Nový zákon o kybernetické bezpečnosti (ZokB) transponuje do české legislativy požadavky evropské směrnice NIS2. Od regulovaných subjektů vyžaduje zavedení řady technických a organizačních opatření, mimo jiné ukládá povinnost logovat a vyhodnocovat bezpečnostní události. Řešení pro správu logů (log management) a SIEM tak hrají pro naplnění souladu s novým kybernetickým zákonem důležitou roli.

TL;DR

Nový český zákon o kybernetické bezpečnosti (2025), vychází z evropské směrnice NIS2. Přestože dané technologie explicitně nezmiňuje, z log managementu a SIEMu činí prakticky nezbytné nástroje pro splnění jeho požadavků, a to zejména pro organizace v režimu vyšších povinností.

Ve vztahu k log managementu a SIEM jsou nejdůležitější paragrafy § 22 a § 23 provádění vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

  • § 22 (zaznamenávání událostí → log management) říká, že povinná organizace musí určit systémy, které budou zaznamenávat bezpečnostní a relevantních provozní událostí, a navíc, že tyto záznamy (logy) musí systematicky sbírat, uchovávat a chránit. Jedná se typicky o logy o loginech, změnách konfigurace, nebo privilegovaných činnostech.
  • § 23 (Vyhodnocování kybernetických bezpečnostních událostí → SIEM) říká, že logy nestačí jen sbírat, ale je třeba je s nimi i aktivně pracovat. Organizace ve vyšším režimu musí průběžně vyhodnocovat kybernetické bezpečnostní události a musí mít nástroj nejen pro sběr logů, ale i jejich korelaci a alerting.


Co vyžaduje směrnice NIS2?

Směrnice NIS2 (The Network and Information Security Directive) je evropská legislativa, která stanovuje požadavky pro zajištění kybernetické bezpečnosti informačních systémů a sítí v členských státech Evropské unie. Jedná se o aktualizaci původní směrnice NIS, která byla přijata v roce 2016.

Nejedná se přitom o kosmetickou aktualizaci, NIS2 původní směrnici významně rozšiřuje s cílem ještě více posílit odolnost služeb kritických pro společnost.

Jedná se o poměrně rozsáhlou a složitou úpravu, která obecně sleduje několik hlavních cílů:

  • Zpřísnění požadavků – Směrnice NIS2 zavádí řadu technických a organizačních požadavků, které budou muset povinné subjekty zavést. Patří mezi ně zabezpečení dodavatelského řetězce, zajištění kontinuity podnikání, krizový management, školení v oblasti kybernetické bezpečnosti, nasazení politik řízení přístupu, a další.
  • Rozšířená působnost – Směrnice NIS2 výrazně zvyšuje počet povinných subjektů a regulovaných sektorů. V České úpravě, novém zákonu o kybernetické bezpečnosti pokrývá celkem 15 odvětví. Uvedeny jsou ve vyhlášce o regulovaných službách.
  • Komplexnější systém sankcí – NIS2 zvyšuje horní hranice finančních pokut a zavádí také nefinanční sankce při nedodržování povinností. Jedná se například o pozastavení výkonu řídící funkce statutárnímu orgánu nebo odebrání kyberbezpečnostních certifikací.
  • Posílení dohledu – Povinné subjekty budou podléhat rozšířené povinnosti hlášení incidentů a povinnosti provádět pravidelné audity kybernetické bezpečnosti.
  • Lepší spolupráce napříč EU – Směrnice NIS2 je základem pro vznik Evropské organizace pro řešení kybernetických krizí (EU-CyCLONe). Ta má sloužit jako centrální bod pro koordinaci proti velkoplošným kybernetickým útokům a pro sdílení zkušeností.

Nový zákon o kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti (ZoKB) vstoupil v platnost 1. listopadu 2025. Jeho podoba vychází z již zmíněné směrnice NIS2, která dává jasné pokyny ohledně technických a organizačních požadavků.

V základu definuje dva režimy povinností pro regulované subjekty, nižší a vyšší. Kritériem pro rozdělení do vyššího a nižšího režimu je kromě příslušnosti k regulovanému odvětví především velikost podniku, u vybraných služeb se ale posuzují i další faktory.

Detailnější rozbor obou režimů není podstatou tohoto článku, zopakujme tedy alespoň stručně jejich definice:

Subjekty v řežimu vyšších povinností

Sem spadají organizace uvedené v příloze vyhlášky o regulovaných službách. Jedná se například o subjekty z energetického průmyslu, dopravy, bankovnictví, veřejné správy, poskytovatelé ICT služeb a další. Technická a organizační opatření pro režim vyšších povinností jsou definovány vyhláškou č. 409/2025 Sb.

Subjekty v režimu nižších povinností

Sem spadají zpravidla střední a velké firmy z oborů jako poštovní a kurýrní služby, potravinářství, chemický průmysl a další uvedené ve vyhlášce o regulovaných službáh. Tyto budou regulovány v režimu nižších povinností, které upravuje vyhláška č. 410/2025 Sb.

Naplňování technických opatření ZoKB

Implementace technických opatření podle nového zákona o kybernetické bezpečnosti (ZoKB) je klíčová pro zajištění ochrany kritických informačních systémů a sítí.

Součástí zavedení technických opatření je i oblast detekce a reakce na incidenty, šifrování citlivých dat, řízení přístupových práv, pravidelné aktualizace a zálohování systémů, atd. Nový zákon také klade důraz na provádění pravidelných bezpečnostních auditů, školení a testování odolnosti proti kybernetickým útokům.

Konkrétní povinnosti definují dvě samostatné prováděcí vyhlášky (pro režimy vyšších a nižších povinností). Ty poskytují jasné pokyny pro implementaci technických opatření, přičemž pro subjekty spadající do režimu vyšších povinností pokrývají následující oblasti:

  • Fyzická bezpečnost
  • Bezpečnost komunikačních sítí
  • Správa a ověřování identit
  • Řízení přístupových oprávnění
  • Detekce kybernetických bezpečnostních událostí
  • Zaznamenávání bezpečnostních a relevantních provozních událostí
  • Vyhodnocování kybernetických bezpečnostních událostí
  • Aplikační bezpečnost
  • Kryptografické algoritmy
  • Zajišťování dostupnosti regulované služby
  • Zabezpečení průmyslových, řídicích a obd. spec. technických aktiv

V následujícím textu se podrobněji podíváme na oblast zaznamenávání bezpečnostních a relevantních provozních událostí a jejich vyhodnocování, tedy konkrétně na paragrafy § 22 a § 23 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.

Role log managementu v novém zákonu o kybernetické bezpečnosti – § 22

Log management, neboli správa logů, hraje v rámci požadavků nového kybernetického zákona klíčovou roli, protože informace v nich obsažené jsou základním nástrojem pro sledování a analýzu aktivity v informačních systémech. Poskytují informace o jejich původu, průběhu a možných dopadech.

§ 22 v podstatě říká, že by organizace měla určit, z jakých technických aktiv (systémů) bude logy sbírat, činit tak systematicky, uchovávat je a mít nad nimi odpovídající kontrolu. Typicky se bude jednat o servery, síťové prvky, bezpečnostní a jiné systémy, které souvisí s provozem regulované služby.

Logovány by měly být jak běžných provozní události (např. zahájení a ukončení činnosti aktiva), tak i události přímo související s jejich bezpečností. Sem spadají záznamy o přihlašování a odhlašování uživatelů, změny nastavení a neúspěšné pokusy o jejich provedení, neúspěšné pokusy o výkon privilegovaných činností a řada dalších (viz § 22 odst. 3).

Vyhláška zároveň definuje i minimální rozsah informací, které musí každý záznam obsahovat:

  • datum a čas včetně specifikace časového pásma, typ činnosti,
  • identifikaci technického aktiva, které činnost zaznamenalo,
  • identifikaci účtu, pod kterým byla činnost provedena,
  • jednoznačnou identifikaci zařízení původce
  • úspěšnost nebo neúspěšnost činnosti.

Pro organizace spadající do vyššího režimu povinností navíc platí, že musí s logy pracovat centralizovaně, tedy prostřednictvím nástroje pro log management nebo přímo pomocí SIEM řešení, které obsahuje funkce pro agregaci a správu logů

Role SIEM v novém zákonu o kybernetické bezpečnosti – § 23

Nový kybernetický zákon v § 23 vyhlášky požaduje po subjektech ve vyšším režimu, aby měly nástroje pro nepřetržité vyhodnocování detekovaných kybernetických bezpečnostních událostí. Cílem tohoto paragrafu zákona ja, aby povinné subjekty proaktivně reagovaly na hrozby a zároveň zvyšovaly svoji odolnost prostřednictvím identifikace a odstraňování bezpečnostních slabin.

V praxi to znamená, že příslušný nástroj musí být schopen logová data systematicky shromažďovat, strukturovat, agregovat a vzájemně korelovat. A to s cílem včasného odhalení anomálií, hrozeb a současně zajištění, že na ně budou včas upozorněny odpovědné osoby v souladu s § 23 odst. 1 písm. b). Jedná se o opatření, které jednak směřuje k proaktivní reakci na na nově se objevující hrozby, druhak k neustálé optimalizaci odolnosti organizace prostřednictvím odhalování a odstraňování jejích bezpečnostních slabin.

A právě to jsou funkce SIEM systémů, které umí sbírat a korelovat události z různých zdrojů a na základě předem definovaných pravidel automaticky upozorňovat bezpečnostní tým na podezřelé chování.

Ačkoliv existují i alternativní přístupy, například využití služeb typu SOC, ty jsou zpravidla spojeny s určitými kompromisy. Pro regulované organizace tak představuje SIEM řešení nejpřímější a zároveň nejkomplexnější způsob, jak požadavky § 23 vyhlášky naplnit.

Pokryjte požadavky zákony o kybernetické bezpečnosti s Logmanagerem

Zaznamenávání, analýza a vyhodnocování kybernetických událostí jsou stěžejní součástí jakékoliv úspěšné obrany proti útokům a hrozbám. Proto jsou i jedním ze základů nového zákona o kybernetické bezpečnosti. 

Nástroje pro správu logů a SIEM tak budou pro soulad (compliance) s touto legislativou stěžejní. Umožňují tuto oblast pokrýt, a to včetně povinnosti bezpečného uchování informací o událostech a jejich reportování pro potřeby auditů, kterým mohou být povinné subjekty podrobovány.

Řešení Logmanager umožňuje tyto požadavky pokrýt prostřednictvím:

  • centralizovaného sběru logů z infrastruktury, 
  • nástrojů pro jejich rychlé vyhledávání, analýzu a korelaci,
  • a dlouhodobého uložení pro auditní a forenzní účely v bezpečném úložišti.

Jedná se o nejpoužívanější český nástroj pro správu logů s odlehčenými SIEM funkcemi, kterému důvěřuje přes 350 organizací.

Pokud chcete vědět, jak lze prakticky využít log management řešení pro plnění povinností vyplývajících ze zákona o kybernetické bezpečnosti, přečtěte si následující případovou studii.