_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Zero Trust pro české firmy 2026 — praktický implementační průvodce

12. 02. 2026 12 min čtení CORE SYSTEMSdevelopment

Od 1. listopadu 2025 platí v Česku zákon č. 264/2025 Sb. o kybernetické bezpečnosti — česká transpozice evropské směrnice NIS2. Tisíce firem, které dříve regulaci nepodléhaly, se najednou musí zabývat systematickým řízením kybernetických rizik. Zero Trust Architecture (ZTA) není buzzword — je to architektonický přístup, který přímo odpovídá požadavkům nové legislativy. Tenhle článek není o teorii. Je o konkrétních krocích, nástrojích a českých reáliích, které potřebujete znát, abyste Zero Trust skutečně implementovali.

Proč Zero Trust a proč právě teď

Tradiční perimetrová bezpečnost — firewall na hranici sítě, VPN pro vzdálený přístup, důvěra všemu uvnitř — je mrtvá. Ne proto, že to říká marketing, ale proto, že se změnila realita:

  • Hybridní práce — zaměstnanci pracují z domova, kaváren, coworkingů. „Vnitřní síť” jako bezpečnostní hranice přestala existovat.
  • Cloud-first — aplikace běží v Azure, AWS, GCP. Data jsou rozptýlena napříč SaaS službami. Perimetr neexistuje.
  • Supply chain útoky — SolarWinds, Log4Shell, MOVEit. Útočníci neprolomí vaši bránu — přijdou přes důvěryhodného dodavatele.
  • Zákon 264/2025 Sb. — NÚKIB vyžaduje řízení přístupu, segmentaci sítě, monitoring a detekci incidentů. Zero Trust tyto požadavky adresuje systémově.

NIST Special Publication 800-207 definuje Zero Trust jednoduše: „Žádná implicitní důvěra na základě síťové lokace nebo vlastnictví zařízení. Každý přístup se ověřuje, každá relace se autorizuje, každá aktivita se monitoruje.” Tři principy: verify explicitly, least privilege access, assume breach.

České legislativní prostředí: Co musíte splnit

Zákon 264/2025 Sb. a prováděcí vyhláška 408/2025 Sb. o regulovaných službách rozšiřují okruh regulovaných subjektů dramaticky. Dříve se zákon o kybernetické bezpečnosti (181/2014 Sb.) týkal primárně kritické infrastruktury a správců informačních systémů veřejné správy. Nyní pokrývá tisíce firem v soukromém i veřejném sektoru — energetiku, dopravu, zdravotnictví, finance, digitální infrastrukturu, výrobu, potravinářství a další.

Klíčové požadavky relevantní pro Zero Trust

  • Řízení přístupu (§ 16) — identifikace a autentizace uživatelů, řízení oprávnění na principu nejmenších práv, pravidelná revize přístupových práv
  • Segmentace sítě — oddělení kritických systémů, omezení laterálního pohybu
  • Detekce a monitoring — nepřetržitý monitoring bezpečnostních událostí, detekce anomálií, SIEM/SOC
  • Řízení dodavatelského řetězce — posuzování bezpečnosti dodavatelů, smluvní požadavky
  • Incident response — hlášení incidentů NÚKIB do 24 hodin (závažné) / 72 hodin (ostatní)

NÚKIB aktivně kontroluje dodržování. Oddělení regulace soukromého a veřejného sektoru komunikují s regulovanými subjekty na denní bázi. Pokud jste poskytovatel regulované služby podle § 5 zákona — a šance, že jste, vzrostla dramaticky — musíte jednat.

5 pilířů Zero Trust Architecture

Zero Trust není produkt, který si koupíte. Je to architektonický přístup skládající se z pěti pilířů. Každý pilíř řeší jinou vrstvu a společně tvoří kompletní bezpečnostní model.

1

Identita jako nový perimetr

V Zero Trust je identita uživatele (a zařízení) základní bezpečnostní hranice. Ne IP adresa, ne síťový segment — ale kdo jste a odkud přistupujete. Prakticky to znamená: centrální Identity Provider (Azure AD / Entra ID, Okta, Keycloak), MFA na všem (ne jen na VPN, ale na každé aplikaci), conditional access policies (přístup závisí na zařízení, lokaci, riziku).

2

Zařízení — device trust

Nestačí ověřit uživatele. Je třeba ověřit i zařízení, ze kterého přistupuje. Je firemní? Má aktuální OS? Běží na něm EDR? Je disk šifrovaný? Nástroje jako Microsoft Intune, Jamf (pro macOS) nebo CrowdStrike Falcon poskytují device health attestation, která se integruje do conditional access politik.

3

Síť — mikrosegmentace

Pryč s flat sítí, kde každý server vidí každý jiný. Mikrosegmentace omezuje laterální pohyb útočníka. Pokud kompromituje jeden systém, nemůže se volně pohybovat po síti. V cloudu: NSG / Security Groups, Azure Firewall, AWS VPC s explicitními pravidly. On-prem: Illumio, VMware NSX, nebo jednoduše VLAN segmentace s firewall pravidly mezi segmenty.

4

Aplikace — ZTNA místo VPN

VPN dává po připojení přístup k celé síti. Zero Trust Network Access (ZTNA) dává přístup ke konkrétní aplikaci na základě identity, zařízení a kontextu. Nikdy celou síť. Nástroje: Cloudflare Access, Zscaler Private Access, Tailscale (WireGuard-based, jednoduchý setup), Azure AD Application Proxy. Pro české firmy s on-prem aplikacemi je Application Proxy nebo Cloudflare Tunnel ideální — publikujete interní aplikaci bez otevírání portů v firewallu.

5

Data — klasifikace a ochrana

Data jsou to, co útočníci chtějí. Zero Trust vyžaduje vědět, kde data jsou, jak citlivá jsou a kdo k nim přistupuje. Microsoft Purview (dříve Azure Information Protection) umožňuje klasifikaci a labeling dokumentů. DLP politiky zabraňují úniku citlivých dat. Pro české firmy pracující s osobními údaji (GDPR) je klasifikace dat nejen bezpečnostní, ale i regulatorní nutnost.

5fázový implementační plán pro české firmy

Zero Trust se neimplementuje přes víkend. Je to transformační projekt na 12–18 měsíců. Ale můžete začít dnes — a každá fáze přináší měřitelné zlepšení bezpečnosti.

Fáze 1: Assessment a inventura (měsíc 1–2)

Nemůžete chránit, co neznáte. První krok je kompletní inventura:

  • Asset discovery — všechna zařízení, servery, cloud resources. Nástroj: Lansweeper, Qualys VMDR, nebo Azure Arc pro hybrid.
  • Identitní audit — kolik máte uživatelských účtů? Kolik má MFA? Kolik má privilegovaný přístup? Kolik je orphaned accounts?
  • Data flow mapping — kudy tečou citlivá data? Mezi jakými systémy? Přes jaké sítě?
  • Gap analýza vs. zákon 264/2025 — kde jste dnes vs. co vyžaduje regulace.

Quick win: Identitní audit

  • Export uživatelů z AD / Entra ID — kolik má povolené MFA? (Cíl: 100 %)
  • Seznam účtů s Domain Admin / Global Admin — kolik jich je? (Cíl: < 5)
  • Poslední přihlášení — kolik účtů nebylo aktivních 90+ dnů? (Cíl: 0)
  • Service accounts — kolik používá password místo managed identity? (Cíl: 0)

Fáze 2: Identita a MFA (měsíc 2–4)

Nejrychlejší ROI v celém Zero Trust programu. MFA eliminuje 99,9 % útoků na identitu (Microsoft data). Kroky:

  • Konsolidace IdP — jeden Identity Provider pro všechno. Azure Entra ID je nejčastější volba v ČR (Microsoft dominance v enterprise). Alternativa: Okta, nebo self-hosted Keycloak pro ty, co chtějí kontrolu.
  • MFA everywhere — ne jen pro adminy. Pro všechny uživatele, na všech aplikacích. Phishing-resistant MFA (FIDO2 klíče, Passkeys) pro privilegované účty.
  • Conditional Access — blokujte přístup z neznámých zařízení, neobvyklých lokací, mimo pracovní dobu (pokud to dává smysl).
  • SSO — Single Sign-On pro všechny SaaS aplikace. Eliminuje password fatigue a shadow IT.

`# Příklad Conditional Access Policy (Azure Entra ID — JSON export)

{

“displayName”: “Require MFA + Compliant Device for All Apps”,

“state”: “enabled”,

“conditions”: {

“users”: { “includeUsers”: [“All”] },

“applications”: { “includeApplications”: [“All”] },

“locations”: {

“includeLocations”: [“All”],

“excludeLocations”: [“AllTrusted”] // Firemní IP rozsahy

}

},

“grantControls”: {

“operator”: “AND”,

“builtInControls”: [“mfa”, “compliantDevice”]

}

}`

Fáze 3: Síťová segmentace a ZTNA (měsíc 4–8)

Tohle je nejnáročnější fáze, protože zasahuje do síťové infrastruktury. Postupujte iterativně:

  • Začněte s cloud workloads — NSG v Azure, Security Groups v AWS. Explicitní allow-list místo default-allow. Každý workload má přístup jen tam, kam potřebuje.
  • ZTNA pro remote access — nahraďte VPN za Cloudflare Access nebo Zscaler ZPA. Pro menší firmy Tailscale — WireGuard mesh, zero config, funguje za NATem.
  • On-prem segmentace — oddělte OT/IoT sítě od IT. Produkční servery od vývojových. Přístupy přes jump servery s logováním (Apache Guacamole je open-source, zdarma).
  • DNS filtering — Cloudflare Gateway nebo Cisco Umbrella. Blokuje C2 komunikaci, malware domény. Nasaditelné za hodinu.

Fáze 4: Monitoring a detekce (měsíc 6–12)

„Assume breach” znamená, že potřebujete vidět, co se děje. Ne za týden v logách, ale v reálném čase.

  • SIEM — Microsoft Sentinel (cloud-native, integrace s M365), Elastic SIEM (self-hosted, open-source core), nebo Wazuh (open-source, aktivní komunita).
  • EDR na endpointech — Microsoft Defender for Endpoint (součást M365 E5), CrowdStrike Falcon, SentinelOne. Musíte mít visibilitu do toho, co se děje na stanicích.
  • Log aggregace — centrální sběr logů z AD, firewallů, aplikací, cloud platformy. Retence minimálně 12 měsíců (požadavek regulace).
  • SOC — pokud nemáte kapacity na vlastní SOC, outsourcujte. V ČR operuje několik MSSP (Managed Security Service Provider) s lokální podporou a znalostí legislativy.

Quick win: Základní detekce za den

  • Zapněte Audit Log v Microsoft 365 (E3 a výš — je to zdarma, jen to většina firem nemá zapnuté)
  • Aktivujte Azure AD Sign-in Logs a Risky Sign-ins reporting
  • Nastavte alert na: přihlášení z nové země, brute force pokusy, nový Global Admin
  • Propojte s Teams/Slack kanálem pro security alerting

Fáze 5: Continuous improvement (měsíc 12+)

Zero Trust není projekt s konečným datem. Je to operační model, který se neustále vyvíjí:

  • Pravidelné penetrační testy — minimálně 1× ročně, ideálně kvartálně pro kritické systémy
  • Red team / purple team cvičení — ověřte, že detekce funguje proti reálným TTP
  • Revize přístupových práv — kvartální review, automatizovaný access certification
  • Threat intelligence — české zdroje: NÚKIB varování, GovCERT.CZ, CSIRT.CZ
  • Tabletop exercises — simulace incidentů s managementem, testování incident response plánu

Nástroje: Co funguje v českém prostředí

Český trh má specifika: dominance Microsoft ekosystému v enterprise, rostoucí cloud adopce (primárně Azure), silná on-prem tradice ve výrobě a veřejné správě. Tady jsou nástroje, které vidíme v praxi fungovat.

Oblast Enterprise (500+ zaměstnanců) Mid-market (50–500)
Identity Azure Entra ID P2, Okta Azure Entra ID P1, Keycloak (self-hosted)
MFA FIDO2 (YubiKey), Microsoft Authenticator Microsoft Authenticator, Google Authenticator
ZTNA Zscaler ZPA, Cloudflare Access Tailscale, Cloudflare Tunnel (free tier)
Segmentace Illumio, VMware NSX, Azure Firewall NSG/Security Groups, pfSense, VLAN
EDR CrowdStrike Falcon, MS Defender for Endpoint MS Defender for Business, Wazuh (OSS)
SIEM Microsoft Sentinel, Splunk, Elastic Wazuh, Elastic SIEM (self-hosted)
PAM CyberArk, BeyondTrust Azure PIM, JumpCloud
DNS Security Cloudflare Gateway, Cisco Umbrella Cloudflare Gateway (free), NextDNS

Cenový odhad pro mid-market firmu (200 zaměstnanců): Microsoft 365 Business Premium (22 USD/user/měsíc) zahrnuje Entra ID P1, Intune, Defender for Business a Conditional Access. Za ~4 400 USD měsíčně máte základy prvních tří pilířů pokryté. Přidejte Cloudflare Zero Trust (free tier do 50 uživatelů, ~7 USD/user nad to) a Wazuh (zdarma, self-hosted). Celkově: pod 6 000 USD/měsíc pro solidní Zero Trust základ. To je méně než náklady jednoho ransomware incidentu (průměr v ČR: 2–5 milionů Kč podle dat pojišťoven).

Chyby, které české firmy dělají nejčastěji

„MFA máme — na VPN”

MFA jen na VPN a nikde jinde je jako zamknout hlavní vchod a nechat otevřené okno. Útočník obejde VPN přes phishing Microsoft 365 credentials. MFA musí být na každém přístupu — M365, ERP, interní aplikace, admin konzole, SSH.

„Flat síť nám funguje 20 let”

Flat síť, kde ERP server vidí tiskárnu, která vidí SCADA systém, je noční můra. Ransomware se rozšíří za minuty. Segmentace není luxus — je to požadavek zákona 264/2025 a základní hygiena. Začněte alespoň oddělením IT od OT a servery od klientských stanic.

„Koupíme produkt a máme Zero Trust”

Žádný vendor nedodá Zero Trust v krabici. Je to architektonický přístup vyžadující změnu procesů, politik a myšlení. Koupíte Zscaler, ale pokud ho nenakonfigurujete správně a nezměníte přístupové politiky, máte jen drahý proxy.

„Compliance = bezpečnost”

Splnit minimální požadavky zákona neznamená být bezpečný. Compliance je podlaha, ne strop. Firmy, které odškrtají checklist NÚKIB a přestanou, budou překvapeny při prvním reálném incidentu. Zero Trust je cesta, ne cíl — kontinuální zlepšování je součástí modelu.

Příklad: Výrobní firma, 300 zaměstnanců, Moravskoslezský kraj

Typický klient, kterého potkáváme. Výrobní firma, mix on-prem a cloud, Windows doména, M365 E3, několik legacy aplikací, ERP na SQL Serveru, OT síť s PLC a SCADA. Nově spadá pod zákon 264/2025 jako poskytovatel regulované služby v odvětví průmyslu.

Výchozí stav:

  • VPN s heslem (bez MFA) pro vzdálený přístup
  • Flat síť — IT, OT, servery, klientské stanice ve stejném segmentu
  • Domain Admin účtů: 12 (mělo by být 3–5)
  • Žádný SIEM, logy jen na jednotlivých serverech
  • Antivirus na stanicích, žádný EDR
  • Žádná klasifikace dat

Po 6 měsících implementace:

  • Azure Entra ID s Conditional Access, MFA na všem (Microsoft Authenticator)
  • Intune pro device compliance — jen spravovaná zařízení mají přístup k firemním datům
  • VPN nahrazena Cloudflare Tunnel pro přístup k interním aplikacím
  • Síť rozdělena na 4 segmenty: klientské stanice, servery, OT/SCADA, DMZ
  • Domain Admin účtů: 3 (+ Azure PIM pro just-in-time elevaci)
  • Wazuh jako SIEM, centrální sběr logů, alerting do Teams
  • Defender for Business na všech stanicích
  • Incident response plán testován tabletop cvičením

Náklady: ~180 000 Kč/měsíc (M365 Business Premium + Cloudflare + interní práce). Výsledek: plný soulad se zákonem 264/2025, 99,8 % pokrytí MFA, mean time to detect (MTTD) z „neměříme” na 4 hodiny. A hlavně: klidný spánek CISO.

5 věcí, které můžete udělat zítra

Nečekejte na velký projekt. Tyto kroky zlepší vaši bezpečnost okamžitě a nevyžadují rozpočet ani schválení vedení:

  1. Zapněte MFA na všech admin účtech — Azure AD, M365, AWS root, GitHub, všechno. Dnes. Teď. Trvá to 15 minut.
  2. Auditujte privilegované účty — kdo má Domain Admin? Global Admin? Root? Kolik jich je? Odeberte všem, kdo to nepotřebují denně.
  3. Zapněte Security Defaults v Azure AD — pokud nemáte Conditional Access (potřebuje P1), Security Defaults je zdarma a vynucuje MFA + blokuje legacy authentication.
  4. Aktivujte Unified Audit Log v M365 — Admin Center → Compliance → Audit. Jeden klik. Bez toho nevíte, co se děje ve vašem tenantu.
  5. Nastavte DNS filtering — Cloudflare Gateway (1.1.1.1 for Teams), free tier. Změna DNS serverů na routeru. Blokuje known-bad domény, C2, malware.

Závěr: Zero Trust není volba, je to nutnost

Zákon 264/2025 Sb. není strašák — je to příležitost. Příležitost konečně udělat bezpečnost systematicky, ne reaktivně. Zero Trust Architecture poskytuje framework, který přímo mapuje na regulatorní požadavky a zároveň reálně chrání vaši firmu.

Nemusíte implementovat všech 5 pilířů najednou. Začněte identitou — MFA, Conditional Access, audit privilegovaných účtů. To je 80 % bezpečnosti za 20 % námahy. Pak postupně přidávejte segmentaci, ZTNA, monitoring a data protection.

Klíčové je začít. Ne za měsíc, ne po schválení rozpočtu na Q3. Dnes. Těch 5 kroků výše vám zabere odpoledne a dramaticky zlepší vaši bezpečnostní pozici. Zbytek je iterace — a na tu jsme tu my.

zero trustnúkibnis2kybernetická bezpečnostčeské firmy

Související články

Od VPN k Zero Trust — bezpečnost v éře remote work

Proč tradiční VPN nestačí a jak jsme začali implementovat Zero Trust. BeyondCorp, identity-aware proxy a mikrosegmentace.

Zero Trust po dvou letech — co funguje a co ne

Retrospektiva dvouletého Zero Trust journey. Co jsme implementovali, co nás překvapilo a kam směřujeme.

Zero Trust Architecture v praxi 2026 — kompletní implementační průvodce

Zero Trust Architecture v praxi 2026: principy never trust always verify, identity-centric security,...