Co znamená „přiměřeně"?

Vyhláška pracuje s takzvanými performativními pravidly. To znamená, že neříká „nainstalujte software XY". Říká „dosáhněte tohoto cíle" – a nechává na vás, jak se k němu dostanete. NÚKIB to sám komentuje s tím, že univerzální řešení pro všechny organizace neexistuje a navíc by odporovalo zásadě technologické neutrality.
V praxi to vypadá tak, že si každá organizace musí sama vyhodnotit, jaká opatření dávají smysl vzhledem k její velikosti, rozpočtu, technickému vybavení a tomu, co se reálně může stát.

Dva příklady, které mluví za vše

NÚKIB v dokumentu uvádí dvě modelové situace, které stojí za pozornost.

První je poliklinika. Má IT vybavení v hodnotě kolem 300 000 Kč – pár počítačů, server, software na evidenci pacientů. NÚKIB výslovně říká, že investovat 800 000 Kč do SIEM systému nebo nepřetržitého monitoringu od dohledového centra v tomto případě nedává ekonomický smysl. Co smysl dává? Základní antivir, pravidelné zálohování, školení personálu a rozumná segmentace sítě. Opatření v řádu desítek tisíc korun, která výrazně sníží riziko a jsou dlouhodobě udržitelná.

Druhý příklad je zemědělský podnik s evidencí zvířat, dálkovým řízením krmení a základním účetnictvím. Ani tady podle NÚKIB nemá smysl pořizovat pokročilé firewally a redundantní servery za statisíce. Efektivnější cestou je osvěta zaměstnanců, silná hesla s dvoufaktorovým ověřením, aktualizace softwaru a jednoduché zálohovací řešení.

Společný jmenovatel obou příkladů? Opatření musí odpovídat hodnotě toho, co chráníte, a hrozbám, kterým reálně čelíte.

Co ale musíte zavést vždy

Tady je důležité upozornění. Přiměřenost má své hranice. Vyhláška definuje sadu takzvaných neopominutelných opatření – konkrétně jde o požadavky v § 3 odst. 2 až 6, § 4 až 6 a § 10. Tato opatření zavádíte povinně, bez ohledu na to, jak velká je vaše organizace nebo jestli si myslíte, že je nepotřebujete.

Mezi ně patří třeba stanovení bezpečnostní politiky, řízení kontinuity činností, určení priorit obnovy aktiv nebo pravidelná školení zaměstnanců.

Jak rozhodovat o ostatních opatřeních

U takzvaných vyhodnotitelných opatření NÚKIB doporučuje projít pět otázek. Jak pravděpodobné je, že riziko nastane? Jaký by mělo dopad – finanční, provozní, reputační? O kolik opatření riziko sníží? Kolik bude stát jeho zavedení a provoz? A existuje levnější alternativa, která dosáhne stejného výsledku?

Pokud náklady na plné zavedení opatření výrazně převyšují jeho přínos, NÚKIB doporučuje zvážit alespoň částečné zavedení. A pokud ani to nedává smysl a nejde o neopominutelné opatření, je možné ho nezavést – ovšem s řádným zdůvodněním.

Nemusíte všechno najednou

Další důležitý vzkaz z dokumentu: implementace nemusí proběhnout jednorázově. NÚKIB přímo říká, že v Přehledu bezpečnostních opatření – což je povinný dokument, který musíte zpracovat každý rok a uchovávat minimálně čtyři roky – lze zavádění opatření plánovat postupně. S ohledem na rozpočet, dostupné zdroje a důležitost jednotlivých opatření.

Celý přístup stojí na PDCA cyklu: plánujete, zavádíte, kontrolujete, upravujete. A pak znovu. Kybernetická bezpečnost podle NÚKIB není projekt s datem dokončení. Je to průběžný proces.

Proč je důležité začít teď

Postupná implementace je rozumná a NÚKIB ji doporučuje. Ale postupnost předpokládá, že máte s čím postupovat – tedy že jste alespoň zmapovali svá kritická aktiva, identifikovali základní hrozby a připravili první verzi dokumentace.
Do konce roku 2026 zbývá méně než devět měsíců. Každý měsíc odkladu zmenšuje prostor pro klidnou, systematickou a levnější implementaci. A právě postupnost – nikoliv jednorázový nákup drahé technologie – je to, čím NÚKIB argumentuje.

Takže pokud jste zatím čekali na jasný signál, tenhle dokument jím je. Ne proto, že zpřísňuje požadavky. Ale protože ukazuje, že to jde – přiměřeně, rozumně a bez zbytečných nákladů. Jen s tím musíte začít.