NIS2 a AI transformace výrobního sektoru: jak OpenKBS zajišťuje soulad se zákonem č. 264/2025 Sb.

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, vstoupil v platnost 1. listopadu 2025 a transponuje Směrnici (EU) 2022/2555 (NIS2) do českého právního řádu. Zákon stanoví jednoroční přechodné období (do přibližně listopadu 2026) pro splnění všech požadavků. Registrace u NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) musí být provedena do 60 dnů od nabytí účinnosti, tedy do 31. prosince 2025.

Střední a velké výrobní podniky spadají do působnosti zákona jako „důležité subjekty" (podniky s nejméně 50 zaměstnanci a ročním obratem 10 milionů EUR v sektorech uvedených v Příloze II Směrnice). Pro tyto organizace představuje NIS2 konkrétní výzvu: jak implementovat řešení AI do výrobních procesů, aniž by se zvýšilo regulatorní a kybernetické riziko. Tato publikace popisuje, jak platforma OpenKBS řeší požadavky zákona č. 264/2025 Sb. pro své enterprise klienty.

Bezpečnost infrastruktury prostřednictvím AWS

OpenKBS buduje infrastrukturu svých klientů výhradně na Amazon Web Services (AWS). Nejde pouze o volbu poskytovatele hostingu — s ním se přebírá rozsáhlý katalog nezávisle auditovaných certifikací a atestací, mimo jiné:

  • ISO/IEC 27001 — systém řízení bezpečnosti informací;
  • ISO/IEC 22301 — řízení kontinuity podnikání;
  • ISO/IEC 27017 — bezpečnostní kontroly pro cloudové služby;
  • SOC 2 Type II — kontroly bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti a ochrany osobních údajů;
  • C5 — katalog shody pro cloud computing, vyvinutý německým BSI.

AWS disponuje více než 150 nezávisle auditovanými bezpečnostními certifikacemi po celém světě. V kontextu zákona č. 264/2025 Sb. je to podstatné, neboť čl. 21 odst. 1 Směrnice (EU) 2022/2555 vyžaduje, aby opatření pro řízení rizik odrážela „aktuální stav technologií" (state of the art). Využívání certifikované infrastruktury prokazuje dodržování tohoto principu.

Model sdílené odpovědnosti

AWS uplatňuje model sdílené odpovědnosti (Shared Responsibility Model):

  • AWS odpovídá za bezpečnost cloudové infrastruktury — fyzická datová centra, síť, hypervisor, spravované služby;
  • Klient odpovídá za bezpečnost toho, co v cloudu buduje — kód aplikace, konfigurace, řízení přístupu.

Pro enterprise klienty každé řešení prochází strukturovaným procesem auditu a bezpečnostní kontroly před uvedením do provozu.

Vyhrazený účet AWS pro každého enterprise klienta

Mezi klíčové požadavky NIS2 patří zajištění kontinuity provozu a krizového řízení (čl. 21 odst. 2 písm. c) Směrnice (EU) 2022/2555). Směrnice klade důraz i na bezpečnost dodavatelského řetězce (čl. 21 odst. 2 písm. d)), včetně řízení rizik vyplývajících ze závislostí na technologických dodavatelích.

OpenKBS řeší tyto požadavky prostřednictvím modelu vyhrazených účtů AWS.

Jak to funguje

Každý enterprise klient obdrží vlastní účet AWS, ve kterém jsou nasazeny všechny jeho prostředky:

ProstředekPopis
Lambda funkceServerless výpočty pro obchodní logiku (až 20 na projekt)
Úložiště S3Objektové úložiště pro soubory a data
Aurora PostgreSQLSpravovaná relační databáze s automatickými zálohami a obnovou point-in-time
CloudFront CDNDistribuce obsahu s TLS šifrováním
EventBridgePlánované úlohy a automatizace

Prostředky jednoho klienta jsou fyzicky izolovány od prostředků jakéhokoli jiného klienta na úrovni účtu AWS. Nejedná se o logické oddělení (namespace, tag nebo virtuální síť), ale o tvrdou hranici na úrovni účtu, vynucovanou prostřednictvím AWS Identity and Access Management (IAM).

Převod infrastruktury při ukončení smlouvy

Při ukončení smlouvy nebo v případě potřeby může být vyhrazený účet AWS převeden v plném rozsahu na klienta. Proces zahrnuje:

  1. Změnu root uživatele účtu na e-mailovou adresu klienta;
  2. Potvrzení ze strany klienta a nastavení nového hesla;
  3. Odebrání účtu z AWS Organization OpenKBS;
  4. Klient přidá platební metodu a převezme plnou kontrolu;
  5. Klient odebere přístup OpenKBS smazáním cross-account IAM role.

Nic se nemigruje. Lambda funkce pokračují v běhu, data v S3 a Aurora zůstávají na místě, CloudFront distribuce obsluhují provoz bez přerušení. Klient získá plnou kontrolu nad svou infrastrukturou bez ztráty dat a bez výpadku.

Všechny prostředky jsou standardní AWS primitivy — žádné proprietární formáty, žádný vendor lock-in. Klient může pokračovat ve správě své infrastruktury samostatně nebo s jiným dodavatelem.

AWS Organizations umožňuje vytvoření až 50 000 účtů v rámci jedné organizace, bez dalších poplatků za samotný účet. Účtuje se výhradně spotřeba prostředků uvnitř účtu.

Význam pro soulad s NIS2

  • Čl. 21 odst. 2 písm. c) (kontinuita provozu): Infrastruktura nezávisí na provozním stavu OpenKBS. Při ukončení činnosti dodavatele může klient pokračovat v provozu.
  • Čl. 21 odst. 2 písm. d) (bezpečnost dodavatelského řetězce): Riziko závislosti na jednom dodavateli je minimalizováno díky zaručené možnosti úplného převodu.
  • Klauzule 5 smluvních požadavků NIS2 (součinnost při ukončení a bezpečnost dat): Pokryta z principu — data se již nacházejí na účtu, který klient může plně převzít.

Umístění dat a serverless architektura

Hosting v Evropské unii

Všechny prostředky enterprise klientů jsou nasazeny v regionu AWS eu-central-1 (Frankfurt, Německo) ve výchozím nastavení. Centrální databáze platformy (AWS Aurora DSQL) pracuje výhradně v eu-central-1.

Data neopouštějí území EU. Každý klientský projekt obdrží:

  • Úložiště S3 v eu-central-1;
  • Instanci Aurora PostgreSQL v eu-central-1;
  • Lambda funkce spouštěné v eu-central-1;
  • CloudFront distribuci s edge lokacemi v EU.

Umístění dat je klíčovým faktorem při hodnocení rizik podle NIS2. Nasazení infrastruktury v EU zjednodušuje dodržování požadavků na ochranu dat a usnadňuje komunikaci s národními regulačními orgány.

Serverless architektura a snížená plocha útoku

OpenKBS používá výhradně serverless architekturu pro klientské prostředky. To znamená:

  • Žádné servery k údržbě — žádný operační systém k aktualizaci, žádný přístup SSH, žádné otevřené porty;
  • AWS spravuje běhové prostředí — Node.js 24.x na Lambda, s automatickými bezpečnostními aktualizacemi;
  • Izolace na úrovni spuštění — každá Lambda funkce běží v samostatném prostředí microVM;
  • TLS 1.2+ pro veškerou komunikaci — prostřednictvím CloudFront, bez výjimek.

Z hlediska čl. 21 odst. 2 písm. e) Směrnice (EU) 2022/2555 (bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů) serverless architektura eliminuje celou třídu zranitelností — neopravené operační systémy, chybně nakonfigurované servery, neoprávněný přístup k síti.

Bezpečnost kódu generovaného AI

Realita moderního vývoje

Významná a rostoucí část programového kódu v průmyslu je generována s pomocí AI modelů. Tento trend je nevratný. Otázkou není, zda AI bude kód generovat, ale jaké procesy zajistí kvalitu a bezpečnost tohoto kódu.

Kód generovaný AI není ze své podstaty nebezpečný. Moderní jazykové modely (jako Claude od Anthropic) detekují zranitelnosti v kódu efektivněji než většina manuálních revizí — včetně SQL injection, XSS útoků, neoprávněného přístupu, nesprávné správy relací a desítek dalších kategorií z OWASP Top 10 a klasifikací CWE.

Rizika kódu generovaného AI nepramení z modelu samotného, ale z absence procesů auditu a validace. Systém, ve kterém je generovaný kód nasazován přímo bez revize, je rizikový — bez ohledu na to, zda kód napsal člověk nebo AI.

Proces OpenKBS pro enterprise klienty

OpenKBS aplikuje strukturovaný proces bezpečnostní kontroly při každé nové verzi klientského řešení:

Automatizovaný bezpečnostní audit u každé verze:

  • Statická analýza kódu na zranitelnosti z OWASP Top 10;
  • Kontrola na SQL injection, XSS, CSRF, SSRF, command injection;
  • Analýza závislostí (dependency audit) na známé zranitelnosti (CVE);
  • Kontrola na únik citlivých dat (hardcoded přihlašovací údaje, API klíče, connection stringy);
  • Validace vstupních dat a řízení přístupu;
  • Kontrola na neautorizované zveřejnění informací v HTTP odpovědích a zpracování chyb.

Kontrola infrastruktury:

  • Kontrola IAM politik a principu nejmenších oprávnění (least privilege);
  • Validace šifrování při přenosu (TLS) a v klidu (AES-256);
  • Kontrola na veřejně přístupné prostředky (S3 buckety, Lambda endpointy);
  • Audit síťové konfigurace a pravidel firewallu.

Dokumentovaná zpráva:

  • Každý audit generuje dokumentovanou zprávu se zjištěními a doporučeními;
  • Kritické zranitelnosti jsou odstraněny před nasazením do produkčního prostředí;
  • Zprávy jsou přístupné klientovi a mohou být poskytnuty regulačním orgánům při auditu.

Tento proces řeší požadavky čl. 21 odst. 2 písm. e) (bezpečnost při vývoji a údržbě) a čl. 21 odst. 2 písm. f) (politiky a postupy hodnocení účinnosti opatření pro řízení rizik).

Konsolidace dodavatelského řetězce AI

Organizace, která chce využívat AI modely od několika dodavatelů (OpenAI, Anthropic, Google), musí uzavřít samostatné smlouvy, provést samostatná hodnocení rizik a zajistit soulad s NIS2 pro každého z nich.

OpenKBS konsoliduje přístup k více AI modelům prostřednictvím jednotného proxy, provozovaného v EU infrastruktuře platformy. Klient komunikuje s jedním dodavatelem (OpenKBS), který spravuje integraci s AI dodavateli.

Tím se snižuje:

  • počet dodavatelů podléhajících hodnocení podle čl. 21 odst. 2 písm. d) NIS2;
  • počet smluv, které musí obsahovat pět povinných klauzulí o bezpečnosti dodavatelského řetězce;
  • administrativní zátěž při pravidelné kontrole dodavatelů.

Další opatření pro soulad

Šifrování

V souladu s čl. 21 odst. 2 písm. h) Směrnice (EU) 2022/2555 (politiky pro používání kryptografie):

  • Při přenosu: TLS 1.2+ pro veškerou komunikaci, bez výjimek;
  • V klidu: AES-256 pro citlivá data (connection stringy, API klíče), šifrování spravované AWS pro S3 a Aurora;
  • Přístupové tokeny: Ukládány jako SHA-256 hash, původní text se neuchovává;
  • MQTT komunikace: SigV4-podepsaná WebSocket spojení s dočasnými STS session tokeny (platnost 15 minut).

Řízení přístupu

V souladu s čl. 21 odst. 2 písm. i) (bezpečnost lidských zdrojů, řízení přístupu):

  • JWT autentizace (RS256) s omezenou dobou platnosti;
  • Per-project API klíče s explicitně definovanými oprávněními;
  • Automatická rotace klíčů při každém nasazení;
  • STS session credentials s 15minutovou platností pro cross-account přístup.

Auditní protokol

V souladu s čl. 21 odst. 2 písm. f) (hodnocení účinnosti opatření):

  • Administrativní auditní protokol: typ akce, dotčený prostředek, podrobnosti, IP adresa;
  • Sledování spotřeby prostředků podle projektu a období;
  • CloudWatch metriky pro každou funkci (vyvolání, trvání, chyby).

Zálohy, obnova a plán pro případ havárie

V souladu s čl. 21 odst. 2 písm. c) (kontinuita provozu, správa záloh, obnova po havárii a krizové řízení):

Databáze (Aurora PostgreSQL Serverless v2):

  • Automatické průběžné zálohy, spravované AWS;
  • Obnova k určitému časovému okamžiku (point-in-time restore) s přesností na sekundu, za konfigurovatelné období až 35 dní;
  • Data jsou uložena v šesti kopiích rozložených do tří zón dostupnosti (Availability Zones) v regionu eu-central-1;
  • Při výpadku primární instance Aurora automaticky přepne na záložní repliku.

Objektové úložiště (S3):

  • Verzování objektů — každá změna nebo smazání uchovává předchozí verzi;
  • AWS S3 zajišťuje 99,999999999 % (11 devítek) trvanlivost dat;
  • Data jsou uložena ve více zónách dostupnosti v regionu.

Obecné zásady:

  • Měkké mazání (soft delete) všech prostředků — žádné nevratné smazání;
  • Serverless architektura eliminuje potřebu obnovy serverů — při selhání Lambda instance AWS automaticky spustí novou;
  • CloudFront CDN zajišťuje obsluhu provozu i při částečné nedostupnosti origin serveru.

Shrnutí: pokrytí minimálních opatření podle čl. 21 NIS2

Opatření podle čl. 21 odst. 2Jak ho OpenKBS řeší
a) Analýza rizik a bezpečnostní politikyStrukturovaný auditní proces u každé verze; dokumentované zprávy
b) Zvládání incidentůPostup pro reakci na incidenty; 24hodinové včasné varování klientovi
c) Kontinuita provozuVyhrazený účet AWS; Aurora PITR až 35 dní; verzování S3; 6 kopií ve 3 AZ
d) Bezpečnost dodavatelského řetězceKonsolidovaný AI proxy; jednotná smlouva; převoditelný účet
e) Bezpečnost při vývoji a údržběBezpečnostní audit u každé verze; serverless architektura
f) Hodnocení účinnosti opatřeníAuditní protokol; monitorování prostředků; CloudWatch metriky
g) Školení v kybernetické bezpečnostiKonzultace a dokumentace pro klientské týmy
h) Kryptografie a šifrováníTLS 1.2+; AES-256; SHA-256 pro tokeny; SigV4 pro MQTT
i) Řízení přístupuJWT autentizace; per-project klíče; automatická rotace
j) MFA a šifrovaná komunikaceŠifrovaná WebSocket spojení; STS session credentials

Další krok

OpenKBS spolupracuje s výrobními podniky v České republice a Evropě, které implementují řešení AI při dodržení požadavků zákona č. 264/2025 Sb.

Pokud vaše organizace spadá do působnosti zákona o kybernetické bezpečnosti a zvažuje AI transformaci, kontaktujte nás ohledně konzultace k:

  • hodnocení vaší stávající infrastruktury vůči požadavkům NIS2;
  • návrhu AI řešení ve vyhrazeném účtu AWS s EU Data Residency;
  • procesům bezpečnostního auditu kódu generovaného AI;
  • plánu pro kontinuitu provozu a krizové řízení.

Popsané služby — bezpečnostní audit, dedikovaný AWS účet a kontrola kódu generovaného AI — jsou součástí plánu Enterprise od OpenKBS.

Tato publikace má informativní charakter a nepředstavuje právní poradenství. V případě konkrétních dotazů k aplikaci zákona č. 264/2025 Sb. se obraťte na kvalifikovaného právního poradce.

Book a Strategy Call
NIS2zákon 264/2025NÚKIBkybernetická bezpečnostvýrobaprůmyslAWSAIdodavatelský řetězecenterprise