Co se v evropské regulaci mění a proč se to týká i středních firem
Evropská unie v posledních letech výrazně zpřísňuje požadavky na kybernetickou bezpečnost. Největší dopad mají zejména NIS2, navazující národní transpozice, a také související pravidla pro ochranu dat, řízení rizik a hlášení incidentů. Pro mnoho středních firem to znamená posun od „nějakého antiviru a hesel“ k prokazatelně řízené bezpečnosti.
Rozhodující není jen velikost firmy, ale i to, v jakém odvětví působí, zda je součástí dodavatelského řetězce a zda zpracovává citlivá data. Typicky se to týká výroby, logistiky, IT služeb, zdravotnictví, e-commerce, financí, energetiky, ale i firem, které jsou na první pohled „běžné“, jen používají cloud, CRM, ERP a pracují s větším objemem osobních údajů.
Prakticky to znamená, že střední firma už nemůže bezpečnost řešit ad hoc. Regulace tlačí na evidence-based přístup: mít pravidla, umět doložit opatření, znát vlastní rizika a být schopný reagovat na incident do hodin, ne dnů.
Hlavní povinnosti: řízení rizik, odpovědnost vedení a hlášení incidentů
Nejdůležitější změna je v tom, že kyberbezpečnost se stává tématem vedení firmy. NIS2 klade důraz na odpovědnost managementu a na to, aby firma měla nastavený systém řízení rizik. V praxi to není jen dokument do šuplíku, ale soubor konkrétních opatření.
- Řízení přístupů – minimální oprávnění, MFA, pravidelná revize účtů, oddělení administrátorských rolí.
- Správa zranitelností – patch management, aktualizace systémů, evidované testování.
- Zálohování a obnova – offline nebo immutable backup, pravidelný test obnovy.
- Bezpečnost dodavatelů – kontrola SaaS, outsourcingu, IT partnerů a jejich SLA.
- Incident response – kdo co dělá při útoku, jak se eskaluje, kdo komunikuje navenek.
Velmi důležité jsou také lhůty pro hlášení incidentů. V evropském rámci se standardně pracuje s rychlým oznámením významných bezpečnostních událostí, typicky v řádu 24–72 hodin podle typu incidentu a lokální úpravy. To je zásadní rozdíl proti běžné praxi, kdy firmy incident řešily interně a úřadům hlásily až následně. Pokud firma nemá interně připravený proces, nestíhá nejen reporting, ale ani správnou technickou reakci.
Pro střední firmy je to tlak na disciplínu: evidence incidentů, logování, kontakty na odpovědné osoby, jasná eskalační mapa a předpřipravené šablony hlášení.
Kde firmy nejčastěji selhávají: technika, lidé a dodavatelský řetězec
V praxi nebývá problém v jedné „velké díře“, ale v souhře drobných slabin. Útočník se často dostane do firmy přes phishing, slabé heslo, neaktualizovaný plugin, kompromitovaný účet dodavatele nebo špatně nastavený cloud.
Podle dlouhodobých bezpečnostních reportů zůstává lidský faktor jedním z nejčastějších vstupních bodů útoku. U středních firem je navíc typická kombinace menšího bezpečnostního týmu a větší technologické roztříštěnosti: Microsoft 365, Google Workspace, CRM, účetnictví, e-shop, hosting, WMS, vzdálený přístup a několik externích správců.
Nejčastější slabiny, které je dobré zkontrolovat jako první:
- chybějící multifaktorové ověření u e-mailu a administrace,
- sdílené účty bez jasné odpovědnosti,
- nepřehledná práva v cloudu a v interních systémech,
- zastaralé webové systémy a pluginy, zejména u WordPressu a e-shopů,
- slabé zálohy bez testu obnovy,
- absence logování a centrálního přehledu o incidentech.
Velké riziko představuje i dodavatelský řetězec. Pokud firma používá externí účetní systém, IT outsourcera nebo marketingovou agenturu s přístupem do administrace webu, je potřeba smluvně i technicky ošetřit, kdo za co odpovídá. Bez toho může být problém při auditu i při samotném incidentu.
Co musí střední firma udělat v praxi během 90 dnů
Nejrychlejší cesta není kupovat drahé nástroje, ale udělat pořádek v základech. Pro střední firmu dává smysl rozdělit práci do tří etap.
1. Inventura aktiv a rizik
Seznamte všechny systémy, účty, zařízení, SaaS služby a externí přístupy. U každé položky si odpovězte: kdo ji spravuje, kde běží, jaká data obsahuje, jak je zálohovaná a co se stane při výpadku. Tato inventura je základ pro další kroky a často odhalí desítky zapomenutých účtů nebo služeb.
2. Rychlé technické minimum
- zapnout MFA všude, kde to jde,
- zavést správce hesel, například 1Password, Bitwarden nebo Keeper,
- nastavit automatické aktualizace a patch management,
- oddělit administrátorské účty od běžných uživatelských,
- zálohovat data podle pravidla 3-2-1, ideálně s offline kopií,
- aktivovat centrální logování, například přes Microsoft Defender, Wazuh, Splunk nebo Graylog.
3. Procesy a odpovědnosti
Bez jasných rolí je bezpečnost jen teorie. Určete vlastníka bezpečnosti, technického správce, kontaktní osobu pro incidenty a zástupce vedení. Připravte jednoduchý incident response plán na 1–2 stránky: jak poznat incident, koho zavolat, co izolovat, co logovat, kdy informovat právníka, pojišťovnu a klienty.
Užitečný je také tabletop test jednou za čtvrtletí. Jde o simulaci útoku bez technického zásahu, kde tým projde scénář typu ransomware, únik dat nebo kompromitace e-mailu. Tato cvičení bývají levná, ale velmi účinná, protože odhalí slabá místa v komunikaci a rozhodování.
Nástroje, audit a dokumentace: co si připravit pro kontrolu i pro vlastní klid
Střední firmy často podceňují dokumentaci. Přitom právě ta bývá při kontrole nebo po incidentu rozhodující. Nestačí mít bezpečnost „někde v IT“, je potřeba ji umět doložit.
Co by mělo být připravené minimálně:
- politika kybernetické bezpečnosti v rozsahu přiměřeném velikosti firmy,
- evidence aktiv a správců systémů,
- risk register s prioritami a termíny,
- záznamy o školení zaměstnanců,
- plán obnovy a výsledky testů záloh,
- seznam dodavatelů s bezpečnostními požadavky ve smlouvách.
Z nástrojů se vyplatí sledovat hlavně ty, které dávají dobrý poměr cena/výkon. Pro endpoint ochranu a správu zařízení bývá vhodný Microsoft Defender for Business nebo podobná EDR řešení. Pro správu zranitelností lze využít OpenVAS, Qualys nebo Tenable. Pro audit webu a aplikací je praktické kombinovat OWASP ZAP, monitoring logů a pravidelné penetrační testy.
U webů a e-commerce je kritické hlídat CMS, pluginy, přístupy do administrace a zálohování. U WordPressu například nestačí bezpečnostní plugin; důležitější je správná správa rolí, omezení přístupů, 2FA a pravidelné aktualizace jádra i doplňků.
Jak z kyberbezpečnosti udělat konkurenční výhodu místo nákladu
Evropské směrnice nejsou jen regulatorní zátěž. Pro střední firmy mohou být i obchodní výhodou. V B2B zakázkách už dnes často rozhoduje, zda dodavatel prokáže bezpečnostní standardy, umí doložit procesy a má zvládnuté incidenty i zálohy. Bez toho může firma ztrácet výběrová řízení, zejména u větších klientů a veřejného sektoru.
Dobře nastavená kyberbezpečnost navíc snižuje i provozní riziko. Výpadek e-shopu na 12 hodin, ztráta dat z ERP nebo kompromitace firemního e-mailu má přímé finanční dopady: přerušení prodeje, zpoždění výroby, reklamace, právní náklady i poškození reputace. U střední firmy může jediný incident stát statisíce až miliony korun, a to i bez pokuty.
Nejlepší postup je proto pragmatický: začít inventurou, zavést MFA a zálohy, upravit odpovědnosti, otestovat reakci na incident a teprve potom řešit pokročilejší vrstvy jako SIEM, EDR nebo automatizované security orchestration. Firmy, které to udělají systematicky, získají nejen větší odolnost, ale i lepší vyjednávací pozici vůči klientům, pojišťovnám a partnerům.
