V dnešním digitálním světě představuje informační technologie páteř každé moderní organizace. S rostoucí závislostí na IT systémech a službách však současně narůstají i rizika spojená s kybernetickými hrozbami, úniky dat a porušením legislativních požadavků. Proto je nezbytné mít jasně definované IT směrnice, které poskytují strukturovaný rámec pro bezpečné a efektivní využívání technologií.

Tyto směrnice nejsou pouze technickým dokumentem pro IT specialisty, ale praktickým průvodcem pro všechny zaměstnance organizace. Jejich cílem je zajistit, aby každý člen týmu rozuměl svým povinnostem a odpovědnostem v oblasti informační bezpečnosti, ochrany osobních údajů a dodržování platných zákonů a norem.

Následující oblasti pokrývají kompletní spektrum IT governance – od každodenního používání technologií přes správu bezpečnosti až po compliance s legislativními požadavky jako je GDPR. Každá směrnice je navržena tak, aby byla srozumitelná, prakticky aplikovatelná a současně poskytovala dostatečnou ochranu proti současným i budoucím hrozbám.

Dodržování těchto směrnic není pouze otázkou technické bezpečnosti, ale klíčovým faktorem pro udržení důvěry našich klientů, partnerů a zajištění kontinuity podnikání v digitální éře.

Faktory ovlivňující aplikaci IT směrnic

Rozsah a náročnost IT směrnic závisí na několika klíčových faktorech:

  • Typ podnikání a odvětví – finanční sektor má přísnější požadavky než běžné obchodní společnosti
  • Velikost organizace – větší firmy čelí vyšším požadavkům
  • Geografické působení – mezinárodní firmy musí splňovat požadavky více jurisdikcí
  • Citlivost zpracovávaných dat – osobní údaje, finanční informace nebo kritická infrastruktura vyžadují vyšší ochranu

Kategorizace podle regulatorního rámce

Kategorie 1 (K1)

  • Charakteristika povinných organizací: Organizace bez specifické regulace, které nespadají pod žádnou speciální kybernetickou regulaci.
  • Charakteristika doporučených organizací: Malé a střední podniky mimo regulované sektory, které by měly dodržovat základní bezpečnostní standardy.
  • Doporučení: Implementace základních bezpečnostních opatření (antiviry, firewall, zálohování, školení).

Kategorie 2 (K2)

  • Charakteristika povinných organizací: Organizace, které spadají pod Nový zákon o kybernetické bezpečnosti – nižší povinnosti (účinný od 1.11.2025).
  • Charakteristika doporučených organizací: Střední firmy s vyšší závislostí na IT, které mohou dobrovolně přijmout podobná opatření pro zvýšení bezpečnosti.
  • Požadavky: Analýza rizik, bezpečnostní politiky, školení zaměstnanců, hlášení závažných kybernetických incidentů NÚKIB, vedení evidence incidentů a bezpečnostních opatření, spolupráce s NÚKIB.

Kategorie 3 (K3)

  • Charakteristika povinných organizací: Organizace, které spadají pod Nový zákon o kybernetické bezpečnosti – vyšší povinnosti, významní poskytovatelé služeb
  • Charakteristika doporučených organizací: Velké organizace s kritickou závislostí na IT, které mohou dobrovolně přijmout rozšířené bezpečnostní postupy.
  • Požadavky: Komplexní systém řízení kybernetické bezpečnosti, pravidelné audity a certifikace, detailní reportování, plány obnovy a zajištění nepřetržitého provozu kritických služeb.

Kategorie 4 (K4)

  • Charakteristika povinných organizací: Finanční instituce v EU, které podléhají Nařízení DORA (Digital Operational Resilience Act) platnému od 17. ledna 2025.
  • Charakteristika doporučených organizací: Finanční subjekty s vysokou závislostí na digitálních technologiích, které mohou přijmout rámec DORA i mimo povinné subjekty.
  • Požadavky: Řízení IKT rizik s odpovědností vedení, pravidelné penetrační a zátěžové testy systémů, přísné požadavky na správu dodavatelů, rychlé hlášení závažných incidentů dozorovým orgánům.

Potřebujete pomoc s určením vaší kategorie?

Není vždy jednoduché určit, pod kterou regulaci vaše firma spadá a jaké konkrétní povinnosti musíte splnit. Nabízíme bezplatnou konzultaci, během které:

  • Určíme, do které kategorie vaše organizace patří
  • Vysvětlíme konkrétní požadavky a termíny
  • Navrhneme postup implementace potřebných opatření
  • Odpovíme na všechny vaše otázky týkající se IT směrnic

Přehled IT směrnic podle kategorií organizací

Následující tabulka poskytuje komplexní přehled všech klíčových IT směrnic a jejich důležitosti pro různé typy organizací. Názvy směrnic se mohou v různých organizacích lišit, ale zásadní jsou konkrétní oblasti, které musí být v rámci kybernetické bezpečnosti řešeny. Každá směrnice je proto rozdělena do specifických oblastí, které představují skutečné požadavky bez ohledu na to, jak vaše organizace své interní dokumenty pojmenovává.

Jak číst tabulku

Tabulka používá číselné hodnocení 0-3, které vyjadřuje míru důležitosti a povinnosti dané oblasti pro každou kategorii organizace:

  • 0 = Není požadováno nebo není relevantní pro danou kategorii
  • 1 = Nízká priorita – doporučené opatření, ale není povinné
  • 2 = Střední priorita – částečně povinné nebo silně doporučené
  • 3 = Vysoká priorita – plně povinné podle příslušné legislativy

Co vám tabulka ukáže

Pomocí této tabulky můžete:

  • Rychle identifikovat, které směrnice jsou pro vaši organizaci nejdůležitější
  • Porovnat požadavky mezi různými kategoriemi organizací
  • Naplánovat prioritizaci implementace bezpečnostních opatření
  • Pochopit progresivní nárůst požadavků s rostoucí regulatorní zátěží

💡 Tip: Zaměřte se nejprve na oblasti s hodnocením 3, poté postupně implementujte opatření s hodnocením 2 a 1. Oblasti s hodnocením 0 můžete prozatím vynechat, ale sledujte případné změny v legislativě.

SměrniceOblastK1
(bez reg.)
K2
(nZKB nižší)
K3
(nZKB vyšší)
K4
(DORA)
Směrnice pro uživatelePoužívání IT1233
Správa hesel a vícefaktorová autentizace (MFA)1233
Pravidla pro BYOD (Bring Your Own Device)1233
Práce na dálku a VPN 233
Reporting a eskalace bezpečnostních incidentů1333
Školení a povědomí o kybernetické bezpečnosti1333
Směrnice pro garanty aktiv a nadřízeníKlasifikace a inventarizace aktiv1233
Role a odpovědnosti1233
Schvalování nových IT služeb a zařízení1233
Analýza a řízení rizik1333
Kontrola souladu s interními i externími požadavky1233
Hodnocení bezpečnostního rizika dodavatelů1233
Smluvní požadavky na kybernetickou bezpečnost (u dodavatelů)1233
Pravidelné audity a kontroly u externích poskytovatelů1233
Směrnice pro ITŘízení změn a konfigurací1233
Patch management1233
Správa přístupových práv (IAM)1233
Síťová a perimetrální bezpečnost1233
Logování, monitorování a detekce hrozeb1233
Penetrační testy a bezpečnostní audity0133
Zálohování a obnovu dat (BCP/DRP)2333
Fyzická ochrana serveroven a zařízení1233
Šifrování dat v klidu i při přenosu1233
Secure SDLC (bezpečný vývoj softwaru)0133
Incident response – technický postup1333
Monitoring SLA a bezpečnostních ukazatelů 1233
Řízení změn u kritických externích služeb1233
Směrnice pro ochranu osobních údajů (GDPR)Principy zpracování osobních údajů3333
Práva subjektů údajů (přístup, oprava, výmaz apod.)3333
Evidence a inventarizace zpracovatelských operací3333
Archivace a likvidace dat3333
Notifikace o úniku osobních údajů3333

DPIA (posouzení vlivu na ochranu údajů)

2333

Detail jednotlivých oblastí

Níže jsou rozvedené jednotlivé oblasti co by měly především řešit.

Používání IT

  • Definice povolených aktivit na firemních zařízeních (práce vs. soukromé využití)
  • Pravidla pro instalaci softwaru a aplikací
  • Zákaz návštěvy nebezpečných webových stránek a stahování podezřelých souborů
  • Postupy při podezření na malware nebo neobvyklé chování systému

Správa hesel a vícefaktorová autentizace (MFA)

  • Minimální požadavky na složitost hesel (délka, znaky, obnova)
  • Povinnost používání správce hesel pro bezpečné ukládání
  • Nastavení MFA pro všechny kritické systémy a aplikace
  • Postupy při kompromitaci přístupových údajů

Pravidla pro BYOD (Bring Your Own Device)

  • Seznam povolených typů osobních zařízení pro firemní účely
  • Požadavky na zabezpečení osobních zařízení (PIN, šifrování, aktualizace)
  • Instalace mobilní správy zařízení (MDM) pro kontrolu bezpečnosti
  • Pravidla pro oddělení firemních a osobních dat na zařízení

Práce na dálku a VPN

  • Technické požadavky na domácí síťové připojení a zabezpečení
  • Povinné používání VPN pro přístup k firemním systémům
  • Pravidla pro práci ve veřejných prostorech (kavárny, letiště)
  • Bezpečné ukládání a zálohování dat při práci z domu

Reporting a eskalace bezpečnostních incidentů

  • Jasné definice, co považovat za bezpečnostní incident
  • Kontaktní údaje a postupy pro hlášení podezřelých aktivit
  • Časové lhůty pro hlášení různých typů incidentů
  • Stupně eskalace podle závažnosti incidentu

Školení a povědomí o kybernetické bezpečnosti

  • Plán pravidelných školení pro všechny zaměstnance
  • Testování reakcí na phishingové útoky a sociální inženýrství
  • Aktualizace školení podle aktuálních hrozeb
  • Měření efektivity školení a povědomí zaměstnanců

Klasifikace a inventarizace aktiv

  • Kategorizace dat podle důležitosti (veřejná, interní, důvěrná, přísně tajná)
  • Vedení aktuálního seznamu všech IT zařízení a jejich vlastníků
  • Označování dokumentů a dat podle jejich citlivosti
  • Pravidelná kontrola a aktualizace inventáře

Role a odpovědnosti

  • Jasné vymezení, kdo za co v oblasti IT bezpečnosti odpovídá
  • Definice pravomocí IT administrátorů vs. běžných uživatelů
  • Postupy při střídání zaměstnanců a předávání odpovědností
  • Kontaktní osoby pro různé typy IT problémů

Schvalování nových IT služeb a zařízení

  • Proces posuzování bezpečnostních rizik nových technologií
  • Kritéria pro výběr dodavatelů IT služeb
  • Testovací postupy před nasazením do produkce
  • Dokumentace změn a jejich dopadů na bezpečnost

Analýza a řízení rizik

  • Metodika pro identifikaci a hodnocení IT rizik
  • Pravidelné přehodnocování rizik a jejich prioritizace
  • Plány snižování identifikovaných rizik
  • Reporting rizik vedení organizace

Kontrola souladu s interními i externími požadavky

  • Seznam platných zákonů a norem které je nutné dodržovat
  • Pravidelné kontroly dodržování bezpečnostních politik
  • Dokumentace důkazů o souladu pro auditory
  • Postupy při zjištění nedodržování požadavků

Hodnocení bezpečnostního rizika dodavatelů

  • Bezpečnostní kritéria pro výběr nových dodavatelů
  • Pravidelné přehodnocování rizik stávajících partnerů
  • Požadavky na bezpečnostní certifikace dodavatelů
  • Postupy při zjištění bezpečnostních problémů u partnera

Smluvní požadavky na kybernetickou bezpečnost (u dodavatelů)

  • Standardní bezpečnostní klauzule do všech smluv
  • Požadavky na hlášení bezpečnostních incidentů dodavatelem
  • Pravidla pro přístup dodavatelů k firemním systémům
  • Sankce za porušení bezpečnostních požadavků

Pravidelné audity a kontroly u externích poskytovatelů

  • Plán pravidelných kontrol bezpečnosti u klíčových dodavatelů
  • Dokumentace výsledků auditů a nápravných opatření
  • Kritéria pro ukončení spolupráce při bezpečnostních problémech
  • Sledování plnění bezpečnostních závazků dodavateli

Řízení změn a konfigurací

  • Postupy pro schvalování a dokumentaci všech změn systémů
  • Testování změn v bezpečném prostředí před nasazením
  • Vedení historie všech konfigurací kritických systémů
  • Možnost rychlého návratu k předchozí konfiguraci

Patch management

  • Pravidelné sledování dostupných bezpečnostních aktualizací
  • Prioritizace kritických opravo podle jejich závažnosti
  • Testování aktualizací před nasazením na produkční systémy
  • Plánování pravidelných servisních oken pro aktualizace

Správa přístupových práv (IAM)

  • Proces přidělování přístupových práv novým zaměstnancům
  • Pravidelné kontroly a čištění nepotřebných oprávnění
  • Okamžité odebírání přístupů při odchodu zaměstnanců
  • Sledování a logování všech přístupových aktivit

Síťová a perimetrální bezpečnost

  • Konfigurace firewallů a bezpečnostních pravidel
  • Segmentace sítě podle důležitosti systémů
  • Ochrana před neoprávněnými připojeními z internetu
  • Pravidelné testování efektivity bezpečnostních opatření

Logování, monitorování a detekce hrozeb

  • Definice, co všechno se musí zaznamenávat do logů
  • Nastavení automatických upozornění na podezřelé aktivity
  • Analýza bezpečnostních událostí a trendů
  • Archivace logů podle zákonných a interních požadavků

Penetrační testy a bezpečnostní audity

  • Plán pravidelných testů bezpečnosti kritických systémů
  • Postupy pro opravu zjištěných bezpečnostních chyb
  • Dokumentace výsledků a nápravných opatření

Zálohování a obnovu dat (BCP/DRP)

  • Pravidelné automatické zálohování všech důležitých dat
  • Testování obnovy dat z vytvořených záloh
  • Plán obnovy provozu při výpadku kritických systémů
  • Ukládání záloh na geograficky oddělených místech

Fyzická ochrana serveroven a zařízení

  • Kontrola přístupu do serveroven pomocí karet nebo biometrie
  • Kamerový systém a záznam všech vstupů do citlivých prostor
  • Ochrana proti požáru, zaplavení a výpadkům elektřiny
  • Bezpečné likvidace starých zařízení a datových nosičů

Šifrování dat v klidu i při přenosu

  • Povinné šifrování všech citlivých dat na discích a databázích
  • Použití bezpečných komunikačních protokolů (HTTPS, VPN)
  • Správa šifrovacích klíčů a jejich pravidelná obměna
  • Šifrování přenosných zařízení (laptopy, USB disky)

Secure SDLC (bezpečný vývoj softwaru)

  • Zahrnutí bezpečnostních kontrol do všech fází vývoje
  • Pravidelné testování kódu na bezpečnostní chyby
  • Použití bezpečných knihoven a komponent
  • Školení vývojářů v oblasti bezpečného programování

Incident response – technický postup

  • Detailní technické postupy pro řešení různých typů incidentů
  • Kontakty na specialisty a externí pomoc
  • Postup pro izolaci napadených systémů
  • Dokumentace všech kroků během řešení incidentu

Monitoring SLA a bezpečnostních ukazatelů

  • Sledování dostupnosti kritických služeb a systémů
  • Měření efektivity bezpečnostních opatření
  • Pravidelné reporty o stavu IT bezpečnosti pro vedení
  • Sledování trendů a včasné odhalování problémů

Řízení změn u kritických externích služeb

  • Postupy pro schvalování změn u cloudových služeb
  • Testování dopadů změn na bezpečnost a funkčnost
  • Komunikace s dodavateli o plánovaných změnách
  • Záložní plány při problémech s externími službami

Principy zpracování osobních údajů

  • Definice, jaké osobní údaje organizace zpracovává a proč
  • Právní důvody pro zpracování různých kategorií údajů
  • Minimalizace shromažďovaných údajů na nezbytné minimum
  • Transparentní informování o zpracování osobních údajů

Práva subjektů údajů (přístup, oprava, výmaz apod.)

  • Postupy pro vyřizování žádostí o přístup k osobním údajům
  • Procesy pro opravu nesprávných nebo neúplných údajů
  • Technické možnosti výmazu údajů na požádání
  • Lhůty pro vyřízení žádostí a komunikaci se subjekty údajů

Evidence a inventarizace zpracovatelských operací

  • Podrobný záznam všech způsobů zpracování osobních údajů
  • Identifikace všech systémů, kde se osobní údaje nacházejí
  • Dokumentace toku osobních údajů mezi systémy
  • Pravidelná aktualizace evidence zpracování

Archivace a likvidace dat

  • Stanovení dob uchování pro různé kategorie osobních údajů
  • Automatické mazání údajů po uplynutí doby uchování
  • Bezpečné archivace údajů které musí být uchována déle
  • Postupy pro úplné a bezpečné vymazání dat

Notifikace o úniku osobních údajů

  • Postupy pro rychlé zjištění a vyhodnocení úniku údajů
  • Kontakty na Úřad pro ochranu osobních údajů
  • Šablony pro oznámení úniku dotčeným osobám
  • Dokumentace všech úniků a přijatých opatření

DPIA (posouzení vlivu na ochranu údajů)

  • Kritéria, kdy je nutné provést posouzení vlivu na ochranu údajů
  • Metodika pro provedení analýzy rizik zpracování
  • Opatření pro snížení identifikovaných rizik
  • Konzultace s Úřadem pro ochranu osobních údajů při vysokých rizicích