23.2.2026
Novinky:
• AktuálněBezpečnostLegislativa

Že malé obce nespadají pod KB? To bohužel není pravda.

Redakce ISVS.CZ , ,

Obce I. a II. typu nejsou uvedené ve vyhlášce 408/2025 Sb. a nedopadají na ně tedy povinnosti nového zákona 264/2025 Sb., (NZKB). Jenže tohle není úplně pravda.

Do hry vstupuje malé nenápadné ustanovení zákona 365/2000 Sb., o ISVS. Realizace povinností k ISVS stran kybernetické bezpečnosti, ale není doposud zcela vyjasněná, NÚKIB a DIA se přetahují o to, kdo to „nebude“ dělat.

Tento článek se bude věnovat jednomu trochu kontroverznímu tématu a to je rámec kybernetické bezpečnosti u malých obcí. Leckdo zejména malým obcím tvrdí, že se nemusejí obávat a že na ně NZKB vůbec nedopadá. To je ale nebezpečné, protože to není pravda.

Víte třeba, že ve skutečnosti má NZKB dva gestory?

Tím hlavním je samozřejmě NÚKIB, ale pozor! Pro jednu povinnost, která dokáže fakt zavařit mozkové buňky nejednomu pracovníkovi v OVS, je gestorem a koordinátorem i DIA. A to si v tomto článku vysvětlíme.

Ze zákona 264/2025 Sb., tedy z nového zákona o kybernetické bezpečnosti vyplývá, že pod povinnosti stanovené tímto zákonem se podle tohoto zákona řadí poskytovatelé regulované služby.

Tyto regulované služby jsou potom vyjmenovány v příslušné vyhlášce a to konkrétně vyhlášce číslo vyhlášce 408/2025 Sb.. Ta také udává, jestli daný subjekt je v režimu nižších povinností nebo vyšších povinností. A pro nižší a vyšší povinnosti jsou opět procesními vyhláškami stanovené podrobnosti toho, co mají vlastně dělat.

Pochopitelně kybernetická bezpečnost se dotýká i informačních systémů. Nový rámec nebere systém jako samostatné řešení tak, jako tomu bylo u předchozího zákona o kybernetické bezpečnosti, který vyžadoval řešení kybernetické bezpečnosti nad každým systémem zvlášť.

Nyní bere jako celek poskytovatele a jím poskytovanou regulovanou službu. Takže systém je logickou součástí řešení kybernetické bezpečnosti, ale není jeho hlavním předmětem. Důležitá je služba a pochopitelně i informace a procesy, které se dané služby týkají.

Zákon zavádí jako jeden typ tzv. podpůrných aktiv technická aktiva, kterými jsou například informační systémy, ale také hardware, který slouží k jejich fungování, a nebo další IT prostředky související s poskytováním dané regulované služby.

Pro veřejnou zprávu obecně platí, že prakticky jedinou hlavní regulovanou službou je služba 1.1, tedy výkon veřejné zprávy (ve vyhlášce pojmenovaný jako Výkon svěřených pravomocí). A u podrobností této služby se dočteme, že obce s rozšířenou působností jsou v nižších povinnostech a z toho tedy plyne, že obce prvního a druhého typu pod zákon o kybernetické bezpečnosti nespadají. To ale bohužel není pravda.

Pozor na zákon o ISVS

Vstupuje nám sem totiž tak trochu bokem zákon o informačních systémech veřejné zprávy.

A ten v relativně novém § 5b říká, že správci informačních systémů veřejné správy, tedy orgány veřejné zprávy, kteří zpravují informační systémy veřejné správy, i když nejsou zákonem o kybernetické bezpečnosti, respektive související vyhláškou, vyjmenovány jako poskytovatel regulované služby v nižších nebo ve vyšších povinnostech, se v rámci správy informačního systému veřejné správy musí chovat podle §14 zákona o kybernetické bezpečnosti, tedy jako kdyby byly v režimu nižších povinností.

§ 5b Zákona č. 365/2000 Sb.: Správci informačních systémů veřejné správy, kteří nejsou poskytovateli regulované služby podle zákona o kybernetické bezpečnosti, jsou povinni na jimi spravované informační systémy veřejné správy zavádět bezpečnostní opatření pro poskytovatele regulované služby v režimu nižších povinností podle § 8, 13 a 14 zákona o kybernetické bezpečnosti, a to přiměřeně s ohledem na možné dopady narušení důvěrnosti, integrity a dostupnosti konkrétního informačního systému veřejné správy na činnost jeho správce a jeho schopnost poskytovat své služby občanům, a dále vhodnost a proveditelnost těchto opatření.

Tahle záležitost se dosud obešla bez větší pozornosti jak ze strany obcí, tak ze strany odborné veřejnosti, což je trochu škoda. Sám NÚKIB se k tomu moc nevyjadřuje, protože zcela oprávněně tvrdí, že regulaci a kontrolu v této oblasti nevykonává on, ale Digitální informační agentura, která vykonává všechny kontrolní a režimové činnosti v souvislosti se zákonem o informačních systémech veřejné správy.

Jenže, co to vlastně znamená?

I malé obce se tak musí připravit na to, že se po nich bude ze strany digitální a informační agentury a možná i dalších úřadů, které se v této oblasti angažují, vyžadovat plnění povinností ke kybernetické bezpečnosti v režimu nižších povinností. Těch je naštěstí o dost míň než v režimu vyšších povinností, ale i tak to může být pro řadu obcí a nejen obcí, ale i dalších orgánů veřejné správy, které zpravují alespoň jeden informační systém veřejné správy, docela velká zátěž.

Navíc v situaci, kdy jim všichni slibovali, že se jich kybernetická bezpečnost dotýkat nebude a kdy sami nemají o novém rámci kybernetické bezpečnosti prakticky žádné ponětí, pokud se takové organizace obrátí na NÚKIB, ten jim taky moc nepomůže. A to právě s odkazem na to, že tuto problematiku řeší a bude řešit Digitální informační agentura.

A samotná DIA na tom není se znalostmi zatím o moc lépe. Na posledním jednání Pracovní skupiny architektury Rady vlády pro informační společnost se tato problematika řešila a nejen ze strany obcí a dalších orgánů veřejné zprávy, byla vznesena celá řada obecných, ale i ryze konkrétních otázek.

Zatím na všechny z nich nejsou odpovědi, ale DIA se této problematice v následujících týdnech a měsících bude muset intenzivně věnovat, protože přece jen zákon o informačních systémech a celá jeho oblast je v jejich gesci.

Není tak zatím úplně jasné, jak přesně se bude rozsah jednotlivých povinných opatření v nižších povinnostech stanovených příslušnou vyhláškou v rámci malých obcí, ale i dalších orgánů veřejné zprávy, které zpravují alespoň jeden informační systém veřejné zprávy řešit.

A to není dobrá zpráva ani pro obce, ani pro dodavatele, ani pro DIA, a ani pro nás jako občany, kteří od těchto orgánů chtějí jasné a bezpečné služby. Jedno je ale už teď jisté, budeme se tomu muset všichni věnovat.

A tak toto berte spíš jako úvod a vzkaz i těm malým obcím, které si oddechli, že se jich kybernetická bezpečnost nebude týkat. Není to totiž pravda a i oni se musí připravit na to, že to budou muset řešit.

Za stávající situace, kdy schází odborníci, schází metodiky a není vlastně úplně jasné, co se po nich bude chtít, to ale samozřejmě nemají jednoduché. A tak bude asi dobře, když se spojí a společně s DIA budou pracovat na tom, aby byla správně naplněna litera a hlavně účel onoho paragrafu v zákoně o informačních systémech veřejné správy, který je jistě rozumný. Ale zároveň, aby je kybernetická bezpečnost na malých úřadech nezahltila.

Vodítko pro subjekty v nižších povinnostech

EGdílna připravila pro poskytovatele služeb v nižších povinnostech šablonu pro zpracování přehledu opatření, což je právě jedna z jejich hlavních povinností. Tento seznam opatření je zároveň přehledem toho, co mají tyto subjekty dělat a na čem záleží.

Šablona Přehled opatření KB nižší je k dispozici jak ve DOCX/ODT, tak i v připraveném Excelu s filtry, což se dá rovnou použít.

Nový legislativní rámec kybernetické bezpečnosti

V listopadu 2025 vstoupil v účinnost nový rámec pro kybernetickou bezpečnost a bezpečnost informací. Ten zcela nahrazuje původní zákon 181/2014 a jeho prováděcí rámec. Nový zákon zakotvuje Nové pojetí kybernetické bezpečnosti na základě nové legislativy.

Rámec tvoří zcela nový zákon o kybernetické bezpečnosti (NZKB) a jeho prováděcí předpisy. Nová legislativa zahrnuje zákon obecně, stanovuje právní rámec pro celou oblast kybernetické bezpečnosti a také definuje ty základní povinnosti. Sám zákon ale konkrétní rozsah povinností neurčuje. Ty jsou určeny až třemi prováděcími předpisy.

Jedna vyhláška stanovuje konkrétní regulované služby a především udává rámec, zda je poskytovatel v nižším nebo vyšším rozsahu povinností. A pak jsou dvě vyhlášky.

Jednak nižšímu rozsahu a druhá k vyššímu rozsahu, které už obsahují konkrétní procesní povinnosti a jejich podrobnosti. Legislativní rámec tak není úplně přehledný na první pohled, avšak rozdělení do dvou procesních vyhlášek je dobré v tom, že pokud subjekt ví, jakou úroveň povinností má řešit, stačí mu si přečíst pouze příslušnou vyhlášku a postupovat podle ní. A zbytkem v právním rámci se prakticky nemusí zabývat.

K tématu:

  • 264/2025 Sb., (nový zákon o kybernetické bezpečnosti) je samotný zákon udávající celý rámec a především odkazující na prováděcí vyhlášky
  • 408/2025 Sb., (vyhláška o regulovaných službách) vymezuje jednotlivé regulované služby jejich taxativním výčtem a deklaruje, za jakých podmínek je poskytovatel těchto služeb v režimu nižších či vyšších povinností
  • 409/2025 Sb., (vyhláška o vyšších povinnostech) je procesní vyhláškou s podrobnostmi povinností pro vyšší rozsah – tedy se jí řídí poskytovatelé služby ve vyšších povinnostech
  • 410/2025 Sb., (vyhláška o nižších povinnostech) je procesní vyhláškou se základním rozsahem povinností v nižším rozsahu – tedy se jí řídí subjekty v nižších povinnostech
  • 411/2025 Sb., (vyhláška o bezpečnostních úrovních ISVS) je vyhláška pro OVS jako správce ISVS ke stanovení jejich bezpečnostní klasifikace, což významně ovlivňuje jejich rozvoj, provoz a řízení
  • 412/2025 Sb., je další procesní vyhláškou pro OVS pro základy bezpečnosti při používání cloud computingu podle zákona o ISVS

EGdílna

Tweet
Share
Share
Pin

Mohlo by se vám také líbit

Vláda slibuje digitální akceleraci: rychlejší internet, 5G i víza pro AI talenty

Redakce ISVS.CZ

MMR podpoří umělou inteligencí práci stavebních úřadů

Redakce ISVS.CZ

Bezplatný online kurz MMR poradí, jak řídit projekty z EU fondů

Redakce ISVS.CZ

Kontrolní plán ÚOOÚ pro rok 2026

Redakce ISVS.CZ

SMS ČR bije na poplach. Stavební novela vzniká bez hlasu těch, jichž se týká.

Redakce ISVS.CZ

Konference v Jihlavě: AI ve veřejné správě / Odolnost služeb eGovernmentu – prezentace a videozáznamy

Redakce ISVS.CZ