Co jsou regulované služby z hlediska pravidel kyberbezpečnosti?

Kritéria pro zařazení služby mezi regulované

• Kritičnost pro fungování státu – Základním kritériem pro zařazení konkrétní služby do kategorie regulovaných služeb je její kritičnost pro zachování základních funkcí státu a společnosti. To znamená, že se jedná o služby, bez nichž by stát nebyl schopen plnit své základní úlohy vůči občanům, ekonomice ani mezinárodním partnerům.
• Dopad výpadku na ekonomiku – Dalším zásadním kritériem je potenciální ekonomický dopad případného výpadku nebo narušení dané služby. Pokud by kybernetický útok na poskytovatele takové služby způsobil rozsáhlé ekonomické škody, destabilizoval finanční trhy nebo vedl k výraznému poklesu hospodářské aktivity, je taková služba považována za regulovanou a podléhá příslušným bezpečnostním požadavkům.
• Dopad na veřejné zdraví a bezpečnost – Regulovanými se stávají rovněž ty služby, jejichž výpadek nebo kompromitace by bezprostředně ohrozila veřejné zdraví nebo fyzickou bezpečnost obyvatelstva. Mezi takové situace patří například narušení nemocničních systémů, které by znemožnilo poskytování lékařské péče pacientům v ohrožení života.
• Dopad na životní prostředí – Zákon zohledňuje také environmentální hledisko, přičemž mezi regulované jsou řazeny i ty služby, jejichž narušení by mohlo mít závažné dopady na životní prostředí, například prostřednictvím úniků nebezpečných látek nebo nefunkčnosti systémů pro čistění odpadních vod.
• Rozsah a počet dotčených uživatelů – Důležitým faktorem je také počet lidí nebo institucí, kteří jsou na dané službě závislí. Čím větší je počet dotčených subjektů, tím vyšší je pravděpodobnost, že bude služba označena za regulovanou a podrobena odpovídajícím požadavkům.

Hlavní kategorie regulovaných služeb

1. Energetika

• Výroba, přenos a distribuce elektřiny – Provozovatelé elektroenergetické infrastruktury patří mezi nejvýznamnější poskytovatele regulovaných služeb, protože elektřina je základním předpokladem pro fungování prakticky veškeré další infrastruktury moderní společnosti. Narušení systémů řídících výrobu nebo distribuci elektřiny by mohlo mít kaskádový efekt a způsobit rozsáhlý výpadek napájení postihující miliony domácností, průmyslových podniků i veřejných institucí.
• Distribuce zemního plynu a tepla – Regulace se vztahuje rovněž na provozovatele plynárenských sítí a systémů centrálního zásobování teplem, jejichž narušení by mohlo ohrozit vytápění domácností a provozu nemocnic zejména v zimních měsících, kdy jsou tyto služby zcela nepostradatelné.
• Provoz jaderných elektráren a energetických zařízení – Systémy řízení jaderných elektráren a dalších energetických zařízení podléhají mimořádně přísným bezpečnostním požadavkům, neboť jejich narušení by mohlo mít katastrofické následky nejen pro Českou republiku, ale i pro okolní státy.

2. Zdravotnictví

• Nemocnice a zdravotnická zařízení – Zdravotnická zařízení poskytující akutní péči jsou zařazena mezi poskytovatele regulovaných služeb, protože kybernetické útoky na jejich systémy mohou přímo ohrozit životy pacientů. Moderní nemocnice jsou zcela závislé na informačních systémech pro správu pacientských dat, řízení zdravotnické techniky i koordinaci péče, a proto jejich bezpečnost musí být zajištěna na nejvyšší možné úrovni.
• Systémy pro správu zdravotnických dat a e-Health – Elektronické zdravotní záznamy, systémy pro sdílení medicínských informací a platformy pro vzdálenou zdravotní péči jsou rovněž považovány za součást regulované infrastruktury, přičemž jejich kompromitace by mohla vést k únikům citlivých osobních údajů nebo narušení kontinuity lékařské péče.
• Záchranné a krizové systémy – Systémy zajišťující koordinaci záchranné zdravotní služby, dispečinky tísňových linek a systémy krizového řízení ve zdravotnictví jsou rovněž zahrnuty mezi regulované služby, protože jejich selhání by mohlo mít bezprostřední dopady na záchranu lidských životů.

3. Veřejná správa

• Státní informační systémy – Informační systémy státní správy, prostřednictvím kterých jsou poskytovány klíčové veřejné služby občanům, podnávají přísnému režimu kyberbezpečnosti. Patří sem systémy pro správu registrů obyvatel, evidence vozidel, správu daní nebo systémy sociální podpory, jejichž narušení by výrazně ztížilo nebo zcela znemožnilo výkon veřejné správy.
• Systémy pro krizové řízení a obranu – Informační a komunikační systémy určené pro krizové řízení, koordinaci záchranných složek nebo podporu obrany státu patří mezi nejcitlivější a nejpřísněji chráněné regulované služby, přičemž jejich bezpečnostní požadavky jsou definovány nejen zákonem o kybernetické bezpečnosti, ale také předpisy z oblasti národní bezpečnosti a obrany.
• Systémy e-Government a elektronické identity – Platformy umožňující elektronickou komunikaci občanů se státem, systémy elektronické identity a autentizace nebo portály veřejné správy jsou rovněž zařazeny do kategorie regulovaných služeb, protože jejich kompromitace by mohla vést k rozsáhlým podvodům nebo narušení důvěry veřejnosti ve státní instituce.

4. Telekomunikace a datové sítě

• Provozovatelé veřejných komunikačních sítí – Poskytovatelé internetového připojení, mobilních sítí a dalších telekomunikačních služeb jsou klíčovými subjekty regulovaného prostředí, neboť moderní společnost je na jejich službách zcela závislá. Narušení telekomunikační infrastruktury by mělo dalekosáhlé dopady na fungování prakticky všech ostatních odvětví a regulovaných služeb.
• Provozovatelé datových center a cloudové infrastruktury – S rostoucí digitalizací všech oblastí hospodářství a veřejného života se datová centra a cloudová infrastruktura stávají stále kritičtějšími prvky, jejichž výpadek nebo kompromitace by mohla způsobit rozsáhlé škody. Provozovatelé těchto zařízení jsou proto podrobeni přísným bezpečnostním požadavkům.
• Systémy pro přenos dat a páteřní sítě – Páteřní telekomunikační sítě zajišťující přenos datových toků na národní i mezinárodní úrovni jsou rovněž součástí regulované infrastruktury, přičemž jejich ochrana je klíčová pro zachování konektivity celého státu.

5. Bankovnictví a finanční sektor

• Banky a finanční instituce – Bankovní sektor patří tradičně mezi nejpřísněji regulované oblasti z hlediska kyberbezpečnosti, a to z důvodu obrovského množství citlivých finančních dat, která spravuje, a přímých ekonomických dopadů, které by měl případný kybernetický útok na finanční stabilitu státu i jednotlivých občanů. Regulace se vztahuje na všechny systémy zajišťující provádění platebních transakcí, správu účtů nebo komunikaci s klienty.
• Platební infrastruktura a clearingové systémy – Systémy pro mezibankovní zúčtování, platební brány a infrastruktura pro zpracování platebních karet jsou kritickými prvky finanční infrastruktury, jejichž narušení by mohlo ochromit celý platební styk v zemi a způsobit rozsáhlé ekonomické škody.
• Pojišťovny a investiční společnosti – Regulace se vztahuje také na pojišťovny, penzijní fondy a investiční společnosti, jejichž systémy spravují citlivé finanční informace velkého počtu klientů a jejichž kompromitace by mohla mít závažné dopady na finanční zabezpečení milionů lidí.

6. Vodní hospodářství

• Provozovatelé vodovodů a kanalizací – Systémy zásobování pitnou vodou a odvádění odpadních vod jsou zařazeny mezi regulované služby, protože jejich narušení by mohlo mít přímé a okamžité dopady na veřejné zdraví. Kybernetický útok na systémy řídící úpravny vody nebo čistírny odpadních vod by mohl způsobit kontaminaci pitné vody nebo nekontrolované vypouštění škodlivých látek do životního prostředí.
• Systémy pro monitoring a řízení vodní infrastruktury – Automatizované systémy pro dálkové řízení vodní infrastruktury, čerpacích stanic a regulačních uzlů jsou rovněž součástí regulované infrastruktury, přičemž jejich ochrana vyžaduje specifická bezpečnostní opatření odpovídající jejich kritičnosti.

Povinnosti poskytovatelů regulovaných služeb

• Implementace bezpečnostních opatření – Všichni poskytovatelé regulovaných služeb jsou povinni zavést a průběžně udržovat komplexní soubor technických a organizačních bezpečnostních opatření, jejichž cílem je minimalizovat riziko kybernetických incidentů a zajistit rychlou a efektivní reakci v případě jejich výskytu. Tato opatření zahrnují například nasazení pokročilých firewallů, systémů pro detekci průniků, šifrování dat nebo pravidelné bezpečnostní audity a penetrační testování.
• Povinné hlášení bezpečnostních incidentů – Zákon o kybernetické bezpečnosti ukládá poskytovatelům regulovaných služeb povinnost hlásit závažné kybernetické incidenty příslušným orgánům, zejména Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Tato povinnost slouží k zajištění včasného sdílení informací o hrozbách a umožňuje státním orgánům koordinovat odpověď na rozsáhlé kybernetické útoky.
• Provádění pravidelných bezpečnostních auditů – Poskytovatelé regulovaných služeb jsou povinni pravidelně prověřovat stav svých bezpečnostních opatření prostřednictvím interních i externích bezpečnostních auditů, jejichž výsledky musí být zdokumentovány a zohledněny při plánování dalšího rozvoje bezpečnostní architektury.
• Zajištění kontinuity provozu a obnovy po incidentu – Součástí povinností poskytovatelů regulovaných služeb je také vypracování a pravidelné testování plánů pro zajištění kontinuity provozu a obnovy po kybernetickém incidentu, které musí být schopny garantovat, že v případě útoku bude služba obnovena v co nejkratší době a s minimálními negativními dopady.
• Vzdělávání a školení zaměstnanců – Poskytovatelé regulovaných služeb mají povinnost zajistit pravidelné školení svých zaměstnanců v oblasti kybernetické bezpečnosti, neboť lidský faktor je jednou z nejčastějších příčin bezpečnostních incidentů. Zaměstnanci musí být schopni rozpoznat phishingové útoky, správně zacházet s citlivými daty a dodržovat bezpečnostní politiky organizace.
• Spolupráce s NÚKIB a státními orgány – Poskytovatelé regulovaných služeb jsou povinni spolupracovat s Národním úřadem pro kybernetickou a informační bezpečnost a dalšími příslušnými státními orgány, poskytovat jim požadované informace a umožňovat kontroly dodržování zákonných povinností.

Sankce za nedodržení povinností

• Správní sankce a pokuty – Poskytovatelé regulovaných služeb, kteří nesplní povinnosti stanovené zákonem o kybernetické bezpečnosti, jsou vystaveni správním sankcím včetně vysokých pokut, jejichž výše odráží závažnost porušení a potenciální rizika plynoucí z nedostatečného zabezpečení regulované infrastruktury.
• Nápravná opatření – Vedle finančních sankcí mohou příslušné orgány uložit poskytovateli regulované služby povinnost přijmout konkrétní nápravná opatření ke zlepšení stavu kybernetické bezpečnosti v určené lhůtě, přičemž nedodržení těchto opatření může vést k dalším sankcím.
• Reputační dopady – Mimo formální sankce musí poskytovatelé regulovaných služeb počítat také s reputačními dopady v případě závažných kybernetických incidentů, které mohou vést ke ztrátě důvěry zákazníků, partnerů a veřejnosti, a tím i k výrazným ekonomickým ztrátám.

Závěr

Regulované služby z hlediska zákona o kybernetické bezpečnosti tedy představují páteř fungování moderního státu a jejich ochrana před kybernetickými hrozbami je absolutní prioritou jak pro samotné poskytovatele, tak pro státní orgány odpovědné za národní bezpečnost. Komplexní systém povinností, dohledu a sankcí vytvořený zákonem o kybernetické bezpečnosti má za cíl zajistit, že tato kritická infrastruktura bude chráněna na nejvyšší možné úrovni a bude schopna odolávat stále sofistikovanějším kybernetickým hrozbám, které představují jedno z nejzávažnějších bezpečnostních rizik současného světa.

Mohlo by vás také zajímat: Co musí vedení firem povinně zajistiti ohledně kyberbezpečnosti od listopadu 2025? Jaké pokuty ohledně kyberbezpečnosti hrozí nově vedení firem?