# Jak log management a SIEM podporují plnění požadavků ZoKB Nový zákon o kybernetické bezpečnosti (ZokB) transponuje do české legislativy požadavky evropské směrnice NIS2. Od regulovaných subjektů vyžaduje zavedení řady technických a organizačních opatření, mimo jiné ukládá povinnost logovat a vyhodnocovat bezpečnostní události. Řešení pro správu logů (log management) a SIEM tak hrají pro naplnění souladu s novým kybernetickým zákonem důležitou roli. **TL;DR** Nový český zákon o kybernetické bezpečnosti (2025), vychází z evropské směrnice NIS2. Přestože dané technologie explicitně nezmiňuje, z log managementu a SIEMu činí prakticky nezbytné nástroje pro splnění jeho požadavků, a to zejména pro organizace v režimu vyšších povinností. Ve vztahu k log managementu a SIEM jsou nejdůležitější paragrafy § 22 a § 23 provádění vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. - **§ 22 (zaznamenávání událostí → log management)** říká, že povinná organizace musí určit systémy, které budou zaznamenávat bezpečnostní a relevantních provozní událostí, a navíc, že tyto záznamy (logy) musí systematicky sbírat, uchovávat a chránit. Jedná se typicky o logy o loginech, změnách konfigurace, nebo privilegovaných činnostech. - **§ 23 (Vyhodnocování kybernetických bezpečnostních událostí → SIEM)** říká, že logy nestačí jen sbírat, ale je třeba je s nimi i aktivně pracovat. Organizace ve vyšším režimu musí průběžně vyhodnocovat kybernetické bezpečnostní události a musí mít nástroj nejen pro sběr logů, ale i jejich korelaci a alerting. ## Co vyžaduje směrnice NIS2? Směrnice NIS2 ([The Network and Information Security Directive](https://eur-lex.europa.eu/eli/dir/2022/2555)) je evropská legislativa, která stanovuje požadavky pro zajištění kybernetické bezpečnosti informačních systémů a sítí v členských státech Evropské unie. Jedná se o aktualizaci původní směrnice NIS, která byla přijata v roce 2016. Nejedná se přitom o kosmetickou aktualizaci, NIS2 původní směrnici významně rozšiřuje s cílem ještě více posílit odolnost služeb kritických pro společnost. Jedná se o poměrně rozsáhlou a složitou úpravu, která obecně sleduje několik hlavních cílů: - **Zpřísnění požadavků** – Směrnice NIS2 zavádí řadu technických a organizačních požadavků, které budou muset povinné subjekty zavést. Patří mezi ně zabezpečení dodavatelského řetězce, zajištění kontinuity podnikání, krizový management, školení v oblasti kybernetické bezpečnosti, nasazení politik řízení přístupu, a další. - **Rozšířená působnost** – Směrnice NIS2 výrazně zvyšuje počet povinných subjektů a regulovaných sektorů. V České úpravě, novém zákonu o kybernetické bezpečnosti pokrývá celkem 15 odvětví. Uvedeny jsou ve [vyhlášce o regulovaných službách](https://www.e-sbirka.cz/sb/2025/408/0000-00-00?zalozka=text). - **Komplexnější systém sankcí** – NIS2 zvyšuje horní hranice finančních pokut a zavádí také nefinanční sankce při nedodržování povinností. Jedná se například o pozastavení výkonu řídící funkce statutárnímu orgánu nebo odebrání kyberbezpečnostních certifikací. - **Posílení dohledu** – Povinné subjekty budou podléhat rozšířené povinnosti hlášení incidentů a povinnosti provádět pravidelné audity kybernetické bezpečnosti. - **Lepší spolupráce napříč EU** – Směrnice NIS2 je základem pro vznik Evropské organizace pro řešení kybernetických krizí (EU-CyCLONe). Ta má sloužit jako centrální bod pro koordinaci proti velkoplošným kybernetickým útokům a pro sdílení zkušeností. ## Nový zákon o kybernetické bezpečnosti Nový zákon o kybernetické bezpečnosti (ZoKB) vstoupil v platnost 1. listopadu 2025. Jeho podoba vychází z již zmíněné směrnice NIS2, která dává jasné pokyny ohledně technických a organizačních požadavků. V základu definuje dva režimy povinností pro regulované subjekty, nižší a vyšší. Kritériem pro rozdělení do vyššího a nižšího režimu je kromě příslušnosti k regulovanému odvětví především velikost podniku, u vybraných služeb se ale posuzují i další faktory. Detailnější rozbor obou režimů není podstatou tohoto článku, zopakujme tedy alespoň stručně jejich definice: **Subjekty v řežimu vyšších povinností** Sem spadají organizace uvedené v příloze vyhlášky o regulovaných službách. Jedná se například o subjekty z energetického průmyslu, dopravy, bankovnictví, veřejné správy, poskytovatelé ICT služeb a další. Technická a organizační opatření pro režim vyšších povinností jsou definovány [vyhláškou č. 409/2025 Sb](https://www.e-sbirka.cz/sb/2025/409/0000-00-00?zalozka=text). **Subjekty v režimu nižších povinností** Sem spadají zpravidla střední a velké firmy z oborů jako poštovní a kurýrní služby, potravinářství, chemický průmysl a další uvedené ve vyhlášce o regulovaných službáh. Tyto budou regulovány v režimu nižších povinností, které upravuje [vyhláška č. 410/2025 Sb](https://www.e-sbirka.cz/sb/2025/410/0000-00-00?zalozka=text). ## Naplňování technických opatření ZoKB Implementace technických opatření podle nového zákona o kybernetické bezpečnosti (ZoKB) je klíčová pro zajištění ochrany kritických informačních systémů a sítí. Součástí zavedení technických opatření je i oblast detekce a reakce na incidenty, šifrování citlivých dat, řízení přístupových práv, pravidelné aktualizace a zálohování systémů, atd. Nový zákon také klade důraz na provádění pravidelných bezpečnostních auditů, školení a testování odolnosti proti kybernetickým útokům. Konkrétní povinnosti definují dvě samostatné prováděcí vyhlášky (pro režimy vyšších a nižších povinností). Ty poskytují jasné pokyny pro implementaci technických opatření, přičemž pro subjekty spadající do režimu vyšších povinností pokrývají následující oblasti: - Fyzická bezpečnost - Bezpečnost komunikačních sítí - Správa a ověřování identit - Řízení přístupových oprávnění - Detekce kybernetických bezpečnostních událostí - Zaznamenávání bezpečnostních a relevantních provozních událostí - Vyhodnocování kybernetických bezpečnostních událostí - Aplikační bezpečnost - Kryptografické algoritmy - Zajišťování dostupnosti regulované služby - Zabezpečení průmyslových, řídicích a obd. spec. technických aktiv V následujícím textu se podrobněji podíváme na oblast zaznamenávání bezpečnostních a relevantních provozních událostí a jejich vyhodnocování, tedy konkrétně na paragrafy § 22 a § 23 [vyhlášky](https://www.e-sbirka.cz/sb/2025/409/0000-00-00?zalozka=text) o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností. ## Role log managementu v novém zákonu o kybernetické bezpečnosti – § 22 [Log management](https://logmanager.com/cs/blog/log-management/log-management-best-practices/), neboli správa logů, hraje v rámci požadavků nového kybernetického zákona klíčovou roli, protože informace v nich obsažené jsou základním nástrojem pro sledování a analýzu aktivity v informačních systémech. Poskytují informace o jejich původu, průběhu a možných dopadech. § 22 v podstatě říká, že by organizace měla určit, z jakých technických aktiv (systémů) bude [logy](https://logmanager.com/cs/blog/log-management/jak-na-logovani-typy-logu-zdroje-co-logovat/) sbírat, činit tak systematicky, uchovávat je a mít nad nimi odpovídající kontrolu. Typicky se bude jednat o servery, síťové prvky, bezpečnostní a jiné systémy, které souvisí s provozem regulované služby. Logovány by měly být jak běžných provozní události (např. zahájení a ukončení činnosti aktiva), tak i události přímo související s jejich bezpečností. Sem spadají záznamy o přihlašování a odhlašování uživatelů, změny nastavení a neúspěšné pokusy o jejich provedení, neúspěšné pokusy o výkon privilegovaných činností a řada dalších (viz § 22 odst. 3). Vyhláška zároveň definuje i minimální rozsah informací, které musí každý záznam obsahovat: - datum a čas včetně specifikace časového pásma, typ činnosti, - identifikaci technického aktiva, které činnost zaznamenalo, - identifikaci účtu, pod kterým byla činnost provedena, - jednoznačnou identifikaci zařízení původce - úspěšnost nebo neúspěšnost činnosti. Pro organizace spadající do vyššího režimu povinností navíc platí, že musí s logy pracovat centralizovaně, tedy prostřednictvím nástroje pro log management nebo přímo pomocí SIEM řešení, které obsahuje funkce pro agregaci a správu logů ## Role SIEM v novém zákonu o kybernetické bezpečnosti – § 23 Nový kybernetický zákon v § 23 vyhlášky požaduje po subjektech ve vyšším režimu, aby měly nástroje pro nepřetržité vyhodnocování detekovaných kybernetických bezpečnostních událostí. Cílem tohoto paragrafu zákona ja, aby povinné subjekty proaktivně reagovaly na hrozby a zároveň zvyšovaly svoji odolnost prostřednictvím identifikace a odstraňování bezpečnostních slabin. V praxi to znamená, že příslušný nástroj musí být schopen logová data systematicky shromažďovat, strukturovat, agregovat a vzájemně korelovat. A to s cílem včasného odhalení anomálií, hrozeb a současně zajištění, že na ně budou včas upozorněny odpovědné osoby v souladu s § 23 odst. 1 písm. b). Jedná se o opatření, které jednak směřuje k proaktivní reakci na na nově se objevující hrozby, druhak k neustálé optimalizaci odolnosti organizace prostřednictvím odhalování a odstraňování jejích bezpečnostních slabin. A právě to jsou funkce SIEM systémů, které umí sbírat a korelovat události z různých zdrojů a na základě předem definovaných pravidel automaticky upozorňovat bezpečnostní tým na podezřelé chování. Ačkoliv existují i alternativní přístupy, například využití služeb typu SOC, ty jsou zpravidla spojeny s určitými kompromisy. Pro regulované organizace tak představuje SIEM řešení nejpřímější a zároveň nejkomplexnější způsob, jak požadavky § 23 vyhlášky naplnit. ## Pokryjte požadavky zákony o kybernetické bezpečnosti s Logmanagerem Zaznamenávání, analýza a vyhodnocování kybernetických událostí jsou stěžejní součástí jakékoliv úspěšné obrany proti útokům a hrozbám. Proto jsou i jedním ze základů nového zákona o kybernetické bezpečnosti. Nástroje pro správu logů a SIEM tak budou pro soulad ([compliance](https://logmanager.com/cs/?p=3680)) s touto legislativou stěžejní. Umožňují tuto oblast pokrýt, a to včetně povinnosti bezpečného uchování informací o událostech a jejich reportování pro potřeby auditů, kterým mohou být povinné subjekty podrobovány. Řešení Logmanager umožňuje tyto požadavky pokrýt prostřednictvím: - centralizovaného sběru logů z infrastruktury, - nástrojů pro jejich rychlé vyhledávání, analýzu a korelaci, - a dlouhodobého uložení pro auditní a forenzní účely v bezpečném úložišti. Jedná se o nejpoužívanější český nástroj pro správu logů s odlehčenými SIEM funkcemi, kterému důvěřuje přes 350 organizací. Pokud chcete vědět, jak lze prakticky využít log management řešení pro plnění povinností vyplývajících ze zákona o kybernetické bezpečnosti, přečtěte si následující [případovou studii](/?resource_category=pripadova-studie-telco-pro-services).