ČNB a NÚKIB sjednocují výklad pravidel pro finanční instituce

Česká národní banka a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydaly společné prohlášení, které pomáhá lépe pochopit, jak se v praxi uplatňuje evropské nařízení DORA a český zákon o kybernetické bezpečnosti.

Pro subjekty finančního trhu platí, že pokud jsou regulovány nařízením DORA (Nařízení (EU) 2022/2554), mají jeho požadavky v oblasti řízení kybernetických rizik a hlášení incidentů zpravidla přednost před obecnou úpravou vycházející z evropské směrnice NIS 2 a zákona o kybernetické bezpečnosti. Zákon se ale nadále uplatní tam, kde nařízení DORA danou oblast výslovně neřeší nebo kde stanovuje odlišné požadavky.

Společné prohlášení zároveň vyjasňuje rozdělení rolí v oblasti dohledu. Hlavním dohledovým orgánem pro finanční sektor zůstává Česká národní banka, zatímco NÚKIB se zapojuje zejména v oblastech, které nejsou nařízením DORA plně pokryty, nebo při dohledu nad specifickými činnostmi.

Cílem společného přístupu je zajistit koordinovaný dohled a posílit kybernetickou odolnost finančního sektoru i dalších navazujících služeb.

Odkaz na společné prohlášení je k dispozici zde:

Vydali jsme přehled kybernetických incidentů za květen 2026

V květnu počet kybernetických bezpečnostních incidentů1, které evidoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), oproti předešlému měsíci poklesl na dvanáct. Pokračuje tedy trend poklesu počtu incidentů, který začal v lednu. Významný nebo velmi významný incident v květnu NÚKIB neevidoval žádný.

Počet incidentů byl v květnu rozložený mezi všechny kategorie. Třetina květnových incidentů spadá do kategorie Dostupnost, konkrétně se jedná o DDoS útoky. NÚKIB také evidoval případy phishingu, ransomwaru, průniku, škodlivého kódu či úniku informací. Podobně pak kybernetické události zahrnovaly jednotlivé neúspěšné případy phishingu, sociálního inženýrství, pokusu o přihlášení či DDoS útoku. Nejvíce zasaženými subjekty byly instituce z veřejného sektoru. Počet kyberbezpečnostních událostí stoupl na šest.

Na aktuální zranitelnosti upozorňujeme prostřednictvím profilu vládního CERT na síti X.

Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/vyzkum/Kyberneticke%20incidenty%20pohledem%20NUKIB%20kveten%202026.pdf

1Kybernetickým bezpečnostním incidentem se rozumí narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.

Oba pojmy definuje zákon o kybernetické bezpečnosti.

Nový průvodce pomáhá úřadům využívat AI bezpečně a smysluplně

Veřejné správě je nově k dispozici Průvodce pro etické a odpovědné využívání AI ve veřejné správě spolu s praktickým Desaterem. Vznikl jako reakce na stále intenzivnější využívání umělé inteligence v každodenní agendě úřadů a má pomoci zajistit, aby její nasazení bylo bezpečné, odpovědné a přínosné. Na přípravě Průvodce pracovala mezirezortní skupina odborníků a podílel se na ní i NÚKIB. Přípravu garantovala Sekce pro státní službu Úřadu vlády ČR.

Materiál slouží jako praktická opora pro zaměstnance veřejné správy. Ukazuje, jak AI využívat tak, aby práci usnadnila a zefektivnila – nikoli aby nahrazovala důležité rozhodování. To zůstává vždy na člověku, stejně jako odpovědnost za výsledky.

Průvodce zdůrazňuje klíčové principy, jako jsou bezpečnost, ochrana dat, transparentnost a důvěryhodnost. Pomáhá zorientovat se v rizicích spojených s využíváním AI a v možnostech, jak těmto rizikům čelit, například důsledným ověřováním výstupů nebo správným nakládáním s daty, a zároveň vysvětluje, kde může AI přinést reálnou hodnotu – například při práci s texty nebo hledání řešení. Cílem materiálu není zavádět restrikce nebo vytvářet závaznou metodiku, ale nabídnout srozumitelný rámec, který zaměstnancům pomůže AI využívat sebejistě, bezpečně a správně.

Vedle samotného průvodce vzniklo také stručné Desatero, které převádí hlavní doporučení do jednoduchých pravidel pro každodenní praxi.

Průvodce i související materiály jsou dostupné na webu Úřadu vlády České republiky zde.

NÚKIB vydal metodiku k zadávání veřejných zakázek v oblasti ICT

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil nový metodický dokument zaměřený na zadávání veřejných zakázek v oblasti informačních a komunikačních technologií (ICT). Materiál ukazuje, jak nastavit požadavky na kybernetickou bezpečnost tak, aby byly v souladu s principy férové hospodářské soutěže.

Vznikl proto ve spolupráci NÚKIB, Úřadu pro ochranu hospodářské soutěže a Asociace pro veřejné zakázky a propojuje pohled bezpečnostní regulace, zadavatelů i ochrany soutěže. Zároveň jde o další z více než třiceti metodických materiálů, které NÚKIB v této oblasti dlouhodobě vydává.

Dokument se soustředí zejména na fázi přípravy veřejné zakázky, kdy je zásadní správně definovat požadavky na bezpečnost, funkčnost i provozní spolehlivost. NÚKIB v této souvislosti upozorňuje na nutnost vycházet z vlastního procesu řízení rizik a promítnout jeho výsledky do zadávací dokumentace, a to včetně požadavků na dodavatele, jejich kvalifikaci a schopnost plnit bezpečnostní standardy. Důraz je kladen také na transparentní hodnocení nabídek, které by mělo kromě ceny reflektovat i kvalitu řešení a úroveň zajištění kybernetické bezpečnosti.

Metodika dále poskytuje doporučení k nastavení smluvních podmínek s dodavateli ICT služeb a technologií. Klíčovým prvkem je zajištění odpovědnosti za bezpečnost v průběhu celého životního cyklu dodávaného řešení, včetně jeho provozu, údržby a případného ukončení služby. NÚKIB upozorňuje na význam vhodně nastavených smluvních mechanismů, které umožní zadavatelům efektivně reagovat na bezpečnostní incidenty nebo změny v rizikovém prostředí.

Významná část metodiky je věnována aplikaci varování a dalších protiopatření NÚKIB. Metodika vysvětluje, že varování nepředstavuje samo o sobě zákaz konkrétní technologie nebo dodavatele, ale vstup do vlastního procesu řízení rizik zadavatele. Výsledky analýzy rizik a navazující bezpečnostní se následně promítají do technických podmínek, kvalifikačních požadavků, hodnoticích kritérií i smluvních ujednání. Dokument se věnuje také otázkám ochrany důvěrných informací, řízení dodavatelského řetězce a možnostem omezení účasti dodavatelů ze třetích zemí v případech odůvodněných požadavky kybernetické bezpečnosti. Součástí metodiky je rovněž přehled relevantní rozhodovací praxe Úřadu pro ochranu hospodářské soutěže a správních soudů, která zadavatelům poskytuje vodítka pro nastavení bezpečnostních požadavků v souladu s právem veřejných zakázek.

NÚKIB tímto materiálem navazuje na své dlouhodobé aktivity v oblasti podpory zadavatelů veřejných zakázek při zvyšování úrovně kybernetické bezpečnosti. Vydaná metodika poskytuje zadavatelům výkladové a metodické vodítko pro promítání požadavků kybernetické bezpečnosti do zadávacích řízení a pro hledání přiměřené rovnováhy mezi bezpečnostními požadavky a ochranou hospodářské soutěže. Má tedy zadavatelům pomoci nejen splnit legislativní požadavky, ale také přijímat informovaná a odpovědná rozhodnutí při pořizování ICT řešení.

Cílem dokumentu je přispět k tomu, aby zadavatelé dokázali při pořizování ICT řešení účinně zohledňovat požadavky kybernetické bezpečnosti a současně postupovali v souladu s právní úpravou veřejných zakázek.

Metodika je určena širokému spektru zadavatelů veřejných zakázek a reflektuje aktuální trendy i zkušenosti z praxe v oblasti ICT a kybernetické bezpečnosti.

Metodika je dostupná zde: Zadávání veřejných zakázek v oblasti ICT a kybernetické bezpečnosti | Portál NÚKIB