Shrnutí · cheatsheet · vyšší povinnosti

VYŠŠÍ POVINNOSTI

Essential entities · zákon č. 264/2025 Sb. + vyhláška 409/2025 · k tisku jako PDF

← Zpět na ZKB průvodce
Shrnutí · cheatsheet · vyšší povinnosti

Vyšší povinnosti

Essential entities · zákon č. 264/2025 Sb. + vyhláška 409/2025 · k tisku jako PDF
⚠ Orientační dokument Tento dokument je zjednodušeným informativním přehledem klíčových povinností zákona č. 264/2025 Sb. a vyhlášky 410/2025. Není to závazné právní stanovisko ani úplný výklad zákona. CypherOn je konzultační společnost v oblasti kybernetické bezpečnosti, není advokátní kanceláří — pro právní stanoviska se obracejte na advokáta zapsaného v ČAK. Pro definitivní určení režimu a povinností doporučujeme přímý dotaz na NÚKIB.
Vyšší povinnosti Essential entities · zákon č. 264/2025 Sb. + vyhláška 409/2025 · k tisku jako PDF

Tento přehled shrnuje klíčové povinnosti subjektů spadajících pod režim vyšších povinností. Slouží jako rychlý referenční dokument pro management a IT — ne jako právní výklad.

Pro koho platí

Subjekty z odvětví zařazených do přílohy I zákona, které splňují kritéria velké organizace (≥ 250 zaměstnanců NEBO obrat > 50 mil. EUR NEBO bilanční suma > 43 mil. EUR). Některé subjekty (DNS provideři, TLD registry, kvalifikovaní poskytovatelé eIDAS, ústřední správa) spadají do tohoto režimu bez ohledu na velikost.

Co musíte dělat (5 pilířů)

1. Governance & řízení

Jmenovat Manažera Kybernetické Bezpečnosti (MKB) s formálním pověřením vedení. Schválit politiky (informační bezpečnost, řízení přístupu, reakce na incidenty, pravidla přijatelného užívání, zálohování, řízení rizik dodavatelů). Zavést řízenou dokumentaci s verzováním a periodickým přezkumem (min. 1× ročně).

2. Řízení rizik & aktiv

Vést registr aktiv (HW, SW, data, procesy, dodavatelé) s vlastníky a klasifikací CIA. Vést registr rizik s metodikou podle NÚKIB (pravděpodobnost × dopad → opatření). Posuzování min. 1× ročně a po každé větší změně.

3. Bezpečnostní opatření

MFA na všech admin. a vzdálených přístupech, pro privilegované účty FIDO2 / WebAuthn. EDR / XDR na koncových stanicích, MDM s vynucením shody. Patch management s prioritizací podle KEV / EPSS (kritické 72h, aktivně zneužívané 24–48h). Zálohy 3-2-1 včetně offline / neměnné kopie a pravidelného testu obnovy. Centrální logování ≥ 90 dní (klíčové systémy 12 měsíců). Šifrování dat v klidu i v přenosu, dokumentovaná rotace klíčů. Síťová segmentace, DMARC s politikou reject.

4. Reakce na incidenty

Plán reakce na incidenty (IRP) s eskalačními kontakty a šablonami, detekce mapovaná na MITRE ATT&CK. Hlášení NÚKIB: early warning do 24 h, prvotní zpráva do 72 h, závěrečná do 1 měsíce. Tabletop cvičení min. 1× ročně (ransomware, dodavatelský řetězec, vnitřní hrozba). Vazba na BCP / DR pro klíčové služby (RTO / RPO).

5. Lidé & dodavatelé

Pravidelná školení kybernetické bezpečnosti pro všechny zaměstnance (min. 1× ročně) a phishing simulace. Ukončení pracovního poměru s rozlišením privilegovaných účtů (odebrat v hodině) vs standardních (≤24h). Řízení rizik dodavatelů — registr dodavatelů s posouzením úrovně (DPA, SOC 2 / ISO 27001, smluvní povinnosti, auditní stopa), SBOM u kritického SW, ideálně průběžné sledování (SecurityScorecard / BitSight).

Administrativní povinnosti

Sankce

Pokuta až do 10 000 000 EUR nebo do 2 % celosvětového ročního obratu (vyšší z obou). Vedení je osobně odpovědné za zavedení a kontrolu opatření — ZKB explicitně zakotvuje odpovědnost statutárních orgánů.

Doporučené první kroky (90 dnů)

0–30 dnů
Analýza nedostatků, jmenování MKB, registrace u NÚKIB, schválení politik na úrovni vedení.
30–60 dnů
Registr aktiv, registr rizik (první iterace), MFA na admin/VPN, návrh IRP.
60–90 dnů
Patch SLA, audit záloh, tabletop, bezpečnostní dotazník pro top 5 dodavatelů.

Pomůžeme s implementací

Nejste si jistí,
jak začít?

Pokud potřebujete posoudit vlastní situaci, určit režim, připravit politiky nebo se připravit na audit — domluvte si nezávaznou konzultaci.

Domluvit konzultaci