Ivana Švecová: Dlouho očekávaný nový zákon o kybernetické bezpečnosti byl schválen a účinnosti nabývá 1. listopadu 2025. Firmám tak začíná legislativní maraton, ve kterém se musí dostat do souladu se zákonem, který nově dopadá na tisíce firem v České republice. Jak se dotkne českých firem a organizací? A jaké kroky je nyní potřeba udělat? O tom, ale nejenom o tom, se dnes budeme bavit s kolegou Honzou Pichem, který v EY působí jako expert právě na kybernetickou bezpečnost.
Proč je dnes kybernetická bezpečnost tak důležitým tématem pro všechny z nás – firmy i jednotlivce – a už dávno není jen pro pár IT nadšenců?
Jan Pich: Kybernetická bezpečnost a digitalizace jsou ve své podstatě spojené nádoby a propojené součásti. Jsme součástí digitálního světa – počínaje chytrými hodinkami, telefony nebo například solárními panely na střeše našeho domu, které jsou připojené k internetu. Já bych dal třeba příklad s autem: máš auto a výrobce samozřejmě musí být povinen dát do auta bezpečnostní prvky, jako jsou airbagy nebo třeba bezpečnostní pásy. Ve finále je to ale na řidiči, který auto používá, jestli si bezpečnostní pásy zapne, nebo jestli bude dodržovat dopravní předpisy. A s digitálním světem a kybernetickou bezpečností je to podobné. Výrobci do těch zařízení samozřejmě dávají nějaké bezpečnostní mechanismy, ale je to na nás, na uživatelích těchto digitálních technologií, jak je používáme a jakým způsobem dodržujeme základní bezpečnostní opatření.
Protože to je ve finále to, co dělá naši kyberbezpečnost.
Ivana Švecová: To je vlastně hrozně jednoduché a hezké přirovnání. Byť ne všichni z nás si to třeba plně uvědomují v souvislosti s kybernetickou bezpečností. Nicméně dovol mi vrátit se k jádru té otázky: proč právě dnes tak významně řešíme kybernetickou bezpečnost?
Jan Pich: Já vnímám, že je tady určitý dluh právě s tím, jak masivně roste digitalizace – ve spojení třeba s technologiemi, jako je umělá inteligence – a adekvátně s ní kyberbezpečnost neroste. Vznikl tu tak určitý dluh, který teď doháníme. A právě proto je ten tlak regulací, jako je NIS2, na to, abychom takový dluh dokázali smazat jako společnost.
Ivana Švecová: A jak s tímhle například souvisí čím dál častější útoky, o kterých slýcháme v médiích – na nemocnice, na úřady, na energetická zařízení?
Jan Pich: Je to úzce propojené, protože tak, jak jsme svědky té masivní digitalizace, o které jsem mluvil, má to dva hlavní dopady. Jedním z nich samozřejmě je, že útočníci mají mnohem větší plochu, na kterou mohou útočit. A druhým je, že jsme čím dál tím víc na těchto digitálních technologiích závislí, a samozřejmě ten útok nás čím dál tím víc bolí. Už to není zablokovaný účet na sociálních sítích, ale útok může – když jsi zmínila třeba ty nemocnice – ve své podstatě znamenat dopad i do zdraví nebo životů. Můžeme zmínit třeba slovenský katastr, který nedávno útokem prošel. Představme si situaci, že by útok ochromil katastr třeba na šest měsíců – jaký vliv by to mělo na realitní trh, na prodávání a kupování nemovitostí? Celkově těch oblastí je pak hodně, a i právě proto máme regulaci, která nutí poskytovatele těchto služeb k tomu, aby zajistili jejich kybernetickou odolnost a tím pádem ochránili jejich fungování.
Ivana Švecová: Tady jsi právě popsal velmi významné dopady těchto sofistikovaných útoků. Shrň nám, prosím, jak se tahle oblast vyvinula například v porovnání s dobou před deseti lety.
Jan Pich: Vnímám, že jsou tu tři hlavní oblasti, kde jsme se proměnili. Tou první je proměna toho, koho vnímáme jako útočníka, respektive jaká je jeho motivace. Posunuli jsme se z fáze, kdy útočník byl buď jednotlivec, nebo malá skupina, k tomu, že dnes jsou to poměrně dobře fungující velké organizace. Fungují podobně jako velké nadnárodní firmy, jen jejich core byznysem je kybernetická kriminalita. Prostě jsou to útoky na objednávku – můžeš si od nich objednat útoky, jako jsou malware-as-a-service, DDoS-as-a-service nebo ransomware-as-a-service. Je to služba jako každá jiná. Zároveň druhou změnou v posledních letech je dostupnost útoků – nejen z pohledu toho, co jsem říkal, že si dnes útok může objednat úplně kdokoliv, ale také došlo k proměně v tom, kdo ten útok může spáchat. Dnes už nepotřebuješ žádné speciální znalosti v programování nebo sítích k tomu, abys útok naplánovala a provedla, ale s rozmachem technologií, jako je umělá inteligence, a díky sociálním sítím typu YouTube, kde dnes najdeš úplně jednoduché návody, si útok může buď objednat, anebo provést prakticky kdokoliv. A třetím bodem, který bych chtěl říct, co se proměnilo, je obrana – tedy to, co chráníme. Dogma, že firemní prostředí je jakýsi hrad, který potřebujeme opevnit zdmi a okolo vybudovat vodní příkopy, je pryč, protože tak, jak se proměnila naše práce – pracujeme z různých typů zařízení, pracujeme z domova – to všechno mělo významný dopad do toho, že ta stará architektura typu „jeden velký hrad, který musíme zabezpečit,“ je pryč a ve své podstatě se posouváme k zabezpečení identity, digitální identity, což je v moderních způsobech a moderních metodikách zabezpečení středobod, kolem něhož se vše točí.
Ivana Švecová: Je až děsivé, jak jednoduché je dnes vlastně naplánovat a provést jakýkoliv útok na kohokoliv na zeměkouli. Mě ale zaujala ta poslední věc, kterou jsi zmínil, a to je ta digitální identita. Co si pod tím máme představit a co je konkrétně digitální identita nás a firem?
Jan Pich: Ve své podstatě se digitální identita teď stává středobodem strategií zabezpečení podnikových systémů nebo obecně. A ten princip spočívá v tom, že máme nějakou důvěryhodnost té digitální identity, se kterou souvisí například typ zařízení, ze kterého přistupuješ. Je to například lokace, odkud přistupuješ, nějaká tvoje historie, jak ses v tom systému chovala. To všechno jsou nějaká metadata, která digitální identita nese, a ty moderní způsoby zabezpečení pak ověřují, řekněme, tento stav metadat a rozhodují, jestli k těm datům ty jako digitální identita – jako osoba nebo třeba aplikace – přistoupíš, případně s jakými právy k nim přistoupíš.
Ivana Švecová: Tak, jak teď popisuješ ty moderní metody nebo přístupy k datům – reflektuje tohle nový zákon o kybernetické bezpečnosti?
Jan Pich: Zákon do takového detailu, aby předepisoval nějaký konkrétní model, jak implementovat bezpečnost, nejde. Je to spíš souhrn doporučení organizačního a technického rázu. Cílem toho zákona je, aby daná společnost měla nějaký funkční systém řízení kybernetické bezpečnosti, který se skládá právě z lidí, procesů a technologií, aby byl takový systém schopný detekovat nebo zvládnout nějakou hrozbu a reportovat třeba bezpečnostní incident směrem k Národnímu úřadu pro kybernetickou a informační bezpečnost. Ale není to tak, že by diktoval nějakou konkrétní podobu. To si myslím, že je důležité zmínit, protože ten zákon nevyřeší žádná zázračná krabička, kterou si firma koupí. Zároveň zákon nevyřeší to, že napíšu jeden dokument a udělám si fajfku v checklistu, že mám vyřízeno. Opravdu to míří k tomu, aby společnosti vybudovaly systém řízení, který bude schopný pojmout společnost, její kontext i její fungování, než že bychom tohle vyřešili jedním nástrojem.
Ivana Švecová: Když se dostáváme tedy už ke konkrétnímu znění toho zákona, jaké jsou klíčové změny, které nový zákon o kybernetické bezpečnosti pro nově regulované anebo již regulované společnosti přináší?
Jan Pich: Tou klíčovou změnou je určitě rozsah, protože ve starém zákoně bylo okolo 500 regulovaných subjektů čistě kritické infrastruktury, k šesti až deseti tisícům. Některé odhady mluví právě až o těch desetitisících, takže nárůst bude opravdu markantní. Druhou změnou, kterou zákon přináší, je přímá odpovědnost vedení, která se nově v zákoně objevuje, a vedení nově bude přímo odpovědné za zajištění a řízení kybernetické bezpečnosti. Ale mimo jiné, aby tohle mohlo vykonávat, bude se muset třeba povinně školit. A tím posledním, co bych zmínil, jsou sankce, protože je to určitý motivační nástroj k tomu, jak společnosti donutit nenechat implementaci požadavků tohoto zákona ležet ladem. Ty sankce budou hodně podobné tomu, co vidíme třeba u GDPR, takže finanční motivace bude opravdu veliká.
Ivana Švecová: A jakých firem se zákon týká?
Jan Pich: Jsou to ty firmy, které jsem zmínil, je jich zhruba 500. Ty reguloval předchozí zákon o kybernetické bezpečnosti, ale nově to budou společnosti, které splňují požadavky jako velikost 50 zaměstnanců a více, respektive obrat 10 milionů eur. Ale zároveň jsou, nebo poskytují, nějakou z regulovaných služeb. Můžeme si to představit tak, že jsou to dvě hromádky – vyšší a nižší povinnost. Ty vyšší povinnosti jsou firmy, jejichž narušení by bylo pro českou společnost nebo pro chod státu citelné. Patří sem třeba energetika, nemocnice, důležité státní úřady, ale třeba i poskytovatelé digitální infrastruktury. Vzpomeňme třeba na blackout, který teď v létě nastal, tedy ne vlivem kybernetického útoku, ale viděla jsi ty okamžité dopady do fungování společnosti. A pokud by nějaký kybernetický útok zapříčinil podobný výpadek, tak to jsou přesně ty situace, na něž ten zákon míří a chce, aby takové služby byly kyberneticky odolné.
Ta druhá skupina či hromádka, to jsou služby, které jsou také důležité, ale ne tolik. Tam patří třeba potravinářství, kurýrní služby, ve své podstatě služby, kde by dopad také byl, ale řekněme ne okamžitě. Z dlouhodobého hlediska by to samozřejmě nějaké narušení společnosti přineslo, takže pokud by ten balíček dorazil o něco později, tak by nás to pravděpodobně štvalo, ale z dlouhodobého hlediska, kdyby se přerušilo fungování, by to samozřejmě dopad na společnost mělo. Mimo jiné sem třeba spadají i vyhledávače nebo nějaké větší e-shopy.
Ivana Švecová: Představme si, že jsem ředitelka výrobní firmy a jsem si vědoma tohoto zákona, ale vlastně nevím přesně, co dělat, co jsou teď ty kroky, které mě čekají, mám pasivně čekat, nebo aktivně něco řešit?
Jan Pich: Rozhodně nečekej. Ten zákon je postavený na tzv. samoidentifikaci, to znamená, že ti nedorazí žádný dopis, který by tě vyzval k tomu, abys něco dělala. Je tvojí odpovědností, aby ses takzvaně samoidentifikovala. To probíhá na portálu Národního úřadu pro kybernetickou bezpečnost. Ale ještě předtím, než tohle uděláš, je vhodné si udělat tzv. dopadovou analýzu. Ta by měla přezkoumat všechno, co děláš. Ono to totiž není tak úplně jednoduché, jak jsem v té předchozí odpovědi zmiňoval – je tam určitá velikost podniku nebo obrat, případně ta regulovaná služba, ale vstupují do toho například propojené partnerské podniky, tudíž se to různě sčítá. Zároveň třeba z pohledu regulovaných služeb to může být konkrétní typ služby. Ta tvoje továrna, kterou vedeš, tedy třeba do toho zákona nebude spadat z hlediska regulovaných služeb, ale proto, aby sis třeba ulehčila nějakou svoji logistiku, tak si vybuduješ čerpací stanici, kterou se rozhodneš poskytnout i veřejnosti – a tím rázem spadáš do regulovaných služeb v oblasti dopravy. Takže dopadová analýza je určitě vhodná ještě předtím, než se provede samoidentifikace. Je vhodné ji dělat s nějakým silným partnerem, protože není jenom o kybernetické bezpečnosti, ale vstupuje tam hodně i právní oblast, takže je vhodné, aby partner zastával obě tyto domény.
Ivana Švecová: Všechno, co jsi teď popsal v EY přece umíme, ne?
Jan Pich: Samozřejmě umíme. Dopadové analýzy děláme ve spolupráci s naší právní kanceláří, s Ondrou Havránkem a jeho týmem. Takže to jsou služby, které jsme určitě schopni poskytnout.
Ivana Švecová: Pojďme se vrátit zpátky. Když tedy zjistím během samoidentifikace, že zákon na mě bude dopadat, jaké jsou další kroky?
Jan Pich: Pokud ti dopadová analýza ukáže, že se tě zákon pravděpodobně týká, musíš jít na portál Národního úřadu pro kybernetickou bezpečnost a od účinnosti zákona máš 60 dnů na to, abys provedla právě tu zmíněnou samoregistraci, pak následně čekáš na vyjádření Národního úřadu pro kybernetickou bezpečnost a po jeho stanovisku ti běží roční lhůta, během níž musíš naplnit požadavky, které jsou v zákoně popsané.
Ivana Švecová: Zmiňuješ jeden rok, je to dostatečně dlouhá doba na zajištění souladu?
Jan Pich: Jak se to vezme. Rok může být dlouhá, nebo i krátká doba, ale je tu samozřejmě řada faktorů, které zde hrají roli – jak jsi daleko se stavem kybernetické bezpečnosti, jestli to rozjíždíš z nuly, nebo už něco třeba u tebe ve firmě je. Ale obecně bych řekl, že tato doba je velmi krátká, jelikož ten zákon přináší opravdu spoustu významných požadavků, ať už se týká třeba hlášení kybernetických incidentů – to je ve své podstatě poměrně těžká disciplína na to, aby sis za jeden rok nastavila kompletní systém toho, jak monitorovat a jak hlásit. Ono to totiž není jenom o koupi jedné krabičky nebo napsání jednoho dokumentu, ten systém musí fungovat. Je třeba mít lidi, technologie a samozřejmě procesy. S kvalitním partnerem se to určitě zvládnout dá. I z našeho průzkumu vychází, že firmy, které jsou dnes s implementací nejdál, jdou střední cestou – to znamená, že budují svůj interní tým, ale budují ho společně s externími partnery. To je kombinace, kdy firmy opravdu dokážou souladu dosahovat nejrychleji. Naopak firmy, které třeba jenom řeší externí dodavatele a nebudují si interní kapacity, v našich průzkumech dost často přeinvestují. Naopak firmy třeba z druhého konce, které to řeší úplně bez externích partnerů, jsou dost často zatíženy tzv. provozní slepotou a dost často nepokryjí úplně všechno.
Ivana Švecová: Z průzkumů EY víme, že firmy velmi často čelí různým výzvám, typicky nedostatku peněz a lidí; jakým způsobem se mohou firmy dostat z téhle poměrně komplikované situace ven?
Jan Pich: Co se týče chybějícího personálu nebo expertizy, řekl bych, že je na tom trochu hůř státní sektor. Je to samozřejmě dáno financováním a schopností zaplatit dané odborníky, ale vidím řešení ve sdílených centrech. Představ si třeba Zlínský kraj, který má pod sebou nemocnice, školy, různé úřady. Všechny tyto instituce budou regulovány zákonem o kybernetické bezpečnosti a na úrovni kraje by mohlo vzniknout jakési sdílené centrum služeb, které bude poskytovat třeba kybernetické služby právě tady těm regulovaným subjektům spadajícím pod kraj. A zároveň tady máme třeba Univerzitu Tomáše Bati ve Zlínském kraji, která produkuje odborníky, které tohle centrum bude potřebovat, takže si tím vlastně zajistí i to, že nebude jejich odliv do dalších měst. To už se například děje v Jihočeském kraji, kde takové centrum vzniká.
Ivana Švecová: A co soukromé firmy?
Jan Pich: U soukromých firem je ta situace podobná. Jsou na tom trochu lépe, protože samozřejmě mohou alokovat více financí a ty odborníky si „v uvozovkách“ zaplatit, ale ten problém je celospolečenský. Ti odborníci jednoduše nejsou. To, co teď řeknu, nebude samozřejmě všespásné, ale u našich klientů se hodně osvědčili tzv. security šampioni, což jsou dost často lidé napříč celou organizací, které se nám podaří nadchnout pro kybernetickou bezpečnost a uděláme z nich tzv. prodlouženou ruku. Leckdy je to třeba někdo z financí nebo z HR, protože stejně, když nějaké bezpečnostní opatření chceme nasazovat, nejlépe to, jak lidé pracují, zná člověk z daného oddělení. Takže máme tzv. security šampiony, kteří nám pomáhají protlačovat naši kybernetickou bezpečnost a pomáhají bezpečnostnímu týmu šířit a implementovat ta opatření skrz společnost. A je to velice účinný nástroj, protože najednou se s těmi lidmi nemusíte hádat, ale tlačí to prostě třeba paní z financí. Ale souvisí s tím i další způsoby, třeba důležité je, jak pojme společnost firemní program vzdělávání v kybernetické bezpečnosti, protože lidé stále budou tím nejslabším článkem systému, ale když je budeme mít dobře proškolené a budou si vědomi těchto rizik, tak nám dokážou s kyberbezpečností hodně pomoct. Jsou tu potom další způsoby, jak se s touto absencí odborníků a financí popasovat. Máme tu určitě prostor v různé automatizaci a v neposlední řadě je to samozřejmě outsourcing ke spolehlivému partnerovi.
Ivana Švecová: Pojďme se tady ještě krátce zastavit u průzkumů EY, jak si stojí české firmy v souvislosti s připraveností na nový zákon o kybernetické bezpečnosti.
Jan Pich: Vidíme tady takové dvě skupinky. Jsou to ti matadoři, většinou společnosti, které už jsou regulovány a mají tu zkušenost. Ví, jak si připravit rozpočet, ví, jaká opatření je čekají, a jsou, řekněme, v přípravě klidnější a konzistentní. Na druhé straně jsou tu nové firmy, které vlastně vůbec neví, co je čeká, a u nich vidíme jistou nervozitu, neví si rady s rozpočtem, neví, kdy implementovat. Obecně bych řekl, je to takový klid před bouří. Každý vyčkává, co bude, ale to je, řekl bych, ta nejhorší situace, protože vybudovat kybernetickou bezpečnost, systém kybernetické bezpečnosti tak, aby to vyhovovalo zákonu, ale byl hlavně dlouhodobě udržitelný, není otázka řádu měsíců a nákupu jedné technologie. Bude to opravdu dlouhá cesta, takže vyčkávat bych nedoporučil.
Ivana Švecová: A když se podíváme na sentiment například v české společnosti, jak vůbec vnímá hrozbu kybernetické bezpečnosti?
Jan Pich: To je zajímavé. Naše průzkumy totiž ukazují, že poměrně velká část společnosti – více než tři čtvrtiny – vnímá hrozby kyberbezpečnosti jako důležité a bojí se jich. Ale naopak, je tam paradox, kdy pouze asi 20 procent dotázaných přijímá vlastní odpovědnost za zajištění kybernetické bezpečnosti. Zbytek vlastně očekává, že kyberbezpečnost za ně někdo vyřeší.
Ivana Švecová: A přebírá tedy někdo tuhle zodpovědnost za občany České republiky? Nějaká firma, organizace?
Jan Pich: Nepřebírá. Odpovědnost je společná a je na nás všech, ale je tu zajímavé zjištění z našeho průzkumu. Nejvíce důvěryhodné digitální služby poskytují podle našich respondentů banky. Jsou mnohem dál v důvěře než třeba státní instituce nebo e-shopy a je to z jednoho důvodu. Banky dlouhodobě investují do komunikace a do budování digitální důvěry. Pokud se budeme bavit o tom, kde vlastně vidíme nějakého školitele na kyberbezpečnost, je to většinou bankovní aplikace, kde nám vyskočí nějaké push okno a varuje nás před phishingem a podobnými útoky. Takže tohle se těm bankám vrátilo v podobě toho, že uživatelé jejich službám věří a vybudovali si digitální důvěru.
Ivana Švecová: Což má pravděpodobně velmi pozitivní dopad na jejich konkurenceschopnost.
Jan Pich: Přesně tak, digitální důvěra je určitě konkurenceschopnost a je to investice do budoucna.
Ivana Švecová: Když to shrnu, tak tady vnímáme tlak ze strany regulátora, tlak ze strany občanů a zároveň nedostatek expertů, kteří by v téhle situaci mohli pomoci. Co nám ale nový zákon o kybernetické bezpečnosti může přinést jako společnosti?
Jan Pich: Vlivem masivní digitalizace, o které jsme mluvili, jsme jako společnost závislí na digitálních službách a z mého pohledu se tohle bude už jen prohlubovat. Ten zákon nám přináší jistotu v tom, že i firmy, které se o téma doposud nezajímaly, budou muset přijmout fakt, že kybernetická bezpečnost je součástí digitalizace, a budou poskytovat služby, které budou kyberneticky odolné. My můžeme klidněji spát, protože budou na útoky mnohem lépe připravené, a i když ten útok přijde – jako že přijde – tak bude vyřešený v mnohem kratším čase a jeho dopady pro nás budou mnohem méně bolestivé.
Ivana Švecová: Co bys tedy firmám doporučil?
Jan Pich: Rozhodně nečekejte na to, že se něco stane, nečekejte na útok, nečekejte, až začne zákon platit. Když se začnete připravovat, přesuňte téma kyberbezpečnosti ze serverovny k jednacímu stolu. Protože hlavně management ponese odpovědnost. A investujte do kyberbezpečnosti, protože kyberbezpečnost není přítěž, je to investice do budoucna, je to investice do vaší digitální důvěry.
