Články s tagem: kybernetická bezpečnost

Digitalizace veřejné správy postupně mění nejen způsob vedení řízení, ale i samotnou povahu dokazování. Tam, kde dříve hrály hlavní roli listiny, doručenky, úřední záznamy nebo svědecké výpovědi, dnes stále častěji vstupují do hry logy, metadata, časová razítka, změnové historie a workflow záznamy informačních systémů.

S rozvojem AI rostou i rizika tzv. Shadow AI, používání neschválených nástrojů a aplikací umělé inteligence při práci s důvěrnými firemními informacemi, daty obchodních partnerů nebo s osobními údaji klientů a zaměstnanců. Zaměstnanci – obvykle v dobré víře a ve snaze zvýšit produktivitu práce – totiž svěří chráněná data nástrojům, nad kterými nemá firma kontrolu a slouží například ke zdokonalování umělé inteligence.

Jaké jsou možnosti mezinárodní spolupráce v oblasti kybernetické bezpečnosti při řešení problému zneužití zranitelností nultého dne?

Nový zákon o kritické infrastruktuře zásadně mění pohled na dodavatelské vztahy: klíčovou roli nově hrají tzv. kritičtí dodavatelé, jejich identifikace i prověřování. Jaké povinnosti z toho plynou pro organizace a jak se promítají do řízení rizik i každodenní praxe?

Kdo stojí mezi kritickou infrastrukturou a státem? Manažer kritické infrastruktury je novou klíčovou rolí, která přináší nejen jasně vymezené povinnosti a požadavky, ale i praktické dopady pro fungování organizací. Co tato pozice obnáší a na co si dát pozor?

V předchozích dílech naší série jsme popsali, jaká rizika jsou s nekontrolovaným využíváním AI ze strany zaměstnanců spojena a jak je lze z pohledu zaměstnavatele řešit. Jednou z klíčových součástí tohoto řešení je i nastavení pravidel, jaké AI nástroje lze využívat, pro jaké úkoly a činnosti či jaká data lze jejich pomocí zpracovávat. Pravidla sepsaná na papíře jsou jedna věc, ale pro skutečné zmírnění rizik spojených s tzv. Shadow AI je nutné jejich dodržování také v praxi kontrolovat.

Rizik spojených s nekontrolovaným a neschváleným využíváním AI nástrojů zaměstnanců (ShadowAI) je celá řada. Jak má organizace využívání umělé inteligence řešit, aby ochránila svá práva a snížila rizika úniku dat či pokut, ale zároveň neudusila iniciativu zaměstnanců a obecně vůli a snahu pracovat efektivněji?

Zaměstnanec si otevře ChatGPT, Gemini, Claude nebo jiný podobný nástroj, začne do něj vkládat pracovní zadání, dokumenty nebo interní data. Jenže zaměstnavatel o tom neví, IT oddělení na jejich používání nedohlíží a tyto nástroje dokonce nebyly zaměstnavatelem ani formálně schváleny. Přesně to je Shadow AI.[1]

Druhý díl série o věnované kritické infrastruktuře se zaměřuje na praktické dopady zařazení subjektu na seznam kritické infrastruktury, shrnuje nové povinnosti, jako je hlášení incidentů, řízení rizik či zajištění odolnosti, stejně jako práva, která mají zajistit nepřerušené poskytování základních služeb.

Nový zákon o odolnosti subjektů kritické infrastruktury zásadně mění dosavadní systém ochrany kritické infrastruktury v České republice. Namísto dosavadního modelu založeného na jednotlivých prvcích zavádí přístup zaměřený na subjekty poskytující tzv. základní služby. V prvním článku naší série vysvětlujeme, jak poznat, zda se na vaši organizaci může nový zákon vztahovat, co jsou základní služby a kritéria významnosti a jaký je rozdíl mezi poskytovatelem základní služby a subjektem kritické infrastruktury.

Nový zákon o odolnosti subjektů kritické infrastruktury není jen další položka na vašem compliance seznamu. Pokud se vás týká, mění způsob, jak přemýšlíte o odolnosti firmy, řízení rizik i fyzické bezpečnosti.

Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti.

Nejpozději do 1. března mají vybrané firmy povinnost označit se za subjekty, které nově spadají pod zákon o odolnosti kritické infrastruktury (č. 266/2025 Sb.), a následně začít přijímat další opatření. A bude jich výrazně více než doposud.

Od 1. listopadu 2025 je v České republice účinný zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „NZKB“), který se do českého právního řádu implementuje evropskou směrnici NIS2 a představuje zásadní milník v oblasti kybernetické regulace na území České republiky za poslední roky.

V listopadu začal v České republice platit nový zákon o kybernetické bezpečnosti, který zásadně rozšiřuje okruh regulovaných subjektů. Na základě evropské směrnice NIS2 se povinnosti dotknou celé řady samospráv. Pro ty ostatní vzniká prostor, jak lépe chránit svou infrastrukturu před hackerskými hrozbami.

Směrnice NIS 2 významně rozšiřuje okruh společností, které podléhají regulaci v oblasti kybernetické bezpečnosti. Nově se týká nejen provozovatelů kritické infrastruktury, ale i celé řady dalších poskytovatelů služeb napříč sektory.

Uživatelé čím dál více vyhledávají informace pomocí AI, která je pro ně automaticky získává, třídí a využívá z veřejně dostupných webových stránek. Toto takzvané scrapování však na weby vytváří velký nápor, který může mít i parametry kybernetického útoku.

Dlouho očekávaný nový zákon o kybernetické bezpečnosti vstupuje v účinnost od 1. listopadu 2025. Zákon zásadně promění způsob, jakým firmy v České republice přistupují k ochraně svých dat a informačních systémů. Pravidla, která byla dosud spíše doménou IT oddělení, se nově stávají i právní a manažerskou otázkou nejvyšší úrovně řízení.

Nadpis je trošku zavádějící, protože když jsem tento příspěvek připravoval, bylo to ještě před blackoutem ve Španělsku a výpadky v Dánsku, kde odstavují větrné elektrárny. Příspěvek má tedy téma spíše oslího můstku.

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, přináší komplexní úpravu práv a povinností v oblasti kyberbezpečnosti. Česká republika tak reaguje na rostoucí hrozby novou legislativou.

Zákonem o kybernetické bezpečnosti Česká republika transponuje směrnici NIS2 a zároveň ruší dosavadní zákon č. 181/2014 Sb. o kybernetické bezpečnosti. Nejde tedy jen o dílčí novelu zákona, ale o plnohodnotnou rekodifikaci oblasti kybernetické bezpečnosti.

Ještě do konce 20. století platilo, že většina technologií měla buď přímý, nebo nepřímý původ ve vojenském prostředí, či souvisela s inovacemi pro vojenské účely. Tato doba je pryč a aktuálně naopak většina inovací přichází z prostředí civilního.

Dne 19. srpna 2025 nabyl účinnosti nový zákon o kritické infrastruktuře, který transponuje směrnici CER. Co nový zákon o kritické infrastruktuře přináší a jak souvisí s novým zákonem o kybernetické bezpečnosti? Na to se podíváme dále v tomto článku.

Nová česká právní úprava kyberbezpečnosti ve formě NZKB sice teprve vstupuje do života, ale přípravy jsou určitě na místě.

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 (NIS 2) představuje dosud nejkomplexnější soubor unijních požadavků na zajištění vysoké úrovně kybernetické bezpečnosti v členských státech.