Kybernetická bezpečnost 2026: Stát zpřísňuje pravidla a váš IT dodavatel by to měl vědět dřív než vy

V září 2025 schválila česká vláda Národní strategii kybernetické bezpečnosti 2026. Přímo ovlivní to, co po vás bude v příštích 12 až 18 měsících vyžadovat regulátor, zákazníci i partneři. Přinášíme vám přehled toho nejdůležitějšího: co se mění, co to znamená konkrétně pro vaši firmu a jak poznat, že váš IT dodavatel tyhle změny (ne)zvládá.

Proč je tato strategie jiná než předchozí

Česká republika má v oblasti kybernetické bezpečnosti relativně dobrou výchozí pozici. Jako jeden z prvních států na světě přijala zákon o kybernetické bezpečnosti v roce 2014 a NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) si za ta léta vybudoval respekt i v mezinárodním prostředí.

Ve třetím čtvrtletí roku 2024 vzrostl průměrný počet kybernetických útoků na jednu českou firmu meziročně o 69 %. Globální škody způsobené kyberkriminalitou dosáhly v roce 2023 hodnoty, která by odpovídala třetí největší ekonomice světa, a do roku 2030 se očekává trojnásobný nárůst. České banky evidovaly jen v roce 2023 téměř 70 000 obětí kyberpodvodů s celkovou škodou přes 1,35 miliardy korun. To nejsou strašáci z bezpečnostních konferencí, to jsou čísla z výročních zpráv.

Nová strategie na to reaguje tím, že přesouvá odpovědnost výrazně níž: nestačí mít na webu napsáno, že dbáte na bezpečnost. Nově musíte být schopni to doložit. A stejné doložení budete vyžadovat po svých dodavatelích.

Co konkrétně přichází a koho se to týká

1. Povinné prověřování dodavatelů v celém dodavatelském řetězci

Strategie explicitně mluví o tom, že firmy musí prosazovat bezpečné a odolné dodávky do strategické infrastruktury a důsledně prověřovat své dodavatele. Co to v praxi znamená?

Pokud jste výrobní firma s certifikací např. pro automobilový průmysl nebo pro energetický sektor, vaši odběratelé se vás už dnes mohou a v příštích měsících budou stále důsledněji dotazovat na bezpečnost vašich IT systémů a softwarových dodavatelů. Nestačí říct „máme NIS2 pokrytou". Budou chtít vědět, jak ji máte pokrytou a kdo vám ji pomáhal implementovat.

Pro softwarové firmy, které dodávají do finančního sektoru (a to platí i pro ty, které dodávají institucím regulovaným ČNB), přichází ze strany DORA požadavek na dokumentaci bezpečnostních praktik třetích stran. Pokud nemáte od svého IT dodavatele k dispozici bezpečnostní dokumentaci, audit trail nebo důkaz o testování zranitelností, máte problém.

2. Pravidelné bezpečnostní audity a testování zranitelností

Strategie počítá s tím, že pravidelné audity a testy zranitelností přestanou být doporučením a stanou se standardní součástí provozu regulovaných subjektů. Pokud provozujete kritický systém – ať je to výrobní MES, bankovní platební platforma nebo cloudová SaaS aplikace pro firmy – budete muset být schopni doložit, kdy proběhl poslední penetrační test a co z něj vzešlo.

3. Konec vendor lock-inu je teď státní priorita

Tenhle bod stojí za pozornost: strategie explicitně identifikuje závislost na dodavateli (vendor lock-in) jako bezpečnostní riziko a stát bude aktivně podporovat vznik alternativ a omezování technologické závislosti. Co to znamená pro vás?

Pokud provozujete kritický systém a váš dodavatel vám nedal přístup ke zdrojovému kódu, nedokumentoval architekturu nebo vás drží na proprietárních technologiích bez možnosti přechodu – jste zranitelní. Nejen technicky, ale i regulatorně.

4. Posílení data governance a sjednocení IT architektury

Strategie klade důraz na systematické řízení dat, odpovědnost za jejich kvalitu a bezpečnost. Pro firmy to znamená, že data rozptýlená mezi tabulky, oddělené systémy a stínové aplikace přestávají být jen provozní nepořádek a stávají se bezpečnostním a compliance rizikem.

Pro BFSI sektor to není novinka, ale výrobní firmy s daty o výrobních procesech nebo softwarové společnosti zpracovávající data zákazníků to může zaskočit.

5. Příprava na postkvantovou kryptografii (nemusíte mít teď hotovo, ale je dobré teď začít)

Kvantové počítače zatím nejsou hrozbou pro vaše šifrování. Ale strategie explicitně mluví o tom, že je třeba zajistit přechod na kvantově odolnou kryptografii, protože dnešní útočníci sbírají zašifrovaná data s tím, že je rozluští až v budoucnu. Pokud vyvíjíte nebo provozujete systémy s dlouhou životností – bankovní platformy, průmyslové řídicí systémy, zdravotnické registry – je čas se tímto tématem začít zaobírat.

Jak poznat, že váš IT dodavatel kybernetickou bezpečnost (ne)zvládá

Tohle je otázka, na kterou se nás lidé ptají stále víc. Existuje několik konkrétních varovných signálů:

• Bezpečnost řeší až po vývoji.
  Dodavatel nejprve napíše kód a pak přemýšlí, co s bezpečností. To je nejdražší možný přístup, protože opravovat zranitelnosti v produkci je řádově nákladnější než je vůbec nenechat vzniknout.

• Nezná regulace ve vašem oboru.
  Pokud vám dodavatel v BFSI nedokáže říct, jak se jeho řešení vztahuje k DORA nebo k požadavkům ČNB, je to varovný signál. Stejně tak pokud výrobní firma zavádí průmyslový software a dodavatel nezná rozdíl mezi IT a OT bezpečností.

• Nemáte přístup k dokumentaci ani zdrojovému kódu.
  Pokud nemůžete doložit, co váš systém dělá – auditorovi, pojišťovně nebo zákazníkovi – jste závislí na dobré vůli svého dodavatele. To je red flag.

• Neexistuje automatizované testování bezpečnosti v procesu vývoje.
  Moderní vývoj by měl mít bezpečnostní kontroly vestavěné v CI/CD pipeline tak, aby zranitelnosti nezasáhly do produkce. Pokud o tom váš dodavatel neví nebo nemá , výsledný software nese zbytečné riziko.

• Nedokáže připravit podklady pro audit.
  Přichází kontrola, a dodavatel reaguje zmateně nebo vám podklady sestavuje narychlo ze zápisků? To samo o sobě napoví dost.

Secure by design: proč na způsobu práce dodavatele záleží víc než na jeho velikosti

Jsme certifikovaní a pracujeme v souladu s bezpečnostními standardy a regulacemi, známe NIS2, DORA i AI Act – a nejen ze slide decku, ale z praxe. V telekomunikacích jsme pomáhali automatizovat zpracování žádostí orgánů činných v trestním řízení, kde chyba není přípustná a legislativní požadavky jsou extrémně přísné. Ve finančním sektoru provozujeme systémy zpracovávající miliardy transakcí denně. V průmyslu pokrýváme specifika OT/ICS prostředí, kde bezpečnost IT systémů přímo ovlivňuje bezpečnost fyzické výroby.

A pokud nemáte vlastního CISO nebo interního bezpečnostního specialistu – což je realita pro velkou část středně velkých firem – nabízíme Security as a Service: kombinaci seniorních expertů a automatizovaného monitoringu, která dokáže nahradit celou tuto roli za zlomek nákladů na kmenového zaměstnance.

Jak vás na nadcházející změny připravíme

Nejde o to dohnat zameškané. Jde o to mít jasný plán, jak se posunout z místa, kde jste dnes, tam, kde vás regulace a zákazníci budou brzy vyžadovat.

Konkrétně s vámi:

• posoudíme váš aktuální stav – bezpečnostní review, identifikace mezer vůči NIS2/DORA/AI Act

• navrhneme architekturu, která tyto požadavky pokrývá od základů, ne lepením záplat

• připravíme podklady pro audit – dokumentaci, roadmapu změn, bezpečnostní politiky

• zavedeme automatizaci v CI/CD tak, aby se zranitelnosti nezabydlely v produkci

• pokryjeme OT/ICS specifika pro výrobní firmy, kde IT a fyzický provoz splývají

• a průběžně vás informujeme o změnách regulace – protože co platí dnes, nemusí platit za rok

Chcete vědět, jak na tom vaše firma aktuálně je? Ozvěte se nám – první posouzení uděláme rádi a bez závazku.
Sledujte náš pravidelný zpravodaj Inspirace z ARTINu, ať se k vám všechny důležité informace dostanou jako první.