Na to, jaké jsou v České republice novinky v legislativě v oblasti kybernetické bezpečnosti, nám odpovídal Mgr. Jan Kozák, projektový manažer ve společnosti AXENTA a.s.
Jaké novinky či klíčové změny přináší nová Národní strategie kybernetické bezpečnosti ČR platná od roku 2026?
Předně bych rád zdůraznil, že strategie není nová, ale jedná se aktualizaci strategie z let 2021-2025, která reaguje na zhoršující se globální bezpečnostní situaci a technologické změny posledních let. Cílem strategie je potřeba připravit organizace (veřejný i soukromý sektor) na aktuálnější hrozby, moderní technologie a rychlé změny.
Strategie se rozdělila do tří hlavních pilířů:
1) bezpečná strategická infrastruktura,
2) celospolečenská připravenost a rozvoj,
3) mezinárodní spolupráce a prosazování zájmů.
Strategie klade větší důraz na lidské zdroje a vzdělávání. To je reakce na nový zákon o kybernetické bezpečnosti, který klade vyšší nároky na vzdělávání managementu a zaměstnanců, ale také stanovuje povinnost určit osoby odpovědné za kybernetickou bezpečnost v organizaci dle vyšších a nižších povinností. To je částečně novinka, protože tuto povinnost mělo dle stávajícího zákona jen malé množství institucí, které do něj byly zařazeny.
Organizace budou čelit vyšším požadavkům na kvalifikaci zaměstnanců. Bude nutné více propojit školství a praxi a zvýšit tak počet absolventů oborů zaměřených na tuto oblast. Rostoucí tlak na školení, certifikace a kontinuální vzdělávání nutně povede ke zvýšení poptávky u certifikačních školících organizací. Zda poroste i cena těžko předvídat, bude záležet na kapacitách.
Další silný důraz je na alternativní řešení k rizikovým technologiím, podporu nových platforem pro sdílení informací a koordinaci ve vztahu k technologickým závislostem. To může vést k tlaku na domácí vývoj a zvýšení investic do bezpečných technologií. Existuje i možnost omezení některých zahraničních nástrojů v případě bezpečnostního rizika. Pro SOC/bezpečnostní týmy to bude znamenat více možností a výzev při výběru technologického zázemí.
Strategie obsahuje i další důležité body. Doporučuji se s ní seznámit na stránkách NÚKIBu.
Jaký dopad očekáváte od nového zákona o kybernetické bezpečnosti, který vstupuje v platnost 1. listopadu 2025?
Na tuto otázku nyní nemám jasnou odpověď. Za mě čas ukáže, jak se k tomu ve společnosti postavíme. Nový zákon není revoluce, ale evoluce stávajícího zákona, která reaguje na technologický posun společnosti a aktuální bezpečností situaci ve světě. Velkou výzvu bude představovat umělá inteligence, která je integrována do celé řady systémů a stále více řídí firemní procesy, ale zároveň není nezranitelná ani neovlivnitelná. Více než kdy jindy bude potřeba zapojit kritické myšlení. Nový zákon jistě mít dopady bude, a to zejména na společnosti, které se doposud tématu kybernetické bezpečnosti nevěnovaly, ať už byly důvody jakékoliv. A není jich úplně málo, z mé vlastní zkušenosti. Tak ten náraz vzhledem k požadavkům může být citelný, a to jak investičně, tak mentálně. U firem, které k tomuto tématu přistupovali zodpovědně, ať už podle současného zákona, nebo zkrátka proto, že to dneska je součástí každého podnikání, tak to bude spíš jen formalitou.
Jaké konkrétní kroky čekají veřejnou správu, školy a firmy v souvislosti s novou legislativou a strategií?
Prvním krokem pro každou organizaci bude samo identifikace na portálu NÚKIB. Další kroky se už budou následně řídit úrovní povinností na základě toho, jak bude daná společnost určena. Tedy vyšší nebo nižší povinnosti.
Určení je striktně věcí NÚKIB. Doporučuji si projít kalkulačku na jejich webových stránkách. Pokud bude společnost určena, tak dalším krokem je nahlášení osoby nebo osob, které budou za organizaci odpovědné za kybernetickou bezpečnost. U nižších povinností je to jedna osoba, u vyšších povinností je to osob více v rolích manažera KB, auditora KB a architekta KB. Následuje rok na zpracování a zavedení opatření, případně připravení plánu v této oblasti.
