IT směrnice
Aktualizováno: 21.8.2025
Kybernetická bezpečnost už není jen doménou IT oddělení – je to strategická priorita každé moderní firmy. S účinností nového zákona o kybernetické bezpečnosti od listopadu 2025 a nařízení DORA pro finanční sektor se požadavky na IT směrnice dramaticky zpřísňují. Víte, do které kategorie vaše organizace spadá a jaké konkrétní povinnosti musíte splnit? Náš komplexní průvodce vám pomůže zorientovat se v džungli regulací a určit přesně ty směrnice, které jsou pro vaši firmu klíčové. Ať už jste malý podnik bez specifické regulace, nebo finanční instituce podléhající DORA – najdete zde praktický přehled všech požadavků s jasným hodnocením priorit. Bonus: detailní tabulka s hodnocením důležitosti každé směrnice podle typu vaší organizace.
V dnešním digitálním světě představuje informační technologie páteř každé moderní organizace. S rostoucí závislostí na IT systémech a službách však současně narůstají i rizika spojená s kybernetickými hrozbami, úniky dat a porušením legislativních požadavků. Proto je nezbytné mít jasně definované IT směrnice, které poskytují strukturovaný rámec pro bezpečné a efektivní využívání technologií.
Tyto směrnice nejsou pouze technickým dokumentem pro IT specialisty, ale praktickým průvodcem pro všechny zaměstnance organizace. Jejich cílem je zajistit, aby každý člen týmu rozuměl svým povinnostem a odpovědnostem v oblasti informační bezpečnosti, ochrany osobních údajů a dodržování platných zákonů a norem.
Následující oblasti pokrývají kompletní spektrum IT governance – od každodenního používání technologií přes správu bezpečnosti až po compliance s legislativními požadavky jako je GDPR. Každá směrnice je navržena tak, aby byla srozumitelná, prakticky aplikovatelná a současně poskytovala dostatečnou ochranu proti současným i budoucím hrozbám.
Dodržování těchto směrnic není pouze otázkou technické bezpečnosti, ale klíčovým faktorem pro udržení důvěry našich klientů, partnerů a zajištění kontinuity podnikání v digitální éře.
Faktory ovlivňující aplikaci IT směrnic
Rozsah a náročnost IT směrnic závisí na několika klíčových faktorech:
- Typ podnikání a odvětví – finanční sektor má přísnější požadavky než běžné obchodní společnosti
- Velikost organizace – větší firmy čelí vyšším požadavkům
- Geografické působení – mezinárodní firmy musí splňovat požadavky více jurisdikcí
- Citlivost zpracovávaných dat – osobní údaje, finanční informace nebo kritická infrastruktura vyžadují vyšší ochranu
Kategorizace podle regulatorního rámce
Kategorie 1 (K1)
- Charakteristika povinných organizací: Organizace bez specifické regulace, které nespadají pod žádnou speciální kybernetickou regulaci.
- Charakteristika doporučených organizací: Malé a střední podniky mimo regulované sektory, které by měly dodržovat základní bezpečnostní standardy.
- Doporučení: Implementace základních bezpečnostních opatření (antiviry, firewall, zálohování, školení).
Kategorie 2 (K2)
- Charakteristika povinných organizací: Organizace, které spadají pod Nový zákon o kybernetické bezpečnosti – nižší povinnosti (účinný od 1.11.2025).
- Charakteristika doporučených organizací: Střední firmy s vyšší závislostí na IT, které mohou dobrovolně přijmout podobná opatření pro zvýšení bezpečnosti.
- Požadavky: Analýza rizik, bezpečnostní politiky, školení zaměstnanců, hlášení závažných kybernetických incidentů NÚKIB, vedení evidence incidentů a bezpečnostních opatření, spolupráce s NÚKIB.
Kategorie 3 (K3)
- Charakteristika povinných organizací: Organizace, které spadají pod Nový zákon o kybernetické bezpečnosti – vyšší povinnosti, významní poskytovatelé služeb
- Charakteristika doporučených organizací: Velké organizace s kritickou závislostí na IT, které mohou dobrovolně přijmout rozšířené bezpečnostní postupy.
- Požadavky: Komplexní systém řízení kybernetické bezpečnosti, pravidelné audity a certifikace, detailní reportování, plány obnovy a zajištění nepřetržitého provozu kritických služeb.
Kategorie 4 (K4)
- Charakteristika povinných organizací: Finanční instituce v EU, které podléhají Nařízení DORA (Digital Operational Resilience Act) platnému od 17. ledna 2025.
- Charakteristika doporučených organizací: Finanční subjekty s vysokou závislostí na digitálních technologiích, které mohou přijmout rámec DORA i mimo povinné subjekty.
- Požadavky: Řízení IKT rizik s odpovědností vedení, pravidelné penetrační a zátěžové testy systémů, přísné požadavky na správu dodavatelů, rychlé hlášení závažných incidentů dozorovým orgánům.
Potřebujete pomoc s určením vaší kategorie?
Není vždy jednoduché určit, pod kterou regulaci vaše firma spadá a jaké konkrétní povinnosti musíte splnit. Nabízíme bezplatnou konzultaci, během které:
- Určíme, do které kategorie vaše organizace patří
- Vysvětlíme konkrétní požadavky a termíny
- Navrhneme postup implementace potřebných opatření
- Odpovíme na všechny vaše otázky týkající se IT směrnic
Přehled IT směrnic podle kategorií organizací
Následující tabulka poskytuje komplexní přehled všech klíčových IT směrnic a jejich důležitosti pro různé typy organizací. Názvy směrnic se mohou v různých organizacích lišit, ale zásadní jsou konkrétní oblasti, které musí být v rámci kybernetické bezpečnosti řešeny. Každá směrnice je proto rozdělena do specifických oblastí, které představují skutečné požadavky bez ohledu na to, jak vaše organizace své interní dokumenty pojmenovává.
Jak číst tabulku
Tabulka používá číselné hodnocení 0-3, které vyjadřuje míru důležitosti a povinnosti dané oblasti pro každou kategorii organizace:
- 0 = Není požadováno nebo není relevantní pro danou kategorii
- 1 = Nízká priorita – doporučené opatření, ale není povinné
- 2 = Střední priorita – částečně povinné nebo silně doporučené
- 3 = Vysoká priorita – plně povinné podle příslušné legislativy
Co vám tabulka ukáže
Pomocí této tabulky můžete:
- Rychle identifikovat, které směrnice jsou pro vaši organizaci nejdůležitější
- Porovnat požadavky mezi různými kategoriemi organizací
- Naplánovat prioritizaci implementace bezpečnostních opatření
- Pochopit progresivní nárůst požadavků s rostoucí regulatorní zátěží
💡 Tip: Zaměřte se nejprve na oblasti s hodnocením 3, poté postupně implementujte opatření s hodnocením 2 a 1. Oblasti s hodnocením 0 můžete prozatím vynechat, ale sledujte případné změny v legislativě.
Směrnice | Oblast | K1 (bez reg.) | K2 (nZKB nižší) | K3 (nZKB vyšší) | K4 (DORA) |
Směrnice pro uživatele | Používání IT | 1 | 2 | 3 | 3 |
Správa hesel a vícefaktorová autentizace (MFA) | 1 | 2 | 3 | 3 | |
Pravidla pro BYOD (Bring Your Own Device) | 1 | 2 | 3 | 3 | |
Práce na dálku a VPN | 2 | 3 | 3 | ||
Reporting a eskalace bezpečnostních incidentů | 1 | 3 | 3 | 3 | |
Školení a povědomí o kybernetické bezpečnosti | 1 | 3 | 3 | 3 | |
Směrnice pro garanty aktiv a nadřízení | Klasifikace a inventarizace aktiv | 1 | 2 | 3 | 3 |
Role a odpovědnosti | 1 | 2 | 3 | 3 | |
Schvalování nových IT služeb a zařízení | 1 | 2 | 3 | 3 | |
Analýza a řízení rizik | 1 | 3 | 3 | 3 | |
Kontrola souladu s interními i externími požadavky | 1 | 2 | 3 | 3 | |
Hodnocení bezpečnostního rizika dodavatelů | 1 | 2 | 3 | 3 | |
Smluvní požadavky na kybernetickou bezpečnost (u dodavatelů) | 1 | 2 | 3 | 3 | |
Pravidelné audity a kontroly u externích poskytovatelů | 1 | 2 | 3 | 3 | |
Směrnice pro IT | Řízení změn a konfigurací | 1 | 2 | 3 | 3 |
Patch management | 1 | 2 | 3 | 3 | |
Správa přístupových práv (IAM) | 1 | 2 | 3 | 3 | |
Síťová a perimetrální bezpečnost | 1 | 2 | 3 | 3 | |
Logování, monitorování a detekce hrozeb | 1 | 2 | 3 | 3 | |
Penetrační testy a bezpečnostní audity | 0 | 1 | 3 | 3 | |
Zálohování a obnovu dat (BCP/DRP) | 2 | 3 | 3 | 3 | |
Fyzická ochrana serveroven a zařízení | 1 | 2 | 3 | 3 | |
Šifrování dat v klidu i při přenosu | 1 | 2 | 3 | 3 | |
Secure SDLC (bezpečný vývoj softwaru) | 0 | 1 | 3 | 3 | |
Incident response – technický postup | 1 | 3 | 3 | 3 | |
Monitoring SLA a bezpečnostních ukazatelů | 1 | 2 | 3 | 3 | |
Řízení změn u kritických externích služeb | 1 | 2 | 3 | 3 | |
Směrnice pro ochranu osobních údajů (GDPR) | Principy zpracování osobních údajů | 3 | 3 | 3 | 3 |
Práva subjektů údajů (přístup, oprava, výmaz apod.) | 3 | 3 | 3 | 3 | |
Evidence a inventarizace zpracovatelských operací | 3 | 3 | 3 | 3 | |
Archivace a likvidace dat | 3 | 3 | 3 | 3 | |
Notifikace o úniku osobních údajů | 3 | 3 | 3 | 3 | |
DPIA (posouzení vlivu na ochranu údajů)
| 2 | 3 | 3 | 3 |
Detail jednotlivých oblastí
Níže jsou rozvedené jednotlivé oblasti co by měly především řešit.
Používání IT
- Definice povolených aktivit na firemních zařízeních (práce vs. soukromé využití)
- Pravidla pro instalaci softwaru a aplikací
- Zákaz návštěvy nebezpečných webových stránek a stahování podezřelých souborů
- Postupy při podezření na malware nebo neobvyklé chování systému
Správa hesel a vícefaktorová autentizace (MFA)
- Minimální požadavky na složitost hesel (délka, znaky, obnova)
- Povinnost používání správce hesel pro bezpečné ukládání
- Nastavení MFA pro všechny kritické systémy a aplikace
- Postupy při kompromitaci přístupových údajů
Pravidla pro BYOD (Bring Your Own Device)
- Seznam povolených typů osobních zařízení pro firemní účely
- Požadavky na zabezpečení osobních zařízení (PIN, šifrování, aktualizace)
- Instalace mobilní správy zařízení (MDM) pro kontrolu bezpečnosti
- Pravidla pro oddělení firemních a osobních dat na zařízení
Práce na dálku a VPN
- Technické požadavky na domácí síťové připojení a zabezpečení
- Povinné používání VPN pro přístup k firemním systémům
- Pravidla pro práci ve veřejných prostorech (kavárny, letiště)
- Bezpečné ukládání a zálohování dat při práci z domu
Reporting a eskalace bezpečnostních incidentů
- Jasné definice, co považovat za bezpečnostní incident
- Kontaktní údaje a postupy pro hlášení podezřelých aktivit
- Časové lhůty pro hlášení různých typů incidentů
- Stupně eskalace podle závažnosti incidentu
Školení a povědomí o kybernetické bezpečnosti
- Plán pravidelných školení pro všechny zaměstnance
- Testování reakcí na phishingové útoky a sociální inženýrství
- Aktualizace školení podle aktuálních hrozeb
- Měření efektivity školení a povědomí zaměstnanců
Klasifikace a inventarizace aktiv
- Kategorizace dat podle důležitosti (veřejná, interní, důvěrná, přísně tajná)
- Vedení aktuálního seznamu všech IT zařízení a jejich vlastníků
- Označování dokumentů a dat podle jejich citlivosti
- Pravidelná kontrola a aktualizace inventáře
Role a odpovědnosti
- Jasné vymezení, kdo za co v oblasti IT bezpečnosti odpovídá
- Definice pravomocí IT administrátorů vs. běžných uživatelů
- Postupy při střídání zaměstnanců a předávání odpovědností
- Kontaktní osoby pro různé typy IT problémů
Schvalování nových IT služeb a zařízení
- Proces posuzování bezpečnostních rizik nových technologií
- Kritéria pro výběr dodavatelů IT služeb
- Testovací postupy před nasazením do produkce
- Dokumentace změn a jejich dopadů na bezpečnost
Analýza a řízení rizik
- Metodika pro identifikaci a hodnocení IT rizik
- Pravidelné přehodnocování rizik a jejich prioritizace
- Plány snižování identifikovaných rizik
- Reporting rizik vedení organizace
Kontrola souladu s interními i externími požadavky
- Seznam platných zákonů a norem které je nutné dodržovat
- Pravidelné kontroly dodržování bezpečnostních politik
- Dokumentace důkazů o souladu pro auditory
- Postupy při zjištění nedodržování požadavků
Hodnocení bezpečnostního rizika dodavatelů
- Bezpečnostní kritéria pro výběr nových dodavatelů
- Pravidelné přehodnocování rizik stávajících partnerů
- Požadavky na bezpečnostní certifikace dodavatelů
- Postupy při zjištění bezpečnostních problémů u partnera
Smluvní požadavky na kybernetickou bezpečnost (u dodavatelů)
- Standardní bezpečnostní klauzule do všech smluv
- Požadavky na hlášení bezpečnostních incidentů dodavatelem
- Pravidla pro přístup dodavatelů k firemním systémům
- Sankce za porušení bezpečnostních požadavků
Pravidelné audity a kontroly u externích poskytovatelů
- Plán pravidelných kontrol bezpečnosti u klíčových dodavatelů
- Dokumentace výsledků auditů a nápravných opatření
- Kritéria pro ukončení spolupráce při bezpečnostních problémech
- Sledování plnění bezpečnostních závazků dodavateli
Řízení změn a konfigurací
- Postupy pro schvalování a dokumentaci všech změn systémů
- Testování změn v bezpečném prostředí před nasazením
- Vedení historie všech konfigurací kritických systémů
- Možnost rychlého návratu k předchozí konfiguraci
Patch management
- Pravidelné sledování dostupných bezpečnostních aktualizací
- Prioritizace kritických opravo podle jejich závažnosti
- Testování aktualizací před nasazením na produkční systémy
- Plánování pravidelných servisních oken pro aktualizace
Správa přístupových práv (IAM)
- Proces přidělování přístupových práv novým zaměstnancům
- Pravidelné kontroly a čištění nepotřebných oprávnění
- Okamžité odebírání přístupů při odchodu zaměstnanců
- Sledování a logování všech přístupových aktivit
Síťová a perimetrální bezpečnost
- Konfigurace firewallů a bezpečnostních pravidel
- Segmentace sítě podle důležitosti systémů
- Ochrana před neoprávněnými připojeními z internetu
- Pravidelné testování efektivity bezpečnostních opatření
Logování, monitorování a detekce hrozeb
- Definice, co všechno se musí zaznamenávat do logů
- Nastavení automatických upozornění na podezřelé aktivity
- Analýza bezpečnostních událostí a trendů
- Archivace logů podle zákonných a interních požadavků
Penetrační testy a bezpečnostní audity
- Plán pravidelných testů bezpečnosti kritických systémů
- Postupy pro opravu zjištěných bezpečnostních chyb
- Dokumentace výsledků a nápravných opatření
Zálohování a obnovu dat (BCP/DRP)
- Pravidelné automatické zálohování všech důležitých dat
- Testování obnovy dat z vytvořených záloh
- Plán obnovy provozu při výpadku kritických systémů
- Ukládání záloh na geograficky oddělených místech
Fyzická ochrana serveroven a zařízení
- Kontrola přístupu do serveroven pomocí karet nebo biometrie
- Kamerový systém a záznam všech vstupů do citlivých prostor
- Ochrana proti požáru, zaplavení a výpadkům elektřiny
- Bezpečné likvidace starých zařízení a datových nosičů
Šifrování dat v klidu i při přenosu
- Povinné šifrování všech citlivých dat na discích a databázích
- Použití bezpečných komunikačních protokolů (HTTPS, VPN)
- Správa šifrovacích klíčů a jejich pravidelná obměna
- Šifrování přenosných zařízení (laptopy, USB disky)
Secure SDLC (bezpečný vývoj softwaru)
- Zahrnutí bezpečnostních kontrol do všech fází vývoje
- Pravidelné testování kódu na bezpečnostní chyby
- Použití bezpečných knihoven a komponent
- Školení vývojářů v oblasti bezpečného programování
Incident response – technický postup
- Detailní technické postupy pro řešení různých typů incidentů
- Kontakty na specialisty a externí pomoc
- Postup pro izolaci napadených systémů
- Dokumentace všech kroků během řešení incidentu
Monitoring SLA a bezpečnostních ukazatelů
- Sledování dostupnosti kritických služeb a systémů
- Měření efektivity bezpečnostních opatření
- Pravidelné reporty o stavu IT bezpečnosti pro vedení
- Sledování trendů a včasné odhalování problémů
Řízení změn u kritických externích služeb
- Postupy pro schvalování změn u cloudových služeb
- Testování dopadů změn na bezpečnost a funkčnost
- Komunikace s dodavateli o plánovaných změnách
- Záložní plány při problémech s externími službami
Principy zpracování osobních údajů
- Definice, jaké osobní údaje organizace zpracovává a proč
- Právní důvody pro zpracování různých kategorií údajů
- Minimalizace shromažďovaných údajů na nezbytné minimum
- Transparentní informování o zpracování osobních údajů
Práva subjektů údajů (přístup, oprava, výmaz apod.)
- Postupy pro vyřizování žádostí o přístup k osobním údajům
- Procesy pro opravu nesprávných nebo neúplných údajů
- Technické možnosti výmazu údajů na požádání
- Lhůty pro vyřízení žádostí a komunikaci se subjekty údajů
Evidence a inventarizace zpracovatelských operací
- Podrobný záznam všech způsobů zpracování osobních údajů
- Identifikace všech systémů, kde se osobní údaje nacházejí
- Dokumentace toku osobních údajů mezi systémy
- Pravidelná aktualizace evidence zpracování
Archivace a likvidace dat
- Stanovení dob uchování pro různé kategorie osobních údajů
- Automatické mazání údajů po uplynutí doby uchování
- Bezpečné archivace údajů které musí být uchována déle
- Postupy pro úplné a bezpečné vymazání dat
Notifikace o úniku osobních údajů
- Postupy pro rychlé zjištění a vyhodnocení úniku údajů
- Kontakty na Úřad pro ochranu osobních údajů
- Šablony pro oznámení úniku dotčeným osobám
- Dokumentace všech úniků a přijatých opatření
DPIA (posouzení vlivu na ochranu údajů)
- Kritéria, kdy je nutné provést posouzení vlivu na ochranu údajů
- Metodika pro provedení analýzy rizik zpracování
- Opatření pro snížení identifikovaných rizik
- Konzultace s Úřadem pro ochranu osobních údajů při vysokých rizicích