Národní úřad pro kybernetickou a informační bezpečnost

Odbor regulace

Zabývá se problematikou upravenou zákonem č. 264/2025 Sb., o kybernetické bezpečnosti (264/2025 Sb., 1. 11. 2025, budoucí znění, informativní znění systému e-Sbírka ), regulací cloud computingu ve veřejné správě a zároveň oblastí EU certifikací kybernetické bezpečnosti obsažené v nařízení (EU) č. 2019/881, aktu o kybernetické bezpečnosti (Nařízení - 2019/881 - EN - EUR-Lex). Na každodenní bázi komunikuje s regulovanými subjekty, ať už ve věci regulace, EU certifikací nebo poskytování metodické podpory. Podílí se na přípravě legislativy v oblasti kybernetické bezpečnosti, včetně návrhu certifikačních schémat. V oblasti EU certifikací kybernetické bezpečnosti (dále jen EU certifikace KB) pak v souladu s aktem o kybernetické bezpečnosti plní úlohu vnitrostátního orgánu certifikace kybernetické bezpečnosti.

Odbor regulace je dále rozdělen do tří oddělení a třech pracovních skupin:

Oddělení regulace soukromého sektoru

Zajišťuje aplikaci zákon o kybernetické bezpečnosti v případě poskytovatelů regulované služby v odvětvích náležících do soukromého sektoru, s výjimkou odvětví digitálních služeb a infrastruktury. Zajišťuje výklad zákona a metodickou podporu pro regulovaná odvětví energetiky, dopravy, průmyslu, hospodářství a další. Podílí se na aplikaci a aktualizacích vyhlášky č. 408/2025 Sb., o regulovaných službách. Určuje poskytovatele regulované služby v rámci procesu v § 5 zákona o kybernetické bezpečnosti. Komunikuje s příslušnými regulátory.

Oddělení regulace veřejného sektoru

Zajišťuje aplikaci zákon o kybernetické bezpečnosti v případě poskytovatelů regulované služby v odvětvích náležících do veřejného sektoru. Zajišťuje výklad zákona a metodickou podporu pro ministerstva, úřady, kraje, obce, vysoké školy a další. Podílí se na aplikaci a aktualizacích vyhlášky č. 408/2025 Sb., o regulovaných službách. Určuje poskytovatele regulované služby v rámci procesu v § 5 zákona o kybernetické bezpečnosti. Komunikuje s příslušnými regulátory.

Oddělení regulace Dodavatelů infOrmačních technologií

Zajišťuje posuzování nabídek cloud computingu podle zákona o informačních systémech veřejné správy a zákona o kybernetické bezpečnosti. Aplikuje, udržuje a vykládá tzv. cloudové vyhlášky. Konzultuje posuzování dopadů narušení systémů pro účely procesů cloud computingu u orgánů veřejné moci. Poskytuje výklad a podporu v oblasti regulace využívání cloud computingových služeb orgány veřejné moci. Zajišťuje aplikaci zákona o kybernetické bezpečnosti v případě poskytovatelů regulované služby v odvětví digitálních služeb a infrastruktury a zajišťuje v tomto rozsahu výklad zákona a metodickou podporu, Podílí se na aplikaci a aktualizacích vyhlášky č. 408/2025 Sb., o regulovaných službách. Určuje poskytovatele regulované služby v rámci procesu v § 5 zákona o kybernetické bezpečnosti. Komunikuje s příslušnými regulátory.

Pracovní skupina Evropských certifikací

V roli vnitrostátního orgánu certifikace kybernetické bezpečnosti dohlíží na dodržování pravidel zahrnutých v evropských schématech certifikace KB a tato pravidla vymáhá. Má za úkol v příslušných případech autorizovat subjekty posuzování shody a delegovat vydávání EU certifikátů KB. Řeší stížnosti související s EU certifikáty KB. Zastupuje ČR v rámci Evropské skupiny pro certifikaci KB. Poskytuje výklad a podporu v oblasti EU certifikací KB. Komunikuje s příslušnými stakeholdery.

Bližší informace o EU certifikacích KB naleznete na webových stránkách EU certifikace KB.

V případě jakýchkoliv dotazů či podnětů týkajících se EU certifikací KB, se obracejte na e-mail ncca@nukib.gov.cz.

Pracovní skupina bezpečnosti dodavatelského řetězce

Pracovní skupina registrace, evidence a podpory

V případě jakýchkoliv dotazů či podnětů, k výkladu zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů, stejně tak jako k publikovaným podpůrným materiálům týkajících se zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů, se prosím obracejte na:

Sekretariát odboru regulace

E-mail: regulace@nukib.gov.cz

Odbor kontroly

Provádí kontroly dodržování požadavků zákona o kybernetické bezpečnosti u regulovaných subjektů. Současně s odborem regulace se podílí na přípravě legislativy v oblasti kybernetické bezpečnosti a poskytuje metodickou podporu regulovaným subjektům. Dále na kontrolní činnosti spolupracuje s dalšími kontrolními orgány, jejichž kontrolní činnost má přesah do oblasti kybernetické bezpečnosti.

Hrozby

Upozorňujeme na metodu „harvest now, decrypt later“

Kvantové počítače kromě benefitů pro mnohá odvětví přinášejí i potenciální hrozbu pro kybernetickou bezpečnost. Ta spočívá v tom, že dostatečně výkonný kvantový počítač by mohl být v budoucnu schopný prolomit většinu dnes používaných kryptografických algoritmů. Tyto algoritmy přitom chrání klíčové aspekty digitální bezpečnosti, jako jsou šifrování komunikace, autentizace či digitální podpisy. „Harvest now, decrypt later“ (HNDL) je strategie, při níž útočník již dnes zachytává a ukládá šifrovanou komunikaci, kterou zatím nedokáže rozšifrovat. Doufá však, že v budoucnu — s nástupem kvantových počítačů — bude mít dostatečné prostředky k prolomení použité kryptografie a k dešifrování těchto dat, která mohou být i s časovým odstupem stále hodnotná.

Proto jsou aktivně přijímána opatření, jak kvantovým útokům zabránit. Primárním nástrojem je tzv. postkvantová kryptografie. Jedná se o nové šifrovací algoritmy, které by měly kvantovým počítačům odolat. NÚKIB si uvědomuje potřebu včasné implementace postkvantové kryptografie a minimální požadavky shrnuje v dokumentu Minimální požadavky na kryptografické algoritmy. Tento dokument reflektuje nejen neustálý vývoj, ale také současné znalosti v oblasti kryptografických algoritmů, včetně algoritmů vydaných americkým Národním institutem standardů a technologie (NIST). Klíčová bude jejich efektivní a včasná implementace, potažmo schopnost rychle přijímat případné aktualizace.

Pro úspěšnou implementaci nejen nových šifrovacích standardů, ale i jakýchkoli dalších prvků kybernetické bezpečnosti, by měl být používán aktuální software a pokud možno i hardware. V rámci co nejrychlejší implementace postkvantového šifrování je možné jej kombinovat s jinou osvědčenou konvenční kryptografií v hybridním řešení.

Více informací naleznete v dokumentu zde: https://nukib.gov.cz/download/publikace/analyzy/HNDL-FINAL.pdf

Celá zpráva 23.04.2025

Regulace a kontrola