Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Co by měl o Zákonu o kybernetické vědět statutár

– Vytvořil/a

Olga Pincová

v kategorii

21. listopadu proběhla další ze série konzultačních hodin. Tentokrát jsme se Zbyňkem Malým zaměřeli na vrcholové vedení organizací a jejich povinnosti. Shrnutí najdete pod záznamem.

1. Proč se statutár zákonu nevyhne

  • Zákon o kybernetické bezpečnosti (ZoKB) pracuje s pojmem „poskytovatel regulované služby“, ne se „statutárem“.
  • Za poskytovatele jedná statutární orgán – nese konečnou odpovědnost za plnění všech povinností.
  • Statutár:
    • nemusí dělat technická opatření,
    • ale musí zajistit podmínky, zdroje a lidi, aby se povinnosti plnily,
    • ručí za registrace, jmenování rolí a celkové řízení oblasti.

2. První krok: zjistit, zda pod ZoKB spadám (samoidentifikace)

2.1 Proces samoidentifikace

  • Cíl: zjistit, zda organizace provozuje regulovanou službu a zda spadá pod ZoKB.
  • Statutár:
    • určí tým (brainstormingová skupina),
    • zajistí vstupy (informace o službách, obratu, velikosti, sektoru, činnostech),
    • schválí výsledek – zda organizace je / není poskytovatelem regulované služby.

2.2 Hlavní opora: vyhláška o regulovaných službách

  • Vyhláška č. 408/2025 Sb. – o regulovaných službách
    • obsahuje seznam regulovaných služeb,
    • tým podle ní posuzuje, zda organizace:
      • regulovanou službu neposkytuje,
      • nebo ji poskytuje a v jakém režimu.

2.3 Kdo spadá do regulace – velikost organizace

  • ZoKB se týká:
    • středních a velkých podniků (podle definice EU),
    • plus specificky vyjmenovaných subjektů bez ohledu na velikost.
  • Kritéria (logika „ne AND, ale OR“):
    • počet zaměstnanců (např. střední podnik > 50),
    • nebo roční obrat (např. nad 10 mil. EUR).
  • Příklad z praxe:
    • firma s cca 20 zaměstnanci, ale obratem ~400 mil. Kč,
    • je z hlediska ZoKB střední podnik → musí se samoidentifikovat a může dopadnout jako regulovaná.

Poznámka: jako kvalitní podklad pro brainstorming a následné rozhodvoání můžete využít i naši kalkulačku. Finální zhodnocená musíte udělat vy, ale v rámci kalkulačky získáte perfektní náhled.

3. Registrace na portálu NÚKIB

3.1 Vyhláška o portálu NÚKIB

  • Vyhláška č. 334/2025 Sb. – o portálu NÚKIB
    • stanoví, že registrace probíhá přes Portál NÚKIB.

3.2 Povinná role statutára při registraci

  • První přihlášení do portálu NÚKIB MUSÍ provést statutár.
  • Ověření identity:
    • bankovní identita,
    • eObčanka,
    • eGovernment identita apod.
  • Poté může statutár:
    • sám provést registraci, nebo
    • vytvořit „určenou osobu“ a delegovat na ni oprávnění k registraci.

3.3 Co statutár garantuje

  • Registrace:
    • proběhne v zákonné lhůtě (např. 60 dní od účinnosti zákona),
    • zahrnuje všechny regulované služby, které organizace poskytuje.
  • Statutár odpovídá za to, že:
    • údaje jsou správné a úplné,
    • nic nebylo opomenuto (častý problém: firma poskytuje víc služeb, než si uvědomuje – např. IT služby pro jiné subjekty).

4. Režim nižších povinností (vyhláška 410)

4.1 Klíč: požadavky na vrcholové vedení (statutára)

  • Vyhláška č. 410/2025 Sb.
    • §4 – požadavky na vrcholové vedení (statutár a jemu postavené osoby),
    • §5–13 – bezpečnostní opatření,
    • §14 – významnost bezpečnostního incidentu,
    • §15 – účinnost vyhlášky.

Statutár musí:

  1. Vytvořit podmínky a zdroje
    • tři klíčové zdroje:
      • peníze,
      • čas,
      • lidi.
    • Bez nich nelze požadavky naplnit.
  2. Prokazatelně určit osobu odpovědnou za kybernetickou bezpečnost
    • písemné jmenování / interní akt,
    • často padá na IT, ale nemusí to být nutně IT.
  3. Zajistit plnění opatření dle §5–13
    • statutár je nezavádí technicky,
    • ale vyžaduje doložení, že:
      • existují,
      • jsou implementovaná,
      • jsou funkční.
  4. Zajistit pravidelné přezkoumání
    • minimálně 1× ročně,
    • typicky jako součást Management Review:
      • stav bezpečnostních opatření,
      • výsledky interních auditů,
      • incidenty a jejich řešení,
      • plnění plánů nápravných opatření.
  5. Absolvovat povinné školení
    • statutár musí prokazatelně absolvovat školení:
      • vstupní,
      • periodické (min. 1× ročně),
    • náplň:
      • základní principy kybernetické bezpečnosti,
      • role a odpovědnosti,
      • řízení rizik, incidentů,
      • povinnosti podle ZoKB a vyhlášek.

4.2 Co statutár nekoná osobně

  • Statutár neprovádí:
    • analýzu rizik,
    • konfiguraci systémů,
    • detailní nastavení přístupů,
    • evidenci aktiv.
  • Statutár řídí, neimplementuje:
    • zajišťuje, aby to dělali ti správní lidé,
    • nechává si doložit výstupy.

4.3 Incidenty a hlášení

  • Organizace musí:
    • vést evidenci všech bezpečnostních incidentů,
    • u významných incidentů:
      • je hlásit (v režimu nižších povinností Národnímu CERTu / CZ.NIC),
      • přesně podle nastavených pravidel.
  • Smysl:
    • sběr informací pro společné poučení,
    • možnost sdílení trendů a doporučení.

4.4 Co má statutár pravidelně kontrolovat

  • Existuje:
    • jmenovaná odpovědná osoba za kybernetickou bezpečnost,
    • procesy pro implementaci opatření,
    • evidence incidentů,
    • pravidelné přezkoumání stavu (Management Review).
  • Má k dispozici:
    • souhrnnou informaci o stavu plnění požadavků (např. plán zvládání rizik).

5. Manažerská kontrola – jaké výstupy má statutár chtít

Statutár by měl pravidelně dostávat zejména:

  • Plán zvládání rizik
    • jaká opatření se mají implementovat,
    • kdo je zodpovědný,
    • do kdy,
    • s jakými zdroji,
    • jak bude měřena účinnost (metriky).
  • Významné bezpečnostní incidenty
    • přehled incidentů,
    • způsob řešení,
    • přijatá nápravná opatření.
  • Identifikované nedostatky a rizika
    • výstupy z interních i externích auditů,
    • plán nápravných kroků.
  • Organizační a rozpočtová rozhodnutí
    • schválená organizační struktura v oblasti KB,
    • jasné rozdělení odpovědností,
    • rozhodnutí o minimální úrovni zabezpečení,
    • schválený budget na kybernetickou bezpečnost.

6. Režim vyšších povinností (vyhláška 409) – navíc k výše uvedenému

V režimu vyšších povinností platí vše výše – a k tomu přibývají další požadavky.

6.1 Povinné bezpečnostní role

Statutár musí jmenovat (a zajistit pravomoci):

  • Manažera kybernetické bezpečnosti
    • neměl by být z IT, aby nedocházelo ke střetu zájmů,
    • řídí systém kybernetické bezpečnosti, koordinuje opatření,
    • často se vyžaduje min. 3 roky praxe v oboru.
  • Architekta kybernetické bezpečnosti
    • může být z IT,
    • rozumí infrastruktuře, sítím, architektuře systémů.
  • Auditora kybernetické bezpečnosti
    • nezávislá role,
    • provádí přezkoumání a hodnocení systému z vnějšku.
  • Garanty aktiv
    • za primární i typové podpůrné skupiny aktiv,
    • musí jít o lidi, kteří dané aktivum opravdu znají.

6.2 Zastupitelnost klíčových rolí

  • Zákon a vyhlášky počítají s tím, že:
    • závažné incidenty se hlásí do 24 hodin.
  • Proto musí být zajištěna zastupitelnost minimálně:
    • manažera kybernetické bezpečnosti,
    • architekta kybernetické bezpečnosti.
  • Důvod:
    • incident přijde typicky „v sobotu večer“,
    • nelze čekat, až se oba vrátí z dovolené.

6.3 Kdo jmenuje role

  • Jmenování rolí je výhradně v kompetenci statutára:
    • nemůže to dělat IT,
    • nemůže to dělat dodavatel.
  • NÚKIB dříve trval na tom, aby manažer KB byl kmenový zaměstnanec.
    • Vzhledem k počtu regulovaných subjektů je realistické počítat s outsourcingem.
    • I u outsourcingu ale musí být nastavené SLAs tak, aby šlo splnit povinnosti (např. 24hod hlášení).

6.4 IT vs „výrobní“ prostředí (OT)

  • Důležité pro architekta, manažera i garanty:
    • IT – důraz na důvěrnost a integritu,
    • provozní / výrobní prostředí (OT) – důraz na dostupnost (kontinuita výroby).
  • Praktický příklad:
    • ve velínu elektrárny/teplárny:
      • často je vhodnější sdílený provozní účet + kniha služeb,
      • než přihlašování a odhlašování při každé výměně směny (vzniká „okno“, kdy není jasné, kdo velín sleduje).

6.5 Outsourcing – co lze předat, co ne

Lze rozumně outsourcovat:

  • auditora kybernetické bezpečnosti,
  • manažera kybernetické bezpečnosti (při dobrých SLA),
  • část architektury (s opatrností),
  • provoz IT,
  • dohled nad incidenty – SOC (Security Operations Center),
  • podporu při řízení rizik (externí manažer rizik, facilitace analýzy).

Nelze outsourcovat:

  • odpovědnost statutára:
    • za registraci,
    • za jmenování rolí,
    • za rozhodnutí o zdrojích,
    • za plnění povinností jako celku.

7. Výbor kybernetické bezpečnosti

7.1 Účel a složení

  • Vyžaduje ho vyhláška 409.
  • Statutár rozhoduje o jeho zřízení.
  • Minimální složení:
    • manažer kybernetické bezpečnosti,
    • statutár / zástupce vrcholového vedení
      (statutár může pověřit jinou osobu, která bude za vedení jednat).
  • Doporučené doplnění:
    • zástupce HR (školení, životní cyklus zaměstnance),
    • zástupce IT,
    • zástupce právního.

7.2 Co výbor řeší

  • Koordinace řízení kybernetické bezpečnosti.
  • Projednávání a schvalování:
    • plánu zvládání rizik,
    • priorit implementace opatření,
    • časového rozložení (co letos, co až příští rok),
    • incidentů a nápravných opatření.
  • Důležité:
    • i pokud některé opatření zatím není implementováno, ale je řádně zdůvodněno a plánováno, kontrola NÚKIBu to vnímá jako splnění povinnosti v procesu – nikoli automaticky jako nezhodu.

7.3 Frekvence a praktické fungování

  • Při budování systému od nuly:
    • výstupy pro statutára klidně měsíčně.
  • běžném provozu:
    • zpravidla 1× za půl roku postačí.
  • Více členů = složitější svolávání → je třeba hlídat, aby výbor reálně fungoval, ne jen „existoval na papíře“.

8. Školení statutára – co má splnit

  • NÚKIB nepožaduje žádné „oficiálně certifikované“ školení.
  • Požadavek je:
    • průkazně absolvované školení s relevantním obsahem.
  • Parametry:
    • může být interní i externí školení,
    • nemusí být celodenní – může stačit cca 1–2 hodiny,
    • důležité je, aby statutár:
      • rozuměl své roli a odpovědnosti,
      • věděl, co je:
        • analýza rizik,
        • organizační a technická opatření,
        • incident, událost, významný incident,
        • základní lhůty: 24 h, 72 h, 30 dní pro hlášení,
      • chápal, co má schvalovat (role, garanty, plány, strukturu, zdroje).
  • Webinář jako tento lze využít:
    • buď přímo jako školení (s doložením účasti),
    • nebo doplněný testem k ověření, že statutár obsah opravdu pochopil.

9. Co bude kontrolovat NÚKIB

Při kontrole (nejde o „audit“, ale kontrolu podle kontrolního řádu) se bude ověřovat zejména:

  • zda jsou:
    • role formálně jmenované (manažer KB, architekt, auditor, garanti),
    • zajištěna zastupitelnost u manažera a architekta,
    • přiděleny zdroje (finanční i personální),
    • vedení je reálně zapojeno (např. skrz Výbor KB),
  • zda:
    • definované procesy a postupy existují a fungují,
    • existují záznamy:
      • zápisy z výboru,
      • logy a evidence,
      • výstupy z auditů,
      • plán zvládání rizik a jeho plnění.
  • Kontroloři nehledají „viníka“, ale posuzují:
    • zda je reálný stav v souladu s vyhláškami a zákonem.

10. Shrnutí pro statutára v jedné větě

Kybernetická bezpečnost není problém IT, ale součást řízení celé organizace – statutár ji neimplementuje, ale garantuje.

A prakticky to znamená:

  1. Zajistit samoidentifikaci a registraci (včetně prvního přihlášení na portál NÚKIB).
  2. Jmenovat role (manažer KB, architekt, auditor, garanti) a zajistit jejich pravomoci a zastupitelnost.
  3. Schválit organizační strukturu, odpovědnosti a zdroje.
  4. Zajistit bezpečnostní opatření, i když je technicky provádí jiní.
  5. Pravidelně přezkoumávat stav (Management Review, výbor KB).
  6. Absolvovat školení, aby rozhodoval informovaně.

11. Jak CyberEdu a MoyaKybeon mohou pomoci

  • V rámci CyberEdu NIS2 Academy a Letní školy už existují:
    • podrobné záznamy krok za krokem:
      • od identifikace aktiv,
      • přes řízení rizik,
      • až po fungování výboru kybernetické bezpečnosti.
  • Pokud chcete přístup k záznamům:
    • napište nám přes formulář níže
  • Pokud chcete rychle vyzkoušet nástroj pro řízení rizik a plnění povinností:

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.