FAQ

Ano, pokud jste výrobní firma, je pravděpodobné, že se na vás vztahují požadavky směrnice NIS2 a její české implementace v podobě nového zákona o kybernetické bezpečnosti (ZoKB). Tyto předpisy se zaměřují na organizace, které provozují kritickou nebo významnou infrastrukturu, a mohou se týkat i výrobců, kteří jsou součástí klíčových dodavatelských řetězců. Doporučujeme provést posouzení, zda vaše společnost spadá do působnosti těchto předpisů, a připravit se na případné povinnosti v oblasti kybernetické bezpečnosti.

Podrobné informace naleznete v průvodci NÚKIB:

https://portal.nukib.gov.cz/pruvodce-novym-zakonem-o-kyberneticke-bezpecnosti.

Kromě NIS2 je důležité zaměřit pozornost i na další nadcházející evropské regulace, které mohou mít významný dopad na výrobní firmy:

RED: 1. srpna 2025 vstoupí v platnost delegovaný akt ke směrnici o rádiových zařízeních (RED), který stanoví kybernetické požadavky na všechna rádiová zařízení připojená přímo či nepřímo k internetu. To zahrnuje širokou škálu produktů, od průmyslových zařízení po spotřební elektroniku.

Cyber Resilience Act (CRA): Tato regulace, účinná od 11. prosince 2027, zavádí povinnosti v oblasti kybernetické bezpečnosti pro všechny produkty s digitálními prvky. Již od 11. září 2026 budou výrobci povinni hlásit vážné kybernetické incidenty a aktivně zneužívané zranitelnosti příslušným orgánům, jako je ENISA nebo národní certifikační autority.

! Pro výrobní firmy je klíčové začít s přípravou na tyto regulace co nejdříve. To zahrnuje posouzení stávajících produktů, implementaci bezpečnostních opatření a zajištění souladu s novými požadavky. Včasná příprava pomůže minimalizovat rizika a zajistit plynulý přechod na nové standardy kybernetické bezpečnosti.

V oblasti průmyslu dnes působí řada legislativních rámců a technických norem, které se týkají jak organizací, tak i samotných produktů.

Legislativa:

• NIS2 + nový zákon o kybernetické bezpečnosti – určuje povinnosti pro střední a velké podniky v klíčových odvětvích (včetně výrobního průmyslu)
• Cyber Resilience Act (CRA) – vztahuje se na všechny digitální produkty uváděné na trh v EU (včetně softwaru, zařízení a kombinovaných řešení)
• RED Delegated Act – doplňuje směrnici o rádiových zařízeních, nově zavádí požadavky na kyberbezpečnost bezdrátových produktů od 1. srpna 2025
• AI Act – připravovaná regulace EU pro systémy umělé inteligence, která určuje požadavky podle rizikovosti AI řešení (zejména v oblastech jako je řízení výroby, kvalita nebo prediktivní údržba)

Normy:

• ISO/IEC 27001 – řízení bezpečnosti informací (pro organizaci)
• IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent (vztahuje se i na vývoj produktů)
• EN 18031 – hodnocení zranitelností a testování bezpečnosti produktů (relevantní pro RED)
• ETSI EN 303 645 – základní standard pro kybernetickou bezpečnost spotřebitelských IoT zařízení
• ISO/IEC 42001 – nový mezinárodní standard pro řízení systémů umělé inteligence (AI), zaměřený na transparentnost, řízení rizik a auditovatelnost AI řešení

!!!Pozor: Systémy řízení jako např. ISO/IEC 27001 nebo i nový ZoKB se vztahují výhradně na organizaci – nikoli na produkty. Pro bezpečnost výrobků a zařízení je třeba uvažovat zcela jiné přístupy – vycházející primárně z IEC 62443.

Kybernetickou bezpečnost v průmyslu je nutné řešit komplexně – na úrovni infrastruktury organizace (IT/OT systémy) i na úrovni samotných produktů uváděných na trh.

Je třeba oddělovat systémy řízení bezpečnosti (např. ISO/IEC 27001 nebo nový zákon o kybernetické bezpečnosti vycházející z NIS2), které se vztahují výhradně na organizaci a její procesy. Tyto systémy však nijak nedokládají ani neprokazují bezpečnost konkrétních produktů!

Zajištění bezpečnosti produktů – zejména těch s digitálními prvky – vyžaduje:

• Bezpečný vývoj (ideálně dle IEC 62443-4-1)
• Testování zranitelností (např. dle IEC 62443-4-2 a EN 18031)
• Posouzení souladu produktu s legislativními požadavky (zejména CRA a RED)
• Přípravu technické dokumentace a označení CE (v případě RED)
• CB certifikát IEC 62443-4-1 a IEC 62443-4-2 (celosvětové uznání)

EZÚ nabízí jak organizační, tak produktové služby a pomáhá výrobcům i dodavatelům zvládnout celý životní cyklus kyberbezpečnosti – od úvodní GAP analýzy, školení na míru, pre-assessment až po úspěšnou certifikaci.

Ano. Nový zákon o kybernetické bezpečnosti byl prezidentem podepsán 26. června 2025 a nabude účinnosti 1. listopadu 2025. Zákon implementuje evropskou směrnici NIS2 a zásadně rozšiřuje okruh regulovaných subjektů – dopadne tak na tisíce úřadů, příspěvkových organizací, nemocnic, škol, krajů, obcí a dalších veřejnoprávních institucí.

Po nabytí účinnosti budou mít regulované subjekty 60 dní na ohlášení regulovaných služeb a následně budou povinny plnit konkrétní požadavky – například řízení kybernetických rizik, zabezpečení systémů, reakci na incidenty a hlášení událostí.

Doporučujeme se s požadavky zákona seznámit v předstihu – podrobné a přehledně zpracované informace naleznete přímo na stránkách NÚKIB v Průvodci novým zákonem o kybernetické bezpečnosti: Průvodce novým zákonem o kybernetické bezpečnosti | Portál NÚKIB

EZÚ nabízí praktickou podporu organizacím, na které se vztahuje nový zákon o kybernetické bezpečnosti (ZoKB) účinný od 1. 11. 2025. Pomůžeme vám se zmapováním aktuálního stavu (pre-screening, GAP analýza), školením zaměstnanců i pre-auditem připravenosti.

Certifikaci vám umíme zajistit buď samostatně, nebo integrovaně s již zavedeným systémem řízení dle ISO/IEC 27001. Dokážeme Vás efektivně provést celým procesem – od prvních kroků až po finální ověření shody.

Se zavedením nového zákona o kybernetické bezpečnosti, který vychází ze směrnice NIS2, došlo k zásadnímu propojení požadavků na informační systémy veřejné správy a kybernetickou bezpečnost.

V praxi to znamená, že pokud ISVS zároveň spadá pod regulaci dle ZoKB (např. systém zajišťující významnou službu), bude nutné při atestaci zohlednit i požadavky dle zákona o kybernetické bezpečnosti. Už dnes je při atestaci běžnou praxí posuzovat aspekty jako řízení přístupů, zálohování, řízení změn, reakce na incidenty či provozní bezpečnost – tedy oblasti, které se překrývají s požadavky NIS2/ZoKB.

Proto doporučujeme plánovat atestaci ISVS v kontextu širších bezpečnostních požadavků, a ideálně ji provázat s analýzou souladu dle ZoKB/NIS2.

Atestace ISVS (informačního systému veřejné správy) je zákonem stanovený proces, jehož cílem je ověřit, zda daný informační systém splňuje požadavky stanovené legislativou – konkrétně zákonem č. 365/2000 Sb. o informačních systémech veřejné správy a vyhláškou č. 529/2022 Sb.

Atestace je povinná pro:

• orgány veřejné moci, které provozují nebo spravují ISVS
• dodavatele systémů, kteří vyvíjejí, implementují nebo provozují informační systémy určené pro veřejnou správu

Pokud vyvíjíte nebo uvádíte na trh zdravotnické prostředky s digitálním prvkem, týká se vás nejen nařízení MDR (EU 2017/745), ale v blízké budoucnosti také Cyber Resilience Act (CRA). Ten zavádí povinnosti v oblasti kybernetické bezpečnosti produktů – včetně hlášení incidentů od září 2026 a plné účinnosti od prosince 2027.

Doporučujeme již nyní vyvíjet své produkty v souladu s normami IEC 62443-4-1 (bezpečný vývoj), IEC 81001-5-1 (pro zdravotnický software) a IEC 62443-4-2 (bezpečnost technických komponent). Tyto standardy stanovují jasné požadavky na procesy, architekturu, aktualizace a odolnost proti zranitelnostem.

Zároveň je zásadní, aby výrobci znali prostředí, ve kterém budou jejich produkty nasazeny – tj. aby od nemocnic získali informace, do jakých zón (dle bezpečnostního členění nemocnice) jejich produkty vstupují (např. zóna se zvýšenou důvěryhodností, bezpečnostní perimetr, otevřená síť apod.). Na základě toho lze určit, do jaké úrovně zabezpečení musí produkt odpovídat – což ovlivňuje i způsob konfigurace, logging, šifrování, aktualizace nebo možnost integrace do nemocničního SIEM.

Kybernetická bezpečnost ve zdravotnictví dnes není volitelná, ale povinná součást řízení rizik a provozu zdravotnického zařízení. Nemocnice spadají mezi regulované subjekty dle nového zákona o kybernetické bezpečnosti (ZoKB), který vstupuje v účinnost 1. listopadu 2025 a vychází ze směrnice NIS2.

Základem pro nastavení kybernetické bezpečnosti v nemocnici by měly být tři klíčové pilíře:

• ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS), který umožní systematicky řídit rizika, nastavovat politiky, školit personál a reagovat na incidenty
• ZoKB (NIS2) – legislativní rámec, který stanovuje povinnosti ve vztahu k provozním, technickým a organizačním opatřením, reportování incidentů a auditovatelnosti
• IEC 62443-2-1 – norma pro návrh a správu kybernetické bezpečnosti provozních (OT) technologií včetně zdravotnického prostředí

Právě norma IEC 62443-2-1 by měla sloužit jako metodický rámec pro rozdělení nemocniční infrastruktury do bezpečnostních zón. Každá zóna (např. oddělení s kritickými systémy, veřejná síť, laboratorní zařízení) má přiřazenu požadovanou úroveň zabezpečení, která následně určuje, jaká technická a organizační opatření je třeba v zóně implementovat a jak bezpečné musí být produkty a zařízení, které do ní vstupují. Nemocnice by měly tento přístup využít i v komunikaci s dodavateli – a vyžadovat po nich informace o úrovni zabezpečení jejich produktů v kontextu definovaných zón.

Zdravotnictví je jedním z nejpřísněji regulovaných sektorů – a to jak z hlediska zpracování citlivých údajů, tak z hlediska provozu a bezpečnosti systémů a zařízení. Legislativa i technické normy přitom dopadají jak na samotné poskytovatele zdravotní péče, tak na jejich dodavatele, vývojáře IT řešení a výrobce zdravotnických prostředků.

Legislativa:

• Zákon o kybernetické bezpečnosti (ZoKB) – účinný od 1. 11. 2025, implementuje NIS2. Týká se nemocnic, zdravotnických zařízení, příspěvkových organizací i IT dodavatelů.
• Nařízení GDPR – ochrana osobních údajů pacientů, zaměstnanců i uživatelů zdravotnických systémů.
• Nařízení MDR (EU 2017/745) – regulace zdravotnických prostředků, včetně požadavků na softwarové aplikace s diagnostickou nebo terapeutickou funkcí.
• MDSG 2019/16 – doporučení Evropské komise k zajištění kybernetické bezpečnosti zdravotnických prostředků, zejména těch se síťovým připojením.
• Cyber Resilience Act (CRA) – bude se týkat všech produktů s digitálními prvky, včetně zdravotnického softwaru. Povinnost hlásit incidenty bude platit již od září 2026.

Normy:

• ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS)
• ISO 13485 – systém řízení kvality pro výrobce zdravotnických prostředků
• ISO 27799 – ochrana osobních zdravotních údajů v rámci ISMS
• IEC 81001-5-1 – kybernetická bezpečnost zdravotnického softwaru a IT systémů ve zdravotnictví
• IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent; využitelná i v nemocnicích a laboratořích, kde jsou nasazeny OT technologie (např. laboratorní automatizace, připojená diagnostická zařízení)
• ISO/IEC 62304–1 – životní cyklus zdravotnického softwaru (řízení vývoje, údržby a změn)
• ISO/IEC 82304-1 – kvalita a bezpečnost zdravotnických softwarových produktů
• ISO 42001 – řízení systémů umělé inteligence (doporučeno pro organizace, které AI vyvíjejí nebo provozují v klinické či provozní sféře)

Kybernetickou bezpečnost ve zdravotnictví je nutné řešit komplexně – na úrovni organizace / nemocnice (IT systémy, procesy, personál) i na úrovni technologií a zdravotnických prostředků, které pracují s daty pacientů nebo komunikují s dalšími systémy.

Je třeba oddělovat systémy řízení (např. ISO/IEC 27001, ISO 13485, nebo nový zákon o kybernetické bezpečnosti vycházející z NIS2), které se vztahují výhradně na organizaci, její procesy a řízení kvality.

Tyto systémy však nijak nedokládají ani neprokazují kybernetickou bezpečnost konkrétních produktů nebo zdravotnických prostředků – tu je třeba řešit odděleně, prostřednictvím technických standardů a specializovaného posouzení.

Zajištění bezpečnosti zdravotnických prostředků a informačních systémů vyžaduje:

• Bezpečný vývoj a správa systémů (např. dle normy IEC 81001-5-1 nebo IEC 62443-4-1)
• Testování zranitelností a penetrační testy (např. dle IEC 62443-4-2)
• Zavedení systému řízení bezpečnosti informací (ISMS dle ISO/IEC 27001)
• Posouzení souladu s požadavky NIS2, ZoKB, GDPR i MDR (Medical Device Regulation)
• Přípravu technické dokumentace a zajištění shody pro účely notifikace nebo CE značení

EZÚ poskytuje jak organizační, tak produktové služby, a pomáhá nemocnicím, příspěvkovým organizacím i dodavatelům zdravotnických technologií zvládnout celý proces zajištění kybernetické bezpečnosti – od úvodní GAP analýzy, přes školení na míru, pre-assessment, až po audity a certifikaci dle relevantních norem a legislativních rámců.

Víme, že nové legislativní požadavky mohou působit složitě a odrazovat – zvlášť pokud nevíte, odkud se odrazit. Důležité je ale zmínit, že nezáleží na tom, v jaké fázi se právě nacházíte – jsme tu pro vás od prvního kroku až po úspěšnou certifikaci.

Vše může začít nezávaznou úvodní schůzkou, kde si společně ujasníme základní informace, očekávání a potřeby vaší organizace. Poté lze využít pre-screening (zdarma) nebo úvodní GAP analýzu – tedy zmapování aktuálního stavu a identifikaci hlavních slabin i příležitostí ke zlepšení.

Na základě výstupů navrhneme školení šité na míru, které přesně odpovídá vašemu oboru, typu organizace nebo produktům, které vyvíjíte. Následovat může pre-audit nebo pre-assessment, v rámci, kterého objektivně posoudíme připravenost na certifikaci – včetně silných a slabých stránek či praktických doporučení.

Závěrečnou fází je samotná certifikace dle vybraného rámce – ať už jde o IEC 62443, IEC 81001-5-1, EN 18031 (RED), ISO 27001, nový zákon o kybernetické bezpečnosti, ISO 42001 nebo jiný předpis.

Díky našemu odbornému vedení probíhá celý proces efektivně, bez zbytečných komplikací – a s optimalizací času i nákladů na vaší straně.

Ano, provádíme penetrační a bezpečnostní testy s primárním zaměřením na standard EN 18031, který je zásadní pro posouzení kybernetické bezpečnosti produktů v rámci požadavků jako je RED Delegated Act.

Přístup k testování vždy přizpůsobujeme konkrétním potřebám klienta – s pomocí našich partnerů realizujeme jak základní testy zranitelností (např. black-box scénáře), tak i pokročilé bezpečnostní analýzy, včetně white-box testování s využitím zdrojového kódu nebo specifické dokumentace.

Testy je možné cíleně zaměřit tak, aby jejich výstupy byly využitelné jako podklad pro certifikaci dle norem jako je IEC 62443 (např. část 4-2 – bezpečnost produktů v průmyslové automatizaci) nebo IEC 81001-5-1 (kybernetická bezpečnost zdravotnického softwaru a IT systémů).

Díky tomu jsou výsledky testování prakticky aplikovatelné nejen pro interní zajištění bezpečnosti, ale i jako součást formální shody s evropskými normami a předpisy.

EZÚ je akreditovaným certifikačním orgánem pro důvěryhodné služby dle nařízení eIDAS a připravuje se na požadavky eIDAS 2.0. Nabízíme kompletní podporu kvalifikovaným poskytovatelům (QTSP) – od pre-auditu přes certifikaci všech sedmi typů důvěryhodných služeb až po dozorové a recertifikační audity. Pomáháme rovněž při migraci klíčových infrastruktur, rozšiřování důvěryhodného seznamu nebo při posuzování souladu technických řešení s ETSI standardy a legislativou.

Našimi klienty jsou jak poskytovatelé služeb (např. elektronické podpisy, časová razítka, doručování), tak i výrobci systémů, kteří chtějí své řešení připravit pro důvěryhodné prostředí. EZÚ poskytuje nezávislé posouzení shody, odborné konzultace i technické testy – včetně podpory při přechodu na nové požadavky eIDAS 2.0 a EUDI Wallet.

Ano – pokud vyvíjíte, provozujete nebo jakýmkoli způsobem využíváte systémy umělé inteligence (AI), norma ISO/IEC 42001 se vás velmi pravděpodobně týká.

Jde o první mezinárodní standard, který stanovuje pravidla pro řízení systémů AI tak, aby byly bezpečné, odpovědné a transparentní. Norma vznikla jako reakce na rostoucí využívání AI napříč sektory a potřebu zajistit soulad s očekáváními etickými, technickými i legislativními – včetně připravované směrnice AI Act.