušení bezpečnosti a povaze činností organizace. 

• Příklad organizačních opatření: Školení zaměstnanců v oblasti kybernetické bezpečnosti, stanovení bezpečnostních pravidel pro dodavatele.
• Příklad technických opatření: Segmentace sítě, implementace SIEM (nástroje pro sběr a nepřetržité vyhodnocování kybernetických bezpečnostních událostí).

Bezpečnost informací

---

V rámci bezpečnosti informací se řeší ochrana informací, tedy zajištění jejich níže uvedených vlastností:

• Důvěrnost: informace a data jsou dostupné pouze oprávněným osobám.
• Dostupnost: informace a data jsou v případě potřeby dostupné oprávněným uživatelům.
• Integrita: informace a data jsou v případě potřeby dostupné oprávněným uživatelům.

Vizualizace bezpečnosti informací Zdroj: vlastní tvorba

V oblasti zajišťování kybernetické bezpečnosti zahrnuje bezpečnost informací nejen bezpečnost technických aktiv regulovaných služeb, ale také s tím úzce související oblasti, jako je fyzická bezpečnost, ochrana osobních údajů, řízení lidských zdrojů, řízení vztahů s dodavateli atd.

Bezpečnost informací znamená zajištění důvěrnosti, dostupnosti a integrity informací v takové míře, která odpovídá jejich významu a potřebám organizace.