|
!!! Upozorňujeme na přetrvávající podvodné telefonáty zneužívající telefonní čísla a jména zaměstnanců našeho úřadu !!! NÚKIB v rámci své činnosti nekontroluje převod financí. V dané věci jsme podali trestní oznámení na neznámého pachatele. Více o podvodných telefonátech včetně doporučení, jak se jim bránit, najdete v našem článku:
|
|
Relevantní a přehledné informace k nové směrnici NIS2 najdete na Portálu NÚKIB
Informace k Národnímu koordinačnímu centru výzkumu a vývoje v oblasti kybernetické bezpečnosti (NKC) v České republice najdete na nkc.nukib.gov.cz
|
Vybrané aktuality, hrozby a doporučení
Prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti odeslány do mezirezortního připomínkového řízení
V pátek 16. 5. 2025 byly odeslány prováděcí právní předpisy k novému zákonu o kybernetické bezpečnosti do mezirezortního připomínkového řízení (MPŘ). Byl tak spuštěn oficiální legislativní proces k prováděcím právním předpisům.
Nyní mohou instituce, které jsou součástí připomínkového řízení, podat k prováděcím právním předpisům připomínky. Lhůta na připomínky je standardních 15 pracovních dnů (dle legislativních pravidel).
Po uzavření připomínkového řízení budou připomínky vypořádány a poté bude návrh předpisů předložen Legislativní radě vlády (LRV). Ta návrhy předpisů posoudí z pohledu právní čistoty a dalších legislativních náležitostí. Po vypořádání připomínek LRV budou předpisy předloženy k podpisu řediteli Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vydány ve Sbírce zákonů.
Termín finálního vydání předpisů bude záviset na počtu podaných připomínek a délce jejich vypořádání. Odhadujeme, že k vydání předpisů by mohlo dojít v říjnu nebo listopadu 2025.
Do mezirezortního připomínkového řízení byly odeslány tyto předpisy:
Vyhláška o regulovaných službách Upravuje kritéria pro určení regulovaných osob a kritéria pro stanovení režimu regulace (vyšší/nižší). Vyhláška o bezpečnostních opatřeních pro vyšší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby ve vyšším režimu. Vyhláška o bezpečnostních opatřeních pro nižší režim Upravuje v detailu bezpečnostní opatření pro povinné osoby v nižším režimu. Upravuje způsob identifikace incidentů s významným dopadem (pro účely hlášení incidentů). Vyhláška o Portálu NÚKIB Upravuje technické a procesní náležitosti řešení automatizace a elektronizace procesů NÚKIB. Upravuje procesní a technické náležitosti pro hlášení údajů, incidentů, přístupu k informacím a elektronickým službám poskytovaným NÚKIB a plněným vůči NÚKIB ze strany povinných subjektů. Vyhláška o bezpečnostních úrovních pro využívání cloud computingu Úprava existující vyhlášky č. 315/2021 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 315/2021 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod. Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu Úprava existující vyhlášky č. 190/2023 Sb. V souvislosti s přesunem zmocnění ze zákona o kybernetické bezpečnosti do zákona o informačních systémech veřejné správy dojde ke zrušení stávající vyhlášky č. 190/2023 Sb. a je tedy nutné vydat vyhlášku znovu i s úpravami, které reflektují změny definic v zákoně apod.V přímé souvislosti s novým zákonem se předpokládá vydání ještě dalších dvou předpisů, konkrétně:
Nařízení vlády o nepominutelných funkcích Upravuje, které funkce strategicky významných služeb jsou vždy zahrnuty v mechanismu prověřování bezpečnosti dodavatelského řetězce. Nařízení vlády o strategicky významných službách Upravuje, koho se bude mechanismus prověřování bezpečnosti dodavatelského řetězce týkat.Vzhledem ke změnám v návrhu zákona, které proběhly v souvislosti s těmito předpisy v poslanecké sněmovně, a novým požadavkům na zpracování RIA, které dříve nebyly, došlo k posunu termínu odeslání těchto dvou předpisů a budou do MPŘ zaslány později.
V nepřímé souvislosti s novým zákonem se rovněž předpokládá nové vydání:
Vyhlášky o některých požadavcích pro zápis do katalogu cloud computingu Úprava existující vyhlášky č. 316/2021 Sb. V souvislosti se změnami v novém zákoně o kybernetické bezpečnosti je nutno provést technické úpravy – například návaznost na přestupky v novém zákoně a další detaily. Rovněž na základě praxe s aplikací vyhlášky a podnětů k jejímu zlepšení, budou ve vyhlášce zapracovány změny a přepracována formální struktura pro zvýšení přehlednosti. Z tohoto důvodu bude vyhláška vydána znovu. 19.05.2025
Veřejná konzultace Evropské komise k revizi Aktu o kybernetické bezpečnosti
Evropská komise spustila veřejnou konzultaci k vyhodnocení a revizi tzv. Aktu o kybernetické bezpečnosti (nařízení Evropského parlamentu a Rady č. 2019/881). Účelem veřejné konzultace je sběr postojů a dosavadních zkušeností s implementací Aktu o kybernetické bezpečnosti, a to napříč širokou veřejností, a jejich zohlednění v rámci plánované revize Aktu. Zapojení do veřejných konzultací může pomoci při identifikaci problémů, kterým je třeba se v rámci revize věnovat, a ve výsledku může přispět k efektivnějšímu nastavení systému certifikace kybernetické bezpečnosti v Evropské unii, mandátu agentury ENISA (Evropská agentura pro bezpečnost sítí a informací) či řešení výzev v oblasti bezpečnosti dodavatelského řetězce informačních a komunikačních technologií.
Iniciativa usiluje o zjednodušení stávajících procesů, usnadnění implementace platné legislativy, omezení byrokracie a podporu podnikatelsky příznivého prostředí.
Orgány pro kybernetickou bezpečnost, průmyslová a obchodní sdružení, výzkumní pracovníci, akademická obec, spotřebitelské organizace, ale i občané se mohou do 20. června 2025 zapojit do dotazníku EU či jinak vyjádřit svůj názor.
Národní úřad pro kybernetickou a informační bezpečnost tuto veřejnou konzultaci neadministruje. Veškeré informace ke konzultaci naleznete na stránkách Evropské komise zde: Commission opens consultation on revising EU Cybersecurity Act | Shaping Europe’s digital future.
16.05.2025
Návrh nového zákona o kybernetické bezpečnosti byl předán do Senátu
V úterý 13. 5. 2025 převzal Senát návrh nového zákona o kybernetické bezpečnosti. Lhůta pro jednání v Senátu končí dnem 12.6.2025. Návrh zákona se zapracovanými změnami z Poslanecké sněmovny je možné najít zde (senátní tisk 109) a návrh doprovodného zákona zde (senátní tisk 110).
Návrh zákona bude v Senátu projednávat:
Výbor pro zahraniční věci, obranu a bezpečnost (jako garanční výbor), Výbor pro hospodářství, zemědělství a dopravu (má např. i podvýbor pro energetiku), Ústavně-právní výbor.Pro přehlednost připojujeme shrnutí pozměňovacích návrhů z Poslanecké sněmovny. Ty schválené jsou již propsány v aktuálním znění návrhu zákona, který najdete pod odkazem výše.
Pozměňovací návrhy Výboru pro bezpečnost Došlo k přesunu rozhodování o omezení či zákazu dodavatelů v rámci mechanismu dodavatelského řetězce na vládu. NÚKIB v této věci vede řízení a navrhuje případná opatření, ale rozhoduje o nich vláda. Vláda stanovuje strategicky významné služby a seznam nepominutelných funkcí nařízením, nikoliv NÚKIB vyhláškou. Pozměňovací návrhy Hospodářského výboru Zúžení mechanismu prověřování bezpečnosti dodavatelského řetězce pouze na aktiva úrovně „kritická“. Původně měla být zahrnuta i aktiva úrovně „vysoká“. Komplexní úprava § 33 – zajištění dostupnosti strategicky významných služeb nebyla přijata. Pozměňovací návrhy paní poslankyně Lesenské Dvojí zpracování lokalizace státních dat na uložištích v ČR/EU nebylo přijato. Legislativně technické návrhy Přijata řada legislativně technických oprav textu bez dopadu na věcnou stránku zákona. Úprava účinnosti zákona z 18. října 2024 na „první den třetího kalendářního měsíce následujícího po jeho vyhlášení“.Co má nyní zákon za sebou:
Veřejné konzultace, které tvoří nepovinnou část legislativního procesu, při níž se mohla široká odborná veřejnost zapojit do procesu tvorby legislativy. Meziresortní připomínkové řízení, které je povinnou částí legislativního procesu. V této fázi zákon připomínkovali zástupci ministerstev, samospráv i soukromého sektoru. Doporučující stanovisko předsedy Legislativní rady vlády (LRV) k projednání návrhu zákona vládou. LRV je odborný poradní orgán vlády tvořený právními specialisty, kteří hlídají legislativní čistotu a soulad s platnými principy tvorby legislativy a právního státu. Schválení vládou. Vláda ČR je vrcholný exekutivní orgán, který po schválení předává návrh zákona moci zákonodárné, tedy Poslanecké sněmovně Parlamentu České republiky. Schválení Poslaneckou sněmovnou Parlamentu České republiky ve znění přijatých pozměňovacích návrhů.Co má zákon před sebou:
Zákon bude projednán v Senátu a v případě, že ten jej schválí, dostává zákon prezident. Po prezidentově podpisu putuje zákon do sbírky zákonů, která jej vydá, a tím je zákon platný. Následně běží lhůta pro nabytí účinnosti. Po nabytí účinnosti se musí zákonem řídit všichni adresáti. 14.05.2025
Veřejná konzultace k Evropskému akčnímu plánu pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče a výzva k zapojení do poradního výboru pro kybernetickou bezpečnost ve zdravotnictví
Evropská komise zahájila veřejnou konzultaci k Evropskému akčnímu plánu pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče, který byl zveřejněn 15. ledna 2025.
Dokument si klade cíle primárně ve čtyřech oblastech, a to: budování kapacit k prevenci kyberbezpečnostních incidentů; zlepšení sdílení informací a schopnosti detekce kybernetických hrozeb; zlepšení reakce na incidenty a schopnosti zotavení po incidentu; a též hledání cest k odstrašení potenciálních aktérů kybernetických hrozeb.
Akční plán přitom identifikuje nedostatky a výzvy ve zdravotnickém sektoru, na něž reaguje konkrétními iniciativami na unijní úrovni, jakož i doporučeními k aktivitám členských států na národní úrovni.
Vstupy do veřejné konzultace mohou ovlivnit konečnou podobu doporučení pro unijní subjekty i členské státy a aktivit, které Akční plán předpokládá.
Národní úřad pro kybernetickou a informační bezpečnost tuto veřejnou konzultaci neadministruje. Veškeré informace ke konzultaci, do níž se veřejnost může zapojit do 30. června 2025, naleznete na stránkách Evropské komise zde: Commission seeks contributions to enhance cybersecurity for hospitals and healthcare providers | Shaping Europe’s digital future.
Současně Evropská komise zveřejnila výzvu pro podávání přihlášek do nově ustaveného poradního výboru pro kybernetickou bezpečnost ve zdravotnictví (Health Cybersecurity Advisory Board), který má být nápomocen Komisi i Evropskému centru podpory kybernetické bezpečnosti pro nemocnice a poskytovatele zdravotní péče zřízenému v rámci Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) při implementaci Akčního plánu. Výbor by také měl podporovat spolupráci mezi veřejným a soukromým sektorem.
NÚKIB vítá a podporuje případný zájem o členství ze strany českých subjektů. Účast ve výboru může přispět k prioritizaci a efektivní implementaci plánem avizovaných aktivit, i k posílení spolupráce mezi veřejným a soukromým sektorem. Kromě poradní role Komisi bude úkolem členů mj. identifikace a sdílení osvědčených postupů (best practices) v rámci kybernetické bezpečnosti a sdílení informací se zdravotnickými subjekty.
Zájemci o členství z řad jednotlivců i organizací působících napříč zdravotnictvím a oblastí kybernetické bezpečnosti mohou podat přihlášku do 23. května 2025. Podrobné informace jsou dostupné pod tímto odkazem: Commission launches call for the selection of members of newly launched Health Cybersecurity Advisory Board | Shaping Europe’s digital future.
14.05.2025