Národní úřad pro kybernetickou a informační bezpečnost

NÚKIB vydal Varování před některými produkty společnosti DeepSeek

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 10. 7. 2025 VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající ve využívání produktů, aplikací, řešení, webových stránek a webových služeb, včetně aplikačního programového rozhraní (tzv. API), poskytovaných společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností (společně dále jen „dotčené produkty“) na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.  

Na základě vydaného varování musí povinné osoby dle zákona o kybernetické bezpečnosti zohlednit hrozbu v analýze rizik a na zjištěná rizika reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná.

Současně doporučujeme i široké veřejnosti pečlivě zhodnotit použití dotčených produktů, popřípadě zvážení toho, jaké informace do nich vkládá. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme dotčené produkty nepoužívat. Vydané varování a výše zmíněná doporučení jsou v souladu se zákonem o kybernetické bezpečnosti, který ukládá NÚKIB mj. zajišťovat prevenci v oblasti kybernetické bezpečnosti. 

Obavy z možných bezpečnostních hrozeb vyplývají především z nedostatečného zabezpečení přenosu a nakládání s daty, ze sběru takových typů dat, která ve větším rozsahu mohou vést k de-anonymizaci uživatelů, a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jemuž je společnost DeepSeek zcela podřízena. 

Toto varování se nevztahuje na bezpečnostní testování, výzkum a analýzu dotčených produktů ani open-source velké jazykové modely společnosti DeepSeek, jejichž zdrojový kód je veřejně přístupný a který je provozován lokálně, bez možnosti komunikace se servery využívanými společností DeepSeek ani s jejími předchůdkyněmi, nástupnickými, mateřskými, dceřinými či přidruženými společnostmi. 

„Při analýze, která vedla k tomuto varování, jsme vycházeli z kombinace vlastních zjištění a informací od našich zahraničních partnerů. Dotčené produkty společnosti DeepSeek nakládají s daty způsobem, který může představovat bezpečnostní riziko pro subjekty spadající pod zákon o kybernetické bezpečnosti. V kontextu právního prostředí Čínské lidové republiky, které umožňuje státním orgánům přístup k těmto datům, je důvod k obavám zcela oprávněný. To ostatně potvrzuje i nedávná atribuce kybernetického útoku skupiny APT31, napojené na Čínu, proti českému Ministerstvu zahraničních věcí. Ukazuje se, že Peking je připraven jednat v přímém rozporu se zájmy České republiky,“ uvedl ředitel NÚKIB Lukáš Kintr. 

Plné znění varování naleznete zde a metodiku k varování zde.

Simultánně s tímto varováním také Vláda ČR dne 9. 7. 2025 schválila usnesení týkající se dotčených produktů DeepSeek, které brzy naleznete zde. Usnesením bylo členům vlády, ministerstvům a jiným ústředním orgánům státní správy uloženo, že jim podřízená ministerstva a další orgány státní správy nebudou pro výkon jejich pravomocí využívat produkty, aplikace, řešení, webové stránky a webové služby (včetně API) poskytované společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností. Zákaz se týká užívání výše uvedeného na jakýchkoli zařízeních v majetku státu. Uložená povinnost musí být dle čl. IV odst. 4 Jednacího řádu vlády splněna do 30 dnů. Toto usnesení, stejně jako u varování Úřadu, nezahrnuje open-source velké jazykové modely (LLM) DeepSeek, jejichž celý zdrojový kód je k dispozici k nahlédnutí a analýze, v případě, že je model nasazen lokálně bez možnosti komunikovat na servery využívané společností DeepSeek.

OTÁZKY A ODPOVĚDI 

Co je to varování? 

Varováním Národní úřad pro kybernetickou a informační bezpečnost (dále jen NÚKIB nebo také Úřad) upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Vztahuje se na povinné subjekty podle zákona o kybernetické bezpečnosti. Varování neznamená bezpodmínečný zákaz používání daných technických a programových prostředků, subjekty se však musí hrozbou zabývat a zohlednit ji v analýze rizik. 

Dle českého právního řádu, konkrétně § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen ZKB) prostřednictvím varování NÚKIB upozorňuje na existenci hrozby v oblasti kybernetické bezpečnosti, na kterou je nutné bezprostředně reagovat. Dá se předpokládat, že hrozba se může dotýkat řady povinných subjektů podle ZKB. Ty se na základě zmíněného varování musí hrozbou dále zabývat a zohlednit ji v analýze rizik, kterou tyto subjekty v souladu s požadavky ZKB a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnost, dále jen VKB) již pravidelně provádí. Varování tedy neznamená bezpodmínečný zákaz používání daných technických a programových prostředků. 

Samotné označení technických a programových prostředků určité společnosti za hrozbu, jak to NÚKIB ve svém varování učinil, znamená, že je nutné tuto hrozbu zvážit a rozhodnout o výši rizika, které z používání zmíněných technických nebo programových prostředků pro konkrétní prostředí konkrétní organizace plyne. Dovolí-li to tedy výsledky analýzy rizik, lze uvedené technické nebo programové prostředky nadále používat. 

Proč varování vydáváme nyní? 

NÚKIB vyhodnocuje hrozby v oblasti kybernetické bezpečnosti na základě vlastní činnosti, informací od partnerů i z dalších zdrojů. Pokud se NÚKIB dozví o určité hrozbě v oblasti kybernetické bezpečnosti, která dosahuje určité intenzity, musí na takovou hrozbu reagovat. Při vyhodnocování hrozby se vyhodnocuje řada parametrů, například rozšíření dané technologie, její využití v regulovaných systémech, možnost jejího zneužití, výrobce technologie a podobně. K reakci musí mít také dostatek podkladů. To, že NÚKIB varování vydal, znamená, že hrozba je nezanedbatelná a dosahuje určité úrovně a že existuje dostatek podkladů, aby varování mohlo být vydáno. 

Koho se varování týká? Pro koho je platné? 

Varování se týká především povinných subjektů dle zákona o kybernetické bezpečnosti. Konkrétně jsou to správci a provozovatelé informačních a komunikačních systémů kritické informační infrastruktury, správci a provozovatelé významných informačních systémů a správci a provozovatelé informačních systémů základních služeb, kteří jsou povinni podle § 5 VKB pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém a informační systém základní služby provádět pravidelnou analýzu rizik, identifikovat rizika a identifikovaná rizika řídit. Na základě vyhodnocení rizik potom výše uvedené subjekty zavádějí a provádějí bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti v souladu s § 4 odst. 2 ZKB. Bezpečnostní opatření jsou blíže specifikována ve VKB. V souvislosti s řízením rizik musejí podle § 5 odst. 1 písm. h) bod 3 VKB tyto subjekty zohlednit mimo jiné i opatření podle § 11 ZKB, tedy i varování vydané podle § 12 ZKB. 

Pro jiné organizace nebo fyzické osoby varování obecně závazné není. Nicméně s ohledem na charakter této hrozby doporučuje NÚKIB i těmto organizacím a osobám se hrozbou zabývat. 

Nový zákon o kybernetické bezpečnosti byl podepsán prezidentem

Ve čtvrtek 26. června 2025 byl nový zákon o kybernetické bezpečnosti podepsán prezidentem. Publikace zákona ve sbírce zákonů se očekává v průběhu srpna. Předpokládaná účinnost zákona tak nastane k 1. listopadu 2025.

Do 60 dnů po nabytí účinnosti vznikne většině regulovaných organizací povinnost provést ohlášení regulované služby. Podrobnější harmonogram povinností a další informace naleznete v Průvodci novým zákonem o kybernetické bezpečnosti. Lhůty k plnění dalších povinností se počítají ode dne doručení rozhodnutí o registraci (které regulovanému subjektu zasílá NÚKIB).

Aktualizovaná kalkulačka – týkají se nové povinnosti i vás?

S postupem legislativního procesu a odesláním návrhů prováděcích právních předpisů do mezirezortního připomínkového řízení byla aktualizována i kalkulačka na Portálu NÚKIB, aby reflektovala nejnovější podobu vyhlášek. 

Výsledek kalkulačky napoví, jestli bude vámi poskytovaná služba regulovaná dle nového zákona o kybernetické bezpečnosti a jakému režimu povinností bude podléhat. Doporučujeme také projít podpůrné materiály, které pro Vás průběžně připravujeme.

Sledujte Portál NÚKIB pro další informace

Další podrobnosti k harmonogramu zavádění nového zákona naleznete na stránce pro manažery kybernetické bezpečnosti.

Sledujte Portál NÚKIB pro další informace k legislativě a novinky ze světa kyberbezpečnosti. Aktuality na veřejné části Portálu NÚKIB můžete také sledovat pomocí vaší RSS čtečky. RSS kanál je dostupný na https://portal.nukib.gov.cz/rss.xml.

Zpětnou vazbu nám můžete zasílat prostřednictvím formuláře na stránkách, nebo e-mailem na portal@nukib.gov.cz.    

NÚKIB uspořádal další jednání skupiny kyberbezpečnostního výzkumu a inovací CYRIS

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uspořádal ve středu 18. června jednání skupiny kyberbezpečnostního výzkumu a inovací CYRIS. Akce se konala v Praze ve spolupráci se zájmovým sdružením CESNET a navázala na předcházející formát s názvem Platforma pro výzkum a vývoj v kybernetické a informační bezpečnosti.

Jednání poskytlo prostor pro dialog mezi zástupci veřejného, soukromého a akademického sektoru, a to se zaměřením na bezpečnost výzkumu a vývoje – jak během jeho realizace, tak po jeho ukončení. Setkání úvodním slovem zahájil náměstek ředitele CESNET pro výzkum, vývoj a inovace Helmut Sverenyák a čestný host Petr Kavalíř, zplnomocněnec Úřadu vlády pro kvantové technologie.

Program byl rozdělen do tří tematických bloků. První blok se věnoval činnosti Národního koordinačního centra (NKC) a možnostem financování výzkumných a inovačních projektů prostřednictvím evropských programů Horizont a Digitální Evropa. Součástí programu byla i prezentace úspěšného českého žadatele o evropské granty VUT Brno.

Druhý blok zahájila networkingová aktivita zaměřená na navázání výzkumné spolupráce mezi členy CYRIS. Následovaly příspěvky zástupců CESNET, kteří představili výzkum v oblasti kvantové distribuce klíčů (QKD) a vláknového snímání či aktuální projekty v oblasti analýzy síťového provozu, včetně praktické demonstrace.

Závěrečný blok se soustředil na legislativní rámce kybernetické bezpečnosti pro výzkumné instituce, zejména v souvislosti s připravovaným zákonem o kybernetické bezpečnosti. Součástí byla i ukázka implementace systému řízení bezpečnosti informací ve výzkumné organizaci, konkrétně v CESNET. Blok vyvrcholil panelovou diskuzí, ve které vystoupil zástupce společnosti PatentEnter Michal Jordán, česká kyberatašé pro USA a Kanadu Berta Jarošová, a koordinátorka Mezirezortní pracovní skupiny pro potírání nelegitimního ovlivňování ve vysokoškolském a výzkumném prostředí Jiřina Fryčová.

V závěru byli účastníci vyzváni k registraci do komunity CYRIS, která sdružuje odborníky a instituce se zájmem o kybernetickou a informační bezpečnost a pravidelně informuje o aktuálním dění v této oblasti. Celý den uzavřela návštěva laboratoře CESNET, kde proběhla ukázka QKD zodolněného vláknovým snímáním.

Další jednání CYRIS je plánováno již na podzim v Brně. Aktuální informace o dění v oblasti kybernetické a informační bezpečnosti sledujte na webu CYRIS zde.

Návrh nového zákona o kybernetické bezpečnosti je v cílové rovince

Ve středu 11. června 2025 schválil Senát Parlamentu ČR nový zákon o kybernetické bezpečnosti. Následuje odeslání zákona k podpisu prezidentovi České republiky a poté i předsedovi vlády. Publikace zákona ve sbírce zákonů se pak očekává v průběhu srpna. Účinný by tak měl být k 1. listopadu 2025.

Do 60 dní po nabytí účinnosti vznikne většině regulovaných organizací ohlašovací povinnost, to znamená, že organizace se nahlásí coby subjekt regulovaný dle zákona o kybernetické bezpečnosti. Další lhůty se pak počítají ode dne doručení rozhodnutí o registraci (které regulovanému subjektu zasílá NÚKIB).Další podrobnosti k harmonogramu zavádění nového zákona naleznete na Portálu NÚKIB na stránce pro manažery kybernetické bezpečnosti.