Kybernetická bezpečnost pro firmy: průvodce pro rok 2026

Kybernetické hrozby přestaly být výhradní doménou velkých korporací. Podle dat NÚKIB vzrostl počet závažných kybernetických incidentů v České republice v roce 2024 na 268 – rekordní číslo. CSIRT.CZ zároveň evidoval 2 281 incidentů na méně kritické úrovni, přičemž 74 % z nich tvořil phishing. Malé firmy a živnostníci jsou stále atraktivnějším cílem: mají hodnotná data, ale zpravidla menší IT rozpočty a méně zkušeností s bezpečnostními opatřeními.

Dobrou zprávou je, že velkou část rizik lze eliminovat dostupnými opatřeními, která nezajistí jenom bezpečnost, ale také splnění zákonných požadavků GDPR a NIS2.

Proč jsou malé firmy a živnostníci v hledáčku útočníků

Útočníci nerozlišují podle velikosti firmy – rozlišují podle snadnosti průniku. Malé firmy a OSVČ lákají ze tří důvodů:

Slabší zabezpečení. Nemají dedikované IT oddělení ani bezpečnostní analytiky. Hesla se opakují, software se neopatchuje včas, zaměstnanci neabsolvují bezpečnostní školení.

Hodnotná data. I malá účetní firma nebo e-shop zpracovává osobní údaje zákazníků, platební informace a obchodní tajemství. To je pro útočníky cenný cíl.

Slabý článek v dodavatelském řetězci. Velká firma si zabezpečení pohlídá, ale útočník se může dostat k ní přes méně chráněného dodavatele nebo partnera. Tato technika útoku (tzv. supply chain attack) se v ČR i ve světě stává stále rozšířenější.

Nejčastějšími vstupními body útoku zůstávají phishingové e-maily (napodobení banky, ČSOB, dodavatele nebo i datové schránky), prolomení slabých hesel a nezabezpečený vzdálený přístup.

Silná hesla a správce hesel – základ, ne volitelný doplněk

Opakování hesel je jedna z nejrizikovějších a zároveň nejrozšířenějších chyb. Pokud útočník získá přihlašovací údaje z jednoho uniklého webu a vy používáte stejné heslo i jinde, má okamžitě přístup k firemní e-mailu, cloudovému úložišti nebo účetnímu softwaru.

Řešením je správce hesel, který generuje a ukládá silná, jedinečná hesla za vás. Pro firemní prostředí doporučujeme vybírat řešení s týmovými funkcemi (sdílené trezory, správa přístupu, audit log). Podívejte se na náš přehled Nejlepší správce hesel 2026: srovnání a doporučení a průvodce Jak vytvořit silné heslo: délka, passphrase a unikátnost.

Pravidla pro firemní hesla:

• Minimálně 16 znaků, kombinace písmen, číslic a speciálních znaků.
• Jiné heslo pro každou službu – bez výjimek.
• Hesla nesdílet přes e-mail ani Messenger; pro sdílení v týmu využijte sdílený trezor správce hesel.
• Při odchodu zaměstnance okamžitě zrušit přístupy a změnit sdílená hesla.

Dvoufázové ověření (2FA) – druhý zámek na dveřích

I nejsilnější heslo může být kompromitováno – phishingem, keystroke loggerem nebo únikem z databáze poskytovatele. Dvoufázové ověření (2FA) zabraňuje tomu, aby samotné heslo útočníkovi stačilo.

Pro firemní účely preferujte ověřovací aplikace (např. Google Authenticator, Microsoft Authenticator nebo TOTP v rámci správce hesel) před SMS kódy – SMS lze v některých případech přesměrovat. Kde to jde, zapněte 2FA na:

• Firemní e-mail (Office 365, Google Workspace).
• Cloudové úložiště (OneDrive, Google Drive, Dropbox).
• Firemní bankovní aplikace a internetové bankovnictví.
• Přístupy do CRM, fakturačních systémů a ERP.
• Datové schránce – prostřednictvím BankID nebo SMS kódu.

Zálohy – pojistka, která vás zachrání před ransomwarem

Ransomware zašifruje firemní data a požaduje výkupné. Správně provedená záloha je jediným skutečně spolehlivým řešením: když máte čisté zálohy, zaplacení výkupného není nutné.

Dodržujte pravidlo 3-2-1:

• 3 kopie dat (originál + dvě zálohy),
• na 2 různých médiích (např. interní disk + cloudové úložiště),
• přičemž 1 záloha je uložena mimo pracoviště nebo offline.

Zálohy automatizujte a pravidelně testujte obnovu. Záloha, ze které nelze obnovit data, je k ničemu. Pro malé firmy a OSVČ jsou dostupnými řešeními například Veeam, Acronis nebo šifrované cloudové zálohy přes ověřené poskytovatele.

VPN pro vzdálený přístup a ochranu komunikace

Pokud zaměstnanci pracují na dálku nebo se přihlašují k firemním systémům přes veřejnou Wi-Fi, bez VPN posíláte firemní data přes nezabezpečený kanál. Firemní VPN šifruje přenos dat a ověřuje identitu uživatele.

Rozlišujte dva typy VPN:

• Firemní (remote access) VPN – zaměstnanci se připojují k firemní síti a přistupují k interním systémům. Obvykle zajišťuje IT oddělení nebo správce sítě.
• Komerční VPN – šifruje internetový provoz, ale neposkytuje přístup k interní firemní infrastruktuře. Vhodná jako doplněk při práci z kaváren nebo na cestách.

Více o tom, jak VPN funguje a jak ji vybrat, najdete v článku Co je VPN a k čemu ji potřebujete?.

Aktualizace softwaru a správa zranitelností

Nezáplatovaný software je jednou z nejčastějších příčin úspěšných kybernetických útoků. Útočníci aktivně hledají veřejně známé zranitelnosti v zastaralých verzích operačních systémů, prohlížečů, pluginů a podnikových aplikací.

Doporučení pro malé firmy:

• Zapněte automatické aktualizace operačního systému a antivirového softwaru.
• Pravidelně aktualizujte aplikace (fakturační systém, CRM, e-shop).
• Odstraňte software, který již nepoužíváte – každá zastaralá aplikace je potenciální vstupní bod.
• Pokud provozujete webové stránky na WordPressu, aktualizujte jádro, témata i pluginy – pluginy jsou nejčastějším místem průniku.

E-mailová bezpečnost a ochrana před phishingem

Phishing – podvodné e-maily napodobující banky, dodavatele nebo státní instituce – tvoří podle CSIRT.CZ 74 % všech incidentů. Ve firemním prostředí může jediné kliknutí zaměstnance způsobit vážný únik dat nebo ransomwarový útok.

Základní opatření:

• SPF, DKIM a DMARC záznamy na firemní doméně zabrání falšování odesílatele – požádejte správce domény nebo hostingového poskytovatele.
• Antispamový filtr a firemní e-mailový systém (Microsoft 365, Google Workspace) se spoléhat více než na soukromé e-mailové schránky.
• Školte zaměstnance: jak rozpoznat phishing, co dělat při podezřelém e-mailu (neotvírat, neposílat přílohy, hlásit IT).
• Zavedení firemní politiky: žádné sdílení citlivých dat přes osobní e-mail nebo WhatsApp.

Přehledný průvodce, jak phishing rozpoznat a co dělat, najdete v článku Jak se bránit phishingu: průvodce pro uživatele v ČR.

Školení zaměstnanců – nejslabší článek je lidský faktor

Technická opatření jsou nezbytná, ale nestačí. Většina úspěšných útoků zneužívá lidský faktor: zaměstnanec klikne na podvodný odkaz, pošle citlivá data nesprávnému příjemci nebo si nainstaluje neautorizovaný software.

Minimální základ firemního bezpečnostního školení:

• Jak rozpoznat phishing (e-mail, SMS, telefonní podvod).
• Pravidla pro práci s hesly a přístupy.
• Co dělat při podezření na incident (komu volat, co neklíkat).
• Bezpečné používání pracovního počítače a mobilního telefonu.

Školení nemusí být drahé: NÚKIB a CSIRT.CZ nabízejí volně dostupné materiály a e-learningové kurzy pro organizace i jednotlivce.

GDPR a ochrana osobních údajů zákazníků

Pokud jako firma zpracováváte osobní údaje zákazníků (jméno, e-mail, adresa, platební údaje), vztahuje se na vás GDPR. Základní povinnosti:

• Zpracovávat pouze data, k nimž máte právní základ (smlouva, souhlas, oprávněný zájem).
• Zabezpečit data přiměřenými technickými opatřeními (šifrování, omezení přístupu).
• V případě závažného úniku dat oznámit ÚOOÚ (Úřad pro ochranu osobních údajů) do 72 hodin.
• Vést záznamy o zpracovatelských činnostech, pokud zpracováváte data systematicky.

ÚOOÚ vydal metodické pokyny a kontrolní checklisty dostupné na svém webu. Za porušení GDPR hrozí pokuty až do výše 4 % celosvětového obratu nebo 20 milionů eur.

NIS2 a zákon o kybernetické bezpečnosti – koho se týkají

Směrnice NIS2, implementovaná v ČR zákonem o kybernetické bezpečnosti pod gesci NÚKIB, ukládá nové povinnosti organizacím v kritických a důležitých sektorech (energie, doprava, zdravotnictví, bankovnictví, digitální infrastruktura a další). Detailní průvodce najdete v článku NIS2 povinnosti: koho se týkají a co musíte udělat.

Pro naprostou většinu OSVČ a mikropodniků (pod 10 zaměstnanců, obrat pod 2 miliony eur) se NIS2 přímo nevztahuje. Nepřímý dopad však existuje: pokud dodáváte kritickým subjektům, mohou po vás vyžadovat prokázání bezpečnostních standardů jako podmínku spolupráce.

Praktická kyberbezpečnost pro živnostníky

Pokud jste OSVČ nebo malá firma s minimálním IT rozpočtem, přečtěte si náš praktický průvodce Bezpečnost pro živnostníky: kyberbezpečnost bez IT oddělení. Najdete v něm konkrétní kroky pro zabezpečení e-mailu, správu faktur a účetnictví, bezpečné používání datové schránky a zálohy dat s minimálními náklady.

Co teď udělat?

• Auditujte hesla: Zkontrolujte, zda vaše firma (nebo vy jako OSVČ) nepoužíváte opakující se nebo slabá hesla. Nasaďte správce hesel s týmovými funkcemi – viz Nejlepší správce hesel 2026: srovnání a doporučení.
• Zapněte 2FA na firemním e-mailu, cloudovém úložišti a bankovních přístupech ještě dnes.
• Nastavte automatické zálohy podle pravidla 3-2-1 a do 30 dnů otestujte obnovu dat.
• Ověřte, zda se na vás vztahuje NIS2: Pokud podnikáte v regulovaném sektoru, prostudujte si NIS2 povinnosti: koho se týkají a co musíte udělat nebo se poraďte s právníkem specializovaným na kybernetické právo.
• Proveďte základní školení zaměstnanců – využijte volně dostupné materiály NÚKIB nebo CSIRT.CZ.