Patch management ve firmě je proces, kterým systematicky a centrálně instalujete bezpečnostní záplaty a aktualizace operačních systémů i aplikací na všech firemních zařízeních. Malé firmy ho často podceňují – a přitom právě neaktualizovaný software stojí za většinou úspěšných ransomwarových útoků posledních let. V tomto průvodci se dozvíte, jak nastavit automatický patch management krok za krokem, jaké nástroje použít v roce 2026 a jak se vyhnout typickým chybám, které vedou k výpadkům.

IT Doma řeší patch management denně u desítek pražských firem v rámci správy firemního IT. Tento článek shrnuje to, co skutečně funguje v malých firmách do 50 zaměstnanců.

Co je patch management a proč ho firmy podceňují

Patch management je systematický proces vyhledávání, testování a nasazování softwarových záplat na firemních zařízeních. Cílem je udržet všechny počítače, servery, mobily a aplikace v aktuální verzi, která neobsahuje známé bezpečnostní chyby.

V praxi se patch management dělí na čtyři oblasti:

• Aktualizace operačního systému (Windows, macOS, Linux)
• Aktualizace firemních aplikací (Office, prohlížeče, PDF čtečky, účetní software)
• Aktualizace firmwaru (routery, switche, NAS, tiskárny)
• Aktualizace zabezpečení (antivirus, EDR, VPN klienti)

Většina malých firem řeší patch management improvizovaně. Aktualizace nechávají na zaměstnancích, kteří je odkládají nebo úplně ignorují. Podle Verizon Data Breach Investigations Report 2024 útočníci v 60 % případů zneužívají zranitelnosti, pro které je oprava dostupná déle než rok.

Proč zastaralé aktualizace ohrožují vaši firmu

Bezpečnostní rizika

Každá neopravená zranitelnost je otevřené okno pro útočníka. Klasický příklad je ransomware WannaCry z roku 2017 – Microsoft vydal záplatu dva měsíce před útokem, ale firmy, které ji nenasadily, přišly o data za miliony dolarů. Podobné scénáře se opakují každý rok, jen pod jinými názvy.

Mezi nejčastější útoky využívající neopravené chyby patří ransomware, exploity v Microsoft Exchange, zneužití zranitelností v prohlížečích a útoky na neaktualizované VPN brány. Více o aktuálních hrozbách najdete v článku 5 nejčastějších kybernetických útoků na malé firmy v ČR.

Provozní problémy a výpadky

Paradoxně ale i špatně řízené aktualizace mohou způsobit výpadek. Typický scénář: aktualizace Windows se spustí v polovině pracovní doby, počítače se začnou restartovat, zaměstnanci přijdou o rozdělanou práci a tiskárna přestane fungovat, protože ovladač není kompatibilní s novou verzí systému.

Bez koordinovaného plánu se aktualizace stávají rizikem místo ochrany. Patch management proto neznamená „zapnout automatické aktualizace u všech“, ale „naplánovat, otestovat a nasadit“.

Compliance a NIS2

Pro firmy spadající pod směrnici NIS2 je patch management povinnou součástí kybernetické bezpečnosti. I když vaše firma pod NIS2 nespadá, dodavatelé středních a velkých klientů často vyžadují důkaz o systematickém řízení aktualizací. Detaily o povinnostech malých firem najdete v článku NIS2 směrnice 2026 a malé firmy.

Jak nastavit patch management ve firmě – 7 kroků

Krok 1: Inventarizace zařízení a softwaru

Nemůžete aktualizovat to, o čem nevíte. Začněte seznamem všech zařízení připojených k firemní síti: notebooky, stolní počítače, servery, NAS, tiskárny, switche, routery, IP telefony, mobilní zařízení. U každého zařízení potřebujete znát operační systém, verzi, vlastníka a fyzické umístění.

Tabulka v Excelu stačí pro firmu do 10 zaměstnanců. Nad 20 zaměstnanců už doporučujeme nástroj na asset management, který inventář udržuje automaticky.

Krok 2: Klasifikace patchů podle kritičnosti

Ne každá aktualizace má stejnou prioritu. Microsoft i další výrobci označují patche stupni Critical, Important, Moderate a Low. Stanovte si interní SLA – například:

• Critical: nasazení do 72 hodin
• Important: nasazení do 14 dnů
• Moderate: nasazení do 30 dnů
• Low: v rámci čtvrtletního cyklu

Tato pravidla zapište do interní patch policy. Bez psaného pravidla se v krizové situaci nedohodnete, kdo a kdy patch nasadí.

Krok 3: Testování patchů před nasazením

Nikdy nenasazujte aktualizaci plošně na všechna zařízení současně. Vyberte pilotní skupinu zhruba 10 % zařízení (typicky IT oddělení a několik dobrovolníků z jiných oddělení). Patch nasaďte nejdřív na tuto skupinu a počkejte 48–72 hodin, zda nevznikají problémy.

U kritických patchů, kde je riziko zneužití vyšší než riziko výpadku, se testovací fáze zkracuje – ale nikdy se neeliminuje úplně.

Krok 4: Plán nasazení a deployment window

Aktualizace plánujte mimo pracovní dobu. Standardně doporučujeme noc ze středy na čtvrtek nebo víkend. Důležité je, aby plán obsahoval:

• Konkrétní čas zahájení a předpokládaný konec
• Skupiny zařízení, na které se patch nasazuje
• Plán rollbacku, pokud se něco pokazí
• Komunikaci směrem k zaměstnancům (typicky email den předem)

Krok 5: Automatizace nasazení

Ruční instalace patchů na 30 a více zařízení je neudržitelná. Pro automatizaci ve firmách do 50 zaměstnanců se nejčastěji používají:

• WSUS (Windows Server Update Services) – zdarma, vyžaduje Windows Server, vhodné pro firmy s vlastním AD
• Microsoft Intune – cloudové řešení v rámci Microsoft 365 Business Premium, integruje patch management se správou zařízení
• Action1 – cloudové řešení zdarma do 200 endpointů, jednoduché nasazení bez serveru
• NinjaOne / Atera – komerční MSP nástroje, vhodné, pokud máte externího IT správce

Pokud vaše firma už používá Microsoft 365 Business Premium, Intune je nejlogičtější volba – nepřidáváte další nástroj a integrace funguje out-of-the-box. Více o migraci na Microsoft 365 v článku Migrace na Microsoft 365 pro malé firmy.

Krok 6: Monitoring a reporting

Nasazením patche práce nekončí. Musíte ověřit, že aktualizace skutečně doběhla na všech zařízeních. Typický report obsahuje:

• Počet úspěšných a neúspěšných instalací
• Seznam zařízení, kde se patch nenainstaloval (a proč)
• Procento „compliance“ – kolik zařízení je aktuálních vůči baselinu
• Trend v čase (zlepšujeme se, nebo zhoršujeme?)

Pravidelný měsíční reporting je nezbytný pro vedení firmy i pro audit kybernetické bezpečnosti.

Krok 7: Dokumentace a politika

Posledním krokem je formální dokument – Patch Management Policy. Měl by obsahovat odpovědné osoby, SLA pro jednotlivé stupně kritičnosti, postup při výjimkách a způsob komunikace se zaměstnanci. Tento dokument je zásadní pro audit, NIS2 compliance i pro klidnou hlavu v případě bezpečnostního incidentu. Praktické tipy najdete v článku IT dokumentace firmy.

Nástroje pro patch management v malých firmách 2026

Volba nástroje závisí na velikosti firmy, používaném ekosystému a rozpočtu:

• Do 25 zařízení, omezený rozpočet: Action1 (zdarma do 200 endpointů) nebo PDQ Deploy – cenově dostupné, snadné nasazení.
• 25–100 zařízení, Microsoft ekosystém: Microsoft Intune jako součást Microsoft 365 Business Premium. Pokrývá Windows, macOS i mobilní zařízení.
• S vlastním Windows Serverem: WSUS pro Windows + GPO pro nasazení. Zdarma, ale vyžaduje IT správce, který tomu rozumí.
• Pro firmy s externím IT partnerem: NinjaOne, Atera nebo Datto RMM – platformy navržené pro MSP poskytovatele.

Podle Gartner zralé organizace dokážou nasadit kritický patch na 95 % zařízení do 30 dnů. Malé firmy bez nástroje typicky nedosahují ani 50 % a riskují tak vážné bezpečnostní incidenty.

Patch management pro nejběžnější firemní software

Vedle operačních systémů zapomeňte na tyto kritické oblasti:

• Webové prohlížeče – Chrome, Edge a Firefox vydávají bezpečnostní záplaty každé 1–2 týdny. V 90 % případů aktualizují samy, ale zaměstnanci je často odkládají restartem.
• Microsoft Office / 365 aplikace – aktualizujte přes „Aktualizační kanál pro firmy“ (Monthly Enterprise Channel), který kombinuje aktuálnost s testováním.
• Adobe Reader, Java, .NET – tradiční terče útočníků. Buď je nasazujte centrálně, nebo zvažte, zda je vaše firma skutečně potřebuje.
• Antivirus a EDR – aktualizace virových databází několikrát denně, automaticky. Aktualizace samotného antivirového klienta plánujte měsíčně.
• Firmware routerů, switchů a NAS – nejvíce přehlížená oblast. Kontrolujte minimálně čtvrtletně.

Časté chyby v patch managementu (a jak se jim vyhnout)

1. „Necháme to na zaměstnancích.“ Bez centrální správy nemáte přehled o stavu zařízení a v 90 % případů zaměstnanci aktualizace odkládají donekonečna.
2. Plošné nasazení bez testování. Jeden problematický patch může v jednom kole vyřadit z provozu celou firmu. Vždy pilot, vždy fáze.
3. Ignorování firmwaru síťových zařízení. Útočníci dnes cílí na routery a NAS, ne jen na pracovní stanice.
4. Žádný plán B. Když aktualizace zlobí, potřebujete rollback. Mít předem vyzkoušený postup snižuje stres i ztráty.
5. Neexistující reporting. „Aktualizujeme“ není měřitelné. Procento compliance je.
6. Nepokrývání domácích zařízení (BYOD). Pokud zaměstnanci přistupují k firemním datům z osobních notebooků, musíte řešit i je. Postup popisuje článek BYOD ve firmě 2026.

Kolik patch management stojí a vyplatí se outsourcovat?

Náklady na patch management zahrnují licence nástroje, čas IT správce a případně náklady na výpadek při testování. Pro malou firmu s 30 zařízeními typicky vychází:

• In-house s WSUS: 0 Kč licence + 4–8 hodin práce IT správce měsíčně
• Microsoft 365 Business Premium s Intune: ~600 Kč/uživatel/měsíc (zahrnuje i další služby)
• Externí správa včetně patch managementu: typicky součást paušálu od 590 Kč/zařízení/měsíc

U firem do 50 zaměstnanců se obvykle vyplatí outsourcing – odpadá nutnost mít vlastního specialistu, máte 24/7 monitoring a jasnou odpovědnost v případě incidentu. IT Doma nabízí správu firemního IT s patch managementem v ceně paušálu a transparentním reportingem.

FAQ – Patch management ve firmě

Stačí, když nechám automatické aktualizace Windows?

Pro domácí počítač ano. Pro firmu ne – automatické aktualizace Windows neřeší ostatní software, neumožňují plánování a restartují počítač uprostřed schůzky. Firma potřebuje centrální nástroj s kontrolou nad načasováním a rozsahem.

Jak často by měla firma instalovat aktualizace?

Kritické bezpečnostní patche do 72 hodin od vydání. Standardní aktualizace v měsíčním cyklu (typicky druhé úterý v měsíci, kdy Microsoft vydává „Patch Tuesday“). Firmware síťových zařízení čtvrtletně.

Co když některý patch způsobí problémy?

Proto existuje pilotní fáze. Pokud problém vznikne i po pilotu, použijte rollback (návrat na předchozí verzi) nebo dočasné odložení patche s formální výjimkou v dokumentaci. Nikdy ale výjimku nenechte „zapomenutou“ – stanovte termín, do kdy musí být problém vyřešen.

Musí firma do 10 zaměstnanců řešit patch management formálně?

Ano, ale jednodušším způsobem. I tříčlenná firma potřebuje vědět, že má aktuální Windows, prohlížeče a antivirus. Stačí jednoduchý seznam zařízení v Excelu, nastavený Microsoft Update for Business + měsíční kontrola, zda všechna zařízení patche dostala.

Dá se patch management spravovat i pro home office zaměstnance?

Ano. Cloudové nástroje (Intune, Action1, NinjaOne) fungují přes internet bez VPN – stačí, aby zařízení mělo síťové připojení. To je obrovská výhoda oproti starému WSUS, který vyžadoval přítomnost ve firemní síti.

Závěr

Funkční patch management ve firmě není o zapnutí automatických aktualizací. Je to systematický proces – inventarizace, klasifikace, testování, plánování, automatizace, monitoring a dokumentace. Firmy, které ho zavedly, mají o 80 % nižší riziko úspěšného kyberútoku a zároveň méně nečekaných výpadků produkce.

Pokud si nejste jistí, jak na patch management ve vaší firmě, využijte bezplatný IT audit od IT Doma. Projdeme s vámi stav vašich zařízení, zjistíme, kolik kritických patchů vám chybí, a navrhneme řešení, které dává smysl pro velikost a rozpočet vaší firmy.

📞 Volejte 228 222 752 nebo si rezervujte audit přes kontaktní formulář.