Menu
IOT VZDĚLÁVÁNÍ NIS2 ROZHOVOR

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Kateřina Dobrá

Kateřina Dobrá
26. 09. 2025

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Firmy se musí zabezpečit – ne kvůli nám nebo kvůli zákonu, ale kvůli sobě, říká ředitel NÚKIBu Lukáš Kintr. Proč je naše nová kyberbezpečnostní legislativa přísnější než směrnice NIS2? A jak bude stát řešit nedostatek expertů? 

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr


Jak hodnotíte výslednou podobu kyberbezpečnostního zákona? 

Po deseti letech máme aktualizovaný základní standard kybernetické bezpečnosti v České republice. To je to nejdůležitější. Za deset let od schválení minulého zákona se rozvinuly technologie i možnosti kyberútočníků. A my na to teď dokázali legislativně zareagovat. 

Jak jste coby expert vnímal politickou debatu, která se kolem schvalování zákona rozproudila? 

Politická debata pokaždé složitá témata trochu zploští, zjednoduší. A to z pozice experta nesete útrpně. Chtěl byste se bavit v detailu, protože v něm se zpravidla skrývá ďábel. A místo toho se musíte soustředit, aby se z někdy i emoční debaty nevytrácela sama podstata, smysl zákona. Tedy to, že kyberbezpečnost už dnes není jenom technický problém, co hlavně nemá obtěžovat nikoho jiného než IT oddělení. Ale že je nutné ji vnímat ve všech různých kontextech. Že když podceníte kybernetickou obranu, může to mít dalekosáhlé politické i ekonomické důsledky. 

Nový zákon o kybernetické bezpečnosti  

Už 1. listopadu 2025 vstoupí v účinnost nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. 

Cílem zákona je zvýšit odolnost firem a organizací z kritických odvětví proti kybernetickým rizikům. Dotkne se tisíců subjektů z oblastí jako energetika, bankovnictví, zdravotnictví nebo veřejná správa.   

Zjistěte, jestli se vás týká, a nechte si od nás poradit, s čím začít. 

Někteří vám vyčítali, že jste šli hodně nad rámec evropské směrnice NIS2, která celý proces iniciovala. 

Ano, ale to je dáno tím, že jsme nereagovali jen na unijní požadavky, ale i na vlastní zkušenosti s předchozím zákonem a také na požadavky v oblasti národní bezpečnosti, kterou EU tolik neřeší. 

Firmy očekávají zákazy a příkazy. Tak to ale nefunguje 

Zákon nabývá účinnosti 1. listopadu 2025. Co to bude znamenat pro dotčené firmy? 

Za mě by bylo nejlepší, kdyby se toho 1. listopadu pro nikoho nic neměnilo. Kdyby všichni už dávno přistupovali ke kyberbezpečnosti zodpovědně. Protože je to pro ně existenční, zásadní věc. Kdyby zákon jen stvrdil existující stav. Ale tak to bohužel není. 

My se setkáváme hlavně s tím, že si firmy a instituce vykládají nový kyberbezpečnostní zákon příliš restriktivně. Že musejí do určitého data splnit všechno, co je v něm napsané, jinak budou platit pokuty. Jenže tak to nefunguje.  

A jak to funguje? 

Ideálně by firmy měly dělat jenom to, co jim dává smysl v jejich konkrétní situaci. A co jim smysl nedává, ignorovat, i když o tom mluví zákon nebo nějaký rádoby odborník. Když ve firmě nemám průmyslové zařízení, tak přece nebudu aplikovat opatření na jeho zabezpečení. Každý si musí říct, co konkrétně mu hrozí – a kolik se mu vyplatí investovat do řešení té hrozby.  

Bohužel na tohle přemýšlení nejsme v Česku zvyklí. Od legislativy chceme, aby nám jasně řekla: tohle je povinné, tohle je zakázané.  

Takže kdybyste byl v managementu firmy, která kyberbezpečnost dosud neřešila, jak byste postupoval? 

Nejdřív bych se podíval, jestli na mě zákon dopadá, nebo ne. U nás na portálu NÚKIBu na to najdete jednoduchou „kalkulačku“. Pokud patříte mezi dotčené organizace, jedna z bezodkladných věcí je se nám nahlásit a zaregistrovat se. My vám potvrdíme, že pod zákon skutečně spadáte. Následně si určíte kontaktní osobu, která u vás řeší kyberbezpečnost a která s námi bude komunikovat. A tím okamžikem vám začne běžet roční lhůta na zavedení bezpečnostních opatření.  

Pokud začínáte od nuly, tak za rok nejspíš všechno nestihnete. Pro nás je ale podstatné, abyste si sestavili dlouhodobější plán. Abyste nám řekli, až od nás přijde kontrola – víme, že nemáme všechno, ale v tomhle a tomhle jsme se posunuli a tohle chystáme. Abyste měli minimálně zmapované vlastní nedostatky a věděli, kam směřujete. 

Pro managementy firem může být zákon wake-up call 

Jak bude NÚKIB dotčeným firmám pomáhat?  

Přes metodické, podpůrné materiály, odpovědi na nejčastější dotazy a online školení zdarma. A na specifičtější dotazy jsme schopni reagovat i napřímo, byť vzhledem k našim omezeným kapacitám ne z hodiny na hodinu. 

Jak je na implementaci zákona připravena státní správa? Je pravda, že v zabezpečení jednotlivých úřadů jsou obrovské rozdíly? 

Státní správa není z podstaty věci nejpružnější. Na druhou stranu pro řadu organizací nejde o novou věc, protože spadaly už pod původní zákon o kybernetické bezpečnosti. Nicméně máte pravdu, že rozdíly jsou velké. Stejně jako v komerčním sektoru záleží hodně na vedení, současném i minulém. Nakolik byli ti lidé osvícení a schopni dohlédnout zásadní důležitost kyberbezpečnosti v dnešním světě. 


V tomhle by zákon také měl zafungovat, protože posiluje vědomí, že kyberbezpečnost je záležitostí managementu.

Ano, může jít o jakýsi wake-up call. Zákon definuje osobní odpovědnost statutárních zástupců organizací. A pokud by chtěl někdo z nich kyberbezpečnost systematicky ignorovat, je tam i krajní možnost zákazu výkonu statutární role. Ale opět – my nechceme firmy ani instituce motivovat zákazy a pokutami. Přece se nezabezpečují kvůli nám, ale kvůli sobě. Kyberútok jim může zasadit úder, ze kterého se už nevzpamatují. Stává se to bohužel často. 

Nechceme firmy ani instituce motivovat zákazy a pokutami. Přece se nezabezpečují kvůli nám, ale kvůli sobě.

Lukáš Kintr Lukáš Kintr
Ředitel NÚKIBu

Potřebujeme dávat expertům víc, než je pražský nájem 

Co kromě zákona ještě potřebujeme pro vybudování funkčního a odolného kyberbezpečnostního ekosystému v České republice? 

Nutné je zvýšit bezpečnostní povědomí nejen u vedení firem, ale u celé populace. Minimálně v uživatelské rovině bychom potřebovali, aby odolní byli opravdu všichni. Ostatně většina kyberútoků začíná selháním, opomenutím, podceněním ze strany nějakého konkrétního člověka. 

No a pak nám chybějí kyberbezpečnostní experti. Speciálně na straně státu, který nedokáže na pracovním trhu konkurovat komerční sféře. Nezvládá odborníkyadekvátně ohodnotit. Musíme jim začít platit aspoň tolik, aby si mohli dovolit pražský nájem. To teď není samozřejmost. 

Dá se nedostatek expertů na straně státu řešit centralizací? 

Ano, tím se dají ušetřit kapacity. Za mě by například dávalo smysl, kdyby celá česká státní správa přistupovala do internetu z jednoho zabezpečeného místa. Takový projekt už dnes existuje, jen jsme stále na začátku. Řeší se třeba, nakolik to bude postavené na fyzické infrastruktuře, nakolik virtualizované. Je nám rovněž jasné, že bez silného komerčního partnera podobný projekt nedáme dohromady. Narážíme samozřejmě i na to, že stát není v těchto věcech vždycky tak akceschopný, jak by bylo potřeba. 


Cítíte změnu v myšlení představitelů státu v onom posunu vnímání kyberbezpečnosti od technické ke strategické záležitosti?

V teoretické rovině rozhodně ano. Kyberbezpečnost je dnes už pevnou součástí státní bezpečnostní strategie. Je to téma pro zahraniční politiku, ale i pro další ministerstva. Problém je o patro níž, kde se stále najdou státní instituce, které kyberbezpečnost vnímají jen jako IT problém, který se jich netýká. 

Lze očekávat další iniciativu ze strany Evropské unie? Nějakou NIS3? 

NIS3 jednou určitě přijde. Ale já jsem se před dvěma lety připojil k otevřenému dopisu Evropské komisi, kde jsme s kolegy z jiných zemí formulovali potřebu přibrzdit tvorbu nových předpisů. A místo toho se soustředit spíše na důkladnější implementaci věcí, co už jsou přijaté. 

My jsme teď dokončili nový zákon o kybernetické bezpečnosti, pracujeme na prováděcích předpisech. A zkušenosti s předchozím zákonem ukázaly, že implementace do firem i institucí bude mít nějakou setrvačnost. Takže bych nabádal ke zdrženlivosti. Už tak tady máme další evropská nařízení, která se soustředí na jednotlivé sektory, jako DORA na finančnictví, které se s NIS2 překrývají, ale přinášejí i nové povinnosti. 

IoT je kritický prvek bezpečnosti 

Jiná regulace CRA teď bude řešit mimo jiné IoT zařízení. Vnímáte, že právě internet věcí je dnes kritickým prvkem kyberbezpečnosti? 

Určitě. Tady se sluší zopakovat nutnost zvyšovat povědomí o kyberbezpečnosti u občanů. Když se podíváme, kolik si toho lidé berou domů – zařízení, která sledují vaše chování, která mají vliv na chod vaší domácnosti. Navíc výrobci jsou nuceni tlačit ceny dolů, takže na jakékoli zabezpečení v podstatě rezignují. Neposkytují ani žádnou podporu, natož bezpečnostní aktualizace. A to všechno se nám může jednou nehezky vrátit. 

Sám podobných zařízení používám minimum. I proto, že nemám moc času si s nimi hrát. Nastavit třeba, kam všude můžou mít v domácí síti přístup. A zapojovat je bezmyšlenkovitě mi přijde skutečně nebezpečné. 

Je to nebezpečné i v geopolitickém kontextu? Řada z IoT zařízení má na sobě vyryto „made in China“. 

U některých to problematické opravdu je. Řada zařízení například posílá data na čínský cloud. Navíc ve velké části toho spektra vůbec nemáme bezpečnou alternativu, protože evropští producenti nedokážou asijským výrobcům cenově konkurovat. 

Tady ta evropská regulace – CRA – dává smysl? 

Jde o pokus donutit výrobce, co chtějí prodávat na evropském trhu, aby mysleli u každého svého výrobku i na kyberbezpečnost. Je to něco jako certifikace CE, kterou dnes máme na všech elektronických zařízeních. Pokud se taková regulace dobře uchopí a bude se dařit ji celoevropsky vymáhat, tak to smysl dává. 

Kyberprostor nezná geografické hranice 

Jak probíhá spolupráce NÚKIBu se zeměmi mimo Evropu? Vím, že jste už vstoupili do kontaktu i s lidmi z nové Trumpovy administrativy. 

Kyberprostor nezná geografické hranice, takže spolupráce je nevyhnutelná. My jsme v tom už od dob, kdy jsme fungovali pod NBÚ, velmi aktivní. A nejen že se učíme od ostatních, snažíme se k pomyslnému stolu i sami něco přinášet. 

Za tím účelem máme po světě své cyber attaché. Jednoho v Bruselu kvůli unijní spolupráci, druhého tamtéž kvůli spolupráci s NATO. Další jsme vyslali do Washingtonu, Tel Avivu a do australské Canberry. To nám pomáhá budovat důvěru a získávat více informací k živým kyberútokům, špionážním kampaním a podobně. Reagovat na útok nám v minulosti pomohly i FBI nebo NSA. 



A ta Trumpova administrativa? Mění se vlastně něco na kyberbezpečnostní agendě, když se změní prezident? 

Nemění se, že je kyberbezpečnost jednou ze zásadních priorit americké politiky. Dochází samozřejmě k personálním výměnám nebo k menším úpravám pravomocí jednotlivých organizací. Ale to na naši spolupráci nemá vliv, máme v Americe jako Česko vybudované v oblasti kyberbezpečnosti velké renomé. A naše attaché ve Washingtonu i my tady se staráme, aby to tak zůstalo i nadále. 

A co tedy Česko přináší k onomu společnému stolu? 

Snažíme se být co nejaktivnější v monitoringu hrozeb a hledání způsobů, jak se jim bránit. Naše zkušenosti uplatňujeme při tvorbě strategických konceptů a nastavování regulačních rámců. V oblasti capacity buildingu se pak vzhledem k našim omezeným zdrojům zapojujeme hlavně do širších iniciativ, evropských i v rámci NATO. Ať už jde o dodání expertů, budování technického zázemí, nebo jen organizaci kyberbezpečnostních cvičení. Pomáháme například na západním Balkánu, dělali jsme cvičení pro americký Kongres, ale aktivní jsme třeba i v takovém Bhútánu. 

Co si z článku odnést?  

  • Nový kyberbezpečnostní zákon posunuje standard kybernetické obrany v Česku. Je přísnější než jeho evropská předloha NIS2, ale podle Lukáše Kintra je to mimo jiné kvůli požadavkům v oblasti národní bezpečnosti. 
  • Firmy by podle Kintra zákon neměly vnímat v rovině zákazů a příkazů, ale dělat jenom to, co jim dává smysl v jejich konkrétní situaci. 
  • Vedle implementace nového zákona jsou další výzvy zvýšit bezpečnostní povědomí u celé populace nebo vyřešit nedostatek kyberbezpečnostních expertů.  
  • Velkou výzvou je také internet věcí (IoT), kde je značná část zařízení nezabezpečená a může představovat riziko nejen pro firmy, ale i pro domácnosti. U hodně výrobků dokonce jejich bezpečná alternativa, byť dražší, vůbec neexistuje. 
  • Kyberprostor nezná geografické hranice, a NÚKIB se proto snaží spolupracovat s řadou subjektů: od EU přes NATO po novou Trumpovu administrativu v USA
Kateřina Dobrá Kateřina Dobrá
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit článek
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty
Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Zobrazit článek
Quantum-safe: Jak se připravit na nástup kvantových počítačů?
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Zobrazit článek
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby
Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?

Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?

Zobrazit článek
Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?
BYOD ve firmách: Zvyšte svou produktivitu bezpečně

BYOD ve firmách: Zvyšte svou produktivitu bezpečně

Zobrazit článek
BYOD ve firmách: Zvyšte svou produktivitu bezpečně
DORA a CRA: Jak připravit firmu na nové evropské regulace

DORA a CRA: Jak připravit firmu na nové evropské regulace

Zobrazit článek
DORA a CRA: Jak připravit firmu na nové evropské regulace
Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?   

Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?   

Zobrazit článek
Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?   
Krizová komunikace při kyberútoku. Jak neztratit důvěru zákazníků ani partnerů? 

Krizová komunikace při kyberútoku. Jak neztratit důvěru zákazníků ani partnerů? 

Zobrazit článek
Krizová komunikace při kyberútoku. Jak neztratit důvěru zákazníků ani partnerů? 
asd