analýza rizik Archivy

Nový zákon o kybernetické bezpečnosti vstupuje v platnost

Firmy budou muset zásadně změnit přístup k řízení rizik. Nový zákon přenáší odpovědnost za kybernetickou bezpečnost přímo na management.

Od 1. listopadu 2025 začíná v České republice platit nový zákon o kybernetické bezpečnosti, který přináší zásadní změnu v tom, jak musí firmy, instituce i veřejné organizace přistupovat k ochraně svých informačních systémů. Nová legislativa, která do českého právního rámce převádí evropskou směrnici NIS2, se dotkne tisíců organizací napříč sektory – od poskytovatelů digitální infrastruktury přes energetiku a vodohospodářství až po zdravotnická zařízení či dopravní podniky.

Zákon dopadá na tisíce firem napříč obory

Na rozdíl od dosavadního zákona, který se vztahoval pouze na úzký okruh provozovatelů kritické infrastruktury, se nová legislativní úprava dotkne mnohem širšího spektra subjektů. Do skupiny regulovaných organizací nově spadají střední a velké podniky s více než 50 zaměstnanci nebo obratem nad 10 milionů eur, které působí v odvětvích považovaných za zásadní pro fungování společnosti a ekonomiky. Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) tak povinnost řídit kybernetickou bezpečnost přibude přibližně šesti tisícům českých organizací.

Nové povinnosti a vyšší odpovědnost managementu

Zákon přináší důraz na proaktivní řízení kybernetické bezpečnosti, nikoli jen na reakci na incidenty. Organizace budou muset provádět systematickou analýzu rizik, v jejímž rámci identifikují a evidují svá aktiva, hrozby a zranitelnosti, a zároveň zavádět adekvátní technická i organizační opatření. Součástí jejich povinností bude také vedení záznamů o incidentech a jejich hlášení v krátkých lhůtách, zajištění plánů obnovy a pravidelných školení zaměstnanců. Každá regulovaná organizace navíc musí určit manažera kybernetické bezpečnosti, který bude za celý proces odpovědný.

Novinkou je rovněž zvýšená osobní odpovědnost vedení organizace za zajištění bezpečnosti. Manažeři tak ponesou přímou odpovědnost za to, že jejich organizace dodržuje stanovené bezpečnostní standardy, průběžně vyhodnocuje úroveň ochrany a přijímá účinná opatření k minimalizaci rizik.

Změna, která přináší i příležitost

Ačkoli nové povinnosti mohou působit administrativně náročně, pro většinu organizací představují především příležitost. Zpracování analýzy rizik umožňuje lépe pochopit hodnotu a zranitelnost klíčových aktiv, a tím pádem i efektivněji investovat do bezpečnostních opatření. Zkušenosti ukazují, že tam, kde je kybernetická bezpečnost řízena systematicky, dochází nejen ke snížení rizika útoků, ale i k úsporám času a nákladů při řešení mimořádných událostí.

Pomocnou ruku nabízí digitalizované nástroje

Vzhledem k tomu, že většina dotčených organizací nemá vlastní tým kyberbezpečnostních specialistů, kteří by požadavky nového zákona naplnili, stává se klíčovým faktorem volba správných nástrojů a metodik. Jedním z řešení, které v praxi pomáhá zvládnout nové povinnosti bez zbytečné zátěže, je aplikace Cyber Security Audit (CSA) od společnosti Gordic. Tento certifikovaný nástroj umožňuje řídit celý proces kybernetické bezpečnosti z jednoho místa, což výrazně šetří čas i kapacity organizace. CSA umožňuje zpracovat analýzu rizik podle požadavků nového zákona i evropské směrnice NIS2, identifikovat a evidovat aktiva, vyhodnocovat hrozby a slabá místa, automaticky navrhovat opatření a generovat potřebné výstupy pro audity či kontroly. Díky přehlednému prostředí a metodické podpoře specialistů na kyberbezpečnostní operace dokáže CSA výrazně zjednodušit implementaci nových požadavků, a pomáhá tak organizacím naplnit nejen literu zákona, ale i skutečný cíl – zvýšit odolnost vůči kybernetickým hrozbám.

Splňte požadavky jednoduše

Nový zákon o kybernetické bezpečnosti přináší jasné pravidlo: kybernetická bezpečnost už není pouze dílčím úkolem IT oddělení, ale strategickým tématem celé organizace. Kdo začne včas, získá výhodu – a díky nástrojům, jako je CSA od předního českého tvůrce informačních systémů společnosti Gordic, může být příprava na novou legislativu nejen splnitelná, ale i efektivní.

Box s tematickým videem:

Popisek:

Kulatý stůl zaměřený na klíčové změny v oblasti kybernetické a informační bezpečnosti, které přináší nová legislativa. Odborníci zde rozebírají směrnici NIS2 a zákon o kybernetické bezpečnosti, jejich dopady na firmy i veřejnou správu a ukazují, jak efektivně řídit rizika, zavádět bezpečnostní opatření a řešit incidenty.

Analýza Fortinet: Riziko kybernetické bezpečnosti v oblasti provozních technologií se zvyšuje v manažerských pozicích

PRAHA, ČR / SUNNYVALE, Kalifornie, 30. červenec 2025 — Společnost Fortinet, světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, oznámila výsledky své globální zprávy o stavu provozních technologií a kybernetické bezpečnosti v roce 2025. Výsledky představují současný stav a zdůrazňují příležitosti pro další zlepšování, aby organizace mohly zabezpečit stále se rozšiřující prostředí hrozeb informačních technologií (IT) a provozních technologií (OT). Kromě trendů a poznatků, které mají dopad na OT organizace, zpráva nabízí osvědčené postupy, které pomohou týmům IT a OT bezpečnosti lépe zabezpečit jejich kyberneticko-fyzické systémy.

„Zpráva Fortinet State of Operational Technology and Cybersecurity Report ukazuje, že organizace berou zabezpečení provozních technologií vážněji. To se odráží ve znatelném nárůstu odpovědnosti za rizika provozních technologií na úrovni vedoucích pracovníků a zároveň v nárůstu počtu organizací, které samy uvádějí vyšší míru vyspělosti zabezpečení,“ říká Nirav Shah, senior viceprezident pro produkty a řešení ve společnosti Fortinet. „Kromě těchto trendů pozorujeme pokles dopadu narušení v organizacích, které upřednostňují zabezpečení OT. Všichni se musí zavázat k ochraně citlivých systémů a vyčlenit potřebné zdroje na zabezpečení svých kritických operací.“

Mezi hlavní zjištění globálního průzkumu patří:

Zodpovědnost za bezpečnost OT v řadách vedoucích pracovníků se stále zvyšuje: V celosvětovém měřítku výrazně vzrostl trend, kdy společnosti plánují začlenit kybernetickou bezpečnost pod manažera informační bezpečnosti (CISO) nebo jiné vedoucí pracovníky. Vzhledem k tomu, že se odpovědnost stále přesouvá do vedení výkonných orgánů, je bezpečnost OT povýšena na vysoce důležitou otázku na úrovni představenstva. Více než polovina (52 %) organizací uvádí, že za provozní technologie odpovídá CISO/CSO, přičemž v roce 2022 to bylo 16 %. U všech rolí v nejvyšších pozicích se tento podíl vyšplhal na 95 %. Kromě toho se letos počet organizací, které hodlají v příštích 12 měsících přesunout kybernetickou bezpečnost OT pod CISO, zvýšil z 60 % na 80 %.
Vyspělost kybernetické bezpečnosti OT ovlivňuje dopady narušení: V letošním roce dosáhla vyspělost OT v oblasti bezpečnosti významného pokroku. Na základní úrovni 1 uvádí 26 % organizací zavedení viditelnosti a implementaci segmentace, což je nárůst oproti 20 % v předchozím roce. Největší počet organizací uvádí, že jejich bezpečnostní vyspělost je ve fázi přístupu a profilování na úrovni 2. Organizace, které jsou vyspělejší, zaznamenávají méně útoků nebo uvádějí, že jsou schopny lépe zvládat taktiky s nižší vyspělostí, jako například phishing.
Přijetí osvědčených postupů v oblasti kybernetické bezpečnosti má pozitivní dopad: Úroveň vyspělosti ovlivňuje dopady narušení a přijetí osvědčených postupů, jako je zavedení základní kybernetické hygieny a lepší školení a informovanost, má skutečný dopad, včetně výrazného poklesu případů nabourání do firemní elektronické pošty. Mezi další osvědčené postupy patří začlenění zpravodajství o hrozbách, které od roku 2024 prudce vzrostlo (49 %). Konsolidace dodavatelů kybernetické bezpečnosti je rovněž známkou vyspělosti. Sjednocené sítě a zabezpečení na vzdálených pracovištích OT zvýšily viditelnost a snížily kybernetická rizika, což vedlo k 93% snížení kybernetických incidentů ve srovnání s plochou sítí.

Osvědčené postupy

Globální zpráva poskytuje organizacím užitečné poznatky, které pomáhají posílit bezpečnostní pozici. Společnosti mohou řešit bezpečnostní problémy v oblasti provozních technologií přijetím následujících osvědčených postupů:

Zavedení viditelnosti a kompenzačních kontrol pro aktiva OT: Organizace potřebují mít přehled o všem, co je v jejich OT sítích, a rozumět tomu. Po zavedení viditelnosti pak organizace potřebují chránit kritická zařízení a ta, která mohou být zranitelná, což vyžaduje ochranné kompenzační kontroly. Schopnosti, jako jsou síťové politiky zohledňující protokoly, analýza interakcí mezi systémy a monitorování koncových bodů, mohou odhalit zranitelná zařízení a zabránit jejich kompromitaci.
Nasazení segmentace: Snížení počtu průniků vyžaduje zabezpečené prostředí OT se silnou kontrolou síťových zásad na všech přístupových bodech. Tento druh obranyschopné architektury začíná vytvořením síťových zón nebo segmentů. Týmy by také měly vyhodnotit celkovou složitost správy řešení a zvážit výhody integrovaného nebo platformového přístupu s možnostmi centralizované správy.
Integrace OT do bezpečnostních operací (SecOps) a plánování reakcí na incidenty: Organizace by měly dospět k IT/OT SecOps. Aby toho bylo dosaženo, je třeba OT zahrnout do plánů SecOps a plánů reakce na incidenty, zejména kvůli některým rozdílům mezi OT a IT prostředím, od jedinečných typů zařízení až po širší důsledky narušení provozních technologií s dopadem na kritické operace. Jedním z klíčových kroků v tomto směru je mít postupy, které zahrnují prostředí provozních technologií organizace. Tento druh pokročilé přípravy podpoří lepší spolupráci mezi IT, OT a výrobními týmy, aby bylo možné adekvátně vyhodnotit kybernetická a výrobní rizika.
Platformový přístup k celkové architektuře zabezpečení: V reakci na rychle se vyvíjející hrozby pro provozní technologie a zvětšující se plochu útoků, mnoho organizací sestavilo širokou škálu bezpečnostních řešení od různých dodavatelů. Výsledkem je příliš složitá architektura, která omezuje viditelnost a zároveň zvyšuje zátěž omezených zdrojů bezpečnostního týmu. Přístup k zabezpečení na jedné platformě může organizacím pomoci konsolidovat dodavatele a zjednodušit jejich architekturu. Robustní bezpečnostní platforma se specifickými funkcemi pro IT sítě i OT prostředí může zajistit integraci řešení pro zvýšení účinnosti zabezpečení a zároveň umožnit centralizovanou správu pro zvýšení efektivity. Integrace může také poskytnout základ pro automatizované reakce na hrozby.
Zpravodajství o hrozbách a bezpečnostní služby specifické pro OT: Zabezpečení provozních technologií závisí na včasné informovanosti a přesných analytických poznatcích o hrozících rizicích. Bezpečnostní architektura by měla také používat nástroje na obranu před hrozbami založené na umělé inteligenci pro ochranu téměř v reálném čase proti nejnovějším hrozbám, variantám útoků a expozicím. Organizace by měly zajistit, aby jejich zdroje informací o hrozbách a obsahu obsahovaly robustní informace specifické pro OT ve svých kanálech a službách.

Analýza je založena na datech z globálního průzkumu mezi více než 550 profesionály v oblasti OT, který provedla nezávislá výzkumná společnost. Respondenti průzkumu pocházeli z různých míst světa a zastupují řadu průmyslových odvětví, která jsou zásadními uživateli provozních technologií, včetně zpracovatelského průmyslu, logistiky, zdravotnictví, těžby ropy, plynu a rafinérského průmyslu, energetických služeb, chemického průmyslu a vodárenství.

O společnosti Fortinet

Fortinet je hnací silou vývoje kybernetické bezpečnosti a konvergence síťových a bezpečnostních technologií. Jejím posláním je zabezpečit uživatele, zařízení a data na všech místech. Poskytuje tak kybernetickou bezpečnost všude tam, kde ji uživatelé potřebují, a to díky nejrozsáhlejšímu a nejucelenějšímu portfoliu řešení zahrnujícímu více než 50 produktů podnikové třídy. Řešením společnosti Fortinet, která patří k nejrozšířenějším, nejčastěji patentovaným a nejlépe ověřeným na trhu, důvěřuje přes půl milionu zákazníků. Fortinet Training Institute, jeden z největších a nejširších školicích programů v oboru, se snaží všem zpřístupnit vzdělání v oblasti kybernetické bezpečnosti a nové kariérní příležitosti. Spolupráce s respektovanými organizacemi z veřejného i soukromého sektoru, včetně CERT, vládních subjektů a akademické obce, je základním aspektem závazku společnosti Fortinet zvyšovat kybernetickou odolnost v celosvětovém měřítku. FortiGuard Labs, elitní výzkumná organizace společnosti Fortinet, vyvíjí a využívá špičkové technologie strojového učení a umělé inteligence s cílem poskytovat zákazníkům včasnou konzistentní ochranu nejvyšší úrovně spolu s informacemi o hrozbách, na něž mohou okamžitě reagovat. Další informace naleznete na stránkách https://www.fortinet.com, v blogu společnosti Fortinet a na stránkách laboratoří FortiGuard Labs.

Dluhopisomat: První licencovaná platforma pro investice do firemních dluhopisů zahájila provoz

Praha, 31. března 2025: Společnost FUNDSTER a.s. nedávno získala první crowdfundingovou licenci České národní banky pro firemní dluhopisy. Platforma Dluhopisomat, kterou provozuje, právě zahájila provoz a začala nabízet služby skupinového financování pro investory a emitenty. „Spuštění platformy, fungující s licencí a pod kontrolou ČNB, je zásadním krokem k bezpečnějšímu, transparentnějšímu a inovativnějšímu trhu s firemními dluhopisy,“ uvedl v této souvislosti Petr Cimala, člen správní rady FUNDSTER a.s.

Na platformě Dluhopisomat získávají investoři přímý online přístup k investičním příležitostem v oblasti firemních dluhopisů. Platforma splňuje všechny požadavky nařízení EU o skupinovém financování (ESCPR), týkající se ochrany investorů, a nabízí výhradně české dluhopisy, které prošly podrobným prověřením včetně analýzy rizik. Na tomto základě posuzuje platforma současné i budoucí schopnosti emitenta plnit finanční závazky a hodnotí investiční riziko dluhopisů.

„Náročnost pravidel pro uveřejnění emitentů na platformě Dluhopisomat, daných nejen unijními nařízeními a požadavky ČNB, dokumentuje skutečnost, že z 15 emitentů, kteří projevili zájem o uveřejnění svých dluhopisů na platformě, splnili podmínky pouze tři,“ dodává Petr Cimala. „Další emitenti budou do nabídky zařazeni pouze v případě, že podmínky splní.“

Dluhopisy nabízené na platformě Dluhopisomat jsou podle úrovně rizika rozděleny v kategoriích A až E, přičemž nejbezpečnější emise s označením A pracují s mírou rizika nižší než 5 % a scoring každé emise se až do vypršení její splatnosti průběžně aktualizuje. Současní a potenciální investoři mají na platformě nepřetržitý přístup k informacím o dosavadních i očekávaných výnosech, kalendáři výplat, délce a zajištění emise včetně podnikatelské historie a hospodářských výsledcích emitenta.

Platforma Dluhopisomat je otevřena jak pro institucionální, tak pro drobné individuální investory, registrace je zdarma. V investorské zóně získá každý z nich přístup k investičnímu účtu, jehož prostřednictvím může investice spravovat a využívat dostupné funkcionality. Veškeré procesy od registrace přes uzavření smlouvy a nákup dluhopisů až po správu účtu jsou plně digitalizovány a probíhají online.

Investor sleduje na platformě výkonnost investice i datum, kdy dochází k výplatě výnosů. Vyplácené výnosy nebo jistina jsou převáděny do virtuální peněženky, odkud si je může převést na bankovní účet nebo je reinvestovat a použít k dalším obchodům s tím, že transakce nejsou zpoplatněny.

Emitenti, kteří splní přísné podmínky, získávají díky platformě plně profesionální správu emise, přístup ke službám licencovaným a dozorovaným ČNB, možnost nabízet své dluhopisy v celkovém objemu až 125 000 000 Kč (5 000 000 €) ročně i digitalizovaný, v online režimu probíhající dohled nad průběhem, úspěšností a výsledky emise.

„Na platformě Dluhopisomat získávají investice do firemních dluhopisů pod dohledem a s crowdfundingovou licencí ČNB nový rozměr,“ uzavírá Petr Cimala, člen správní rady FUNDSTER a.s. „Cílem platformy je přispět ke kultivaci trhu s firemními dluhopisy, vytvořit prostor pro stálou komunikaci mezi emitenty a investory a nabídnout zájemcům širokou škálu příležitostí pro informované, komfortní a bezpečné investování.“

V současné době, několik dnů po spuštění jsou na platformě Dluhopisomat k dispozici například dluhopisy finanční společnosti S-24 finance s.r.o. (objem 90 000 000 Kč, skóre B, splatnost 28. 02. 2029, úroková sazba 11,2 % p.a., výkup a následný prodej pohledávek za TV Barrandov), zemědělské společnosti BUFFLER agro & foods s.r.o. (objem 75 000 000 Kč, skóre C, splatnost 31. 08. 2029, úroková sazba 10,0 % p.a., produkce, zpracování a prodej česneku) nebo developerské společnosti JD Living s.r.o. (objem 25 000 000 Kč, skóre C, splatnost 31. 08. 2028, úroková sazba 10,0 % p.a., výstavba bytového domu v Kutné Hoře).

Společnost FUNDSTER a.s., která crowdfundingovou platformu Dluhopisomat provozuje, byla založena jako součást vize skupiny CFG měnit svět financí pomocí fintechových principů a nástrojů. Skupina CFG má aktuálně celková aktiva v hodnotě 460 000 000 Kč a konsolidovaný obrat ve výši téměř 100 000 000 Kč.

Ochrana dat je pro kyberbezpečnost firem klíčová, přesto ji řeší jen třetina malých a středních firem

PRAHA, 5. března 2025 – Kybernetické útoky na podnikovou informační architekturu jsou stále sofistikovanější. Nestačí se proto soustředit pouze na tradiční bezpečnostní mechanismy firemní sítě, je třeba jít hlouběji. Bez ochrany dat na všech úrovních je firemní prostředí totiž chráněno jen částečně. Z analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku, vyplývá, že pouze 30 % malých a středních podniků se v rámci zabezpečení svého IT zaměřuje na ochranu dat a dokáže ji řešit komplexně. Přitom pokud firma přijde o datový obsah, je mnohem složitější zajistit nápravu, než při zneužití výpočetního zdroje či některého prvku v IT infrastruktuře.

Vývoj kybernetických hrozeb poukazuje na trend, že perimetr ochrany zabezpečení vlastní firemní sítě v podobě VPN, firewallu a antivirových řešení už nemůže stačit. A to nejenom díky narůstající mobilitě dat, ke kterým uživatelé přistupují z firemních, soukromých i veřejných zařízení, ale i možnostem práce na dálku, kdy data mohou být uložena prakticky kdekoli, od on–premise řešení až po cloud. K současným trendům bezpečnostních mechanismů patří například vícefaktorové autentizace, automatizace bezpečnostních opatření, synchronizované ochrany koncových bodů nebo detekce potenciálně slabých míst. V ochraně podnikové informační architektury je však klíčové zaměřit se na to základní – ochranu samotných dat, a v důsledku toho také jejich uživatelů a zařízení. Ochrana dat navíc usnadňuje naplnění regulačních a legislativních požadavků v oblasti kybernetické bezpečnosti.

„Data jsou opravdu to nejcennější, co firma má. U ochrany dat je proto třeba zaměřit se na komplexnost celého procesu – tedy od samotného zaznamenávání a uložení dat, přes jejich přenos, až po ošetření chybných konfigurací souvisejících nástrojů a odhalení anomálií ve zpracování. V praxi to například znamená data zálohovat, maskovat, šifrovat, čistit v okamžiku jejich příjmu i dalšího zpracování, ověřovat důvěryhodnost instalačních balíčků nebo eliminovat nebezpečné kódy a URL adresy. Setkáváme se s tím, že firmy mají například dobře zvládnutou oblast šifrování, naopak velmi problematická bývá správa uživatelských identit, kdy zdaleka ne všichni zaměstnanci mají přístup jen k tomu, co skutečně potřebují. Na komplexní ochranu dat ale firmy zpravidla nemají dostatek kapacity,“ říká Jaroslav Cihelka, spolumajitel společnosti ComSource a expert na kybernetickou bezpečnost.

Z pohledu prevence ochrany dat před kybernetickými útoky se musí firmy umět připravit na to, že se útočníci dokážou nepozorovaně infiltrovat do firemní IT infrastruktury a mohou vyčkávat měsíce, ale i rok, aby zasáhli co nejefektivněji. Důležité je pak poznat, v jakém rozsahu se útočníkům podařilo zakotvit ve firemní síti a najít cesty, kterými se do ní dostali.

„Samotné zastavení útoku nestačí. K ochraně dat slouží neustálé hloubkové audity a monitoring síťového provozu, aby bylo možné orientovat se v běžném chování datového obsahu. Dojde-li ke kybernetickému útoku, pomohou nám tyto procesy odvodit abnormality v době útoku, ale i po něm. Čím dříve se jakékoli odchylky v rámci analýzy datového obsahu odhalí, tím lépe. Přestože datově orientovaná bezpečnost ve spojení s dalšími bezpečnostními mechanismy dokáže účinně vyřešit většinu aktuálních hrozeb, nelze nikdy dosáhnout 100% ochrany. Pro případ kybernetického útoku by tak firmy měly mít připravenou i analýzu rizik, která určuje ochranu klíčových systémů a business aplikací pro zajištění kontinuity jejich podnikání. Musí si i stanovit rizika, která jsou z ekonomického pohledu schopny u případných ztrát akceptovat,“ uzavírá Jaroslav Cihelka.

O společnosti ComSource

Společnost ComSource se v oblasti kybernetické bezpečnosti a síťové infrastruktury pohybuje od roku 2010, od roku 2023 se soustředí i na oblast datové analytiky. Poskytuje vysoce profesionální služby a dodává ta nejlepší infrastrukturní a bezpečnostní řešení on-premise, v cloudu nebo v hybridních prostředích. Díky vlastní laboratoři ComSource vyvinul a dále rozvíjí i vlastní řešení a služby. Nejvýraznější z nich je systém FlowGuard chránící před DDoS útoky. ComSource má CSIRT tým, je aktivním členem AFCEA a projektu FENIX. Společnost má své pobočky v Praze, Brně, Písku a v Bratislavě.