Video shrnutí:

Obsah článku:

• Co znamená řízení bezpečnostní politiky a bezpečnostní dokumentace?
• Co je to bezpečnostní politika a dokumentace nejen v nZKB dle NIS2?
• Co to má všechno zahrnovat?
• Jak se bezpečnostní dokumentace a politika řídí?
• Co to firmě přináší?
• Jak to vidíme v praxi?
• TL;DR: Co si z článku odnést?

Řízení bezpečnostní politiky a dokumentace: Vyžaduje nZKB dle NIS2 jako organizační opatření

Zní to jako papírování a byrokracie, ale je to základní stavební kámen pro kyberbezpečnost. Dokumentaci vnímejte jako návod, který zlepšuje kontinuitu a řízení firmy i rizik. Navíc je díky tomu vaše kyberbezpečnost auditovatelná a doložitelná i klientům pro důkaz, že správně pečujete o svou i jejich ochranu.

Dokumentace jsou užitečné – pomáhají snížit bezpečnostní rizika – třeba tím, že noví zaměstnanci vědí, jak neohrozit firmu, protože si už při nástupu přečtou, co nedělat. Drží firmu v chodu – když onemocní IT specialista, lidé v týmu díky dokumentaci vědí, co a jak dělat. A to je jen pár příkladů využití z mnoha.

Co je to bezpečnostní dokumentace? A jak tam zapadá politika?

Bezpečnostní politika je soubor vnitřních pravidel, cílů a odpovědností v kyberbezpečnosti. Stanovuje, čeho chce firma dosáhnout, jaké zásady pro to uplatňuje a kdo za co odpovídá. Bezpečnostní dokumentace na politiky navazuje a konkrétně rozvíjí pravidla v nich.

Třeba nový zákon o kybernetické bezpečnosti. Ten je jako politika – říká, co se má dělat, koho se to týká a proč se to dělá. Vyhlášky jsou jako dokumentace – na zákon navazují, rozvíjejí ho a popisují, jak se to všechno má dělat.

Jde zkrátka o sadu směrnic, kde si firma definuje, co, proč, jak a kým má být chráněno – a pak to vydá jako závazné interní předpisy, kterými se všichni musí řídit. To je nejdůležitější –  lidé, kteří je mají dodržovat, je musí znát, řídit se jimi a být na ně školeni. Proto mají být stručné, srozumitelné, snadno dostupné a podané jako návody. Jinak fungují možná tak jako výplň do šuplíku.

Dokumentace je páteř pro systém řízení bezpečnosti informací (ISMS). Je důležité vše popsat tak, aby se podle toho dalo žít a pracovat. Musí to být pro firmu relevantní, aby ji to chránilo, podporovalo v růstu a plnilo cíle, ne šanony. 

Co má zahrnovat bezpečnostní politika a bezpečnostní dokumentace?

Politik a souvisejících dokumentů vyžaduje vyhláška celou řadu – jak z organizační, tak technické stránky. Řešte je vždy v rozsahu, který je pro firmu přiměřený. Pokud to vezmete jako checklist a bezhlavě aplikujete, skončíte v byrokratické pasti bez užitku.

Mezi některé politiky patří:

• Politika řízení dodavatelů = pravidla pro bezpečnost dodavatelů
• Politika řízení kontinuity činností = pravidla pro to, jak postupovat v krizi
• Politika bezpečnosti lidských zdrojů = pravidla pro bezpečné chování a rozvoj lidí
• Politika řízení zranitelností = pravidla pro detekci, hodnocení a zvládání zranitelností
• Politika řízení rizik = pravidla pro identifikaci, hodnocení a zvládání rizik
• Politika fyzické bezpečnosti = pravidla pro bezpečnostní perimetr firmy
• Politika řízení přístupů = pravidla pro udělení/odebrání přístupu

Politika řízení bezpečnosti lidských zdrojů může mít pravidla pro vzdělávání a rozvoj bezpečného chování uživatelů, administrátorů a dalších lidí. Dokumentace na ni může navázat s plánem vzdělávání a rozvoje zaměstnanců. V něm jsou nutné znalosti i školení pro každou roli ve firmě, jejich četnost a důkazy o provedení. Ty může chtít vidět i kontrola.

Podrobný výčet politik najdete ve vyhláškách – zde vyšší režim, zde nižší režim.

Jak se bezpečnostní dokumentace a politika řídí?

Nejde o papíry, co dáte do šuplíku nebo na cloud a už nikdy nespatří světlo světa. Politiky a dokumentace musí být aktuální. V tom spočívá jejich řízení. Měli byste je aktualizovat při každé významné změně nebo alespoň jednou za rok „oprášit“ podle toho, kam se firma i doba posunula. 

Musí žít ve firmě. Když se nemění, neznamená to, že je vše v pořádku. Spíš, že na ně nikdo nesáhl, a to je problém.

Podle návrhu vyhlášky o opatřeních pro vyšší režim máte všechny politiky:

1. Mít aktuální a dostupné v elektronické nebo listinné podobě

2. Komunikovat ve své organizaci (proč tam jsou, kdo a jak se jimi má řídit)

3. Přiměřeně zpřístupnit dotčeným stranám (zaměstnanci, dodavatelé)

4. Chránit z pohledu důvěrnosti, integrity a dostupnosti.

5. Vést tak, aby informace v nich byly úplné, čitelné, správné, snadno identifikovatelné a vyhledatelné.

Co vaší firmě v praxi přinese bezpečnostní politika a dokumentace?

• Zkrotíte rizika – odhalíte a popíšete slepá místa, která běžně zůstávají bez kontroly
• Zlepšíte řád i řízení firmy – ujasníte si, kdo za co odpovídá a popíšete procesy
• Snížíte rizika výpadků – usnadní to onboarding a zajistí, že v krizi všichni vědí, co a jak
• Položíte základy ISMS k ochraně před pokutami, úniky dat nebo narušením provozu.
• A pokud vás čeká audit, kontrola, tendr – máte s důkazy o bezpečnosti skoro hotovo, pokud je řídíte

Jak řízení bezpečnostní dokumentace a politiky vidíme v praxi?

Někdy mají politiky líp zpracované a řízené malé výrobní firmy, které „IT“ moc neřeší, ale chtějí pořádek a bezpečí. Naopak u velkých organizací někdy objevíme zásadní díry. Často se ta aktualizace odkládá, až bude potřeba. Jenže potom už je pozdě. Proto na řízení politik nezapomínejte – berte to jako další nástroj pro lepší a bezpečnější firmu.

Ochraňte data, reputaci, pozici na trhu i důvěryhodnost díky ISMS.

U nás jdeme #ZaHraniceCompliance, kde vám ISMS zvyšuje kyberbezpečnost, ne papírování. 

Vytvoří ho lidé s praxí v IT. Ochrání firmu před hrozbami, ale i zbytečnou byrokracií. Kontaktujte nás.

To bylo jen jedno bezpečnostní opatření z celkových 25 technických a organizačních, které budou podle zákona o kyberbezpečnosti dle směrnice NIS2 povinné pro tisíce firem.

📩 Odběratelé našich newsletterů už mají náskok – jsou u šestého. Chcete také?
👉 Přihlaste se tady zdarma k odběru newsletteru – máte je za pár minut v mailu.

🟡 TL;DR: Co si z článku odnést?

Největší chyba? „My to dodržujeme, ale nemáme to nikde napsané.“
To už brzy nebude stačit.

Bezpečnostní politiky a dokumentace nejsou byrokracie – jsou základ pro systém řízení bezpečnosti informací (ISMS).

Jde o povinné opatření ve vyšším režimu dle nové legislativy (nZKB s NIS2).

Politiky = cíle, pravidla a odpovědnosti (např. pro přístupy, rizika, dodavatele…)
Dokumentace rozvíjí politiky = návody a postupy, jak to vše v praxi dělat.

Nestačí je mít – musí být aktuální, používané a známé lidem ve firmě.

Když je řídíte dobře:

✔️ snížíte rizika

✔️ zlepšíte pořádek, procesy a odpovědnosti

✔️ máte užitečný nástroj při kontrole, auditu,ale i v krizi

Zdroje informací:

• Nový zákon o kybernetické bezpečnosti č. 264/2025 Sb.
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
• Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností 
• ISO – Standard ISO/IEC 27001:2022
• ENX TISAX®