„kašlání na bezpečnost“ může firmu přijít pěkně draho
Pokud firma dosud neřešila žádné zabezpečení, nemá firewally, zálohování, monitoring ani školení, pak implementace požadavků NIS2 bude znamenat zásadní investici — nejen finanční, ale i organizační.
💸 Odhad nákladů pro firmu bez stávajícího zabezpečení
🔧 Jednorázové náklady (setup):
Podle , celkové jednorázové náklady pro české firmy přesahují 36 miliard Kč. Pro jednotlivou firmu bez základního zabezpečení to může znamenat:
| Oblast | Odhad nákladů | Poznámka |
|---|---|---|
| Externí audit | 50–150 tis. Kč | Zmapování stavu, identifikace slabin |
| NGFW (Next Gen Firewall) | 100–300 tis. Kč | Záleží na velikosti sítě |
| Zálohovací řešení | 50–200 tis. Kč | Včetně offsite záloh |
| Monitoring a logování | 80–250 tis. Kč | SIEM, log management |
| Školení zaměstnanců | 20–100 tis. Kč | Základní i pokročilé kurzy |
| Dokumentace a směrnice | 30–80 tis. Kč | Vytvoření bezpečnostní politiky |
| Řízení rizik a incidentů | 50–150 tis. Kč | Procesy, metodiky, reakční plán |
| Právní revize smluv | 20–50 tis. Kč | Dodavatelské smlouvy, odpovědnosti |
➡️ Celkem jednorázově: 400–1 200 tis. Kč pro středně velkou firmu bez předchozího zabezpečení.
🔁 Roční provozní náklady:
Podle se roční provozní náklady (údržba, licence, audity, monitoring) pohybují kolem 8,9 miliardy Kč celkově. Pro jednu firmu to může znamenat:
| Oblast | Roční náklady |
|---|---|
| Správa bezpečnosti | 100–300 tis. Kč |
| Pravidelné audity | 50–100 tis. Kč |
| Licence a aktualizace | 30–80 tis. Kč |
| Školení a testování | 20–50 tis. Kč |
➡️ Celkem ročně: 200–500 tis. Kč podle velikosti a složitosti prostředí.
🧠 Co pomůže snížit náklady
- Začít auditem – odhalí, co je opravdu nutné.
- Prioritizovat opatření – ne všechno musí být hned.
- Využít open-source nástroje – některé SIEM nebo zálohovací systémy jsou zdarma.
- Školit interně – sníží náklady na externí kurzy.
tady je praktický checklist kroků, které by firma měla udělat jako první, pokud se chce připravit na implementaci směrnice NIS2 a dosud kybernetickou bezpečnost zanedbávala. Tento seznam vychází z doporučení odborníků a studií o nákladech a prioritách.
✅ NIS2: Prvních 10 kroků pro firmy bez zabezpečení
🔍 1. Externí audit a gap analýza
- Nezávislé posouzení aktuálního stavu bezpečnosti
- Identifikace slabin, rizik a chybějících opatření
- Základ pro plánování dalších kroků
👥 2. Nominace bezpečnostního týmu
- Určete odpovědnou osobu za kybernetickou bezpečnost (ne IT manažera!)
- Zahrňte zástupce provozu, HR, vedení
- Zvažte externího konzultanta pro start
📄 3. Vytvoření bezpečnostní politiky
- Jasně definujte pravidla, odpovědnosti a postupy
- Zahrňte řízení aktiv, incidentů, přístupů a školení
🧠 4. Školení vedení a zaměstnanců
- Vedení musí chápat své právní povinnosti
- Zaměstnanci musí znát základní bezpečnostní pravidla
🔐 5. Zavedení technických opatření
- NGFW (Next Generation Firewall)
- Antivirová ochrana, IDS/IPS
- Zálohování na oddělené lokality
- Automatické aktualizace
🧾 6. Řízení identit a přístupů
- Zaveďte multifaktorové ověřování (MFA)
- Nastavte role a oprávnění podle potřeby
📊 7. Monitoring a logování
- Implementujte systém pro sběr a analýzu logů (SIEM)
- Nastavte včasné varování a reakční postupy
📁 8. Revize smluv s dodavateli
- Zajistěte bezpečnostní ustanovení ve smlouvách
- Řešte odpovědnosti, incidenty, auditovatelnost
🧮 9. Vyhodnocení dopadů výpadků
- Proveďte dopadovou analýzu (kolik vás stojí výpadek služby)
- Stanovte priority ochrany aktiv
📝 10. Zápis do registru NÚKIB
- Po účinnosti zákona (od 1. 11. 2025) se firma musí registrovat
- Do 60 dnů provést samoidentifikaci a zahájit implementaci
📌 Doporučení navíc:
- Začněte co nejdříve – implementace trvá měsíce
- Nepodceňujte dokumentaci – je klíčová pro audit
- Zvažte outsourcing – ušetří čas i peníze
