Kulatý stůl
Sledovat další díly na iDNES.tvU Kulatého stolu iDNES.cz debatovali odborníci z předních firem v oboru. Václav Svátek, šéf české IT společnosti ČMIS, která spravuje infrastrukturu a kyberbezpečnost podniků, hned v úvodu upozornil, že nově za kyberbezpečnost odpovídá jednatel nebo top management, tedy už ne konkrétní IT pracovník.
Nový zákon rozlišuje mezi režimem vyšších povinností, režimem nižších povinností a speciálním režimem pro poskytovatele digitálních služeb, a to podle toho, jak důležitou službu z hlediska kybernetické bezpečnosti daný subjekt poskytuje.
Hrozí pokuty
Povinnosti se tak dotknou široké škály odvětví – od energetiky a zdravotnictví přes dopravu, finance, digitální poskytovatele či veřejnou správu až po výzkumné instituce a průmyslové podniky.
Zákon firmám ukládá, aby nastavily technická, organizační i procesní opatření, která zvýší jejich odolnost vůči útokům. Nejde ale o jeden univerzální software nebo „krabičku na všechno“.
Petr Šimsa z PwC, který se zabývá implementací právních norem v oblasti IT bezpečnosti, připomněl, že pokud firmy odmítnou zvýšit svou odolnost proti kyberútokům, hrozí jim pokuty. „A ty mohou dosáhnout až dvou procent obratu nebo deseti milionů eur, podle závažnosti pochybení.“
„Kontroly bude mít na starosti NÚKIB, ale není třeba se obávat, že by hned první den vyrazil do terénu,“ uklidňuje firmy bezpečnostní analytik Václav Zubr ze společnosti ESET, který má na starosti obranu proti moderním hrozbám. „Úřad na to nemá dost lidí, takže se zaměří hlavně na případy, kde už došlo k závažnému kyberútoku. Teprve pak se bude zpětně ptát, jak měla firma nastavená opatření a jestli je dodržovala.“
Specialista na návrh a ochranu firemních IT systémů Tomáš Havrda ze společnosti VigilTech na druhé straně varuje, že reálných kyberútoku stále přibývá. „Dnešní firmy jsou navzájem propojené a útočníci jdou po nejslabším článku v řetězci.“
„Česká republika je plná výrobních podniků, které dodávají výrobky velkým německým nebo západoevropským firmám. A právě přes tyto menší české dodavatele se může útočník snadno dostat k cíli – tedy k velkým hráčům,“ doplňuje Havrda, podle kterého nesmějí firmy kyberútoky za žádných okolností podceňovat.
Co mají firmy dělat?
Zákon začne platit už od 1. listopadu a firmy tak mají poslední dny na to, aby si ujasnily, koho v případě potíží oslovit a jak postupovat. Podle odborníků je klíčové, aby každá společnost měla připravený krizový plán a spolupracovala s ověřenými partnery.
„Firmy, které nemají vlastní bezpečnostní tým, by se měly obrátit na specializované dodavatele. Na trhu jsou společnosti, které nabízejí kybernetickou bezpečnost jako službu,“ vysvětluje Havrda. Dodává, že jde o službu na klíč, která je výhodná zejména pro menší firmy, které nemají finance na to, aby zaměstnaly odborníka na plný úvazek.
Václav Svátek z ČMIS upozorňuje, že poptávka po těchto službách roste. „Ale pozor, úroveň kyberbezpečnosti vůbec nemusí odpovídat velikosti firmy. I miliardová automobilka může padnout, zatímco malý podnik se dokáže ubránit.“
Kulatý stůl
Sledovat další díly na iDNES.tvPodle Petra Šimsy musejí mít firmy připravený plán, jak poznají, že se něco děje – a co udělají, když k útoku opravdu dojde. „Základem je technická příprava. Mít systémy, které dokážou včas odhalit podezřelé chování a reagovat, než se problém rozšíří.“
Jenže technologie samy o sobě nestačí. „Stejně důležité je mít lidi a jasný postup. Když má firma jediného ajťáka, který zrovna odjede na dovolenou, a nastane útok, nikdo neví, co dělat. Je potřeba mít jasně rozdané role, vědět, kdo mluví s úřady, kdo s klienty a kdo řeší samotný problém.“
Podle něj by každá společnost měla mít v zásobě jednoduchý krizový plán, aby se v případě útoku nerozpadla dřív, než stihne zjistit, co se vlastně stalo.
Žádní hackeři v kapuci
Svátek k tomu dodává, že důležité je to, kde mají firmy umístěná klíčová data. „Preferujeme, aby data byla umístěna v Česku nebo alespoň v rámci Evropské unie. Nikdy nevíte, kdy může být některá zahraniční cloudová služba vypnuta.“
Podle dat, která zmínil Svátek, dojde v Česku každý měsíc zhruba ke čtrnácti úspěšným ransomwarovým útokům. Zubr k tomu dodal, že útočníci většinou cílí na bohaté státy, kde mohou očekávat vyšší výkupné. „A Česká republika už dávno nepatří na periferii, jsme pro ně atraktivní cíl.“
Kyberútoky dnes připomínají promyšlený byznys. Podle Václava Svátka z ČMIS už dávno nejde o „hackera v kapuci“, ale o organizované skupiny, které fungují jako firmy. „Někdo vyvíjí software, někdo útok provede, jiný vyjednává o výkupném.“
Podle něj zhruba v 15 až 20 procentech případů firmy skutečně zaplatí, protože se obávají ztráty dat i reputace. Někdy útočníci dokonce volají oběti po telefonu, aby urychlili vyjednávání.
Hosty Kulatého stolu na téma Kybernetická bezpečnost jsou (zleva) Tomáš Havrda, VigilTech, Enterprise Architect, Petr Šimsa, PwC, Cybersecurity Compliance Senior Manager, moderátor Vladimír Vokál, Václav Zubr, Cybersecurity Solution Architect, ESET a Václav Svátek, generální ředitel ČMIS. (30. října 2025)
Rostoucím rizikem je i zneužití umělé inteligence. „Pokud necháváte AI zpracovávat firemní data, musíte vědět, kam odcházejí a kdo s nimi nakládá,“ varuje Havrda.
Šimsa doplnil konkrétní příklad. „V jedné firmě vložili do interní AI celou HR dokumentaci a pak se přes chatbot dalo doptávat na platy zaměstnanců. To je přesně to riziko, které hrozí, když AI není správně nastavena.“
Podle Zubra by umělá inteligence mohla být i nástrojem útoku. „Největší hrozbou nejsou samotné hacky, ale manipulace lidí pomocí deepfake videí a falešných zpráv. Možná se lidé kvůli tomu nakonec vrátí k ověřeným médiím,“ uzavírá s nadsázkou.
