Účetní ve firmě s 80 zaměstnanci dostala e-mail od „ředitele": „Urgentně převeďte 340 000 Kč na tento účet. Je to platba za konzultace, faktura přijde zítra." E-mail vypadal naprosto legitimně. Správná doména, správný podpis, správný tón komunikace. Účetní peníze převedla. Faktura nikdy nepřišla. Ředitel žádný e-mail neposlal. Firma přišla o 340 000 Kč během 3 minut. Žádný antivirus, firewall ani šifrování by tomu nezabránilo. Protože útok necílil na technologii. Cílil na člověka.
Tohle je realita kybernetické bezpečnosti v roce 2026. 91 % úspěšných kyberútoků začíná phishingovým e-mailem nebo sociálním inženýrstvím. Ne hackerem, který prolamuje hesla. Ne virem, který se šíří po síti. Ale zaměstnancem, který klikne na špatný odkaz, otevře infikovanou přílohu nebo prozradí přístupové údaje. Technická ochrana (antivirus, firewall, EDR, MFA) je nutná, ale sama o sobě nestačí. Slabým článkem je člověk. A jediný způsob, jak člověka ochránit, je vzdělávání.
V tomto článku rozeberu: proč firmy musí školit zaměstnance v kybernetické bezpečnosti (NIS2), jaké jsou nejčastější typy útoků, jak vypadá efektivní školení a proč jednorázová přednáška nefunguje. S konkrétními příklady z českých firem a statistikami NÚKIB.
1. NIS2: školení kybernetické bezpečnosti je povinnost
Směrnice NIS2 (transponovaná do české legislativy novelou zákona o kybernetické bezpečnosti) rozšiřuje povinnosti kybernetické bezpečnosti na tisíce českých firem. Od roku 2025 se povinnosti vztahují na: střední a velké firmy v kritických sektorech (energie, doprava, zdravotnictví, vodárenství), poskytovatele digitálních služeb, výrobní firmy nad 50 zaměstnanců v dodavatelském řetězci kritické infrastruktury.
Jednou z povinností NIS2 je „zabezpečení lidského faktoru", což zahrnuje pravidelné školení zaměstnanců v kybernetické bezpečnosti. Nejde o volitelný benefit. Jde o zákonnou povinnost. NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) může za nedodržení uložit pokutu až 10 000 000 Kč nebo 2 % celosvětového obratu.
I firmy, které pod NIS2 přímo nespadají, by měly zaměstnance školit. Kyberútoky necílí jen na kritickou infrastrukturu. Ransomware nezajímá, jestli jste výrobce turbín nebo autoservis. Šifruje data každému, kdo klikne na špatný odkaz. V roce 2025 NÚKIB zaznamenal 65 % nárůst ransomware útoku na české firmy, přičemž 40 % cílů byly firmy pod 100 zaměstnanců. Právě menší firmy jsou oblíbeným cílem: menší rozpočet na bezpečnost, horší IT vybavení, vyšší ochota zaplatit výkupné.
2. 5 typů útoků, které cílí na zaměstnance
2.1 Phishing (e-mailový podvod)
Nejčastější vektor útoku. Zaměstnanec dostane e-mail, který vypadá jako legitimní zpráva od banky, dodavatele, kolegy nebo nadřízeného. E-mail obsahuje odkaz na falešnou stránku (kde zadá heslo) nebo infikovanou přílohu (která nainstaluje malware). V roce 2025 NÚKIB evidoval 4 200 phishingových incidentů v ČR. Reálné číslo je mnohonásobně vyšší, protože většina firem incidenty nehlásí.
Moderní phishing je sofistikovaný. Útočníci používají AI k personalizaci e-mailů, kopírují firemní šablony, registrují domény lišící se jedním písmenem (safetyfr0g.cz místo safetyfrog.cz). Rozpoznat kvalitní phishing je pro běžného zaměstnance prakticky nemožné bez školení.
2.2 Spear phishing (cílený útok)
Na rozdíl od hromadného phishingu je spear phishing cílený na konkrétní osobu. Útočník zjistí z LinkedInu jméno účetní, z webu firmy jméno jednatele a pošle personalizovaný e-mail: „Paní Nováková, prosím o urgentní převod..." Příklad z úvodu článku je typický spear phishing. Obrana: ověření nestandardních požadavků telefonicky (na číslo z adresáře, ne z e-mailu).
2.3 Vishing (telefonický podvod)
Útočník volá a vydává se za IT oddělení, banku nebo dodavatele. „Dobrý den, volám z IT podpory. Zaznamenali jsme podezřelou aktivitu na vašem účtu. Potřebuji vaše heslo k ověření." V roce 2026 útočníci používají AI hlasové klony (deepfake voice) k napodobení hlasu nadřízeného. Zaměstnanec slyší hlas svého šéfa a splní požadavek. Obrana: nikdy nesdělovat hesla po telefonu, ověřovat identitu zpětným voláním.
2.4 USB baiting (podvržené zařízení)
Útočník „zapomene" USB flash disk na parkovišti, v recepci nebo v konferenční místnosti. Zaměstnanec ho najde, zapojí do počítače „aby zjistil, čí je" a nainstaluje malware. Obrana: nikdy nezapojovat neznámá USB zařízení, hlásit nález IT oddělení.
2.5 Business Email Compromise (BEC)
Útočník získá přístup k e-mailovému účtu zaměstnance (slabé heslo, phishing) a z jeho skutečné adresy odesílá podvodné zprávy kolegům, klientům nebo dodavatelům. Zprávy jsou důvěryhodné, protože přicházejí z reálné adresy. Škody v ČR: desítky milionů korun ročně. Obrana: dvoufaktorová autentifikace (MFA) na všech účtech, monitoring neobvyklého chování.
3. Proč jednorázová přednáška nefunguje
Většina firem řeší kybernetickou bezpečnost jednou ročně: IT specialista přednáší hodinu o heslech a phishingu. Zaměstnanci jsou znudění, nic si nezapamatují a příští den kliknou na stejný phishingový e-mail jako před školením. Proč?
- Ebbinghausova křivka zapomínání. 70 % informací zapomenete do 24 hodin. Po měsíci si pamatujete 10 %. Jednorázové školení je vyhozenou investicí. Řešení: pravidelné opakování v kratších dávkách (mikrolearning).
- Absence praxe. Zaměstnanec slyší „neklikejte na podezřelé odkazy", ale nikdy neviděl, jak podezřelý odkaz vypadá v praxi. Teorie bez praktických příkladů nefunguje. Řešení: interaktivní scénáře v online kurzu, kde zaměstnanec vidí skutečné phishingové e-maily a rozhoduje se, co udělat.
- Chybí testování. Pokud po školení netestujete znalosti, nevíte, jestli zaměstnanci pochopili. A nemáte důkaz pro audit. Řešení: test s minimální hranicí 80 % a certifikát s evidencí v LMS.
- IT jargon. IT specialista mluví o „vektorech útoku", „zero-day exploitech" a „SSL certifikátech". Účetní, recepční a skladník nerozumí. A přestanou poslouchat. Řešení: kurz psaný prostou češtinou, bez technického žargonu, s příklady z běžného pracovního dne.
- Chybí motivace. Zaměstnanci nevnímají kybernetickou bezpečnost jako svůj problém. „To řeší IT." Řešení: ukázat reálné případy z českých firem, kde chyba jednoho zaměstnance způsobila milionové škody. A vysvětlit, že kybernetický útok může ohrozit i pracovní místa.
4. Jak vypadá efektivní školení kybernetické bezpečnosti
Efektivní školení má 4 pilíře:
- Online kurz s testem. Interaktivní e-learning, kde zaměstnanec prochází reálné scénáře (rozpoznej phishing, co dělat při podezřelém hovoru). Na konci test. Certifikát. Evidence v LMS. Čas: 2 až 4 hodiny rozložené do modulů po 15 minutách. Výhoda online kurzu: zaměstnanec ho absolvuje, když mu to vyhovuje, ne když IT oddělení svolá přednášku.
- Simulovaný phishing. IT oddělení (nebo služba) posílá zaměstnancům kontrolní phishingové e-maily. Kdo klikne, dostane okamžitou zpětnou vazbu a krátké doplňkové školení. Měřitelné výsledky: kliknutí klesá z 30 % na 5 % po 3 měsících. Simulace jsou nejúčinnějším nástrojem: zaměstnanec si na vlastní kůži zažije, jak phishing funguje.
- Pravidelné opakování. Mikrolearning: 5minutové lekce každý měsíc. Nové typy útoků, aktuální případy, kvízy. Udržuje znalosti čerstvé. Příklad: lekce o nové vlně phishingu napodobujícího Českou poštu (aktuální scénář, který v ČR běží opakovaně).
- Kultura bezpečnosti. Zaměstnanci musí vědět, že hlášení podezřelého e-mailu je žádoucí, ne obtěžující. Žádné sankce za „falešný poplach". Naopak: ocenění za ostražitost. Některé firmy zavádějí „Cyber Hero of the Month" pro zaměstnance, který nahlásil nejvíce podezřelých e-mailů.
4.1 Případová studie: výrobní firma, 120 zaměstnanců
Strojírenská firma v Pardubickém kraji nasadila online kurz kybernetické bezpečnosti v lednu 2026. Výchozí stav: žádné školení, zaměstnanci používali stejné heslo do všech systémů, MFA nenasazena. Výsledky po 6 měsících:
- Kliknutí na simulovaný phishing: z 34 % na 6 % (pokles o 82 %)
- Nahlášené podezřelé e-maily: z 2 za měsíc na 18 za měsíc (zaměstnanci začali hlásit)
- Bezpečnostní incidenty: 0 (oproti 3 v předchozím roce)
- Náklady: 35 000 Kč (kurz + licence LMS). Úspora: minimálně 850 000 Kč (zabráněný ransomware útok)
5. Co musí školení pokrývat: 10 témat
| # | Téma | Proč |
|---|---|---|
| 1 | Rozpoznání phishingu | 91 % útoků začíná phishingem |
| 2 | Správa hesel | Slabá/opakovaná hesla = otevřené dveře |
| 3 | Dvoufaktorová autentifikace | MFA zastaví 99 % automatizovaných útoků |
| 4 | Bezpečné používání e-mailu | Přílohy, odkazy, ověřování odesílatele |
| 5 | Sociální inženýrství | Manipulace přes telefon, chat, osobní kontakt |
| 6 | Bezpečnost mobilních zařízení | BYOD, veřejné Wi-Fi, šifrování |
| 7 | Práce z domova | VPN, zabezpečení domácí sítě, sdílení PC |
| 8 | Fyzická bezpečnost | Zamykání PC, čisté pracoviště, USB zařízení |
| 9 | Hlášení incidentů | Kam volat, co nahlásit, co nedělat |
| 10 | GDPR a ochrana dat | Osobní údaje, klasifikace informací |
6. ROI školení: kolik stojí úspěšný kyberútok
Průměrné náklady ransomware útoku na českou firmu v roce 2025 (dle NÚKIB a pojišťoven):
| Položka | Náklad |
|---|---|
| Výkupné | 500 000 až 5 000 000 Kč |
| Prostoje (3 až 14 dní) | 200 000 až 2 000 000 Kč |
| Obnova dat a systémů | 100 000 až 500 000 Kč |
| Právní náklady (GDPR notifikace) | 50 000 až 200 000 Kč |
| Reputační škody | Nekvantifikovatelné |
| Celkem | 850 000 až 7 700 000 Kč |
Roční náklady na školení 80 zaměstnanců přes LMS: 25 000 až 40 000 Kč. Investice se vrátí, pokud školení zabrání jednomu úspěšnému útoku za 200 let. V praxi se průměrná firma stane cílem kyberútoku 2 až 3× ročně. Jinak řečeno: není otázka JESTLI vás napadnou. Je otázka KDY. A jedinou proměnnou, kterou ovlivňujete, je připravenost vašich lidí.
7. AI hrozby v roce 2026: nová generace útoků
Umělá inteligence dramaticky mění krajinu kybernetických hrozeb. Útočníci v roce 2026 používají AI k: generování dokonalých phishingových e-mailů (bez gramatických chyb, personalizované na základě dat z sociálních sítí), vytváření deepfake hlasových klonů (10 sekund nahrávky z konferenčního hovoru stačí k vytvoření přesvědčivého klonu hlasu šéfa), generování falešných faktur a dokumentů, které jsou vizuálně nerozlišitelné od originálů, automatizaci útoků (AI bot testuje tisíce kombinací přístupových údajů za minutu).
Obrana: školení musí zahrnovat rozpoznávání AI-generovaného obsahu. Zaměstnanci se musí naučit ověřovat nejen obsah zprávy, ale i kontext (proč mi šéf píše v neděli o urgentním převodu?) a používat sekundární ověření (telefonát na známé číslo, osobní potvrzení). V roce 2026 „důvěřuj, ale ověřuj" nahrazuje „nedůvěřuj, vždy ověřuj".
8. Checklist implementace: 10 kroků k bezpečné firmě
- Audit stavu. Zjistěte, kolik zaměstnanců prošlo školením kybernetické bezpečnosti za posledních 12 měsíců. U většiny firem: 0.
- Kategorizace zaměstnanců. Vysoké riziko (účetní, HR, IT admin, management), střední riziko (obchod, marketing, recepce), nižší riziko (výroba, sklad). Školení přizpůsobte kategorii.
- Výběr LMS a kurzu. Online kurz s testem a certifikátem. Hledejte: český jazyk, aktuální obsah (AI hrozby), praktické příklady, evidenci v LMS.
- Nasazení. Rozešlete přístupy. Stanovte deadline (14 dní na absolvování). Připomeňte 3 dny před deadlinem.
- Testování. Po kurzu povinný test. Minimální hranice 80 % správných odpovědí. Kdo neprojde, opakuje.
- Simulovaný phishing. 2 týdny po školení pošlete simulovaný phishing. Změřte kliknutí. Benchmark: pod 15 % = dobrý výsledek.
- Zpětná vazba. Zaměstnancům, kteří klikli na simulovaný phishing, pošlete krátkou doplňkovou lekci (5 minut).
- Mikrolekce. Každý měsíc: 5minutová lekce o aktuální hrozbě. Udržujte ostražitost.
- Politiky. Aktualizujte interní směrnice: správa hesel, BYOD, práce z domova, hlášení incidentů.
- Opakování. Za 12 měsíců celý cyklus znovu. Kybernetické hrozby se mění rychleji než legislativa.
Online kurz kybernetické bezpečnosti (79 lekcí, 4 hodiny, test + certifikát) najdete v e-shopu Bezpečák.cz. Splňuje požadavky NIS2 na školení zaměstnanců. Okamžitý přístup, evidence v LMS.
9. Často kladené otázky
9.1 Je školení kybernetické bezpečnosti povinné?
Pro firmy spadající pod NIS2 (střední a velké firmy v kritických sektorech) ano, od roku 2025. Pro ostatní firmy je školení dobrovolné, ale silně doporučené. GDPR (čl. 32) vyžaduje „vhodná technická a organizační opatření" k ochraně osobních údajů. Školení zaměstnanců je považováno za organizační opatření. Pokud dojde k úniku dat kvůli chybě zaměstnance a firma neprokáže, že zaměstnance školila, hrozí pokuta ÚOOÚ. Praktický dopad: při GDPR incidentu se ÚOOÚ ptá na dokumentaci školení. Nemáte ji = přitěžující okolnost.
9.2 Jak často školit zaměstnance?
Minimálně 1× ročně kompletní kurz. Ideálně: měsíční mikrolekce (5 minut) + kvartální simulovaný phishing + roční kompletní přeškolení. Nové zaměstnance školte při nástupu, před tím, než dostanou přístup k firemním systémům. U zaměstnanců s přístupem k citlivým datům (účetní, HR, IT) doporučuji školení 2× ročně.
9.3 Stačí online kurz, nebo musí být prezenční školení?
Online kurz je pro kybernetickou bezpečnost ideální formát. Zaměstnanec vidí reálné příklady phishingových e-mailů, interaktivně rozhoduje, co udělat, a test ověří znalosti. Prezenční přednáška nemůže simulovat interakci s phishingovým e-mailem. Navíc: online kurz má prokazatelnou evidenci (čas, výsledek testu, certifikát), což oceníte při auditu NIS2 nebo kontrole ÚOOÚ.
9.4 Musí školení pokrývat i management?
Ano. NIS2 explicitně vyžaduje školení vrcholového vedení. Management má přístup k nejcitlivějším datům a je primárním cílem spear phishingu a BEC útoků. CEO, CFO a jednatelé by měli absolvovat rozšířené školení zaměřené na: whale phishing (cílený útok na top management), bezpečnost mobilních zařízení na cestách, incidentní komunikaci (co říkat médiím a klientům po útoku).
9.5 Spadá naše firma pod NIS2?
Pokud máte nad 50 zaměstnanců nebo obrat nad 10 mil. EUR a působíte v jednom z těchto sektorů: energie, doprava, zdravotnictví, vodárenství, digitální infrastruktura, výroba (potraviny, chemie, farmacie), poštovní služby, odpadové hospodářství, pak pravděpodobně ano. Pokud jste dodavatel firmy v kritické infrastruktuře, NIS2 se na vás může vztahovat nepřímo (smluvní povinnost od odběratele). Doporučuji konzultaci s právníkem specializovaným na kybernetickou bezpečnost.
9.6 Co dělat, když zaměstnanec klikne na phishing?
Okamžitě: odpojit počítač od sítě (vytáhnout kabel, vypnout Wi-Fi). Zavolat IT oddělení. Změnit hesla ke všem účtům. Nahlásit incident odpovědné osobě. Pokud došlo k úniku osobních údajů: notifikovat ÚOOÚ do 72 hodin (GDPR čl. 33). Netrestat zaměstnance (odrazuje od hlášení). Použít incident jako vzdělávací příležitost.
9.7 Jaký kurz zvolit?
Kvalitní kurz kybernetické bezpečnosti pro zaměstnance by měl obsahovat: interaktivní scénáře (ne jen přednášku), reálné příklady phishingových e-mailů, test znalostí s certifikátem, aktualizace při nových hrozbách, evidenci v LMS. Kurz na SafetyFrog má 79 lekcí, 4 hodiny obsahu a pokrývá všech 10 témat z tabulky výše. Vhodný pro firmy všech velikostí. Při objednávce nad 20 licencí nabízíme firemní slevy.
9.8 Jak řešit BYOD (vlastní zařízení zaměstnanců)?
BYOD (Bring Your Own Device) přináší bezpečnostní rizika: zaměstnanec přistupuje k firemním datům z osobního telefonu bez antivirového řešení, sdílí zařízení s rodinou, nemá šifrovaný disk. Řešení: MDM (Mobile Device Management) pro vzdálenou správu firemních dat na osobním zařízení, kontejnerizace (firemní data v oddělené šifrované zóně), povinnost zámku obrazovky a PIN/biometrie, možnost vzdáleného vymazání firemních dat při ztrátě zařízení. Politika BYOD musí být součástí směrnice kybernetické bezpečnosti a zaměstnanec ji musí podepsat.
9.9 Jak zabezpečit dodavatelský řetězec?
Supply chain útoky jsou rostoucí hrozbou: útočník napadne dodavatele (např. poskytovatele účetního softwaru) a přes něj se dostane k vašim datům. NIS2 vyžaduje hodnocení bezpečnosti dodavatelů. Prakticky: požadujte od klíčových dodavatelů certifikaci ISO 27001 nebo prohlášení o bezpečnostních opatřeních, zahrnujte klauzuli o kybernetické bezpečnosti do smluv, provádějte audit dodavatelů minimálně 1× ročně. Pro malé firmy: alespoň ověřte, že váš účetní software, CRM a cloudové služby mají 2FA a jsou pravidelně aktualizovány.
9.10 Co je plán reakce na incident a potřebuji ho?
Incident Response Plan (IRP) je dokumentovaný postup pro případ kybernetického útoku. Obsahuje: kdo je odpovědná osoba (CISO, IT manažer, jednatel), koho kontaktovat (IT podpora, právník, ÚOOÚ, Policie ČR), jak izolovat napadený systém, jak komunikovat se zaměstnanci a klienty, jak obnovit data ze zálohy, jak dokumentovat incident pro pojišťovnu. Každá firma (nejen NIS2) by měla mít IRP. Bez něj při útoku nastane chaos: nikdo neví, co dělat, čas se ztrácí, škody rostou.
9.11 Jak propojit kybernetickou bezpečnost s BOZP?
Kybernetická bezpečnost a BOZP se protínají v průmyslových firmách: útok na řídicí systém stroje může způsobit fyzický úraz, napadení systému řízení budovy může vypnout ventilaci v chemickém provozu, útok na kamerový bezpečnostní systém může umožnit vstup neoprávněné osoby. OZO by měl spolupracovat s IT oddělením na hodnocení kyber-fyzických rizik. V hodnocení rizik zahrňte: „kybernetický útok na řídicí systém stroje XY" jako jedno z identifikovaných rizik s odpovídajícími opatřeními (segmentace sítě, pravidelné aktualizace firmware, monitoring).
9.12 Vyplatí se kybernetické pojištění?
Kybernetické pojištění (cyber insurance) kryje finanční škody z kybernetických útoků: náklady na forenzní analýzu, obnovu dat, právní zastoupení, pokuty ÚOOÚ, ušlý zisk z výpadku provozu, výkupné (ransomware: pojišťovny ho stále méně kryjí). Cena: 10 000-50 000 Kč ročně pro firmu s 50 zaměstnanci. Při průměrné škodě z ransomware útoku 2-5 milionů Kč je pojištění rozumná investice. Podmínka pojišťovny: firma musí prokázat základní bezpečnostní opatření (školení zaměstnanců, zálohy, 2FA, aktualizace). Bez těchto opatření pojišťovna odmítne plnění.
Kurz kybernetické bezpečnosti
14 dní zdarma, bez závazků
![Jak nakreslit dokumentaci zdolávání požárů [Video školení]](/_next/image?url=%2Fimages%2Fproducts%2Fsaw-v02-dzp-video.png&w=3840&q=75)