Nový průzkum ukazuje, že řada firem stále nemá v kyberbezpečnosti jasno. A to i přesto, že směrnice NIS2 už brzy zpřísní pravidla a zavede osobní odpovědnost vedení.
Ačkoliv se kybernetické útoky staly realitou pro každou čtvrtou firmu v Česku, v oblasti prevence zůstávají velké mezery. Polovina IT manažerů (49 %) netuší, jestli jejich firma někdy podstoupila penetrační test. A více než 40 % firem buď bezpečnostní audity vůbec neprovádí, nebo k nim přistupuje nahodile. Vyplývá to z průzkumu agentury Ipsos pro společnost APPSEC, který proběhl v květnu 2025 mezi více než tisícovkou respondentů z českých firem.
Nejistota panuje i ohledně samotných incidentů. Více než čtvrtina respondentů (26 %) neví, zda jejich firma čelila za poslední rok kyberútoku. A 23 % firem přiznává, že vůbec netuší, jak své zabezpečení ověřují.
Co by mělo být standardem, je stále výjimkou
Přestože penetrační testy (tzv. pentesty) patří k základním metodám, jak zjistit zranitelnosti firemní infrastruktury, jen 22 % respondentů potvrdilo, že jejich firma někdy test podstoupila. V kontextu nové evropské legislativy to představuje zásadní problém.
Pentesty ověřují, jak snadno by se útočník mohl dostat do firemní IT infrastruktury. Bezpečnostní experti při nich napodobují reálný útok, ať už zvenčí, například z pozice internetového útočníka, nebo zevnitř firmy, například ve chvíli, kdy se útočník dostane k přihlašovacím údajům běžného zaměstnance. Nejčastěji se tak stane pomocí phishingu nebo jiného sociálního inženýrství. Cílem testu není jen prověřit, jestli se dají obejít základní ochrany, ale hlavně odhalit konkrétní slabiny, které by mohly vést k úniku dat nebo narušení provozu.
Doporučená frekvence testování je minimálně jednou ročně nebo při každé větší změně infrastruktury, například po migraci do cloudu, zavedení nového systému nebo akvizici jiné firmy. Jenže ani samotný test nestačí. Firmy by měly mít jasně definovaný postup, jak s výsledky dále pracovat.
Většina útoků začíná „zevnitř“
Zkušenosti společnosti Appsec ukazují, že u interních penetračních testů se v naprosté většině případů podaří plně kompromitovat síť jen s oprávněními běžného zaměstnance. U externích simulací je úspěšnost přibližně poloviční, ale i to často vede k narušení provozu.
„Firmy často podceňují, že právě běžný uživatel může být nejslabším článkem. Přístupová práva bývají příliš široká a útok, který začne u jednoho účtu, se rychle rozšíří dál,“ říká Adam Paclt, generální ředitel společnosti APPSEC. Podle něj navíc ani malé firmy nejsou pro útočníky nezajímavé. Pokud například vyvíjejí software využívaný státní správou nebo velkými korporacemi, mohou se stát cílem jen kvůli svým zákazníkům. „Krádež zdrojového kódu kvůli jeho pozdějšímu zneužití je dnes běžný motiv,“ dodává.
Směrnice, o které mnozí zatím neslyšeli
Nová směrnice NIS2 zásadně rozšiřuje okruh firem, které budou muset bezpečnost řešit nejen prakticky, ale i formálně. A zároveň budou muset být schopné doložit, že vědí, co dělají. Kromě sektorů, jako je energetika nebo finance, se směrnice nově vztahuje i na veřejnou správu, IT služby, odpadové hospodářství nebo logistiku a doručovací služby.
Zásadní novinkou je přenesení odpovědnosti na top management. Pokud firma nesplní stanovené povinnosti, mohou být sankcionováni i jednotliví členové vedení. V krajním případě jim může být pozastaven výkon funkce.
„Řada firem si dnes vůbec neuvědomuje, že budou muset kyberbezpečnost řešit stejně důsledně jako banky. Stačí, že vyvíjejí software, spolupracují s veřejnou správou nebo provozují doručovací služby a už na ně dopadne NIS2. A pokud nesplní nové povinnosti, mohou nést odpovědnost nejen jako firma, ale i jejich vedení,“ varuje Paclt.
Co bylo dobrovolné, bude povinné
Průzkum ukazuje, že přístup českých firem k bezpečnosti je velmi nerovnoměrný. Jenže směrnice NIS2 přináší jasný rámec. Co bylo dosud na zvážení, bude nově vyžadováno zákonem. A firmy, které si dnes nejsou jisté, zda mají bezpečnost vyřešenou, budou mít jen omezený čas dohnat ztrátu dříve, než je dožene útočník nebo úřad.
O průzkumu
Průzkum pro společnost APPSEC realizovala agentura Ipsos prostřednictvím nástroje Instant Researchv květnu 2025. Zúčastnilo se ho 1 050 respondentů z celé ČR z řad internetové populace. Do analýzy byli zařazeni zaměstnanci firem, kteří uvedli, že se v různé míře podílejí na výběru dodavatelů v oblasti firemního IT a komunikace, ať už rozhodují samostatně, spolurozhodují, nebo mají poradní hlas. Dotazy zjišťovaly, jak firmy přistupují k zabezpečení IT a kolik do něj investují.