Čeština English Deutsch
Klientský portál
New Telekom
Domů O nás Služby Blog Kontakt

Jazyk

🇨🇿 CZ 🇬🇧 EN 🇩🇪 DE
Klientský portál
Kontaktujte nás
Domů Blog NIS2 a nový Zákon o kybernetické bezpečnosti: Kompletní průvodce pro firemní sítě v roce 2026
IT Bezpečnost

NIS2 a nový Zákon o kybernetické bezpečnosti: Kompletní průvodce pro firemní sítě v roce 2026

NT
New Telekom
Odborný tým New Telekom
NIS2 a nový Zákon o kybernetické bezpečnosti: Kompletní průvodce pro firemní sítě v roce 2026

Směrnice NIS2 a navazující nový Zákon o kybernetické bezpečnosti platný v roce 2026 zásadně mění technické i procesní požadavky na firemní konektivitu v České republice. Nasazení moderních síťových technologií, jako jsou SD-WAN a CloudConnect, umožňuje firmám splnit přísné standardy NÚKIB, zajistit end-to-end šifrování pomocí AES-256 a implementovat architekturu Zero Trust pro maximální ochranu dodavatelského řetězce.

Proč je směrnice NIS2 v roce 2026 kriticky důležitá pro dodavatelské řetězce?

Evropská směrnice EU 2022/2555 (známá jako NIS2) představuje nejkomplexnější legislativní rámec kybernetické bezpečnosti v historii. Její plná vymahatelnost prostřednictvím národních úřadů, v České republice zastoupených Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), znamená v roce 2026 povinnost zabezpečit nejen klíčové systémy, ale kompletní dodavatelskou infrastrukturu.

Dopad na dodavatele v regulovaných odvětvích

Firmy začleněné do dodavatelského řetězce kritické infrastruktury musí prokazatelně splňovat bezpečnostní standardy.
  •   Ovlivňuje přibližně 6 000 až 10 000 firem v rámci ČR
  •   Požaduje aplikaci norem ISO/IEC 27001 a ISO/IEC 27002 do síťové infrastruktury
  •   Povinnost reportovat kybernetické incidenty NÚKIB do 24 hodin od detekce
  •   Zavádí princip takzvané proaktivní ochrany a průběžného auditu zranitelností

Změna paradigmatu zabezpečení sítí

Tradiční ochrana perimetru formou centrálního firewallu již legislativně neobstojí. Zabezpečení musí být distribuováno napříč celou síťovou topologií.
  •   Nutnost implementace mikrosegmentace v rámci lokálních sítí (LAN)
  •   Přechod na architekturu Zero Trust Network Access (ZTNA)
  •   Striktní oddělení provozu kritických aplikací (např. systémů SCADA / ICS)
  •   Šifrování veškerých datových přenosů napříč veřejnými (Internet) i privátními sítěmi (MPLS)

Jaké konkrétní technické požadavky klade nový zákon o kybernetické bezpečnosti na firemní sítě?

Nový Zákon o kybernetické bezpečnosti (ZoKB), reflektující směrnici NIS2, vyžaduje zavedení technických protiopatření ke zmírnění definovaných rizik. Organizace v režimu vyšších povinností musí nasadit kryptografické prostředky, systémy detekce narušení a zajistit redundanci síťových tras pro kontinuitu provozu.

Požadavky na kryptografickou ochranu

Šifrování dat při přenosu (Data in Transit) je základním kamenem ochrany proti odposlechu (man-in-the-middle útokům).
  •   Použití šifrovacího standardu minimálně AES-256 pro všechny vnější datové tunely
  •   Konfigurace protokolů IPsec (Internet Protocol Security) s výměnou klíčů IKEv2
  •   Vyloučení zastaralých hašovacích algoritmů (MD5, SHA-1), přechod výhradně na SHA-384 nebo SHA-512
  •   Zabezpečení směrovacích protokolů, například autentizace sousedů v protokolech BGP a OSPF

Požadavky na monitoring a detekci incidentů

Bez plné viditelnosti do síťového provozu nelze splnit zákonnou povinnost detekce a hlášení incidentů.
  •   Nasazení systémů IDS/IPS (Intrusion Detection/Prevention System) na všech hraničních prvcích
  •   Kontinuální sběr síťových telemetrických dat (např. pomocí NetFlow nebo IPFIX)
  •   Centrální sběr a korelace logů pomocí nástrojů SIEM (Security Information and Event Management)
  •   Automatizovaná analýza anomálií s využitím signatur poskytovaných z databází NÚKIB a CERT/CSIRT týmů

Jak technologie SD-WAN řeší bezpečnostní požadavky směrnice NIS2?

Technologie SD-WAN (Software-Defined Wide Area Network) představuje v roce 2026 nejefektivnější způsob, jak plošně implementovat bezpečnostní politiky napříč distribuovanými pobočkami podniku. My v Newtel doporučujeme tuto architekturu jako základní stavební kámen pro shodu s požadavky na odolnost a redundanci.

Oddělení řídící a datové roviny

Architektura SD-WAN centralizuje správu, čímž eliminuje lidské chyby při konfiguraci jednotlivých směrovačů na pobočkách.
  •   Centrální orchestrátor definuje bezpečnostní politiky pro celou síť z jednoho bodu
  •   Automatická rotace IPsec šifrovacích klíčů bez nutnosti zásahu administrátora
  •   Okamžitá distribuce aktualizovaných bezpečnostních pravidel (tzv. firewallových politik) do všech koncových uzlů během sekund
  •   Úplná nezávislost na fyzické transportní vrstvě (optika, 5G, CETIN infrastruktura, satelitní spojení)

Integrace SASE a aplikačního firewallu

Spojení SD-WAN s konceptem SASE (Secure Access Service Edge) poskytuje komplexní inspekci síťového provozu přímo na okraji sítě (Edge).
  •   Hloubková analýza paketů (DPI - Deep Packet Inspection) identifikující škodlivý obsah i v šifrovaném provozu
  •   Automatické blokování přístupu k C&C (Command and Control) serverům botnetů
  •   Aplikace pravidel QoS (Quality of Service) s prioritizací kritických aplikačních toků (např. VoIP, ERP systémy)
  •   Segmentace provozu pomocí VRF (Virtual Routing and Forwarding) na úrovni jednotlivých oddělení nebo dceřiných společností

Jaký je rozdíl mezi tradiční podnikovou sítí a přístupem SD-WAN se SASE?

Tradiční topologie Hub-and-Spoke, kdy se veškerý provoz z poboček směroval do centrály přes MPLS k provedení bezpečnostní inspekce, je v éře cloudu neefektivní. Přístup SD-WAN přináší bezpečnost přímo k uživateli.
Parametr hodnoceníTradiční síť (MPLS + VPN)SD-WAN + SASE
Šifrování dat in-transitČasto závislé na vnitřní důvěře sítěDefaultně end-to-end (AES-256)
Aplikace Zero Trust (ZTNA)Obtížně realizovatelná, perimetrový přístupNativní podpora, ověřování každé relace
Reakce na výpadek linkyVýpadek 30–120 s (BGP konvergence)Subsekundové přepnutí
Náklady na kapacituVysoké ceny vyhrazených linekOptimalizace (internet + 5G)
Viditelnost do aplikacíPouze L3/L4 (IP adresy, porty)Plná L7 viditelnost (SaaS)

Jak implementovat CloudConnect pro bezpečné spojení s cloudovými službami?

Protože většina firemních dat dnes sídlí mimo lokální datová centra, směrnice NIS2 klade velký důraz na zabezpečení přístupu ke cloudovým providerům (CSP). Služba CloudConnect umožňuje vytvoření vyhrazeného, privátního spojení mimo veřejný internet, čímž eliminuje rizika DDoS útoků.

1. Návrh topologie a výběr propojovacích bodů

V prvním kroku analyzujeme toky dat do platforem jako Microsoft Azure, Amazon Web Services (AWS) nebo Google Cloud Platform (GCP).
  •   Identifikace kritických cloudových workloadů, na které se vztahuje ZoKB
  •   Výběr optimálního peeringového centra (např. NIX.CZ v Praze, DE-CIX ve Frankfurtu)
  •   Alokace garantované šířky pásma (obvykle v rozsahu 100 Mbit/s až 10 Gbit/s)
  •   Zajištění fyzické georedundance (vedení optických tras v oddělených geografických koridorech)

2. Konfigurace dedikovaných L2/L3 okruhů

Propojení se realizuje na síťové vrstvě bez přístupu do veřejného internetu.
  •   Vytvoření VLAN (Virtual Local Area Network) vyhrazené čistě pro cloudový provoz
  •   Konfigurace služby typu Azure ExpressRoute nebo AWS Direct Connect
  •   Nasazení MACsec (Media Access Control Security) pro L2 šifrování optické trasy
  •   Integrace do stávající podnikové BGP topologie

3. Zavedení bezpečnostních politik a auditu

Propojení musí být průběžně monitorováno pro zajištění compliance s NIS2.
  •   Aplikace firewallových politik na rozhraní mezi podnikovou sítí a cloudovým prostředím
  •   Sběr telemetrie z cloudových rozhraní do podnikového SIEM systému
  •   Zamezení asymetrickému routingu a prevence úniků směrovacích tabulek (Route Leaks)
  •   Pravidelný penetrační test cloudového perimetru dle metodiky NÚKIB

Kolik stojí migrace podnikové sítě na architekturu vyhovující NIS2?

Náklady na síťovou transformaci se odvíjí od počtu poboček, objemu datových toků a míry redundance. Uvedené částky reprezentují odhady pro rok 2026.
Komponenta řešeníCAPEX (jednorázově)OPEX (měsíčně)
Centrální SD-WAN Orchestrátor45 000 – 120 000 Kč15 000 – 35 000 Kč
Edge Router (na pobočku)18 000 – 55 000 Kč3 000 – 8 000 Kč
CloudConnect (1 Gbit/s linka)15 000 – 30 000 Kč8 000 – 25 000 Kč
SIEM / Log management80 000 – 250 000 Kč20 000 – 60 000 Kč
Audit a reporting dle ZoKB0 Kč (v projektu)12 000 – 30 000 Kč

Jaké jsou reálné sankce za nedodržení kybernetické bezpečnosti dle ZoKB?

Zákon o kybernetické bezpečnosti zavádí drakonické postihy, které mohou existenčně ohrozit firmu. Pokuty reflektují principy GDPR a uplatňují se na základě rozsahu a dopadu bezpečnostního incidentu.

Finanční a provozní postihy

Vysoké finanční tresty jsou navrženy tak, aby organizace nemohly ignorovat bezpečnostní doporučení a považovat pokutu za běžný náklad.
  •   Maximální pokuta dosahuje až 10 milionů EUR nebo 2 % z celkového celosvětového ročního obratu podniku (podle toho, co je vyšší)
  •   Možnost pozastavení výkonu funkce statutárního orgánu (jednatele) z důvodu hrubé nedbalosti
  •   Pro subjekty v dodavatelském řetězci hrozí okamžité vyřazení z tendrů a zrušení smluv ze strany regulovaných partnerů
  •   NÚKIB disponuje pravomocí nařídit pozastavení certifikací nezbytných pro výkon činnosti organizace

Často kladené otázky

Vztahuje se směrnice NIS2 i na menší subdodavatele, kteří nepatří do kritické infrastruktury?

Ano, směrnice NIS2 výslovně upravuje bezpečnost dodavatelského řetězce (Supply Chain Security). Pokud je vaše společnost přímým dodavatelem IT služeb, komponent, nebo servisní podpory organizaci, která spadá pod regulaci NÚKIB (např. energetika, bankovnictví, zdravotnictví), musíte splňovat odpovídající bezpečnostní standardy, jinak s vámi nesmí regulovaný subjekt uzavřít smlouvu.

Může nasazení SD-WAN zcela nahradit naše stávající MPLS linky?

Ve většině scénářů ano. Technologie SD-WAN využívá pokročilé algoritmy pro korekci chyb (Forward Error Correction) a agregaci šířky pásma, díky čemuž dokáže z běžných širokopásmových přípojek (VDSL, optika, 5G) vytvořit vysoce stabilní spojení s parametry, které se rovnají nebo převyšují parametry privátních okruhů MPLS. Zároveň poskytuje nativní 256bitové šifrování, které tradiční MPLS ve standardním provedení nenabízí.

Jaký je rozdíl mezi běžným IPSec tunelem a připojením přes CloudConnect?

Běžný IPsec tunel se sestavuje přes veřejný internet, což znamená, že provoz podléhá fluktuacím zpoždění (jitter), kolísání propustnosti a hrozbě odepření služby (DDoS). CloudConnect využívá fyzicky vyhrazené linky v rámci páteřních sítí telekomunikačních operátorů, které propojují datové centrum podniku přímo s portem poskytovatele cloudu. Výsledkem je garantovaná latence pod 5 milisekund, maximální bezpečnost na vrstvě L2 a absolutní izolace od veřejného internetu.

Co znamená implementace Zero Trust architektury (ZTNA) v praxi?

V praxi Zero Trust znamená odstranění konceptu důvěryhodné interní sítě. Znamená to, že i když je zaměstnanec fyzicky připojen do LAN sítě v kanceláři, nemá automatický přístup k podnikovým serverům. Každý pokus o přístup k jakékoliv aplikaci (ať už v lokálním serveru nebo v cloudu) vyžaduje okamžité ověření identity uživatele, ověření bezpečnostního stavu jeho zařízení (např. přítomnost antiviru) a kontextuální analýzu.

Jak dlouho trvá audit a migrace sítě do stavu „NIS2 Compliant“?

Komplexní transformace síťové infrastruktury a její uvedení do souladu se zákonem obvykle zabere 3 až 6 měsíců. Tento proces zahrnuje úvodní rozdílovou analýzu (Gap Analysis) dle norem ISO/IEC 27001, vypracování technického designu (LLD - Low Level Design), samotné nasazení hardwarových i softwarových prvků (SD-WAN firewally) a následnou penetrační a validační zkoušku. Doporučujeme nenechávat migraci na poslední chvíli kvůli celoevropskému nedostatku certifikovaných síťových inženýrů.

Závěr

Splnění požadavků směrnice NIS2 a nového Zákona o kybernetické bezpečnosti vyžaduje od českých dodavatelů opuštění zastaralých síťových konceptů. Nasazení centralizovaně řízené infrastruktury s mikrosegmentací, pokročilým šifrováním a analytickými nástroji je pro rok 2026 nezbytností. My v New Telekom realizujeme audity, návrhy a výstavbu vysoce bezpečných firemních sítí již více než 20 let. Zarezervujte si konzultaci pro návrh firemních sítí a zabezpečte svůj dodavatelský řetězec před přísnými sankcemi NÚKIB a ztrátou klíčových zákazníků. Článek byl zpracován odborným týmem New Telekom s.r.o. Informace odpovídají legislativnímu stavu k březnu 2026.

Použité zdroje a legislativa

  1.  Směrnice Evropského parlamentu a Rady (EU) 2022/2555 (NIS2) ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.
  2.  Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) – Návrh a znění nového Zákona o kybernetické bezpečnosti.
  3.  ČSN EN 50600 - Informační technologie - Zařízení a infrastruktura datových center.
  4.  ISO/IEC 27001:2022 – Systémy řízení bezpečnosti informací (ISMS).
  5.  ISO/IEC 27002:2022 – Soubor postupů pro řízení bezpečnosti informací.
  6.  Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) – z hlediska ochrany důvěrnosti a integrity při přenosu osobních dat.
Zpět na blog