Kybernetický zákon nabývá účinnost za několik dní
Česká republika vstupuje do nové éry v oblasti kybernetické bezpečnosti. Nový kybernetický zákon, který nabude účinnosti již 1. listopadu, představuje zásadní milník v ochraně informačních a komunikačních systémů nejen ve veřejné správě, ale i v soukromém sektoru.
Jeho ambicí není pouze reagovat na aktuální hrozby, ale především vytvořit dlouhodobě funkční rámec pro řízení bezpečnosti informací, který bude odolný vůči vývoji technologií i metod útoků. Český zákon reflektuje evropskou směrnici NIS2, avšak klade důraz na přiměřenost a praktickou aplikovatelnost. Pro mnohé organizace, včetně institucí veřejné správy a měst a obcí to znamená zásadní změnu přístupu. Kybernetická bezpečnost už není věcí oddělení IT, ale povinností celého vedení.
Zákon posiluje principy odpovědnosti, předvídatelnosti a řízení rizik. Zavádí konkrétní povinnosti v oblasti organizačních, technických a procesních opatření, jejichž cílem je minimalizovat dopady incidentů a zajistit kontinuitu činností. V praxi to znamená nejen investice do technologií, ale především do znalostí, dovedností a spolupráce napříč útvary.
Co musí města a obce vědět
Nový kybernetický zákon, který nabude účinnosti už za několik dní, přináší nové povinnosti, ale také příležitost posílit bezpečnost, stabilitu a důvěru v digitální služby měst a obcí. Ochrana dat a systémů přestává být pouze technickou otázkou, stává se součástí řízení úřadu, podobně jako hospodaření nebo spisová služba.
Nová právní úprava vychází z evropské směrnice NIS2 a klade důraz na systémové řízení bezpečnosti. Cílem není pouze reagovat na kybernetické útoky, ale jim předcházet. Zákon se vztahuje na vybrané obce, městské části a jejich příspěvkové organizace podle významu a velikosti, nicméně i menší samosprávy se budou muset řídit jeho principy, zejména pokud provozují informační systémy veřejné správy.
Ačkoli se může zdát, že nový kybernetický zákon cílí především na velká města, kraje a jejich organizace, dopadá i na menší obce. I ty totiž spravují osobní údaje občanů, provozují informační systémy (např. CzechPOINT, spisovou službu, účetnictví či datové schránky) a jsou tedy součástí digitální infrastruktury státu. Povinnost zajistit přiměřenou úroveň ochrany informací se proto vztahuje na všechny obce, rozdíl je pouze v rozsahu a hloubce požadovaných opatření.
Menší obce mohou využít společná řešení, například sdílené služby IT, odbornou podporu z úrovně ORP nebo krajských center, případně externího manažera kybernetické bezpečnosti či zajistit zákonné povinnosti prostřednictvím svazku obcí. Zákon nepožaduje drahá technologická řešení, ale systematický a odpovědný přístup. I malý úřad může mít dobře nastavené procesy, proškolené zaměstnance a přehled o svých systémech. Klíčem je spolupráce a ochota přemýšlet o bezpečnosti jako o přirozené součásti každodenního fungování úřadu.
Zákon tedy neznamená jen novou administrativu, ale především změnu myšlení, kdy se bezpečnost informací stává součástí běžného provozu úřadu.
Co spadá do řízení bezpečnosti informací
Systém řízení bezpečnosti informací (ISMS) je pilířem a jádrem celé koncepce nové zákooné úpravy. Jde o ucelený rámec, který určuje, jak organizace identifikuje, chrání a spravuje své informace. Rozsah ISMS musí být vymezen s ohledem na skutečné potřeby organizace a nesmí být pouhou formalitou. ISMS se vztahuje nejen na informační systémy jako takové, ale také na procesy, fyzická aktiva, lidské zdroje a dodavatelské vztahy. Každá informace, která má pro organizaci hodnotu a které instituce či úřad zpracovává, od osobních údajů občanů až po interní rozhodovací dokumenty, musí být chráněna po celou dobu svého životního cyklu, od vytvoření až po zničení.
Pro města a obce to znamená, že součástí ISMS nejsou jen informační systémy (např. CzechPOINT, účetní nebo spisová aplikace), ale také fyzické prostředí, procesy a lidé, kteří s informacemi pracují. Zákon vyžaduje, aby úřad přesně určil, co je předmětem ochrany a kde leží hranice systému.
Klíčové je pochopení, že ISMS není statický dokument, ale živý mechanismus. Jeho hranice se mohou měnit podle vývoje organizace, nových technologií i legislativních požadavků. Správně nastavený ISMS zajišťuje nejen soulad se zákonem, ale především stabilitu, důvěru a schopnost rychle reagovat na krizové situace.
Příliš úzké vymezení by znamenalo, že část agend zůstane mimo dohled. Naopak příliš široké pojetí může být neefektivní. Vyvážené nastavení ISMS proto vyžaduje spolupráci vedení, IT oddělení a jednotlivých odborů.
Manažer kybernetické bezpečnosti
Zcela novým prvkem je pozice manažera kybernetické bezpečnosti. Manažer kybernetické bezpečnosti se stává klíčovou postavou celého systému. Zákon mu přiznává jasně definovanou roli i odpovědnost. Není tak jen technickým správcem, ale je garantem bezpečnostní politiky. Musí zajistit, že organizace rozumí svým rizikům a že přijatá opatření odpovídají jak právním, tak provozním požadavkům. Je prostředníkem a klíčovým spojovacím článkem mezi vedením úřadu a odbornými pracovníky IT a IT správci, a zároveň strategickým partnerem při rozhodování o prioritách a rozpočtu. Jeho úkolem není jen správa technologií, ale především dohled nad dodržováním pravidel, řízením rizik a koordinací bezpečnostních opatření. Klíčové je, aby tuto osobu vedení úřadu vnímalo jako partnera, nikoli jako kontrolora. Jeho práce má přímý dopad na důvěru občanů i funkčnost úřadu v krizových situacích.
Manažer kybernetické bezpečnosti musí rozumět provozu úřadu, legislativním požadavkům i technické stránce věci. V menších obcích může tuto roli plnit sdíleně, např. v rámci dobrovolného svazku obcí nebo prostřednictvím odborné služby zajištěné externím poskytovatelem.
Úspěšný manažer kybernetické bezpečnosti má nejen technické znalosti, ale i schopnost komunikovat, vysvětlovat a přesvědčovat. Bez podpory vedení nemůže být systém účinný, a proto musí umět bezpečnost zasadit do kontextu ekonomických a politických cílů organizace. Kybernetická bezpečnost není izolovaná disciplína, ale integrální součást řízení kvality, rizik a compliance. Jakkoliv se tyto řádky vztahují na větší organizace, nic nebrání tomu, aby obdobnou funkci zavedly společenství obcí či dobrovolné svazky s cílem, řešit kybernetickou bezpečnost malých obcí ve svém území.
Jak identifikovat, vyhodnotit a řídit rizika
Řízení rizik je srdcem každého systému ochrany informací. Identifikace a hodnocení rizik umožňuje pochopit, které hrozby jsou pro organizaci relevantní a jaké mohou mít dopady. Nestačí pouze sepsat seznam možných rizik, je třeba jim rozumět, kvantifikovat je a stanovit priority. Zákon vyžaduje, aby tento proces byl systematický, opakovatelný a dokumentovaný.
Každý úřad musí umět zhodnotit, co je pro něj největším rizikem. Pro některé to může být ztráta účetních dat, pro jiné nedostupnost e-mailové komunikace nebo únik osobních údajů. Řízení rizik znamená tato rizika znát, posoudit jejich závažnost a přijmout vhodná opatření.
Zákon nepožaduje dokonalost, ale vědomé rozhodování. Každé riziko má mít svého vlastníka, který nese odpovědnost za jeho řízení. Pravidelná revize rizik je pak nezbytnou součástí provozu, například při zavádění nových systémů nebo změně legislativy. Smyslem není vytvořit složitý aparát, ale přehledný systém, který vedení úřadu umožní včas reagovat a minimalizovat dopady incidentů. Dobře zvládnutý risk management je zároveň důkazem odpovědného přístupu vůči občanům i dozorovým orgánům.
Správný přístup spočívá v tom, že rizika nejsou vnímána jako hrozba, ale jako přirozená součást fungování organizace. Cílem není všechna rizika eliminovat, což je nemožné, ale řídit je v přijatelných mezích. Nástroje jako matice dopadu a pravděpodobnosti, analýza scénářů či kvantitativní modely pomáhají řídit rizika efektivně a transparentně. Důležitá je i zpětná vazba, pravidelná revize rizik zaručuje, že organizace neztrácí přehled o svém bezpečnostním prostředí.
Bezpečnostní opatření
Základem praktické ochrany jsou bezpečnostní opatření. Bezpečnostní opatření představují konkrétní kroky, které z rizikové analýzy vyplývají. Měla by být navržena s ohledem na princip přiměřenosti: příliš restriktivní pravidla vedou k obcházení, příliš volná naopak neplní svůj účel. Opatření musí být efektivní, měřitelná a pravidelně testovaná.
Bezpečnostní opatření musí být přiměřená velikosti úřadu a charakteru jeho činností. Jiné prostředky bude mít krajské město, jiné malá obec. Přesto princip zůstává stejný: chránit klíčová data, omezit přístup jen oprávněným osobám a mít kontrolu nad tím, co se v systému děje.
Základní chybou bývá zaměňování opatření technických s organizačními. Technika sama o sobě bezpečnost nezajistí, pokud ji nedoprovází jasná pravidla, odpovědnosti a školení. Funkční systém se opírá o tři pilíře, procesy, lidi a technologie. Jen jejich vyvážená kombinace zaručí skutečnou ochranu.
Funkční systém ochrany nesmí být přetížený byrokracií. Opatření by měla být pochopitelná a vymahatelná v praxi. Úředník musí vědět, jak postupovat, když dostane podezřelý e-mail, a IT správce musí mít jasná pravidla pro správu hesel, aktualizace a zálohování.
Kybernetická bezpečnost v praxi není o zákazu, ale o zodpovědném chování, tedy o kultuře, kterou je třeba budovat postupně.
Organizační opatření
Organizační opatření tvoří páteř každého bezpečnostního rámce. Určují, kdo co dělá, kdo o čem rozhoduje a kdo nese odpovědnost. Je nutné přesně vymezit kompetence, aby v případě incidentu nevznikal chaos. Každý zaměstnanec musí znát svou roli a vědět, komu předává informace. Právě organizační opatření dávají bezpečnosti konkrétní podobu. Definují, kdo za co odpovídá, jak probíhá schvalování změn, kdo hlásí incident a kdo rozhoduje o krizových opatřeních.
Zákon vyžaduje i formální zakotvení odpovědností, například prostřednictvím vnitřních předpisů, směrnic a pracovních náplní. V prostředí měst a obcí je zásadní, aby odpovědnosti byly jasně popsány nejen v interních předpisech, ale i ve směrnicích a pracovních náplních. V případě kybernetického incidentu musí být všem jasné, kdo informuje vedení, kdo komunikuje s veřejností a kdo zajišťuje technická opatření. Tyto dokumenty musí být v souladu s praxí. Jen tak lze předejít situaci, kdy jsou pravidla sice napsaná, ale nikdo je neplní. Klíčem je pravidelné školení a kontrola, která zajistí, že povědomí o bezpečnosti zůstává živé a aktuální.
Transparentní nastavení procesů zamezuje nedorozuměním a zmatkům. Zákon také předpokládá, že vedení úřadu bude kybernetickou bezpečnost pravidelně vyhodnocovat, podobně jako hospodaření nebo plnění rozpočtu.
Technická opatření
Technická opatření představují praktickou realizaci bezpečnostní politiky. Technologie musí pracovat pro vás, ne proti vám. Zahrnují širokou škálu nástrojů, od šifrování dat, přes správu přístupových práv, až po monitorovací a detekční systémy. Jejich úkolem je chránit data, sítě a aplikace před neoprávněným přístupem, zneužitím či zničením.
Technická opatření tak tvoří nejviditelnější část ochrany. Dále mezi ně patří například pravidelná aktualizace systémů, správa přístupových práv, zálohování dat či ochrana proti malwaru. Obec by měla mít přehled o tom, jaké systémy používá, kdo k nim má přístup a jak jsou zabezpečeny.
Důležité je myslet i na dodavatele technologií, i oni musí plnit určité bezpečnostní standardy. Mnoho incidentů totiž nevzniká selháním úředníka, ale nedostatkem kontroly nad externími službami.
Technologie se však musí stát služebníkem, nikoli pánem organizace. Technologie mají sloužit úřadu, nikoli ho svazovat. Automatizace procesů, detekce anomálií či centralizované logování mají smysl jen tehdy, pokud na ně dohlíží kompetentní lidé a pokud jsou propojeny s jasně nastavenými procesy. Kybernetická bezpečnost je v konečném důsledku o rovnováze mezi lidským úsudkem a technologickou efektivitou. Proto je nutné, aby nastavení technických opatření odpovídalo reálným potřebám a aby se nezapomínalo na školení uživatelů. Ani nejlepší systém nepomůže, pokud s ním lidé neumějí zacházet bezpečně.
Dokumentace – jak správně nastavit politiky, směrnice a postupy
Dokumentace je důkazem o zralosti systému. Politiky, směrnice a metodiky musí být nejen napsány, ale i používány. Dokumentace ISMS by měla popisovat, jak organizace přistupuje k bezpečnosti informací, jaké má cíle, procesy i metody kontroly.
Každý úřad proto bude muset mít zpracovanou bezpečnostní dokumentaci, tedy přehled politik, směrnic a postupů, které popisují, jak je kybernetická bezpečnost řízena. Nejde o samoúčelnou administrativu, ale o důkaz, že organizace své povinnosti plní a má systém pod kontrolou.
Dokumentace musí odpovídat realitě. Nestačí převzít šablonu, je nutné popsat konkrétní prostředí daného úřadu, jeho agendy a informační systémy. Zároveň musí být pravidelně aktualizována, aby odrážela skutečné procesy.
Dobře napsaná směrnice by měla být praktickým návodem, ne byrokratickou zátěží. Důležitá je srozumitelnost a aktuálnost. Každý dokument by měl být dostupný, přehledný a přiměřený úrovni zaměstnanců, kteří s ním pracují. Bez pravidelné aktualizace se i dobře napsaná směrnice rychle stává nefunkční. Dokumentace by měla být nástrojem řízení, nikoli administrativní zátěží. Její funkčnost se pozná podle toho, zda jí zaměstnanci skutečně rozumějí a podle ní jednají.
Jak se rychle vrátit do normálu, když se něco pokazí
Ani při sebelepším zabezpečení nelze vyloučit, že dojde k výpadku systému, ztrátě dat nebo kybernetickému útoku. Právě proto musí mít každá instituce vypracované dokumenty, které určují, jak postupovat při mimořádných událostech, jak obnovit provoz a jak komunikovat s veřejností.
Business Continuity Plan (BCP) je širší strategie pro zajištění chodu firmy, úřadu, instituce během krizí, zatímco Disaster Recovery Plan (DRP) je jeho podřízená, technická část zaměřená na obnovu IT systémů a dat po havárii. Zatímco BCP zajišťuje, že firma, instituce, úřad může pokračovat v klíčových činnostech (např. přesunem na alternativní pracoviště), DRP se soustředí na to, jak po havárii rychle obnovit veškerou IT infrastrukturu. BCP a DRP patří k pilířům moderní bezpečnostní kultury. Jejich smyslem je zajistit, že i po vážném incidentu bude organizace schopna obnovit svou činnost v přijatelném čase. BCP se zaměřuje na kontinuitu procesů, zatímco DRP na obnovu technologií a dat.
Tyto plány musí být realistické, otestované a pravidelně aktualizované. Nestačí je mít uložené ve složce, musí být živým dokumentem, který lidé znají a podle něhož umí postupovat. Každý zaměstnanec by měl vědět, co dělat, komu hlásit problém a jak se zachovat v krizové situaci. Rychlý návrat do normálu totiž není otázkou štěstí, ale důsledné přípravy.
Například při napadení e-mailového systému musí být jasné, jak budou zaměstnanci komunikovat, jak se obnoví data ze záloh a kdo má pravomoc rozhodovat o zapojení externí pomoci. Cílem je, aby se úřad dokázal co nejrychleji vrátit do běžného režimu, aniž by utrpěla kontinuita jeho služeb.
BCP a DRP nejsou jednorázové dokumenty – musejí se testovat a aktualizovat. Jen tak lze zajistit, že budou fungovat, když přijde skutečná krize.
Závěrem
Nový kybernetický zákon není jen dalším právním předpisem, který je třeba „splnit“. Zákon nepřináší jen nové povinnosti, ale je hlavně příležitostí. Pro města a obce je to šance, jak posílit důvěru občanů, zvýšit odolnost úřadu a předejít ztrátám, které mohou vzniknout nedbalostí nebo neznalostí. Úřady a organizace, které se k němu postaví proaktivně, získají více než jen právní soulad, získají stabilitu, důvěru a schopnost čelit budoucím výzvám s jistotou a profesionalitou.
Kybernetická bezpečnost se tak stává nejen otázkou techniky, ale projevem kultury odpovědnosti a součástí dobré veřejné správy. Kdo ji přijme jako přirozenou součást řízení, získá nejen právní jistotu, ale i silnější, modernější a spolehlivější úřad.
- Aktuálně
- Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zaznamenal nejvyšší počet kybernetických incidentů od začátku letošního roku, celkem 24, což je o 8 víc než v srpnu. Útočníci nejčastěji využívali DDoS útoky, kdy je cíl zahlcen obrovským množstvím falešných požadavků, což znemožňuje přístup legitimním uživatelům. Objevily se ale i kompromitace e-mailů, neautorizované přístupy a jeden případ ransomwaru (škodlivý software, který zašifruje vaše soubory nebo zablokuje přístup k vašemu zařízení a za obnovení funkčnosti požaduje platbu výkupného, obvykle v kryptoměně. Většina incidentů sice nebyla vyhodnocena jako závažná, trend je ale podle NÚKIB alarmující – kyberútoky na české instituce, úřady a firmy zřetelně sílí.