Jako jednatel nebo majitel firmy máte na starosti spoustu věcí. Finance, zaměstnanci, obchodní vztahy, strategie. IT bezpečnost se na první pohled může zdát jako technická záležitost, kterou vyřeší váš IT člověk nebo externí správce. Ale realita je jiná. Odpovědnost za kybernetickou bezpečnost firmy nesete vy, a to nejen morálně, ale v mnoha případech i právně.

V tomto článku vám ukážeme, co musíte jako jednatel vědět o IT bezpečnosti, abyste ochránili svou firmu, zaměstnance i sebe.

Proč by se jednatel měl zajímat o IT bezpečnost

Kybernetické útoky na malé a střední firmy dramaticky rostou. Podle dat Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se počet hlášených incidentů v českých firmách každoročně zvyšuje o desítky procent. A útočníci necílí jen na velké korporace.

Studie společnosti Verizon (Data Breach Investigations Report) uvádí, že 43 % všech kyberútoků cílí právě na malé firmy. Důvod je prostý: menší firmy mají slabší zabezpečení, ale stále disponují cennými daty a přístupem k bankovním účtům.

Co hrozí vaší firmě

• Ransomware – zašifrování všech firemních dat s požadavkem výkupného
• Phishing a CEO fraud – podvodné emaily, které mohou vést k převodu peněz na účty útočníků
• Únik zákaznických dat – porušení GDPR s pokutami až 20 milionů EUR nebo 4 % ročního obratu
• Ztráta reputace – důvěra zákazníků se buduje roky, ale ztrácí během okamžiku
• Výpadek provozu – podle IBM stojí průměrný výpadek způsobený kyberútokem firmu stovky tisíc korun

Právní odpovědnost jednatele za IT bezpečnost

Mnoho jednatelů neví, že za nedostatečné zabezpečení firmy mohou nést osobní odpovědnost. Podle občanského zákoníku je jednatel povinen jednat s péčí řádného hospodáře. To zahrnuje i zajištění přiměřené ochrany firemního majetku, včetně dat a IT systémů.

Konkrétní předpisy, které se vás týkají

• GDPR – pokud zpracováváte osobní údaje (a zpracováváte, ať už jde o zaměstnance nebo zákazníky), jste odpovědní za jejich ochranu
• NIS2 – nová směrnice EU, která rozšiřuje povinnosti kybernetické bezpečnosti na střední firmy a dodavatele kritických služeb
• Zákon o kybernetické bezpečnosti – pokud spadáte pod kritickou infrastrukturu nebo dodáváte státu

V případě úniku dat nebo kyberútoku může pojišťovna nebo věřitel zkoumat, zda jste jako jednatel zajistili přiměřená bezpečnostní opatření. Pokud ne, můžete čelit regresním nárokům.

5 věcí, které musí jednatel vědět

1. Zálohování dat je základ

Pokud vaše firma nemá funkční zálohy, stačí jeden ransomware útok a přijdete o vše. Zálohování musí být:

• Automatické (ne manuální, na které se zapomíná)
• Pravidelné (denně pro kritická data)
• Testované (záloha, která nejde obnovit, není záloha)
• Oddělené od hlavní sítě (útočník nesmí mít přístup k zálohám)

Doporučujeme pravidlo 3-2-1: 3 kopie dat, na 2 různých médiích, 1 kopie mimo firmu. Více o správném zálohování najdete v našem článku Jak správně zálohovat firemní data.

2. Dvoufaktorové ověření (MFA) je nutnost

Samotné heslo už dnes nestačí. Útočníci je dokážou získat phishingem, z úniku dat nebo hrubou silou. Dvoufaktorové ověření přidává druhou vrstvu ochrany – i když někdo získá vaše heslo, bez druhého faktoru (SMS kód, aplikace v telefonu) se nedostane dál.

MFA by mělo být povinné minimálně pro:

• Firemní email
• Vzdálený přístup (VPN)
• Cloudové služby (Microsoft 365, Google Workspace)
• Bankovnictví a účetní systémy

Podrobný návod najdete v článku Dvoufaktorové ověření ve firmě: proč nestačí jen heslo.

3. Zaměstnanci jsou nejslabším článkem

Technické zabezpečení je jen polovina úspěchu. Většina úspěšných kyberútoků využívá lidskou chybu – kliknutí na podvodný odkaz, otevření infikované přílohy, prozrazení přihlašovacích údajů.

Co s tím:

• Pravidelná školení – minimálně jednou ročně, ideálně každé čtvrtletí
• Simulované phishingové testy – zjistíte, kdo kliká na podvodné emaily
• Jasné postupy – co dělat, když zaměstnanec dostane podezřelý email
• Kultura bez obviňování – zaměstnanci musí vědět, že mohou nahlásit incident bez strachu z postihu

Více o efektivním školení najdete v článku Školení kybernetické bezpečnosti pro zaměstnance.

4. Pravidelné aktualizace chrání před zranitelnostmi

Většina kyberútoků využívá známé bezpečnostní díry v zastaralém softwaru. Aktualizace operačních systémů, prohlížečů a aplikací tyto díry opravují.

Zásady pro aktualizace:

• Automatické aktualizace Windows zapnuté
• Pravidelná aktualizace firemního softwaru
• Výměna nepodporovaného hardwaru a softwaru
• Centrální správa aktualizací (pro firmy nad 10 zařízení)

5. Mějte plán pro případ incidentu

I při nejlepším zabezpečení se může stát něco nepředvídaného. Klíčové je mít připravený plán – co dělat, komu volat, jak obnovit provoz.

Základní incident response plán by měl obsahovat:

• Kontakt na IT správce (interního nebo externího)
• Postup pro izolaci zasaženého systému
• Seznam kritických systémů a jejich prioritu pro obnovu
• Kontakty na právníka, pojišťovnu, případně NÚKIB
• Komunikační plán pro zaměstnance a zákazníky

Podrobný návod na vytvoření plánu obnovy najdete v článku Disaster recovery plán pro malou firmu.

Kolik IT bezpečnost stojí

Dobrá zpráva: základní zabezpečení malé firmy nemusí stát majlant. Orientační rozpočet pro firmu s 10 zaměstnanci:

Položka	Jednorázově	Měsíčně
Antivirová ochrana (ESET, Bitdefender)	–	500-1 500 Kč
Cloudové zálohování	–	500-2 000 Kč
MFA implementace	2 000-5 000 Kč	–
Školení zaměstnanců (roční)	5 000-15 000 Kč	–
IT audit	5 000-20 000 Kč	–
Celkem	12 000-40 000 Kč	1 000-3 500 Kč

Srovnejte to s náklady na úspěšný ransomware útok – průměrné výkupné se pohybuje v řádu statisíců korun, a to nezahrnuje náklady na výpadek provozu, ztrátu dat a poškození reputace.

Jak začít: 3 kroky pro jednatele

1. Zjistěte aktuální stav – nechte si udělat bezpečnostní audit. Zjistíte, kde jsou slabá místa.
2. Stanovte priority – ne vše je stejně důležité. Začněte zálohami a MFA, pak řešte školení a pokročilejší opatření.
3. Delegujte, ale kontrolujte – IT bezpečnost můžete svěřit IT správci nebo externí firmě, ale zodpovědnost zůstává na vás. Žádejte pravidelné reporty.

Často kladené otázky (FAQ)

Musím jako jednatel rozumět technice?

Ne. Nemusíte znát detaily implementace. Musíte ale vědět, jaké hrozby existují, co firma dělá pro jejich minimalizaci a kdo je za bezpečnost odpovědný. Vzdělávejte se na úrovni principů, ne technických detailů.

Stačí mít antivirus?

Antivirus je důležitý, ale zdaleka nestačí. Moderní útoky využívají sociální inženýrství, phishing a zneužívání důvěry. Potřebujete kombinaci technických opatření (antivirus, MFA, zálohy) a organizačních (školení, postupy, kontroly).

Jak často bychom měli dělat IT audit?

Doporučujeme minimálně jednou ročně, nebo po každé významné změně (nový systém, velká zakázka, růst firmy). Audit odhalí slabiny dříve, než je objeví útočník.

Co je NIS2 a týká se mě?

NIS2 je evropská směrnice o kybernetické bezpečnosti, která vstoupila v platnost v roce 2024. Týká se středních a velkých firem (nad 50 zaměstnanců nebo obrat nad 10 mil. EUR) a dodavatelů kritických služeb. Pokud spadáte do těchto kategorií, máte povinnost implementovat bezpečnostní opatření a hlásit incidenty.

Komu volat, když dojde k útoku?

V první řadě vašemu IT správci nebo externí IT firmě. Pokud dojde k úniku osobních dat, musíte do 72 hodin informovat Úřad pro ochranu osobních údajů. U závažných incidentů kontaktujte NÚKIB. Doporučujeme mít tyto kontakty připravené předem.

Závěr

IT bezpečnost není jen technická záležitost – je to strategická priorita, za kterou jako jednatel nesete odpovědnost. Dobrou zprávou je, že základní opatření nejsou nákladná ani složitá. Začněte zálohami, dvoufaktorovým ověřením a školením zaměstnanců. Tyto tři kroky vás ochrání před většinou běžných hrozeb.

Pokud nevíte, kde začít, kontaktujte nás pro bezplatnou konzultaci. Provedeme základní audit vašeho zabezpečení a doporučíme konkrétní kroky pro vaši situaci.