Obsah článku:

• Co je směrnice NIS2: Proč vzniká nový zákon?
• Implementace nZKB dle NIS2: Proč se tím zabývat už nyní?
• ISMS podle ISO 27001: Jak do toho všeho zapadá?
• Co je systém řízení bezpečnosti informací (ISMS)?
• Tvorba ISMS: Proč se vyplatí řešit podle ISO 27001?
• ISO 27001 vs NIS2: Porovnání opatření z nZKB s normou 
• Implementace ISO 27001 (ISMS): Jak dlouho trvá a co firmě přinese? 
• ISMS dle ISO 27001: Co firma získá kromě splnění nZKB? 
• Co když už máte ISMS podle ISO 27001 či TISAX® — jste v suchu?
• Dotace na poradenství k tvorbě ISMS podle ISO 27001 či TISAX®.

TL;DR Shrnutí zde.

Co je směrnice NIS2: Proč vzniká nový zákon?

Evropská směrnice NIS2 (Network and Information Security Directive 2) je reakcí na rostoucí kyberhrozby v EU. Rozšiřuje požadavky na firmy i veřejné instituce a sjednocuje přístup ke kyberbezpečnosti. Česko proto připravilo nový zákon o kybernetické bezpečnosti (nZKB), ve zkratce si o něm můžete přečíst tady.

Cílem směrnice NIS2, a na její požadavky navazující české legislativy, je, aby organizace poskytující důležité služby pro stát i veřejnost měly kyberbezpečnost jako běžnou součást řízení firmy, ne jako něco navíc.

Implementace požadavků nZKB dle NIS2: Proč se tím zabývat?

Zákon je účinný od 1. listopadu 2025. Nová legislativa se týká tisíců firem. Od doručení rozhodnutí o registraci z NÚKIB mají rok na to, aby začaly řešit povinnosti. Konzultantů není neomezeně. Je moudré počítat s nedostatkem termínů a řešit přípravu nyní, ať máte včas hotovo a snížíte riziko průšvihů se zákonem.

ISMS podle ISO 27001: Jak do toho všeho zapadá?

Vyhlášky k nZKB dle NIS2 obsahují celkem 25 bezpečnostních opatření pro vyšší režim a 13 pro nižší. Jde o organizačnía technická opatření. 

Pokud byste je chtěli řešit samostatně a nahodile, můžete skončit se spoustou papírů bez reálného užitku pro kyberbezpečnost.

Právě tady do hry vstupuje ISO 27001 — norma pro řízení bezpečnosti informací. Zákonná opatření z této normy do jisté míry vycházejí, takže je to rámec pro implementaci. Základem normy je přístup založený na riziku a ISMS (systém řízení bezpečnosti informací ). Ten je klíčovým prvkem i pro oba režimy v zákoně (vyšší a nižší).

Co je systém řízení bezpečnosti informací (ISMS)?

Systém řízení bezpečnosti informací (ISMS) je soubor požadavků pro řízení informačních rizik a ochranu dat v organizaci. Jde o procesy a opatření, díky kterým zajistíte odpovídající úroveň bezpečnosti pro data v jakékoli podobě. ISMS nejčastěji vychází z mezinárodních standardů, jako je ISO 27001 či TISAX®. 

ISMS vytváříme propojením opatření v oblasti dokumentace, procesů a technologií do uceleného systému, který firmám pomáhá plnit legislativní požadavky (např. GDPR, NIS2), zvyšovat důvěru u klientů, zvládat tendry a snižovat rizika sankcí, úniků dat nebo narušení provozu.

Tvorba ISMS: Proč se vyplatí řešit podle ISO 27001?

• Komplexnější ochrana – Standardy pokrývají širší spektra kyber-rizik.
• Přidaná hodnota – ISO certifikace zlepšuje nejen bezpečnost, ale i pozici v tendrech a důvěru ve značku.
• Minimalizace duplicit – Normy sjednocují opatření do uceleného systému.
• Doložitelnost zabezpečení – Díky certifikaci standardů můžete klientům prokázat zralost zabezpečení.

ISO 27001 vs NIS2: Srovnání opatření z nZKB s normou

Hlavní rozdíl mezi normou a zákonem je ten, že norma je sada doporučení – je dobrovolná. Naopak nZKB je legislativa, která je povinná. Dalším rozdílem je počet opatření. Vyhlášky k nZKB obsahují celkem 25 organizačních a technických opatření. ISO/IEC 27001:2022 jich má 93.

Je tedy z čeho vybírat a na čem stavět, proto zákon z normy částečně vychází. Hlavní je ale rozlišit, jaká opatření jsou v kontextu firmy přiměřená, ať ji to neutopí v byrokracii a složitostech.

Implementace ISMS dle ISO 27001: Jak dlouho trvá a jak probíhá?

Systém řízení bezpečnosti informací vytvoříme a připravíme k certifikaci v průměru za 8 – 12 týdnů od potvrzení spolupráce. U menších firem to umíme už za 4 – 8 týdnů. Spojujeme compliance s vlastní praxí z IT– opíráme se o znalosti z více než 632 realizací systémů řízení v ČR i zahraničí. ISMS od nás vám posílí ochranu dat, reputace i kontinuity firmy, protože bude odpovídat realitě vašeho IT provozu.

ISO 27001 či TISAX® bez narušení provozu přizpůsobíme firmě i nové legislativě v 6 krocích:

1. GAP analýza: Určíme počáteční stav, chybějící kroky pro tvorbu ISMS a naplánujeme, jak využít vše, co už dobře funguje – předejdete dvojení práce, papírů i nákladů.
2. Analýza rizik: Najdeme a ohodnotíme to, co ohrožuje firmu, určíme přiměřená opatření i strategii ke snížení rizik.
3. Zavedení ISMS: Zasadíme/upravíme procesy, dokumentace a ICT do systému – snížíte rizika průšvihů všeho druhu.
4. Interní audit: Ověříme, že vytvořený systém správně funguje a dává smysl firmě i auditorům.
5. Školení: Zajistíme, že vám ISMS sedne lidsky, technicky i byznysově a bude vám plnit cíle, ne šanony.
6. Certifikační audit: Pomůžeme vybrat certifikační autoritu a zvládnout audit – 14 let držíme 100% úspěšnost.

Potom se vám o systém můžeme starat, udržovat ho funkční, aktuální pro audity/kontroly a neustále ho zlepšovat v rámci bezpečnostní role.

ISMS dle ISO 27001: Co firma získá kromě splnění zákona?

• Zvýšíte ochranu dat a kontinuity byznysu – díky procesním a technologickým opatřením.
• Zlepšíte řízení IT a rizik – díky jasně daným odpovědnostem, dokumentaci a postupům.
• Posílíte důvěryhodnost značky – certifikace je pro zákazníky důkaz, že bezpečnost berete vážně. 
• Snížíte rizika zanedbání IT regulací – ISMS umíme rozšiřovat i pro plnění dalších IT regulací (GDPR, DORA…)
• Zvýšíte konkurenceschopnost – certifikace usnadní získání i udržení zakázek a posílí reputaci značky.

Co když už máte ISMS podle ISO 27001 či TISAX® – jste v suchu a máte hotovo?

Máte už ISMS? Skvělé. Ušetříte čas i peníze. Ale upřímně — tím to nekončí.

Většina firem má pokryto tak 75 %, protože ISMS si nastavily podle vlastního rozsahu.

Jenže nový zákon přidává pár „specialit” a je konkrétnější v požadavcích, které v ISMS zatím nemusíte mít.

Třeba politika hesel — standardy neurčují jejich konkrétní délku, kdežto nZKB ano.

To samé je i u analýzy rizik. Je potřeba přesně vědět, co se jakých aktiv týká, jaké jsou mezi nimi souvislosti a podobně.

ISMS dle norem je skvělý základ, ale je zkrátka potřeba ho upravit. A my víme jak.

Ozvěte se. Upravíme. Vylepšíme. Zvýšíme kyberbezpečnost místo byrokracie.

TL;DR: Co si z článku odnést?

• Požadavky NIS2 bude obsahovat nový český zákon (nZKB), účinný od 1. 11. 2025.
• nZKB se dotkne tisíců firem, povinnosti platí plošně a liší se dle režimů (nižší/vyšší).
• Zákon přináší celkem 25 organizačních a technických opatření. Norma jich má 93.
• ISMS podle ISO 27001 / TISAX® = vhodná cesta k souladu.
• Zákonná opatření vycházejí ze standardů a stojí na principu ISMS.
• Opatření je potřeba řešit přiměřeně kontextu firmy.
• ISMS podle standardů už pokrývají cca 75 % zákonných požadavků.
• Zbytek tvoří „speciality“ v nZKB – konkrétnější požadavky oproti normě.
• ISMS vám dá systém: bez chaosu, doložitelně, s přidanou hodnotou certifikace.

Výhody ISMS jsou:

✅ nižší rizika a lepší řízení IT
✅ důkaz o kyberbezpečnosti pro klienty
✅ výhoda v tendrech díky certifikaci
✅ klid při kontrolách a incidentech díky systémovému přístupu

Největší chyba? Spoléhat na to, že „už ISMS máte“.
Bez aktualizace o požadavky nZKB to nebude stačit. My vám s tím pomůžeme.

Využité zdroje informací:

ISO – Standard ISO/IEC 27001:2022

Informace o využití TISAX® (FULFILLMENT NIS2 THROUGH TISAX®)

Delloite studie: Beyond defense: The business benefits of ISO 27001 certification

Vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností