Firmy budou nachytávat zaměstnance. Aby je proškolily, vysvětluje expert

TN Live

1. 11. 2025, 19:50

V sobotu 1. listopadu nabyl účinnosti nový zákon o kybernetické bezpečnosti připravený Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Zákon implementuje do českého právního prostředí směrnici Evropské unie, NIS2. Týkat se bude řádově desítek tisíc firem nebo úřadů. Jaké povinnosti ze zákona vyplývají? K tomu se v pořadu Headline vyjádřil v rozhovoru s moderátorkou Klárou Košackou IT expert Miloslav Lujka.

Zásadní rozdíl oproti předchozí směrnici NIS1 je především v tom, že ta nynější se bude dotýkat daleko více subjektů. „Dříve to bylo definováno primárně na kritickou a významnou infrastrukturu, subjekty, na kterých je stát nejvíce závislý,“ říká expert.

„Zatímco teď pod to budou spadat desetitisíce firem. K tomu je tam několik dalších významných rozdílů. Dřív byly povinnosti týkající se kybernetické bezpečnosti definovány seshora, kdežto teď se bude muset každá firma identifikovat sama, jestli pod ten nový zákon spadá,“ vysvětluje Lujka.

 „Zákon se taky hodně zaměří na prevenci, a to nejen u IT zaměstnanců, ale u všech. Pořád totiž platí, že tím nejslabším článkem v bezpečnostním příběhu každé firmy je člověk. A pokud budou bezpečnostně gramotní pouze ajťáci, ale řadoví zaměstnanci ne, je to k ničemu,“ zdůrazňuje odborník.

Související obsah

22:50

Kybernetický útok může Česko zaplavit splašky, varuje šéf NÚKIB

1. 11. 2025 Martin Čermák M. ČERMÁK

​„Velkou změnou je i odpovědnost firem. Už se nebavíme o pokutách v řádech milionů korun, ale například o 2 % ročního obratu plus o zodpovědnosti statutárních orgánů. Pokud totiž v minulosti došlo k nějakému problému, ze kterého nakonec bylo trestní stíhání, mohla za to firma jako taková. Teď bude zodpovědný obyčejný člověk, jednatel. Je to daleko tvrdší a je dobře, že tomu tak je,“ myslí si Lujka.

Jak už bylo zmíněno, nový zákon o kybernetické bezpečnosti klade velký důraz na prevenci. „To zahrnuje například to, jak často je nutné školit zaměstnance. Toto téma obsahuje i velmi zajímavou věc a to je, že firmy budou mít povinnost provádět na své zaměstnance phishingové útoky (technika kybernetického útoku, využívaná k podvedení oběti tím, že se útočník vydává za nějakou legitimní organizaci typu banka nebo vládní institut, aby vylákal citlivé informace, jako jsou například hesla, čísla kreditních karet apod., pozn. red.) nebo něco podobného, aby se nachytali. A potom budou muset absolvovat vhodný kurz, který jim příště pomůže podobné pokusy vyhodnotit správně,“ uvádí na závěr expert příklad.

Na sestřih rozhovoru se můžete podívat pod titulkem článku, na celý níže.

​