Termín zavedení bezpečnostních opatření se blíží
Roční lhůta pro zavedení bezpečnostních opatření podle zákona č. 264/2025 Sb. se většině obcí s rozšířenou působností uzavře na začátku roku 2027, pro I. a II. obce v listopadu 2026. Pro úřady, které zatím neudělaly téměř nic, přinášíme realistický plán na 90 dní – a odpověď na otázku, co dělat, když se všechno stihnout nedá.
Buďme upřímní: část úřadů má dnes za sebou registraci u NÚKIB a od té doby se mnoho nestalo. Léto a podzim 2026 jsou poslední období, kdy lze skluz dohnat systematicky, a ne panicky. Následující plán vychází z naší praxe nejen na úřadech ORP.
Prvních 30 dní: zjistit stav a rozdělit odpovědnost
Základem je rozdílová (GAP) analýza – porovnání stavu úřadu s požadavky zákona a vyhlášky č. 410/2025 Sb. Souběžně vedení určí osobu pověřenou kybernetickou bezpečností a zajistí jí školení a pravomoci. Výstupem prvního měsíce je přehled bezpečnostních opatření podle přílohy č. 1 vyhlášky s reálnými termíny, prioritami a odpovědnostmi – dokument, o který se opře jak úřad, tak případná kontrola.
Dalších 30 dní: dokumentace a rychlé výhry
Druhý měsíc patří bezpečnostním politikám a dokumentaci a takzvaným quick wins – opatřeními s velkým efektem a malými náklady: zavedení vícefaktorového ověření alespoň pro administrátory a vzdálené přístupy, kontrola a odebrání přebytečných oprávnění, prověření záloh včetně testu obnovy a oddělení zálohovacího prostředí, aktualizace systémů a inventura těch, které už výrobce nepodporuje.
Posledních 30 dní: dodavatelé, školení, rozpočet
Třetí měsíc se věnujte revizi smluv s IT dodavateli podle přílohy č. 2 vyhlášky, spusťte vstupní školení zaměstnanců s průkaznou evidencí a promítněte zbývající opatření do návrhu rozpočtu na rok 2027 včetně prověření dotačních možností. Nastavte také proces detekce a hlášení incidentů – zaměstnanci musí vědět, komu neobvyklé chování systémů oznamovat, a úřad musí umět posoudit významnost dopadu.
Co když se všechno nestihne
Vyhláška s tím počítá: přehled opatření zná stav „v procesu“ s doloženými kroky (výběrové řízení, smlouva, testovací provoz) i “nezavedeno“ s odůvodněním. Úřad, který prokáže systematický postup podle plánu, je v zásadně jiné pozici než úřad, který nemá nic. Prokazatelnost je alfou i omegou celé regulace – co není zdokumentováno, jako by z pohledu kontroly neexistovalo.
Malé obce: lhůta je ještě kratší
Plán výše platí přiměřeně i pro obce I. a II. typu. Podle § 5b zákona č. 365/2000 Sb., o informačních systémech veřejné správy, musí bezpečnostní opatření režimu nižších povinností zavádět na svých informačních systémech i správci ISVS, kteří nejsou poskytovateli regulované služby – a lhůta jim končí už 31. října 2026, tedy dříve než většině ORP. Dozor v této oblasti vykonává Digitální a informační agentura.
Závěr
Devadesát dní nestačí na dokonalost, ale stačí na to, aby úřad přestal být snadným cílem a měl v ruce doložitelný plán. Horší, než pomalý postup, je jen žádný postup: kapacity dodavatelů se s blížícím koncem lhůt rychle plní a sankce mohou dosahovat desítek milionů korun. Začít se dá tento týden.
- O autorovi
- PaedDr. Vlastimil Veselý, MBA, LL.M. působí ve společnosti CATANIA GROUP s.r.o., která se mimo jiné specializuje na kybernetickou a informační bezpečnost obcí. Úřady provází celým rozsahem zákona č. 264/2025 Sb. – od GAP analýzy přes penetrační testy etického hackera a bezpečnostní dokumentaci až po aplikaci pro správu dokumentů a nepřetržitou ochranu perimetru – tedy systém KIBOO.
- Vlajkovou lodí společnost CATANIA GROUP je poskytování Služeb pro města a obce (SPMO).
