Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 3. 9. 2025 VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v předávání systémových a uživatelských dat do Čínské lidové republiky a ve vzdálené správě technických aktiv vykonávané z území Čínské lidové republiky. Varováním se musí zabývat povinné osoby podle zákona o kybernetické bezpečnosti.
Bezpečnostní hrozbu dovodil NÚKIB z:
- navyšování podílu komplexních technologických řešení v kritických odvětvích a službách, jež předávají data do ČLR nebo jsou vzdáleně spravována z ČLR. Pronikání těchto technologií i zařízení do kritických odvětví (jako jsou doprava, energetika, zdravotnictví, veřejná správa a další) roste a do budoucna bude růst. Současné systémy kritické infrastruktury jsou stále závislejší na ukládání a zpracování dat v cloudových úložištích a na připojení k síti, jež umožňuje vzdálenou obsluhu a aktualizace. To v praxi znamená, že dodavatelé technologických řešení mají možnost zásadním způsobem ovlivňovat chod kritické infrastruktury a/nebo přistupovat k důležitým datům, a důvěra ve spolehlivost dodavatele je tak naprosto klíčová. Dalším rizikovým faktorem je stoupající počet zařízení, která jsou připojena k internetu, rovněž předávají data a jsou vzdáleně řízena svými dodavateli. Příkladem rizikových výrobků a služeb, které mohou předávat data do ČLR nebo jsou z ní spravována, pak mohou být IP kamery, FVE střídače, tzv. „smartmetry“, zdravotechnika, cloudová úložiště, vysoce komplexní osobní zařízení (telefony, hodinky), připojená vozidla (elektroautomobily), velké jazykové modely a další;
- potvrzených škodlivých aktivit aktérů napojených na ČLR směřovaných proti naší zemi, ale i EU a NATO – mezi příklady z poslední doby patří kybernetická kampaň proti Ministerstvu zahraničních věcí ČR, kterou vedla skupina APT31 spojovaná s čínskou zpravodajskou službou Ministerstvo státní bezpečnosti minimálně od roku 2022. Tato kampaň vedla českou vládu k provedení veřejné atribuce;
- politického a právního prostředí Čínské lidové republiky (ČLR), které mimo jiné umožňuje přístup čínských vládních orgánů k datům uloženým na území ČLR či významné zásahy čínských vládních orgánů do fungování soukromých společností, nebo dává těmto vládním orgánům nástroje pro vynucení spolupráce soukromých firem při špionážních aktivitách Čínské lidové republiky.
Na základě vydaného varování musí povinné osoby dle zákona o kybernetické bezpečnosti zohlednit hrozbu v analýze rizik a na zjištěná rizika reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná. Varování neznamená bezpodmínečný zákaz předávání systémových a uživatelských dat nebo umožnění výkonu vzdálené správy technických aktiv z ČLR, ale znamená, že je nutné tuto hrozbu zvážit a rozhodnout o výši rizika, které z těchto aktivit pro konkrétní organizaci plyne.
Pro běžného občana varování není závazné, nicméně Úřad obecně doporučuje, aby lidé věnovali kybernetické bezpečnosti pozornost a vyhodnocovali z tohoto hlediska zodpovědně, jaké produkty používají a s kým a jaká data jejich prostřednictvím sdílejí.
Text varování je k dispozici zde: https://nukib.gov.cz/download/uredni_deska/2025-09-03_Varovani_predavani-dat-podepsano.pdf
Metodika k němu zde: https://nukib.gov.cz/download/uredni_deska/2025-09-03_metodicky-material-k-varovani-ze-dne-3-9-2025_v1.0.pdf
Analýzy související s tématem varování naleznete zde: https://nukib.gov.cz/cs/infoservis/dokumenty-a-publikace/analyzy/#analyzyOZ