Nový zákon o kybernetické bezpečnosti: Jak se dotýká řízení identit a přístupů (IAM)?

15. 9. 2025

Nový zákon o kybernetické bezpečnosti: Jak se dotýká řízení identit a přístupů (IAM)?

15. 9. 2025

Evropská směrnice NIS21 přinesla zásadní změny v oblasti kybernetické bezpečnosti. Do českého práva ji transponuje nový zákon o kybernetické bezpečnosti č.264/2025 Sb. (ZoKB), který nabude účinnosti  1. listopadu 2025. Nahrazuje tak dosavadní legislativu z roku 2014 a značně rozšiřuje okruh organizací, na něž se vztahují nové povinnosti – včetně požadavků v oblasti řízení identit a přístupových práv (Identity and Access Management – IAM).

Proč by vás měl nový zákon zajímat? Nová pravidla dopadnou na výrazně širší spektrum organizací než dosud, včetně většiny středních a velkých firem. 

Řízení identit a přístupových práv bývá chápáno pouze jako administrativní proces. Ve skutečnosti jsou právě uživatelské účty a jejich oprávnění častým cílem kybernetických útoků. Jejich správné řízení je tedy jedním ze zásadních pilířů kybernetické bezpečnosti. A proto nová legislativa věnuje pozornost i této oblasti. 

Požadavky nového ZoKB na řízení identit a přístupů

ZoKB a jeho prováděcí vyhlášky stanovují požadavky na řízení identit a přístupových práv, přičemž tato oblast je rozdělena do dvou základních rovin – organizační a technické.

Organizační opatření

Podle nové legislativy musí každá regulovaná organizace nastavit politiku řízení identit a přístupů.2 Mezi klíčové požadavky patří:

  • Zavedení politiky řízení identit a přístupů
    Je nutné mít jasná pravidla pro přidělování, změny a odebírání přístupových práv.
  • Princip „least privilege“
    Každý uživatel smí mít pouze oprávnění nezbytná pro výkon své práce, nic navíc.
  • Pravidelné revize přístupů
    Organizace musí aktivně kontrolovat, zda všechna oprávnění odpovídají aktuálním potřebám zaměstnanců.
  • Rychlé reakce na změny rolí
    Změna pracovní pozice nebo odchod zaměstnance musí vést k okamžité úpravě či odebrání přístupových práv.
  • Auditovatelnost změn
    Každé přidělení nebo odebrání oprávnění musí být pečlivě dokumentováno pro zpětnou dohledatelnost.

Technická opatření:

Organizační pravidla je nezbytné podpořit vhodnými technologiemi.3 Mezi hlavní technické požadavky patří například:

  • Centrální nástroj pro řízení identit
    Použití specializovaných IDM/IGA systémů, které umožňují efektivní řízení přístupů z jednoho místa.
  • Silné heslové politiky
    Je nezbytné zavést přísnou heslovou politiku s pravidelnou obměnou a vysokou komplexností hesel (pokud není využívána MFA).
  • Logování všech aktivit s identitami a přístupy
    Organizace musí vést detailní záznamy všech přístupů, včetně neúspěšných pokusů, pro účely auditu a detekce incidentů.
  • Vícefaktorová autentizace (MFA) nebo Zero Trust
    Vyžadována je autentizace pomocí více faktorů nebo kontinuální ověřování identity uživatele.

Jak může IDM/IGA systém pomoci splnit legislativní požadavky?

Bez specializovaného systému může být dodržování těchto nových pravidel velmi komplikované a nákladné. Moderní IDM/IGA systémy přinášejí řadu výhod:

  • Automatizace procesů  -onboarding, revize oprávnění, deaktivace účtů
  • Transparentní auditní stopa všech aktivit spojených s identitami
  • Jednotná autentizace díky pořádku v účtech, snadnější implementace MFA nebo Zero Trust
  • Centrální řízení oprávnění interních i externích uživatelů

Díky těmto vlastnostem IDM/IGA systém zásadně usnadňuje nejen technické, ale i organizační naplnění legislativních požadavků.

Vztahuje se nový ZoKB i na vás?

Nová legislativa významně rozšiřuje okruh subjektů, které musí splnit povinnosti kybernetické bezpečnosti. Hlavními kritérii jsou:

  1. Působení ve významném sektoru – například veřejná správa, energetika, zdravotnictví, ICT, finance, doprava, potravinářský a chemický průmysl, výroba, vodní a odpadové hospodářství a další.
  2. Velikost organizace – zejména střední a velké podniky (50+ zaměstnanců nebo roční obrat/bilanční suma nad 10 mil. EUR).

Zásadní změnou je, že organizace musí sami aktivně identifikovat svou regulovanou službu a následně ji registrovat u NÚKIB. 

Pozor: Zákon se může vztahovat i na menší subjekty, pokud poskytují služby klíčové pro zajištění důležitých společenských nebo ekonomických činností či bezpečnosti. 

Nejste si jistí, zda vámi poskytovaná služba spadá mezi regulované? Snadno si to ověříte na portálu NÚKIB.

Jaká jsou rizika nesplnění požadavků?

Nedodržení zákonných povinností může být drahé – pokuty mohou dosáhnout až 250 mil. Kč nebo 2 % celosvětového obratu organizace. Novinkou je také osobní odpovědnost členů statutárních orgánů za bezpečnostní incidenty. 

Čas běží. Jak se připravit?

Přestože zákon vstupuje v účinnost již letos v listopadu, bezpečnostní opatření lze implementovat postupně během následujícího roku od registrace. S přípravou je ale vhodné začít okamžitě, neboť požadavky nového zákona jsou komplexní a ovlivňují zásadním způsobem fungování firemních procesů i technologií.

Proč nečekat a řešit IAM ihned?

Přínosy kvalitního IDM/IGA řešení dalece přesahují pouhé splnění zákonných požadavků. Díky automatizaci rutinních činností, jasně nastaveným pravidlům a centralizaci řízení identit a přístupů výrazně zvýšíte nejen bezpečnost, ale také efektivitu fungování organizace. Vaši IT specialisté se místo administrativní zátěže budou moci soustředit na strategické a rozvojové projekty, a ostatní zaměstnanci ocení rychlejší a jednodušší přístup k potřebným nástrojům. Proto se vyplatí čekat a IAM řešit jako prioritu již dnes.

Jsme připraveni vám pomoci

Ve společnosti Orchitech pomáháme firmám zavádět IAM řešení, která nejen plní legislativní požadavky, ale zároveň zjednodušují řízení identit a přístupů a posilují kybernetickou bezpečnost.

Potřebujete připravit IAM na novou legislativu a zvýšit úroveň řízení identit ve vaší organizaci?

Ozvěte se nám. Společně najdeme řešení, které zvýší bezpečnost, usnadní práci a splní požadavky nového ZoKB.

Chcete se o tématu IAM dozvědět více? Doporučujeme tento náš článek:

  • Od správy účtů k řízení identit
    Zjistěte, jak IDM/IGA posouvá správu uživatelských účtů na úroveň strategického řízení, které efektivně řeší bezpečnostní i legislativní požadavky.

Pokud máte jakékoliv otázky, rádi je s vámi probereme osobně.

Kontaktujte nás ještě dnes.

Upozornění:

Tento článek má čistě informativní charakter a nepředstavuje právní radu ani závazný výklad aktuálních právních předpisů. Nový zákon o kybernetické bezpečnosti (ZoKB) byl zveřejněn ve Sbírce zákonů pod číslem 264/2025 Sb. a jeho účinnost nastane 1. listopadu 2025. Prováděcí vyhlášky jsou v připomínkovém řízení, proto může ještě dojít k jejich drobným změnám. Doporučujeme ověřit aktuální znění zákona a vyhlášek, případně se poradit s odborníkem při posuzování konkrétních rizik vaší organizace.

Zdroje:

Zákon o kybernetické bezpečnosti č. 264/2025 Sb.

Návrh vyhlášky o regulovaných službách (eKLEP PID KORNDGQGJKME, verze 16.5.2025)

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (eKLEP PID ALBSDGQCWPDA, verze 16.5.2025)

Návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (eKLEP PID ALBSDGQC3VXQ, verze 16.5.2025)

1  EU 2022/2555

2 zejména § 14 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

3 zejména § 20, § 21 a § 23 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Zpět na blog