Kdo je v českých firmách zodpovědný za IT bezpečnost a kdo jen přihlíží?

Pokud polovina firem neví, zda provedla penetrační test, nevypovídá to nic o jejich technických možnostech, ale o absenci koordinace a předávání informací uvnitř firmy.

Praha 19. srpna 2025 – Mají IT oddělení tuzemských společností k dispozici potřebné nástroje, aby mohla systémově řídit bezpečnost? Z šetření mezi manažery zapojenými do firemního IT, které letos v květnu prostřednictvím agentury Ipsos provedla bezpečnostní společnost APPSEC, se to nezdá. Mezi tisícovkou firemních specialistů se příliš často objevovaly nejisté odpovědi na otázky, zda daná společnost provádí pravidelné bezpečnostní audity, podstupuje penetrační testy a má přehled o proběhlých bezpečnostních incidentech.
„Téměř polovina všech dotázaných vůbec netušila, zda jejich firma někdy podstoupila penetrační test, což by měla být základní informace pro každého, kdo se na firemním IT podílí,“ poukazuje Adam Paclt, generální ředitel společnosti APPSEC, jež se specializuje právě na penetrační testy. Jejich prostřednictvím si firma může ověřit, jak je připravená na potenciální kybernetické útoky. Jde vlastně o simulovaný hackerský útok za plného provozu tak, jak by se odehrál v případě skutečného napadení. Testeři a speciální software hledají jakoukoli bezpečnostní skulinu a poté testované společnosti předloží podrobnou analýzu, jak by měla své zabezpečení vylepšit.
Čtvrtina IT manažerů neví, zda jejich firma poslední rok čelila útoku
Penetrační test je základním způsobem prověření pro firmy, které podle evropské bezpečnostní směrnice NIS 2 nově spadají mezi klíčovou infrastrukturu se zvýšenými nároky na kybernetickou ochranu. Směrnice je součástí nového zákona o kybernetické bezpečnosti, který nabyde účinnosti letos v listopadu. Do té doby by měly klíčové firmy a instituce zajistit, aby jejich IT systémy byly dostatečně chráněné. To se však těžko provádí u firem, jejichž IT manažeři mají malý přehled o tom, co se u nich z hlediska bezpečnosti děje. Nejde totiž jen o penetrační testy.
Z průzkumu rovněž vyplynulo, že téměř čtvrtina respondentů neví, zda jejich společnost provádí bezpečnostní audity a více než čtvrtina nedokázala odpovědět na otázku, zda firma za poslední rok čelila nějakému bezpečnostnímu incidentu. Tato nevědomost sice mírně klesá, což si APPSEC ověřil porovnáním výsledků stejného průzkumu, který proběhl i v loňském roce, ale pořád je znepokojivě vysoká (23 % IT manažerů letos přiznalo, že neví, jak jejich firma prověřuje kvalitu zabezpečení IT systémů a koncových zařízení – loni to bylo 26 %; dále 26 % letos přiznalo, že neví, zda jejich firma řešila v posledním roce nějaký bezpečnostní incident v IT – loni to bylo 29 %).
Míra nevědomosti je znepokojivá, říká Adam Paclt
„Ve firmách tedy začíná někdo věnovat pozornost bezpečnosti, ale čtvrtina lidí, kteří rozhodují o IT, stále netuší, co se v jejich systémech děje. To je riziko, které se týká nejen technické stránky, ale i vnitřního řízení a komunikace,“ konstatuje Adam Paclt, podle něhož by situaci napomohlo větší zapojení nejvyššího vedení společností do bezpečnostních procesů. Samotní IT manažeři totiž nemusí mít vždy úplný přehled, protože sami o sobě nemusí rozhodovat o investicích do bezpečnostních auditů a o dalších strategických záležitostech. To je samo o sobě dost velkým rizikem. Základem by tedy měla být lepší komunikace mezi IT manažery a top managementem.
Směrnice NIS 2, která je součástí nového zákona o kybernetické bezpečnosti účinného od letošního listopadu, ukládá klíčovým firmám a institucím výrazně přísnější požadavky. Bez jasného přehledu o provedených testech a incidentech bude pro ně splnění těchto požadavků výrazně obtížnější. Počet kybernetických incidentů přitom stoupá. Podle červencové statistiky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) došlo jen během prvního prázdninového měsíce k 23 incidentům, což bylo nejvíc za letošní rok. Vyšší počet NÚKIB zaznamenal naposledy v listopadu 2024.
„Pokud polovina firem neví, zda provedla penetrační test, nevypovídá to nic o jejich technických možnostech, ale o absenci koordinace a předávání informací uvnitř firmy. Jedním z řešení může být vytvoření bezpečnostní skupiny, kde budou zástupci IT i top managementu,“ uzavírá Paclt.
O průzkumu
Průzkum pro společnost APPSEC realizovala agentura Ipsos prostřednictvím nástroje Instant Research v květnu 2025. Zúčastnilo se ho 1 050 respondentů z celé ČR z řad internetové populace. Do analýzy byli zařazeni zaměstnanci firem, kteří uvedli, že se v různé míře podílejí na výběru dodavatelů v oblasti firemního IT a komunikace, ať už rozhodují samostatně, spolurozhodují, nebo mají poradní hlas. Dotazy zjišťovaly, jak firmy přistupují k zabezpečení IT a kolik do něj investují.
O společnosti APPSEC
APPSEC je projekt společnosti Apptc.me s.r.o., která se zabývá privátními a public řešeními pro cloud orchestraci, kde je aspekt bezpečnosti velkou prioritou. Společnost Apptc.me s.r.o. se rozhodla sdílet své zkušenosti s bezpečností prostřednictvím projektu APPSEC a pomáhat tak zákazníkům s širokou škálou palčivých problémů, se kterými se dnes v informační bezpečnosti můžeme setkat.