Menu
NIS2 FINANČNÍ BEZPEČNOST AI

Nový kyberzákon, Shadow AI a ransomware: Co v roce 2025 hýbalo kyberbezpečností?

Radek Šichtanc

Radek Šichtanc
16. 12. 2025

Nový kyberzákon, Shadow AI a ransomware: Co v roce 2025 hýbalo kyberbezpečností?

Bezpečnostní prostředí firem a organizací se v roce 2025 zásadně proměnilo. Významným impulzem se stává nový zákon o kybernetické bezpečnosti, který přichází s rozšířenými požadavky a důrazem na systematický přístup k bezpečnosti napříč nejrůznějšími sektory.

Spolu s tím však stoupá i komplexita současných hrozeb – firmy se musí vypořádat nejen s legislativními změnami, ale také s novými technologickými fenomény, jako je shadow AI, a stále sílícími útoky typu ransomware. Jak se v této situaci zorientovat a opravdu zvýšit odolnost své firmy? 

Nový zákon o kybernetické bezpečnosti 

Nový zákon vycházející z evropské směrnice NIS2 začal platit 1. listopadu 2025. Dotýká se nejen tradiční kritické infrastruktury, ale ve svém záběru významně rozšiřuje odpovědnost na subjekty od energetiky přes finance až po veřejnou správu a stanovuje důslednější pravidla i pro jejich dodavatele. Odhadem šest tisíc firem a institucí musí projít procesem samoidentifikace, aby určily, zda pod zákon skutečně spadají a v jakém režimu.

Každá společnost si tak musí reálně vyhodnotit, co je pro její provoz smysluplné a důležité. Klíčové je vytvořit multidisciplinární tým (IT, compliance, právní oddělení, management), který tuto analýzu provede, případně sáhnout po odborné, na míru šité konzultaci. Jakmile zjistíte, že se regulace týká právě vás, je nutné se do konce roku 2025 registrovat na Portálu NÚKIB. Od tohoto okamžiku běží roční lhůta na implementaci všech požadavků. 

Co byste o zákonu měli vědět?

  1. Rozšířil se okruh povinných subjektů. Týká se nejen kritické infrastruktury, ale i cloudů, digitálních služeb nebo veřejné správy. 
  2. Prvním krokem je zjistit, zda spadáte pod regulaci. Následně se musíte do 60 dnů (tj. do 31. 12. 2025) zaregistrovat. 
  3. Na implementaci máte jeden rok od zařazení do evidence. 
  4. Sankce při nesplnění dosahují až 250 milionů Kč nebo 2 % z celosvětového obratu. 
  5. Zákon není jen restrikce – dává šanci posílit bezpečnost, kredibilitu i konkurenceschopnost firmy. 

Nová legislativa klade důraz na to, že řízení bezpečnosti už není pouze technickou otázkou, ale strategickou záležitostí, která vyžaduje aktivní zapojení vedení i jasné nastavení zodpovědností. Vedoucí pracovníci nesou osobní odpovědnost a v případě nesouladu hrozí firmám nejen ztráta reputace, ale i pokuty až do 250 milionů Kč nebo 2 % z globálního obratu. 

Shadow AI: Tichý pomocník, nebo bezpečnostní riziko? 

Jednou z méně zřejmých, ale o to závažnějších hrozeb je fenomén shadow AI. Tedy situace, kdy zaměstnanci spontánně využívají pokročilé nástroje umělé inteligence, často mimo dohled IT oddělení nebo bezpečnostních politik. Vkládají do nich zdrojové kódy, klientské databáze nebo smlouvy. A zatímco AI může přinášet významné zrychlení a automatizaci těchto rutinních úkonů, neregulované používání znamená přímé riziko úniku citlivých dat, nedodržení interních předpisů či ztrátu přehledu nad tím, kam a jaká data z vaší organizace proudí. 

Primárně je problém v nevědomosti zaměstnanců. Část lidí AI úplně odmítá – ti jsou paradoxně pro firmy bezpečnější než nadšenci, kteří bez rozmyslu zadávají do veřejných modelů citlivé informace. Proto je nutné zaměstnance naučit, jak používat AI nástroje bezpečně.

Petra Dolejšová Petra Dolejšová
právnička

Je proto zásadní nenechávat AI nástroje v šedé zóně. Mapujte jejich reálné využití napříč společností, pravidelně vzdělávejte týmy v oblasti rizik a postupně nastavujte konkrétní směrnice a nástroje, které umožní bezpečné propojení těchto technologií s firemním prostředím. Shadow AI je spíše signálem, že vaši zaměstnanci potřebují flexibilitu a inovaci. Cílem by tak nemělo být potlačení, ale přechod od nehlídaných experimentů ke kontrolovanému a bezpečnému rozvoji. 

Zálohování je základ, v éře ransomwaru dvojnásob 

Ransomwarové útoky jsou nadále největší hrozbou pro české i evropské firmy. Bez solidního zálohovacího plánu vám i při drobné chybě, zranitelnosti nebo phishingovém incidentu hrozí ztráta citlivých firemních dat. Navíc to může vést k dramatickému omezení provozu, výpadku služeb nebo likvidačním finančním ztrátám. Prostředí se neustále mění, a tak je nejzásadnější obranou stále zálohování dat. Bez aktuálních, pravidelně testovaných a řádně oddělených záloh má firma po takovém incidentu zpravidla velmi omezené možnosti – zaplatit, přijít o data nebo dlouze obnovovat provoz s hrozbou ztráty reputace i financí. 

Zálohy jsou pojištění. Nemít je znamená riskovat vše. Po ransomwarovém útoku totiž většinou zbudou jen špatné možnosti.

Martin Haller zálohy Martin Haller
bezpečnostní expert

Záloha není jen pojistkou. Jejím základem je promyšlená strategie odpovídající typu dat a charakteru podnikání. Pravidelně testujte obnovy záloh, zavádějte i offline varianty, tedy zálohy fyzicky či logicky oddělené od běžného provozu, a řiďte se pravidlem 3-2-1: tři kopie dat na dvou různých médiích a alespoň jedna záloha offline. Myslete také na obnovení „byznysu jako celku“, tedy nejen datových souborů, ale také záložních systémů, uživatelských účtů nebo klíčových aplikací. 

Jak správně zálohovat

  • Nepodceňujte pravidelné a ověřované zálohy. U záloh záleží na jejich aktuálnosti, bezpečném uložení a reálné obnovitelnosti. 
  • Testujte obnovu dat v praxi, nejen v dokumentaci. 
  • Dodržujte pravidlo 3-2-1 (3 zálohy, 2 různé typy médií, 1 offline). 
  • Vytvářejte i tzv. offline zálohy, které nejsou standardně připojeny k síti. 
  • Zálohování řešte jako projekt, ne jako jednorázový IT úkol. 

Ke kyberbezpečnosti přistupujte mnohem systematičtěji

Výzva pro další rok je tedy jasná: nevidět v kyberbezpečnosti jen právní požadavek, ale i konkurenční a reputační výhodu. Současně je však nutné nezapomínat na lidský faktor a technologický vývoj, který dramaticky mění to, jak pracujeme s daty a jaké nové příležitosti i rizika přináší.

Témata, jako je shadow AI nebo zálohování, patří ke klíčovým pilířům bezpečné a moderní organizace. Správně nastavená strategie, jasné rozdělení rolí a neustálé sledování aktuálních trendů v hrozbách i ochraně pomohou překonat nejen nové zákonné požadavky, ale také každodenní i krizové situace. 

Co si z článku odnést

  • Nový zákon o kybernetické bezpečnosti začal platit 1. listopadu 2025 a jeho požadavky se týkají širokého spektra organizací. Neberte legislativu pouze jako soubor zákazů a příkazů. Nastavte si dlouhodobý, smysluplný plán bezpečnosti, který odpovídá reálným potřebám firmy. 
  • Věnujte pozornost novým hrozbám, jako je shadow AI, které mohou ohrozit organizaci i bez vědomí IT. Proaktivně řešte vzdělávání zaměstnanců a nastavte bezpečnostní politiky. 
  • Kvalitní záloha dat je základním pilířem odolnosti vůči ransomwaru. Testujte zálohování pravidelně v praxi a dodržujte pravidlo 3-2-1
  • Sledujte aktuální trendy, zvyšujte povědomí o kybernetické bezpečnosti napříč celou organizací a berte kybernetickou ochranu jako investici do své firmy, ne pouze jako povinnost. 
Radek Šichtanc Radek Šichtanc
Ředitel bezpečnosti

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Zobrazit článek
Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte
Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Zobrazit článek
Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Zobrazit článek
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?
Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Zobrazit článek
Phishing už nevypadá jako dřív. Jak se proti němu bránit?
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

Zobrazit článek
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Zobrazit článek
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Zobrazit článek
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit článek
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Naše ocenění

Zlatý středník - Elektronický časopis, blog a newsletter
Elektronický časopis, blog a newsletter
Top rated
Zlatý středník - Podcast: Místo kyberčinu
Podcast: Místo kyberčinu
2. místo
Zlatý středník - Elektronický časopis a blog
Elektronický časopis a blog
2. místo
Zlatý středník - Telekomunikace a IT
Telekomunikace a IT
2. místo
Fenix - Content – Online Magazín Web
Content – Online Magazín Web
3. místo