Vyšlo v č. 3/2026
Nový zákon o kybernetické bezpečnosti výrazně rozšířil okruh regulovaných subjektů a přinesl vyšší nároky i možné sankce. Jak se na změny připravil Národní úřad pro kybernetickou a informační bezpečnost a co to znamená pro kraje, obce a města? Na naše otázky odpovídá náměstek ředitele NÚKIB Tomáš Krejčí. Vysvětluje, proč úřad sází především na metodickou podporu, kde samosprávy nejčastěji narážejí na limity, a proč zaplacení výkupného při ransomwarovém útoku není řešením.
Nový zákon o kybernetické bezpečnosti je účinný již několik měsíců a výrazně rozšířil okruh regulovaných subjektů. Jak se NÚKIB připravil na nárůst agendy a posílení dozorové role v takto rozšířeném rozsahu?
O výrazném rozšíření počtu povinných osob jsme naštěstí věděli dopředu, proto jsme se vydali cestou významnější digitalizace a automatizace všech procesů. Největší pomocí při zvládání náporu pro nás byl Portál NÚKIB, který jsme interně naprogramovali a na němž jsme zároveň zveřejnili velké množství textových návodů i videonávodů, aby byly informace snadno dohledatelné a přehledné. Díky tomu byla osobní asistence z naší strany potřeba pouze u těch nejsložitějších případů.
Znamená nová úprava i změnu přístupu k dohledu například větší důraz na metodickou podporu oproti sankcím? Jak chcete v praxi vyvážit kontrolní a podpůrnou roli úřadu?
NÚKIB vždycky prioritizoval skutečné zavádění bezpečnosti oproti sankcím za chyby, nicméně směrnice NIS2 přichází s požadavkem na poměrně vysoké možné sankce přibližně na úrovni GDPR. I proto, kolika povinných osob se bude zákon nově týkat a jak vysoké sankce hrozí, měla NIS2 vyšší mediální i celospolečenskou pozornost. NÚKIB stále pevně věří, že metodická pomoc je zásadním prvkem a základem naší role, což se odráží i v tom, kolik podpůrných materiálů už nyní mohou povinné osoby najít na veřejné části Portálu NÚKIB. Z pozice správního úřadu ale nemůžeme úplně ignorovat, pokud povinné subjekty neplní zákonné povinnosti. Pak je třeba přikročit k vážnějším krokům, jako jsou třeba pokuty. Někdy vysvětlování a podpora prostě nestačí a nevedou ke kýženým výsledkům. Přehlížení takového jednání by navíc deformovalo trh: subjekty, které by se zavádění kybernetické bezpečnosti vyhýbaly a krátkozrace na něm šetřily, by získaly nezaslouženou konkurenční výhodu oproti těm odpovědným, kteří zákonné povinnosti plní.
S jakými nejčastějšími nedostatky či problémy se u nově regulovaných subjektů setkáváte? Jde spíše o nejasnosti ve výkladu zákona, personální kapacity, technická opatření, nebo například řízení dodavatelů?
Nové povinné osoby jsou zatím primárně ve fázích ohlášení se a hlášení kontaktních údajů, kdy řešíme zejména dotazy, zda splňují, nebo nesplňují kritéria pro to stát se povinnou osobou, nebo nejasnosti s procesem ohlášení se prostřednictvím Portálu. Nicméně z minulých zkušeností jsou tu problémy, které přetrvávají, a to zejména málo personálních a finančních kapacit či malá priorita pro kybernetickou bezpečnost ze strany vedení organizací, které často tyto omezené kapacity investují jinam.
Zákonná lhůta pro ohlášení regulované služby již uplynula. Máte přehled, kolik subjektů se dosud nezaregistrovalo? Týká se tento problém i samospráv?
V současné chvíli máme přibližně 5000 ohlášených subjektů. Očekávali jsme jich ale minimálně 6000. To znamená, že nám nepochybně některá ohlášení chybí. Co jsem zaznamenal, tak u samospráv byla poctivost nahlášení se poměrně vysoká a chybí nám ohlášení spíše v jednotkách případů některých obcí s rozšířenou působností, kterých se nové povinnosti týkají.
Jaký je váš vzkaz těm organizacím včetně obcí a měst, které ohlášení dosud neprovedly? Jaké mohou být důsledky dalšího odkladu a je stále možné situaci napravit bez zbytečných komplikací?
Pokud to některé takové právě teď čtou, bylo by vhodné situaci napravit co nejdříve. Čím dříve se na Portálu ohlásí, tím menší jim hrozí sankce. Rozhodli jsme se sice být zpočátku v tomto mírní, protože konec lhůty dopadl na konec roku, který bývá hektický, ale naše možnosti přivírat nad zpožděním oči se každým dalším dnem zmenšují.
Povinnost ohlášení se automaticky netýká všech obcí, ale kraje a obce s rozšířenou působností, které splňují stanovená kritéria, tvoří část nově povinných osob. Jak hodnotíte jejich připravenost na plnění nových povinností? Vidíte rozdíly mezi většími městy, kraji a menšími samosprávami?
Máte pravdu, u obcí se skutečně týká jen těch s rozšířenou působností a městských částí Prahy 1-22. O tom, jak jsou připraveny, jsme se snažili si s předstihem udělat alespoň rámcový obrázek na dobrovolných auditech. Čerpat ale obecná tvrzení z tak malého vzorku je složité. Nicméně platívá, že větší centra mají více kapacit, takže často nezačínají úplně na zelené louce. Ale i zde najdeme výjimky z pravidla, kdy je to také spíš otázka některého osvíceného vedení dané obce, které třeba kladlo na bezpečnost důraz již dříve. Znatelně více se snaží také obce, které už například musely čelit následkům úspěšného kybernetického útoku, protože lidé, které už incident negativně postihl, už si ty možné následky jen nepředstavují, ale skutečně je zažili a vědí, že je znovu zažít nechtějí.
Kde podle vašich zkušeností samosprávy nejčastěji narážejí na limity? Jde o nedostatek odborníků, financí, podpora vedení úřadu nebo třeba složitost IT infrastruktury?
V zásadě platí, že je to primárně o kapacitách a prioritě, kterou vedení organizací kybernetické bezpečnosti buďto dává, nebo nedává, jak už jsem říkal.
Kybernetické útoky stále častěji míří i na veřejnou správu. Jaké hlavní trendy nyní sledujete a jak se promítají do prostředí českých samospráv? Jsou podle vašich dat i menší obce pro útočníky relevantním cílem?
Ve společnosti často přežívá iluze, že kybernetické útoky se týkají těch důležitých a že útočí jen vysoce sofistikovaní hackeři na vysoce sofistikované cíle. Pravda ale je, že kybernetický zločin se stal třetí největší ekonomikou na světě. Získávat peníze kybernetickými útoky se tedy evidentně stále vyplatí a pro nějaký plošný útok je v zásadě jedno, kdo se chytí a nakonec třeba zaplatí nějaké výkupné nebo se jeho data dají zpeněžit. Dá se vlastně říct, že dnes už není žádný cíl dostatečně malý.
Kybernetická bezpečnost není jen požadavkem vyplývajícím ze zákona, ale především nezbytností, kterou je v dnešním světě nutné aktivně řešit.
Jak hodnotíte připravenost českých měst a obcí na ransomware?
Tuto oblast nechci komentovat příliš konkrétně, abychom neposkytovali užitečné informace útočníkům. Obecně ale platí, že rozdíly mezi jednotlivými subjekty jsou poměrně výrazné. U ransomwaru je naprosto klíčové mít dobře segmentovanou síť a správně vytvořené, pravidelně testované a oddělené zálohy. Pokud tato základní opatření chybí, může mít útok velmi závažné dopady.
A proč podle vás zaplacení výkupného nepředstavuje skutečné řešení?
Požadované výkupné nedoporučuji platit, ať už kvůli tomu, že se tím jen dále sponzoruje kriminální byznys, nebo proto, že vám nikdo nedá jistotu, že ta data vůbec umí rozšifrovat, anebo proto, že pro útočníka, který už v té síti je, je snadné za dva dny ta data zašifrovat znovu a žádat další výkupné.
Zní to trochu jako scénář z filmu…
Máte pravdu. Může to znít trochu jako z filmu, ale už jenom z médií víme, že se tyhle situace některým organizacím skutečně staly a platily to výkupné dvakrát.
Jaká preventivní a krizová opatření by podle vás měly samosprávy prioritně zavádět, aby minimalizovaly dopady případného útoku?
Ta preventivní opatření stanovuje právě vyhláška o bezpečnostních opatřeních. Priority si každá organizace musí stanovit sama podle svých potřeb, ale co se dá obvykle udělat za vynaložení opravdu malých nákladů, je proškolení personálu, protože právě phisingové útoky, které využívají nepoučené uživatele jako slabinu a cestu pro ransomware do sítě organizace, jsou asi nejčastějším způsobem útoků. Dále potom správně segmentovat síť, jak jsem zmiňoval, a co je klíčové: správně vytvořit zálohy dat a pravidelně testovat jejich obnovu.
A úplně prakticky: co by měl mít každý starosta nebo tajemník pod kontrolou jako naprostý základ kybernetické bezpečnosti, aby výrazně snížil riziko vážného incidentu?
Určitě by měl vědět, kdo tuto oblast řeší a jak je řešena, jestli interně, nebo třeba externě, tedy dodavatelsky. Důležité je, aby následně také znal svoji roli v případě, kdy by se musel řešit kybernetický bezpečnostní incident. Co je klíčové, je manažerská práce, kdy se na základě podkladů a doporučení lidí, kteří se oblasti věnují, rozhoduje o prioritách a zdrojích, které bude na tuto oblast alokovat. A v neposlední řadě má dbát na to, aby on sám měl základní znalosti, jak se správně pohybovat v kyberprostoru. Před čím bych obecně varoval, jsou výjimky v pravidlech pro top management, protože takový postup zaprvé oslabuje zabezpečení institucí a zadruhé dává nevhodný příklad podřízeným a kolegům ve smyslu: ta pravidla jsou k ničemu, když je stejně musí dodržovat jenom někdo. Nikdo nečeká, že se z tajemníků a starostů najednou stanou odborníci na kybernetickou bezpečnost, to ani není potřeba. ■
Doporučení pro obce a města Neotálet s ohlášením regulované služby Pokud se obec či město dosud nepřihlásily prostřednictvím Portálu NÚKIB, měly by tak učinit co nejdříve. S dalším odkladem roste riziko sankcí. Nepodceňovat roli vedení Klíčové jsou kapacity a priorita, kterou vedení kybernetické bezpečnosti přikládá. Bez jasné podpory shora nelze systémová opatření dlouhodobě udržet. Mít jasno v odpovědnostech Starosta či tajemník by měli vědět: → kdo oblast kybernetické bezpečnosti řeší (interně vs. dodavatelsky), → jaká je jejich role při řešení incidentu, → jaké zdroje jsou na tuto oblast vyčleněny. Začít u základů technické ochrany → správně segmentovaná síť, → kvalitně vytvořené a oddělené zálohy, → pravidelné testování obnovy dat. Bez těchto opatření může mít zejména ransomware velmi závažné dopady. Investovat do školení zaměstnanců Phishing patří k nejčastějším vstupním bodům útoku. Zvyšování povědomí zaměstnanců je relativně levné, a přitom velmi účinné opatření. Neplatit výkupné Platba podporuje kriminální byznys, negarantuje obnovení dat a může vést k opakovanému vydírání. Nedělat výjimky pro vedení Výjimky z bezpečnostních pravidel pro top management oslabují ochranu organizace a dávají špatný příklad ostatním. |
