Mimo regulaci · doporučená minima
Zákon na vás přímo nedopadá — ale to neznamená, že kybernetickou bezpečnost můžete ignorovat. Doporučená minima, na čem začít, a kde najít praktické rámce.
Kalkulačka ukázala, že podle zadaných kritérií na vaši organizaci zákon č. 264/2025 Sb. přímo nedopadá. Nemusíte se registrovat u NÚKIB ani plnit konkrétní povinnosti vyhlášek 409/2025 (vyšší) a 410/2025 (nižší).
To ale neznamená, že kybernetická bezpečnost vás neřeší. Útoky cílí na malé firmy stejně jako na velké, smluvní povinnosti od regulovaných klientů budou tlačit na bezpečnostní standardy, a jiné regulace (GDPR, sektorové) mohou platit nadále.
Ransomware, BEC podvody, krádeže dat zasahují malé firmy stejně jako velké. Median ransomware výkupné v 2024 ~150k EUR, downtime 21 dní, 60 % postižených malých firem zaniká do 6 měsíců. Náklady incidentu jsou pro malou firmu typicky existenční.
Vaši regulovaní klienti (banky, nemocnice, distributoři) budou nově prověřovat dodavatele. Bezpečnostní dotazníky (SIG, CAIQ), požadavky na DPA, hlášení incidentů, audit right — to vše se na vás může vztahovat smluvně, i když ne ze zákona. Připravit se předem znamená neztratit zakázky.
GDPR (zpracování osobních údajů), eIDAS (elektronické podpisy), telco zákon, zákon o platebním styku, sektorové regulace (zdravotnictví, finance) — ty vás dál tlačí na bezpečnostní opatření. Plus pojistné podmínky a smluvní vztahy.
Náš pragmatický seznam — to nejdůležitějších 10 opatření pro malou firmu, která chce být bezpečná za rozumný rozpočet a čas. Pokrývá ~80 % typických útoků s ~20 % nákladů plné implementace ZKB.
01
Vícefaktorová autentizace na: cloud konzoli (Microsoft 365, AWS, Azure, GCP), VPN, RDP, e-mail, klíčové SaaS (CRM, finance, code repo). Pro IT admin účty FIDO2 / hardware key (YubiKey) místo SMS — SIM swap a AiTM jsou reálné. Náklad: 0–50 EUR/uživatel jednorázově.
02
Endpoint Detection & Response — ne jen klasický antivirus. Doporučení: Microsoft Defender for Endpoint P1 (~3 EUR/měsíc/seat, integruje s M365), ESET Protect Advanced (česky mluvící podpora), SentinelOne. Klíčové: alerty na on-call e-mail / SMS, ne jen denní pohled.
03
3 kopie dat, 2 média, 1 offline nebo immutable. Online zálohy ransomware šifruje současně s produkcí. Pro M365 specificky třetí strana backup (Veeam M365, AvePoint) — Microsoft retention není záloha. Test obnovy minimálně 1× za půl roku.
04
Pravidelné aktualizace s definovanými lhůtami: aktivně zneužívané (CISA KEV) 24–72h, kritické (CVSS ≥ 9.0) 72h, vysoké 14 dní. Automatizujte přes Windows Update / WSUS, Linux unattended-upgrades. Klíčové: nevynechávat firmware a IoT zařízení.
05
SPF + DKIM + DMARC postupně k p=reject (3–6 měsíců proces: monitor → quarantine → reject). Anti-phishing s impersonation protection (Defender for O365 P1 nebo ekvivalent). BEC podvody jsou #1 finanční hrozba pro malé firmy — DMARC s reject je nejúčinnější obrana.
06
BitLocker na Windows, FileVault na macOS, LUKS na Linux — všechny laptopy a notebooky. Šifrování e-mailů s osobními údaji (Microsoft Information Protection). TLS 1.2+ pro vlastní web a API. Nákupové zařízení musí být šifrované od prvního zapnutí.
07
1× ročně roční školení bezpečnostního povědomí pro všechny zaměstnance (KnowBe4, Cofense, vzdělávací portál NÚKIB — bezplatně). 2–4× ročně phishing simulace s eskalací: po 3 kliknutí 1:1 školení. Cíl: míra kliknutí pod 5 % po 12 měsících programu.
08
Stručný dokument (3–5 stran) — kontaktní matice, 3–4 klíčové scénáře (ransomware, BEC, únik dat, výpadek kritického dodavatele), kroky 1-2-3 pro každý. Šablony hlášení: pro ÚOOÚ (GDPR), pro pojišťovnu, pro klienty. Test 1× ročně tabletop (3 hodiny).
09
Administrátorská oprávnění jen pro účty, které je opravdu potřebují. Separované admin účty (jan@ pro běžnou práci, jan-admin@ pro IT operace). Roční review aktivních účtů a oprávnění. Off-boarding: privilegované účty revoke v hodině, standardní do 24h.
10
Bez evidence aktiv (kdo má jaký laptop, jaký software běží na čem) nelze řídit nic. Discovery automatizujte přes Microsoft Intune (zdarma s M365 Business Premium), Lansweeper, Snipe-IT. Roční review: vyřazená zařízení, neaktualizovaný software, unauthorized SaaS.
Pokud chcete jít dál než minimum, doporučujeme tyto rámce. Strukturované, ověřené, praktické. Pro malé firmy stačí začít s nejnižším patrem každého rámce.
Český referenční standard pro organizace mimo regulaci ZKB, ale s reálnou potřebou bezpečnosti. Strukturovaný checklist organizační, technický a procesní bezpečnosti. Bezplatný PDF, cca 30 stran.
Mezinárodní standard od Center for Internet Security. IG1 je „basic cyber hygiene" baseline pro malé firmy bez dedikovaného bezpečnostního týmu — 56 konkrétních safeguardů. Pokud zvládnete IG1, jste v top 30 % bezpečnostně připravených malých firem.
Americký rámec, ale globálně přijímaný. 6 funkcí: Govern, Identify, Protect, Detect, Respond, Recover. Vhodný pro firmy, které plánují růst do regulovaného prostoru a chtějí strukturu, na kterou později naváží ZKB / ISO 27001.
Online kurzy pro zaměstnance i IT specialisty od českého úřadu. Kvalitní, lokalizované, s českými kontexty. Vhodné jako základ awareness programu nebo pro samostudium IT týmu.
Mezinárodní norma pro systém řízení bezpečnosti informací. Pokud směřujete k certifikaci (kvůli klientům, B2B kontraktům, IPO), je to investice na 12–18 měsíců práce a ~500k–1.5M Kč na audit. Pro firmy, které vědí, že budou regulované — postavte rovnou ISO.
Pokud rostete (více zaměstnanců, vyšší obrat) nebo měníte oblast podnikání, můžete se ze stavu „mimo regulaci" dostat do nižšího nebo vyššího režimu povinností.
Praktické rady:
Když se to stane, vrátíte se do kalkulačky a zjistíte, do kterého režimu spadáte. Investice do minimálního baseline z této stránky bude pokračovat — drtivá většina opatření platí napříč regulacemi.
Potřebujete pomoct?
Nemusíte mít regulaci, abyste potřebovali bezpečnostní program. Pomůžeme vám zavést minimální baseline (typicky 3–6 měsíců) nebo vybudovat strukturu, kterou později rozšíříte podle růstu firmy.