Co musí obce, města a jejich organizace splnit do konce roku
Nový zákon o kybernetické bezpečnosti, publikovaný jako zákon č. 264/2025 Sb., zásadně rozšiřuje okruh subjektů, které spadají do regulace. Dopadá na mnoho organizací, které se dosud kybernetickému právu nevěnovaly, a nově ukládá povinnosti týkající se řízení kybernetických rizik, zavedení technických a organizačních opatření a průběžného vyhodnocování hrozeb.
Účinnost zákona od 1. listopadu 2025 vytváří poměrně krátké období, během něhož obce, města i jejich příspěvkové organizace musí provést řadu kroků. Smyslem následujícího textu je poskytnout strukturovaný a odborný přehled toho, jak se na nové povinnosti připravit a jaké kroky je nezbytné zajistit, aby organizace splnila všechny požadavky včas a v předepsané kvalitě.
Prvním úkolem
je zjistit, zda organizace spadá pod zákon a do jakého režimu. Nová právní úprava předpokládá, že subjekt sám vyhodnotí svou povinnost podle kritérií uvedených v zákoně a prováděcí vyhlášce o regulovaných službách. Je nezbytné prověřit, zda organizace poskytuje regulovanou službu a zda tato služba spadá do vyššího nebo nižšího režimu povinnosti. Pouze správné zařazení umožní následné plnění povinností v odpovídajícím rozsahu.
Pokud se zjistí, že organizace regulovanou službu poskytuje, je nutné ji ohlásit prostřednictvím Portálu NÚKIB. Lhůta pro oznámení činí 60 dnů od účinnosti zákona. Oznámení vyžaduje přípravu základních informací o organizaci a o kontaktních osobách, které budou zajišťovat komunikaci s NÚKIB.
Následujícím krokem
je doplnění kontaktních údajů na Portálu NÚKIB. Po registraci zasílá NÚKIB potvrzení a spouští třicetidenní lhůtu, ve které musí organizace upřesnit kontaktní osobu a případně další údaje, zejména pokud nebyly doplněny při prvotním oznámení. U subjektů zařazených do vyššího režimu je rozsah těchto údajů podstatně širší, protože se týká také osob odpovědných za kybernetickou bezpečnost, architekta bezpečnosti a auditorů.
Zavedení opatření
Organizace v dalším kroku zavádí opatření podle svého režimu povinnosti. Od okamžiku registrace v Portálu NÚKIB běží dvanáctiměsíční lhůta, během které musí subjekt splnit veškerá bezpečnostní opatření stanovená prováděcí vyhláškou. Praktickým dopadem je příprava pracovního plánu, vytvoření procesů řízení rizik, nastavení technických prvků ochrany a vytvoření týmu, který zajistí provozní i bezpečnostní úkoly v souladu se zákonem. Součástí povinností je analýza aktiv a analýza rizik. Subjekt musí přesně určit, jaká aktiva používá, která z nich jsou klíčová, kdo je vlastníkem a kdo je správcem, jaké hrozby se na ně váží a jakým způsobem se budou rizika sledovat. Analýza musí být pravidelně aktualizována.
Zavedení systému
Následuje zavedení systému řízení kybernetické bezpečnosti. Systém ISMS je jádrem celé právní úpravy, protože stanoví procedury, odpovědnosti, kontrolní mechanismy a dokumentaci. Jeho rozsah musí odpovídat stanovenému režimu povinnosti a zároveň provozním podmínkám organizace. Zákon předpokládá pravidelné přezkumy, auditovatelnost a průběžné hodnocení účinnosti zavedených opatření.
Organizace musí vytvořit také procesy pro detekci, reakci a hlášení incidentů. NÚKIB stanovuje přesné podmínky, kdy a co je nutné hlásit. Lhůty pro hlášení incidentů jsou pevně vymezené a jejich nedodržení má závažné důsledky. Součástí povinností je rovněž zajištění přístupu statutárních osob nebo pověřených pracovníků k Portálu NÚKIB.
Odborné proškolení a bezpečnostní závazky
Významnou roli má odborné proškolení zaměstnanců, kteří musí být schopni dodržovat interní pravidla a bezpečnostní postupy. Právě lidský faktor je nejčastější příčinou bezpečnostních incidentů. Tajemníci a vedoucí pracovníci úřadů by proto měli dbát na pravidelná školení, testování ostražitosti zaměstnanců a průběžnou aktualizaci bezpečnostních pravidel.
Další oblastí je nastavení požadavků na bezpečnost do smluv s dodavateli. Organizace je odpovědná i za činnosti, které vykonává externí partner. Smlouvy musí obsahovat odpovídající úroveň bezpečnostních závazků, odpovědnost dodavatele a zajištění kontrolovatelnosti jeho postupů.
Implementace technických opatření
Nezbytnou částí přípravy je implementace technických opatření. Patří sem vícefaktorové ověřování, segmentace sítí, řízení přístupů, ochrana koncových zařízení a smysluplné logování. Subjekty zařazené do vyššího režimu musí počítat s náročnějšími opatřeními, mezi která patří například průběžný monitoring, penetrační testy nebo pravidelné kontrolní aktivity.
Organizace musí také vytvořit nebo aktualizovat bezpečnostní dokumentaci. Dobrá dokumentace je klíčová pro prokázání splnění povinností při kontrolách. Musí obsahovat přehled aktiv, provedené analýzy rizik, přijatá opatření, popisy procesů, odpovědnosti a incidentů. Odpovídá také za to, aby byla dokumentace pravidelně aktualizována a aby skutečný provoz odpovídal jejímu obsahu.
Pravidelné prověrky
Posledním krokem je průběžné sledování hrozeb a doporučení. Kybernetické hrozby se rychle mění, a proto musí organizace pravidelně upravovat své postupy a technická opatření. Stejně důležité je pravidelné prověřování, zda systém řízení odpovídá provozní realitě.
Nový zákon o kybernetické bezpečnosti představuje významný posun ve správě informační bezpečnosti veřejné správy. Vyžaduje aktivní roli vedení úřadu, technickou připravenost, jasně definované procesy a kulturu bezpečnosti napříč celou organizací. Pokud obce, města a jejich organizace začnou s přípravou s dostatečným předstihem, mohou nový systém zavést bez zbytečných rizik a přispět tím k vyšší odolnosti veřejné správy jako celku.