Nová legislativa v oblasti IT je příležitostí ke zlepšení procesů i bezpečnosti

Pro české firmy i instituce jsou následující měsíce obdobím, kdy je potřeba analyzovat, plánovat a implementovat - a přemýšlet o právních povinnostech ne jako o překážce, ale jako o příležitosti k modernizaci IT, posílení bezpečnosti, zefektivnění služeb a budování důvěry zákazníků i občanů v digitální prostředí.

České organizace vstupují do klíčového období, kdy se v letech 2026 - 2027 postupně naplno projeví nové legislativní rámce v oblasti kybernetické bezpečnosti, umělé inteligence a digitálních služeb. Vedle již účinného zákona o kybernetické bezpečnosti budou v srpnu 2026 a 2027 nabývat plné účinnosti hlavní části evropského AI Actu a od roku 2027 také zákon o právu na digitální služby.

Nové povinnosti pro tisíce firem a organizací

Od 1. 11. 2025 platí nový zákon o kybernetické bezpečnosti (nZoKB), který nahradil dosavadní právní rámec a zásadně rozšířil okruh regulovaných subjektů.

V platnost vešly i tři prováděcí vyhlášky:

O bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
O bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
O regulovaných službách

Nová legislativa vycházející z evropské směrnice NIS2 staví na principu proporcionality, tedy že organizace musí zavádět taková opatření, která odpovídají jejich skutečným rizikům. Prvním krokem by proto měla být identifikace aktiv a analýza rizik, z níž vyplyne, jaká opatření mají být zavedena v nezbytné míře.

"Organizace měly do konce loňského roku povinnost ohlásit regulované služby a kontaktní údaje na Portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Pokud organizace tuto skutečnost zjistí dodatečně, je nutné realizovat hlášení co neodkladně. Jedná se o vážnou skutkovou podstatu, za kterou hrozí velmi vysoké pokuty. Pomoci s určením může kalkulačka NÚKIBu, která umožňuje předběžné posouzení, do jakého režimu regulace daná organizace nebo jí poskytovaná služba spadá. Dalšími kroky, které by měly následovat jsou analýza rizik, zpracování bezpečnostní dokumentace, nastavení zodpovědností a řízení, případně zavedení adekvátních bezpečnostních opatření, školení zaměstnanců, a zajištění procesů monitoringu včetně hlášení bezpečnostních incidentů. Tyto procesy je vhodné integrovat do stávajících IT struktur, nikoli budovat zcela odděleně. Je třeba si uvědomit, že zajištění kybernetické bezpečnosti není jednorázový projekt, ale dlouhodobý proces a ty organizace, které nedisponují potřebnými zdroji na realizaci některých bezpečnostních opatření vlastními lidmi mohou využít softwarové nástroje a služby třetích stran, jako je například aplikace Cyber Security Audit od společnosti GORDIC," říká František Janů, konzultant kybernetické bezpečnosti společnosti GORDIC.

Cyber Security Audit

Aplikace Cyber Security Audit (CSA) usnadňuje řízení kybernetické bezpečnosti v organizaci v souladu se současnou českou i mezinárodní legislativou, přičemž obsahuje i specifické materiály a doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Poskytuje skutečný přehled o stavu kybernetické bezpečnosti organizace v reálném čase a pomáhá odhalovat skryté hrozby a zranitelná místa.

Jednou z hlavních předností aplikace CSA je funkce dlouhodobého sledování stavu kybernetické bezpečnosti v organizaci včetně jeho změn. Díky tomu lze snadno dohledat změny, které v systému kybernetické bezpečnosti proběhly, a jejich celkový dopad na chod podniku.

Výstupní analýzy a monitoring slouží nejen jako podklady pro zlepšení úrovně kybernetické bezpečnosti organizace, ale také jako podklady pro příslušné dozorové orgány.

Přehled funkcionalit aplikace CSA:

Přehled bezpečnostních událostí a incidentů
Katalog hrozeb a zranitelností
Prohlášení o aplikovatelnosti
Evidence a hodnocení aktiv
Bezpečnostní struktura
Hodnocení dodavatelů
Metodika ISO 27 000
Plán zvládaní rizik
Návrhy opatření
Hodnocení rizik
Plán kontinuity
Mapa aktiv

AI Act - Evropa reguluje umělou inteligenci

Evropská unie se stala prvním regionem na světě, který přijal komplexní právní rámec pro umělou inteligenci. Od 1. 8. 2024 platný AI Act má za cíl zajistit bezpečné a transparentní využívání AI napříč sektory.

Nařízení nahlíží na systémy umělé inteligence podle míry rizika, jak mohou ohrozit uživatele na základních lidských právech nebo na bezpečnosti - od minimálního až po vysoké.

Pro vysoce rizikové systémy, např. ty využívané ve zdravotnictví, dopravě nebo správě veřejných agend, stanovuje povinnost vedení dokumentace, řízení rizik, lidského dohledu a zajištění transparentnosti.

Ačkoli jde o nařízení EU, které je přímo použitelné a není nutné jej převádět do českých zákonů, vznikl na národní úrovni návrh adaptačního zákona o umělé inteligenci.

Jeho cílem je připravit české prostředí na praktické uplatňování pravidel, aniž by ukládal nové povinnosti nad rámec AI Actu. Soustředí se hlavně na určení odpovědných orgánů a nastavení kontrolních postupů.

Na úrovni EU byla pak dále přijata směrnice o odpovědnosti za vadné výrobky, která rozšířila definici výrobku právě o systémy umělé inteligence.

"Samotný AI Act vstoupil v platnost již v srpnu 2024, nicméně jeho účinnost je postupná. Část týkající se zakázaných systémů, které představují nepřijatelné riziko, vstoupila v účinnost 2. 2. 2025. Pravidla týkající se obecných modelů umělé inteligence pak nabyla účinnosti v srpnu 2025. Hlavní části nařízení AI Actu, mezi které budou spadat i vysoce rizikové systémy a požadavky na jejich regulaci, nabydou účinnosti v srpnu 2026, přičemž k úplnému rozvinutí celého legislativního rámce dojde v srpnu 2027. Firmy i instituce by měly již nyní provést inventuru využívaných AI systémů a vyhodnotit, zda spadají do některé z regulovaných kategorií. Kdo používá systémy s vyšší mírou rizika, by měl zkontrolovat smluvní vztahy s dodavateli, nastavit odpovědnostní pravidla, doplnit technickou dokumentaci, zavést interní směrnice, zajistit školení a kontrolní postupy," říká Simona Kobylková, právnička společnosti GORDIC.

Nový přístup k úřednímu styku a evropská peněženka

Další klíčovou legislativní úpravou je zákon o právu na digitální služby (ZoPDS), jehož plná účinnost je naplánována na začátek roku 2027. Tento zákon má umožnit, aby všechny úřední úkony mohly být prováděny digitálně - od podání přes podpis až po doručení dokumentu.

Zákon vychází z principu, že občan by měl mít možnost vyřídit své záležitosti se státem zcela online, bez nutnosti fyzické přítomnosti, a mimo jiné přináší také instituty jako digitální zastoupení, fikci úředně ověřeného podpisu či integraci informačních systémů veřejné správy na evropskou peněženku digitální identity (EUDI Wallet).

Nyní je rozhodující období, kdy se připravují konkrétní metodiky a technické standardy. Instituce, organizace a úřady by se přitom neměly zaměřovat jen na formální stránku, ale především na funkčnost a použitelnost digitálních služeb pro občany. Ty musí být nejen bezpečné, ale i uživatelsky srozumitelné.

Evropská digitální peněženka

Evropská digitální peněženka (EUDI Wallet), která má nahradit dnešní eDoklady, bude sloužit nejen pro uchovávání dokladů, ale také pro ověřování totožnosti a sdílení ověřených atributů, jako jsou např. profesní kvalifikace nebo oprávnění.

S tímto vývojem souvisí i rozšiřování možnosti kvalifikovaného podepisování s využitím peněženky, které umožní občanům podepisovat dokumenty bezpečně a bez nutnosti fyzických čipových karet. Tento model se rychle stává standardem v celé EU a je považován za klíčový krok k plné digitalizaci veřejné správy.

Důvěra a bezpečnost

Všechna zmíněná opatření - nZoKB, AI Act i ZoPDS - směřují k jednomu cíli, kterým je zvýšení důvěryhodnosti a bezpečnosti digitálního prostředí. Evropa se tímto směrem posouvá systematicky, ale úspěch bude záviset především na včasné přípravě organizací.

Z jejich pohledu by nemělo jít jen o naplnění legislativních požadavků - nové rámce jim přinášejí také příležitost ke zefektivnění procesů, modernizaci IT infrastruktury a posílení důvěry jejich zákazníků, partnerů a uživatelů.