Vyhláška · 410/2025 Sb. · nižší povinnosti

VYHLÁŠKA č. 410/2025 Sb.

Prováděcí vyhláška k zákonu č. 264/2025 Sb. pro režim nižších povinností (important entities). Strukturováno podle skutečných paragrafů — u každého oficiální nadpis, parafráze předmětu a praktická vysvětlivka CypherOn. Účinnost 1. listopadu 2025.

Úřední znění (e-Sbírka) ↗
Co tato stránka je a co není Stránka sleduje skutečnou strukturu vyhlášky č. 410/2025 Sb. (4 části, 15 paragrafů, 3 přílohy) pro režim nižších povinností. U každého § uvádíme oficiální nadpis, naši stručnou parafrázi předmětu úpravy a samostatnou vysvětlivku CypherOn s praktickým dopadem. Není to úřední znění ani úplný text vyhlášky. Pro definitivní formulaci a aktuální stav vždy ověřte v e-Sbírce nebo na zákony pro lidi. Pro vyšší povinnosti existuje samostatná vyhláška 409/2025 Sb.

Žádný paragraf neodpovídá hledanému výrazu.

Část první

Úvodní ustanovení

§ 1

Předmět úpravy

Vyhláška transponuje směrnici NIS 2 a pro povinnou osobu (= poskytovatel regulované služby v nižším režimu) upravuje (a) obsah, způsob zavádění a provádění bezpečnostních opatření a (b) stanovení významnosti dopadu kybernetického bezpečnostního incidentu.

Vysvětlivka CypherOn
Pokud spadáte do nižšího režimu (zařadila vás do něj NÚKIB rozhodnutím o registraci dle § 6 zákona), tato vyhláška je váš primární implementační dokument. Lhůta na zavedení opatření: 1 rok od registrace (§ 13 odst. 4 zákona). Oproti vyhlášce 409/2025 (vyšší režim) je 410/2025 výrazně stručnější — opatření jsou sloučena do jedné roviny bez dělení na organizační / technická.
§ 2

Vymezení pojmů

Definice: uživatel, privilegovaný uživatel, administrátor, bezpečnostní politika.

Vysvětlivka CypherOn
Stručnější definice než v 409/2025 — odpovídá nižšímu rozsahu povinností. Klíčové dělení: uživatel (běžný účet), privilegovaný uživatel (oprávnění nad rámec běžného uživatele), administrátor (správa systému). Toto dělení určuje, jaká opatření platí pro koho — typicky striktnější autentizace a sledování pro privilegované a administrátory.

Část druhá

Bezpečnostní opatření

§ 3

Systém zajišťování minimální kybernetické bezpečnosti

Zastřešující ustanovení: povinná osoba zavádí přiměřená opatření; zpracovává „přehled bezpečnostních opatření" dle Přílohy č. 1 (stav, popis, termíny, priority, odpovědnost); ročně aktualizuje, archivuje 4 roky. Politika a dokumentace, řízení aktiv, smlouvy s dodavateli s ujednáními dle Přílohy č. 2, bezpečnostní požadavky pro akvizici / vývoj / údržbu.

Vysvětlivka CypherOn
Toto je „kostra" pro nižší režim — místo plného ISMS jako u 409/2025 stačí přehled bezpečnostních opatření v tabulkové formě (Příloha č. 1). Praktická realizace: SharePoint List nebo Excel s 6 sloupci (opatření, stav: Zavedeno / V procesu / Nezavedeno, popis, termín, priorita 1–4, odpovědnost). Roční aktualizace + archivace 4 roky. Pro střední firmu realisticky 30–80 řádků.
§ 4

Požadavky na vrcholné vedení

Statutární orgán určí osobu pověřenou kybernetickou bezpečností se školením. Sám absolvuje vlastní školení. Zajistí zdroje, seznamuje se se stavem opatření, podporuje zlepšování, stanoví prioritu obnovy primárních aktiv.

Vysvětlivka CypherOn
V nižším režimu zákon nevyžaduje formální „MKB" v plné podobě jako u vyššího (409/2025), ale určit odpovědnou osobu za kybernetickou bezpečnost musíte. Realisticky pro střední firmu: existující IT manažer s rozšířenou rolí (s formálním pověřením a navýšenou kapacitou typicky 20–40 % pracovního času), externí konzultant ve formátu „virtuální MKB" 2–4 dny / měsíc, nebo CISO-as-a-Service v paušálu. Klíčové bez ohledu na variantu: písemné pověření vedením, přístup do vedení firmy alespoň ad-hoc. Důležité: i statutární orgán sám musí absolvovat školení — to je novinka oproti starému ZKB.
§ 5

Bezpečnost lidských zdrojů

Politika bezpečného chování (témata viz Příloha č. 3). Pravidla rozvoje povědomí. Kontrola dodržování. Pravidla pro porušení. Vstupní a pravidelná školení (vedení, uživatelé, administrátoři). Vedení přehledů o školeních.

Vysvětlivka CypherOn
Realisticky: vstupní školení v rámci nástupu, roční školení bezpečnostního povědomí pro všechny zaměstnance (KnowBe4, Cofense, vzdělávací portál NÚKIB — bezplatně), specializovaná školení pro privilegované role, phishing simulace 2–4× ročně. Cíl: míra kliknutí pod 5 % po 12 měsících programu. Vedení záznamů (kdo, kdy, jaké školení) je důležité — auditor / NÚKIB se ptá: ukažte mi, kteří zaměstnanci absolvovali školení v posledních 12 měsících. Pro porušení politiky mějte definovaný postup (varování → postih → pracovněprávní důsledky).
§ 6

Řízení kontinuity činností

Priorita technických aktiv a postupy obnovy. Odpovědnost konkrétních osob. Pravidelné zálohy.

Vysvětlivka CypherOn
Pro střední firmu stačí: seznam 5–10 kritických procesů, RTO / RPO pro každý (typicky 4 h–24 h pro provoz, 1 h–4 h pro data), mapa závislostí (které systémy / dodavatelé jsou kritické), alternativní postupy (manuální procesy, alternativní dodavatel). Zálohy podle pravidla 3-2-1 (3 kopie, 2 média, 1 offline / immutable) — online dostupné zálohy ransomware šifruje současně s produkcí. Test obnovy ze záloh měsíčně pro vzorek dat, ročně end-to-end DR test. Pro M365 specificky třetí strana zálohy (Veeam M365, AvePoint) — Microsoft retention není záloha.
§ 7

Řízení přístupu

Přístupová práva na nezbytně nutnou úroveň. Oddělení uživatelských a administrátorských účtů. Mobilní zařízení. Přezkum oprávnění. Odebrání práv při změně / ukončení. Fyzická bezpečnost.

Vysvětlivka CypherOn
Praktická realizace: RBAC přes role (sales, marketing, dev, admin) místo individuálních přidělení. Separované admin účty (jan@ pro běžnou práci, jan-admin@ pro IT operace). Recertifikace 1× ročně přezkum aktivních účtů a oprávnění. Off-boarding rozlišujte podle scénáře: privilegovaný účet + nedobrovolný odchod = odebrat v hodině, ideálně před oznámením; standardní + dobrovolný = ≤ 24 h. Měsíční audit aktivních účtů proti datům HR odhalí „zombie" účty (typicky 5–10 % účtů u firmy bez zavedeného procesu).
§ 8

Řízení identit a jejich oprávnění

Nástroj pro řízení identit (omezení neúspěšných pokusů, opětovné ověření, odolné autentizační údaje). Cíl: vícefaktorová autentizace nebo Zero Trust kontinuální autentizace. Přechodně kryptografické klíče / certifikáty. Přechodně hesla s pravidly (12/17/22 znaků pro user/admin/technické aktivum, změna 1× za 18 měsíců, paměť 12 hesel, žádné jednoduché vzory). Detailní pravidla pro výchozí hesla a obnovu přístupu.

Vysvětlivka CypherOn
Klíčový § s konkrétními technickými parametry. Vyhláška uznává, že MFA je cíl, ale poskytuje přechodný režim s heslovými pravidly. Doporučujeme přejít rovnou na MFA na všech admin účtech, VPN, RDP, cloud konzoli a e-mailu — heslová pravidla 22 znaků jsou pro uživatele nesnesitelná. Pro privilegované účty doporučujeme FIDO2 / hardware klíč (YubiKey ~50 EUR/kus) místo SMS — SMS / TOTP MFA je stále lepší než nic, ale proti pokročilému phishingu / AiTM nedostatečné. Pro M365 zapněte conditional access (zařízení musí splňovat politiku, blokovat starší autentizační protokoly).
§ 9

Detekce a zaznamenávání kybernetických bezpečnostních událostí

Kontrola perimetru sítě. Antimalware na serverech a koncových stanicích. Řízení automatického spouštění obsahu. Nepřetržité informování a včasné varování. Aktualizace nástrojů. Záznam událostí (datum / čas, typ činnosti, identifikace aktiva a účtu, úspěšnost). Doba uchování dle vlastních potřeb.

Vysvětlivka CypherOn
Pro střední firmu: EDR na všech koncových stanicích (ne jen klasický antivirus). Pozor — pro skutečnou EDR funkcionalitu volte Microsoft Defender for Endpoint P2 (P1 má jen antivirus + attack surface reduction, plné EDR a threat hunting jsou až v P2; součást M365 E5 nebo samostatná licence). Alternativy: ESET Protect Advanced (česky mluvící podpora), SentinelOne, CrowdStrike Falcon Go pro malé týmy. Klíčové: ransomware s breakout time pod hodinu znamená, že samotný „denní pohled na výstrahy" je iluzorní obrana. Realistické minimum: buď MDR služba (Managed Detection & Response — externí 24/7 SOC, typicky 5–15 EUR/místo/měsíc), nebo vlastní pohotovostní rotace s definovaným SLA reakce < 30 min mimo pracovní dobu. Vyhláška říká „dle vlastních potřeb" pro retenci — doporučujeme alespoň 180 dnů primární úložiště, 12 měsíců archiv. Globální medián doby do detekce u sofistikovaných útoků (Mandiant M-Trends 2024) se pohybuje od jednotek dnů u ransomware po stovky dnů u supply chain útoků; kratší retence vám může zničit forenziku.
§ 10

Řešení kybernetických bezpečnostních incidentů

Oznamovací povinnost zaměstnanců. Metodika posuzování KBI včetně významnosti dopadu (§ 14). Detekce KBU. Posuzování dle metodiky. Hlášení dle § 15 zákona. Závěrečná zpráva dle § 16 zákona.

Vysvětlivka CypherOn
Pro střední firmu stačí 5–10 stránek pokrývajících: kontaktní matice, 3–4 klíčové scénáře (ransomware, BEC / podvod, únik dat, výpadek kritického dodavatele), kroky 1-2-3 pro každý, šablony hlášení Národnímu CERT (nižší režim hlásí Národnímu CERT, ne NÚKIB — viz § 15 zákona). Test plánu min. 1× ročně tabletop (3 hodiny diskuze + výstup gap list). Lhůty hlášení (24 h / 72 h / 30 dnů) plynou ze § 16 zákona a platí pro oba režimy stejně.
§ 11

Bezpečnost komunikačních sítí

Segmentace sítě. Oddělení provozního a zálohovacího prostředí. Omezení komunikace na perimetru. Odolné protokoly. Bezpečné vzdálené připojení a vzdálená správa.

Vysvětlivka CypherOn
Pro střední firmu: Next-Gen Firewall (Fortinet, Palo Alto, Sophos, Cisco) s threat intelligence feedy; guest WiFi v izolovaném VLAN; základní segmentace serverů / uživatelských stanic / správní zóny. Cloud-first firmy mají firewall v cloudu (Azure Firewall, AWS Security Groups + Network Firewall). Roční přezkum firewall pravidel — odstraňte zapomenutá „temporary allow ANY" pravidla. Vzdálené připojení: VPN s MFA, ne otevřený RDP. Vzdálená správa: bastion host nebo zero-trust řešení (Tailscale, Cloudflare Access).
§ 12

Aplikační bezpečnost

Bezodkladné aplikování bezpečnostních aktualizací. Zvláštní opatření pro nepodporovaná technická aktiva. Pravidelné skenování zranitelností.

Vysvětlivka CypherOn
Doporučená SLA pro střední firmu: aktivně zneužívané / kritické 72 h; vysoké 14 dnů; střední 30 dnů. Použijte CISA KEV (Known Exploited Vulnerabilities) a EPSS (Exploit Prediction Scoring) jako prioritizaci, ne pouze CVSS. Automatizujte přes Windows Update / WSUS, Linux unattended-upgrades, container image rebuild pipeline. Pro nepodporovaný software (legacy ERP, staré PLC) zaveďte kompenzační opatření: izolace v samostatné VLAN, restrikce přístupu, posílené sledování. Skenování zranitelností: OpenVAS (zdarma), Nessus, Qualys.
§ 13

Kryptografické algoritmy

Aktuálně odolné algoritmy. Doporučení NÚKIB. Bezpečná hlasová / textová / AV / e-mailová komunikace. Nouzová komunikace v rámci organizace.

Vysvětlivka CypherOn
Praktická minima pro střední firmu: TLS 1.2+ (preferovat 1.3) pro web a API, BitLocker / FileVault / LUKS na všech laptopech, cloud KMS pro klíče (AWS KMS / Azure Key Vault — ~1 USD/klíč/měsíc). Pro většinu středních firem stačí použít vestavěné šifrování cloud platforem — netřeba vlastní HSM. Klíčová politika: plná automatizace obnovy TLS certifikátů přes ACME / Let's Encrypt (CA/Browser Forum schválil v 2025 postupné zkracování životnosti certifikátů, manuální obnova přestává být udržitelná); žádný natvrdo zapsaný přístupový údaj v kódu (vault / secret manager). Pro nouzovou komunikaci v případě výpadku hlavních systémů: alternativní kanál (Signal, šifrovaný e-mail s S/MIME nebo PGP, samostatný komunikátor pro krizový tým).

Část třetí

Stanovení významnosti dopadu kybernetického bezpečnostního incidentu

§ 14

Stanovení významnosti dopadu

Povinná osoba stanoví: (a) únosnou míru újmy a (b) oblasti pro posouzení významnosti (provozní dopad, počet zasažených uživatelů, zdroje pro obnovu, typ a umístění aktiv, citlivost dat, příčina). Dopad je významný, pokud současně překročí únosnou míru a oblast je posouzena jako významná.

Vysvětlivka CypherOn
Klíčový § pro určení, kdy hlásit incident. Vyhláška dává rámec, konkrétní prahové hodnoty si stanovuje každá organizace sama (= „únosná míra újmy"). Praktická rada: zdokumentujte to formálně — schválené statutárním orgánem, s konkrétními prahy (např. „výpadek > 4 h" = významný, „úniku > 1 000 záznamů osobních údajů" = významný). Při pochybnostech raději hlásit — opožděné nebo chybějící hlášení je rizikovější než zaslání hlášení, které se ukáže jako bezpředmětné. Pro hlášení adresát pro nižší režim je Národní CERT (CSIRT.cz), ne NÚKIB.

Část čtvrtá

Účinnost

§ 15

Účinnost

Vyhláška nabývá účinnosti dnem 1. listopadu 2025.

Vysvětlivka CypherOn
Společně se zákonem 264/2025 Sb. a vyhláškou 409/2025 Sb. (vyšší režim). Lhůta pro zavedení opatření plyne z § 13 odst. 4 zákona — 1 rok od registrace. Vyhláška 410/2025 nemá samostatná přechodná ustanovení (na rozdíl od 409/2025 § 28).

Přílohy

Přílohy vyhlášky

Příloha č. 1

Přehled bezpečnostních opatření

Tabulka pro vyhodnocování účinnosti zavedených opatření. 6 sloupců: opatření, stav, popis, termín, priorita, odpovědnost. Stav: „Zavedeno" / „V procesu" / „Nezavedeno". Priorita: nízká (1), střední (2), vysoká (3), kritická (4). Detailně rozepsáno v 7 dílčích tabulkách (Tab. 1 zastřešující + Tab. 2–7 popisující jednotlivé sloupce).

Vysvětlivka CypherOn
Praktický nástroj governance. Implementace: SharePoint List, Excel s filtry, nebo dedikovaný nástroj typu Vanta / Drata pro compliance. Každoroční aktualizace + archivace 4 roky podle § 3. Auditor / NÚKIB se na tabulku ptá jako první — je to evidence, kterou „lze ukázat". Pro střední firmu realistický rozsah 30–80 řádků (jeden řádek = jedno opatření / kontrola).
Příloha č. 2

Požadavky na smluvní ujednání s dodavateli

14 typů relevantních smluvních ustanovení (a–n): mlčenlivost / integrita / dostupnost informací, audit dodavatele, řetězení, klauzule o ukončení (exit), sankce, oprávnění užívat data, autorství kódu, důvěrnost smlouvy, dodavatelské politiky, řízení změn, KBI v plnění smlouvy, kontinuita, SLA, bezpečný vývoj.

Vysvětlivka CypherOn
Smluvní balíček, který by měl být součástí každé klíčové dodavatelské smlouvy (zejména ICT). Praktická rada: připravte si standardní bezpečnostní přílohu smlouvy, kterou můžete přiložit ke každé nové smlouvě s ICT dodavatelem. Pro mezinárodní dodavatele (přenos osobních údajů mimo EU) doplňte SCC nebo BCR. Pro kritické dodavatele explicitně domluvte právo auditu po incidentu.
Příloha č. 3

Témata pro rozvoj bezpečnostního povědomí

25 témat (a–y): zabezpečení zařízení, firewall / antivirus, malware, instalace programů, aktualizace, makra, spustitelné soubory, účty, hesla, MFA, sociální inženýrství, online identita, počítačové sítě, VPN, e-komunikace, web, zálohy / šifrování, USB / přenosné nosiče, cloud, oznamování incidentů, BYOD, osobní odpovědnost, aktuální hrozby.

Vysvětlivka CypherOn
Vyhláška dává široký seznam témat. Pokrytí běžnými programy: KnowBe4, Cofense, vzdělávací portál NÚKIB (osveta.nukib.gov.cz — bezplatně). Praktický postup: roční školení pro všechny zaměstnance pokrývající základní okruhy (phishing, hesla, MFA, oznamování incidentů), specializovaná školení pro role s vyšším rizikem (vývojáři, finance, vedení). Měřte míru kliknutí na phishing — cíl < 5 % po 12 měsících programu.

Nižší povinnosti je realistický cíl.

Pomůžeme
vás zorientovat.

Nižší povinnosti znamená 6–12 měsíců strukturované práce na základech — politika, MFA, EDR, plán reakce na incidenty, řízení dodavatelů. Pomůžeme s gap analýzou, plánem zavedení nebo virtuální MKB rolí.

Domluvit konzultaci