Zákon o kybernetické bezpečnosti: Co musíte vědět v roce 2024

Základní vymezení a účel zákona

Zákon o kybernetické bezpečnosti chrání naše informační systémy a sítě před hackery a kybernetickými útoky. V době, kdy prakticky všechno běží přes internet – od nemocnic přes banky až po elektrárny – prostě potřebujeme mít jasná pravidla, jak se bránit.

Celý zákon vznikl proto, že naše závislost na digitálních technologiích neustále roste. Vzpomeňte si, kolikrát denně něco řešíte přes mobil nebo počítač. A teď si představte, že by vám někdo hacknul internetové bankovnictví, nebo ještě hůř – že by útočníci vyřadili systémy elektrárny či nemocnice. Přesně proto musíme chránit tu nejdůležitější infrastrukturu státu.

Co zákon vlastně dělá? Stanovuje povinnosti pro subjekty, které provozují opravdu důležité systémy. Není to ale pro všechny stejné – zákon rozlišuje několik kategorií. Máme tu správce kritické infrastruktury (třeba energetické společnosti), poskytovatele základních služeb (například dopravní podniky) a poskytovatele digitálních služeb (třeba cloudová úložiště). Každá kategorie má trochu jiné povinnosti podle toho, jak moc kritické služby poskytuje. Je to vícevrstvý systém ochrany – čím důležitější systém, tím přísnější požadavky.

Kdo to celé hlídá? Zákon vytváří jasný institucionální rámec se zřetelně danými pravomocemi. V čele stojí Národní úřad pro kybernetickou a informační bezpečnost, který funguje jako hlavní regulátor. Tento úřad vydává metodiky, provádí kontroly a když je potřeba, může udělit i pořádnou pokutu těm, kdo pravidla nedodržují.

Nesmíme zapomenout na evropský rozměr. Náš zákon vychází z evropské směrnice o bezpečnosti sítí a informací, takže jsme v souladu s evropskou legislativou. A to je důležité – kybernetičtí zločinci se přece nezastaví na hranicích. Útok může přijít odkudkoliv a může zasáhnout kohokoliv. Proto musíme spolupracovat s ostatními zeměmi a sdílet informace o hrozbách.

Když se něco pokazí, musí to být rychle nahlášeno. Zákon nastavuje mechanismy hlášení bezpečnostních incidentů, které fungují jako systém včasného varování. Představte si to jako požární poplach – čím dřív víte o problému, tím rychleji můžete reagovat a zabránit většímu neštěstí. Firmy a organizace musí hlásit vážné incidenty v přesně stanovených lhůtách, aby příslušné úřady mohly vyhodnotit situaci a koordinovat obranu.

Působnost a regulované subjekty

Zákon o kybernetické bezpečnosti není jen další byrokratická povinnost – jde o důležitý nástroj, který chrání fungování našeho státu a základních služeb, na které jsme všichni denně odkázáni. Představte si, že by někdo hacknul systémy energetické společnosti a celé město by zůstalo bez elektřiny. Nebo že by kybernetický útok ochromil nemocniční systémy právě ve chvíli, kdy potřebujete naléhavou lékařskou péči.

Koho se tedy tento zákon týká? Základním měřítkem je jednoduché – čím důležitější služby organizace poskytuje, tím přísnější pravidla musí dodržovat. Není to náhoda. Pokud by došlo k napadení klíčových systémů, dopady by pocítili všichni.

Na špici pyramidy stojí správci kritické informační infrastruktury. To jsou organizace, bez kterých by stát prostě nemohl fungovat. Musí mít implementována ta nejpřísnější bezpečnostní opatření, pravidelně kontrolovat své systémy a okamžitě hlásit jakýkoliv podezřelý incident. Není prostor pro kompromisy.

Pak tu máme poskytovatele základních služeb – energetické společnosti, dopravní podniky, banky, nemocnice, vodárny nebo třeba provozovatele internetové infrastruktury. Zkrátka všechno, bez čeho si moderní život těžko představíme. Tyto subjekty musí zajistit, aby jejich služby běžely nepřetržitě, a proto investují do pokročilých ochranných systémů.

S rozvojem digitální ekonomiky přibyla další kategorie – poskytovatelé digitálních služeb. Tady mluvíme o velkých online obchodech, vyhledávačích nebo cloudových službách, které používáme každý den. I oni musí chránit naše data a zajistit bezpečnost svých platforem.

Zákon se dotýká i státní správy a samosprávy. Úřady spravují obrovské množství citlivých informací o nás občanech – od rodných čísel přes zdravotní záznamy až po daňová přiznání. Ochrana těchto dat není jen technická záležitost, ale otázka důvěry mezi občany a státem.

Každá regulovaná organizace musí mít bezpečnostního manažera. To není žádná formalita – jde o člověka, který rozumí kybernetickým hrozbám a dokáže koordinovat ochranu systémů. Komunikuje s Národním úřadem pro kybernetickou a informační bezpečnost a zodpovídá za to, že bezpečnostní opatření fungují v praxi, ne jen na papíře.

Zajímavé je, že zákon myslí i na dodavatele. Bezpečnostní řetěz je totiž jen tak silný, jak silný je jeho nejslabší článek. Pokud by dodavatel softwaru nebo hardwaru nedodržoval bezpečnostní standardy, mohlo by to ohrozit celý systém.

Kybernetické hrozby se neustále vyvíjejí. Co fungovalo včera, nemusí stačit zítra. Proto zákon vyžaduje pravidelné testování, audity a školení zaměstnanců. Vždyť i ten nejlepší systém je zranitelný, pokud ho obsluhují lidé, kteří neví, jak rozpoznat phishingový e-mail nebo jak bezpečně pracovat s citlivými daty.

Povinnosti provozovatelů kritické infrastruktury

Provozovatelé kritické infrastruktury v České republice nesou obrovskou zodpovědnost za kybernetickou bezpečnost. Není to jen papírování – jde o skutečnou ochranu systémů, na kterých závisí fungování celé země. Zákon o kybernetické bezpečnosti jim ukládá celou řadu povinností, které mají zabránit tomu, aby se klíčové služby ocitly pod palbou kybernetických útoků.

První krok? Musíte přesně vědět, co vlastně provozujete. Znamená to projít všechny informační a komunikační systémy, které používáte při své činnosti, a správně je zařadit do kategorií. Zní to jednoduše, ale v praxi může jít o stovky různých systémů – od řídících počítačů elektráren až po komunikační sítě.

Samotná identifikace ale nestačí. Představte si, že víte, kde máte všechna okna a dveře v domě, ale nenasadíte na ně zámky. Každý systém musí mít technická a organizační opatření, která odpovídají tomu, jak moc by jeho narušení mohlo být nebezpečné. A pozor – kybernetické hrozby se neustále vyvíjejí, takže co fungovalo loni, nemusí stačit dnes. Bezpečnostní opatření je třeba pravidelně vyhodnocovat a upravovat. Všechno musí být řádně zdokumentováno – žádné ústní dohody nebo poznámky na papírku.

Kybernetická bezpečnost není jen věc IT oddělení. Vedení organizace musí mít jasno v tom, kdo za co odpovídá. Proto zákon vyžaduje jmenování kontaktní osoby pro kybernetickou bezpečnost. Tohle není jen titul navíc pro někoho z IT – jde o klíčovou pozici. Tato osoba musí umět mluvit s Národním úřadem pro kybernetickou a informační bezpečnost, koordinovat bezpečnostní aktivity napříč celou organizací a mít skutečné pravomoci něco měnit. Bez odpovídajících znalostí a podpory vedení to prostě nejde.

Co se stane, když přijde útok? Okamžitě musíte hlásit každý vážný kybernetický incident příslušným orgánům. Ne za týden, ne zítra – hned. Pokud incident ohrožuje nebo by mohl ohrozit dostupnost vašich služeb, úřady o tom musí vědět. Hlášení není jen formalita – obsahuje detailní informace o tom, co se stalo, jaký to má dopad a co jste už udělali. A nezapomeňte si vést záznamy o všech incidentech. Jednou se vám to bude hodit.

Pravidelné audity kybernetické bezpečnosti jsou další povinnou zastávkou. Nemůžete si je udělat sami nebo nechat kamaráda z oboru, aby se na to podíval. Musí je provádět kvalifikovaní auditoři, kteří nezávisle posoudí, jestli vaše bezpečnostní opatření skutečně fungují a splňují zákonné požadavky. Jak často? To záleží na kategorii systému – čím kritičtější, tím častěji. A když audit odhalí slabá místa, máte stanovenou lhůtu to napravit.

Víte, co je často tím největším rizikem? Lidé. Můžete mít sebelepší technologie, ale když někdo klikne na phishingový email nebo si napíše heslo na lístek, všechno je pryč. Proto je pravidelné školení zaměstnanců nezbytné. Každý ve firmě by měl rozumět základním bezpečnostním pravidlům – od recepční až po ředitele. Školení musí být šitá na míru – správce systémů potřebuje něco jiného než účetní. A musí se opakovat, protože hackeři neustále vymýšlejí nové triky.

Národní úřad pro kybernetickou bezpečnost

Národní úřad pro kybernetickou bezpečnost je hlavní státní institucí, která má na starosti ochranu našich digitálních systémů. Vznikl v době, kdy kybernetické útoky přestaly být jen teoretickou hrozbou a staly se každodenní realitou – vzpomeňte si třeba na situace, kdy hackeři zaútočili na nemocnice nebo energetické společnosti. Právě proto bylo nutné vytvořit instituci, která dokáže koordinovat obranu proti těmto hrozbám.

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, přesně vymezuje pravomoci a odpovědnosti tohoto úřadu. V praxi to znamená, že úřad dohlíží na to, jestli firmy a instituce dodržují bezpečnostní pravidla, a zároveň pomáhá předcházet kybernetickým útokům. Když se něco pokazí, snaží se minimalizovat škody a rychle situaci vyřešit.

Co vlastně úřad dělá? Vydává bezpečnostní opatření, která musí dodržovat všechny subjekty spadající pod tento zákon. Kontroluje, jestli se pravidla opravdu dodržují, a pokud ne, může uložit sankce. Nejde tu o zbytečnou byrokracii – představte si, že by každý subjekt řešil kybernetickou bezpečnost po svém. Chaos by byl zaručený.

Mezinárodní spolupráce je další klíčovou oblastí. Kybernetické hrozby neznají hranice – útočníci mohou sedět klidně na druhém konci světa. Proto úřad úzce spolupracuje s partnerskými institucemi v Evropské unii i mimo ni, sdílí informace o hrozbách a koordinuje společnou obranu.

Provozování vládního CERT je možná to nejviditelnější, co úřad dělá. Tento tým funguje nonstop a reaguje na kybernetické incidenty. Když nějaká firma nebo instituce narazí na závažný problém, CERT jim poskytne odbornou pomoc a postará se o to, aby se situace nerozšířila dál.

Důležitá je také osvěta a vzdělávání. Úřad pořádá školení a semináře, vytváří příručky a doporučení. Vždyť co platí nejlepší technologie, když lidé nevědí, jak s nimi správně zacházet? Mnohdy stačí jeden neopatrný klik na podezřelý odkaz a problém je na světě.

Centrální evidence všech subjektů, které musí dodržovat kybernetickou bezpečnost, umožňuje úřadu mít přehled a efektivně komunikovat s těmi, kdo provozují kritickou infrastrukturu nebo poskytují základní služby. Jde o nemocnice, energetiku, vodárny, banky – zkrátka o služby, bez kterých bychom se neobešli.

Hlášení kybernetických bezpečnostních incidentů

Kybernetická bezpečnost se dnes dotýká prakticky každého, kdo provozuje důležité služby nebo spravuje citlivá data. Pokud patříte mezi provozovatele základních služeb, poskytovatele digitálních služeb nebo máte na starosti kritickou informační infrastrukturu, musíte hlásit každý závažný bezpečnostní incident. Není to jen formalita – jde o skutečnou ochranu nás všech.

Představte si situaci: někdo se pokusí napadnout váš systém, nebo se mu to dokonce podaří. Co teď? Musíte jednat rychle. Zákon je v tomto ohledu jasný – hlášení nesmí čekat. Jakmile incident objevíte, máte maximálně dvacet čtyři hodin na prvotní oznámení. Ano, čtete správně – jeden den, ne týden. Pak teprve přichází na řadu podrobnější zpráva s detaily.

Kdy vlastně mluvíme o incidentu, který je nutné hlásit? Ne každá podivnost v systému znamená povinnost oznámení. Musí jít o skutečnou událost s reálným dopadem – něco, co ohrozí dostupnost vašich služeb, naruší integritu dat nebo prozradí důvěrné informace. Zkrátka, musí to mít konkrétní následky, ne jen vypadat podezřele.

Co všechno by mělo hlášení obsahovat? Především vaše identifikační údaje, kdy se to stalo, co se vlastně přesně děje a proč k tomu mohlo dojít. Dále je potřeba uvést, kolik lidí nebo firem incident zasáhl a co už jste podnikli nebo plánujete udělat. U vážných případů to nekončí jednou zprávou – průběžně informujete o dalším vývoji a o tom, jak situaci řešíte.

Kam se vlastně obrátit? Všechny zprávy směřují k Národnímu úřadu pro kybernetickou a informační bezpečnost. Tento úřad funguje jako centrum, které sbírá informace ze všech koutů republiky, vyhodnocuje je a v případě potřeby koordinuje obranu na celostátní úrovni. Nejste v tom sami – jejich specializované týmy vám pomohou s řešením problému.

Hlásit je nutné nejen úspěšné útoky, ale i pokusy o ně, pokud by mohly výrazně ovlivnit vaše služby. Zákon rozlišuje různé stupně závažnosti – čím horší incident, tím rychleji a detailněji musíte informovat. Záleží na tom, kolik uživatelů to postihne, jak dlouho budou služby nedostupné, jestli jde o celou republiku nebo jen místní záležitost, a především, zda to může ohrozit kritickou infrastrukturu nebo veřejnou bezpečnost.

Bezpečnostní opatření a jejich implementace

Bezpečnostní opatření tvoří základní kámen ochrany informačních systémů a celé infrastruktury organizací, které musí dodržovat zákon o kybernetické bezpečnosti. Zavádění těchto opatření vyžaduje promyšlený přístup – takový, který bere v úvahu konkrétní potřeby každé organizace a zároveň splňuje to, co vyžaduje zákon.

Co vlastně zákon o kybernetické bezpečnosti po organizacích chce? Především komplexní systém bezpečnostních opatření, která odpovídají tomu, s jakými informacemi pracujete a jaké služby poskytujete. Nejde jen o technologie – musíte myslet na organizaci práce i na lidi samotné. Prvním krokem je vždycky důkladná analýza rizik. Teprve když víte, co vám hrozí a kde jsou vaše slabá místa, můžete navrhnout opatření, která skutečně dávají smysl pro vaši konkrétní situaci.

Na technické úrovni to znamená nasadit firewall, systémy pro odhalování průniků, antivirovou ochranu, šifrování dat a pravidelné zálohování všeho důležitého. Zákon jasně říká, že bezpečnostní mechanismy musíte průběžně aktualizovat – hrozby se neustále mění a vy musíte držet krok. Všechny programy a systémy potřebují pravidelné aktualizace a bezpečnostní záplaty, jinak riskujete, že útočníci zneužijí známé mezery.

Organizační stránka věci je stejně důležitá jako ta technická. Potřebujete mít bezpečnostní dokumentaci, která jasně popisuje, jak věci fungují, kdo za co odpovídá a jak postupovat v různých situacích. Tahle dokumentace nemůže jen ležet v šuplíku – musí odrážet realitu a měnit se spolu s technologiemi i požadavky zákona. Zákon také vyžaduje, abyste měli kontaktní osobu pro kybernetickou bezpečnost – někoho, kdo to všechno koordinuje a komunikuje s úřady.

A co lidé? Tady se často rozhoduje o úspěchu nebo neúspěchu celého systému. Můžete mít sebelepší technologie, ale když zaměstnanci nekliknou na podezřelý odkaz v emailu nebo použijí slabé heslo, všechno je najednou. Proto je pravidelné školení zaměstnanců v kybernetické bezpečnosti naprosto klíčové. Lidé musí vědět, co hrozí, jak se chránit a co dělat, když něco zjistí.

Zavést bezpečnostní opatření jednou nestačí. Je to běh na dlouhou trať, který vyžaduje neustálé sledování a vyhodnocování, jak dobře to funguje. Zákon počítá s pravidelnými bezpečnostními audity a penetračními testy – tedy situacemi, kdy si necháte otestovat, jak odolný je váš systém proti útokům. Výsledky těchto testů vám ukážou, kde potřebujete posílit ochranu.

Nesmíte také zapomenout na správu přístupových práv a ověřování uživatelů. Platí jednoduchý princip: každý by měl mít přístup jen k tomu, co opravdu potřebuje ke své práci. A pokud jde o citlivá data nebo kritické systémy, víceúrovňové ověřování totožnosti by mělo být samozřejmostí.

Kybernetická bezpečnost není jen technickou záležitostí, ale především otázkou státní suverenity a ochrany kritické infrastruktury. Zákon o kybernetické bezpečnosti představuje klíčový nástroj pro koordinaci obrany proti digitálním hrozbám a stanovuje jasná pravidla pro subjekty, které spravují systémy zásadní pro chod společnosti.

Radek Svoboda

Kontrolní mechanismy a sankce za porušení

Národní úřad pro kybernetickou a informační bezpečnost má v Česku klíčovou roli – dohlíží na to, jestli firmy a instituce opravdu dodržují pravidla kybernetické bezpečnosti. Nejde přitom jen o papírování. Úřad provádí kontroly, během kterých zjišťuje, jak to ve skutečnosti vypadá s ochranou dat a systémů.

Co konkrétně při kontrolách ověřují? Především to, jestli fungují bezpečnostní opatření, kterými by se každá organizace měla chránit. Prověřují dokumenty o zabezpečení informací a zkoumají, jestli je firma schopná reagovat, když se něco pokazí – třeba když dojde k úniku dat nebo hackerského útoku. Kontroly mohou být prováděny jak na místě u kontrolovaného subjektu, tak formou vyžádání příslušné dokumentace a podkladů. Úřad si může vyžádat všechno podstatné – bezpečnostní směrnice, zprávy z auditů, záznamy o incidentech i dokumentaci opatření.

A co když firma svoje povinnosti neplní? Tady se do hry dostávají sankce. Porušení ustanovení zákona může vést k uložení pokut v závažných případech dosahujících až desítek milionů korun. Není to žádná legrace – výše pokuty závisí na tom, jak moc je přestupek vážný, jaké škody mohl nebo skutečně způsobil, a jestli se organizace provinila opakovaně.

Při menších pochybeních se pokuta může pohybovat v řádech statisíců, ale když jde o opravdu závažné nebo opakované prohřešky, můžeme bavit o milionech. Nejvíc tvrdě se posuzují případy, kdy zanedbání bezpečnosti vedlo k velkému incidentu nebo když subjekt dlouhodobě ignoroval svoje povinnosti. Pokuty navíc mohou dostat nejen firmy, ale v některých situacích i konkrétní osoby odpovědné za kybernetickou bezpečnost.

Není to ale tak, že by úřad rovnou rozdával pokuty. Když se objeví nedostatky, dostane kontrolovaný subjekt možnost se k nim vyjádřit a v rozumném čase je napravit. Národní úřad může v případě menších pochybení nejprve vydat výzvu k nápravě a teprve při jejím nesplnění přistoupit k sankčnímu řízení. Pro organizace, které to myslí dobře a chtějí věci napravit, to znamená šanci vyhnout se vysokým pokutám.

Peníze nejsou jediná forma trestu. Úřad může třeba zveřejnit informaci o tom, že firma porušila zákon – a to se na pověsti pěkně podepíše. V extrémních situacích, kdy hrozí vážné nebezpečí, může dokonce nařídit okamžitá nápravná opatření nebo dočasně omezit provoz některých systémů. Celý systém sankcí je postavený tak, aby odpovídal závažnosti přestupku a bral v potaz konkrétní okolnosti – včetně velikosti organizace a toho, čím se zabývá.

Vztah k evropské legislativě NIS2

Zákon o kybernetické bezpečnosti je dnes důležitější než kdy dřív – jde o základní právní předpis, který řeší ochranu našich informačních systémů a sítí. Vzpomeňte si třeba na nedávné kybernetické útoky na nemocnice nebo energetické společnosti. Jasně ukazují, jak moc jsme zranitelní a proč potřebujeme funkční právní ochranu.

Celý zákon vznikl tak, aby odpovídal evropským standardům. Klíčová je přitom návaznost na evropskou směrnici NIS2, která v roce 2022 nahradila původní verzi z roku 2016. Nová směrnice přináší modernější pohled na to, jak zabezpečit síťové a informační systémy napříč celou Evropskou unií.

Co to ale znamená pro firmy a organizace u nás? Nová evropská pravidla zasáhnou mnohem více subjektů než dřív. Zatímco původní směrnice se soustředila hlavně na provozovatele kritické infrastruktury – elektrárny, vodárny a podobně – nová verze míří i na středně velké a velké firmy v různých odvětvích. Bavíme se o energetice, dopravě, zdravotnictví, digitální infrastruktuře, veřejné správě a dalších strategických sektorech.

Směrnice rozděluje organizace na základní a důležité subjekty, přičemž každá kategorie má jiné požadavky. Základní subjekty – tedy ty nejkritičtější pro chod společnosti a ekonomiky – čelí přísnější kontrole a tvrdším sankcím. Důležité subjekty mají požadavky mírnější, což dává smysl. Jde prostě o přiměřený přístup podle toho, jak moc je daná organizace důležitá.

Český zákon musí převzít všechny podstatné části směrnice NIS2. To znamená povinnosti kolem řízení rizik, hlášení bezpečnostních incidentů, kontrolu dodavatelů a konkrétní technická i organizační opatření. Důležité je, že zodpovědnost nesou vrcholoví manažeři – nejde jen o úkol pro IT oddělení. Vedení firem musí schvalovat bezpečnostní opatření a aktivně se podílet na jejich zavádění. Konečně se kybernetická bezpečnost dostává tam, kam patří – mezi strategické priority firmy.

Jak je to se sankcemi? Směrnice stanovuje minimální výši pokut za porušení povinností. Základním subjektům hrozí pokuty až deset milionů eur nebo dvě procenta celosvětového obratu – podle toho, co je víc. To už nejsou žádné drobné. Český zákon musí zajistit, aby sankce skutečně fungovaly jako odstrašující prvek.

Směrnice také posiluje národní dozorové orgány. U nás to znamená především Národní úřad pro kybernetickou a informační bezpečnost, který potřebuje víc zdrojů a pravomocí. Zákon musí umožnit mezinárodní spolupráci a sdílení informací mezi národními autoritami v rámci EU. Kybernetické hrozby neznají hranice, takže ani ochrana proti nim nemůže být čistě národní záležitostí.

Změny se týkají skutečně mnoha firem a organizací. Jestli spadáte do některého z dotčených odvětví a máte víc než padesát zaměstnanců, pravděpodobně se vás nová pravidla dotknou. Nejde přitom jen o formální splnění zákona – jde o reálnou ochranu vašich dat, systémů a v konečném důsledku i vašich zákazníků.