Termín zavedení bezpečnostních opatření se blíží

16. 7. 2026 Obec a finance Veřejná správa on-line

Roční lhůta pro zavedení bezpečnostních opatření podle zákona č. 264/2025 Sb. se většině obcí s rozšířenou působností uzavře na začátku roku 2027, pro I. a II. obce v listopadu 2026. Pro úřady, které zatím neudělaly téměř nic, přinášíme realistický plán na 90 dní – a odpověď na otázku, co dělat, když se všechno stihnout nedá.

Catania Group

Buďme upřímní: část úřadů má dnes za sebou registraci u NÚKIB a od té doby se mnoho nestalo. Léto a podzim 2026 jsou poslední období, kdy lze skluz dohnat systematicky, a ne panicky. Následující plán vychází z naší praxe nejen na úřadech ORP.

Prvních 30 dní: zjistit stav a rozdělit odpovědnost

Základem je rozdílová (GAP) analýza – porovnání stavu úřadu s požadavky zákona a vyhlášky č. 410/2025 Sb. Souběžně vedení určí osobu pověřenou kybernetickou bezpečností a zajistí jí školení a pravomoci. Výstupem prvního měsíce je přehled bezpečnostních opatření podle přílohy č. 1 vyhlášky s reálnými termíny, prioritami a odpovědnostmi – dokument, o který se opře jak úřad, tak případná kontrola.

Dalších 30 dní: dokumentace a rychlé výhry

Druhý měsíc patří bezpečnostním politikám a dokumentaci a takzvaným quick wins – opatřeními s velkým efektem a malými náklady: zavedení vícefaktorového ověření alespoň pro administrátory a vzdálené přístupy, kontrola a odebrání přebytečných oprávnění, prověření záloh včetně testu obnovy a oddělení zálohovacího prostředí, aktualizace systémů a inventura těch, které už výrobce nepodporuje.

Posledních 30 dní: dodavatelé, školení, rozpočet

Třetí měsíc se věnujte revizi smluv s IT dodavateli podle přílohy č. 2 vyhlášky, spusťte vstupní školení zaměstnanců s průkaznou evidencí a promítněte zbývající opatření do návrhu rozpočtu na rok 2027 včetně prověření dotačních možností. Nastavte také proces detekce a hlášení incidentů – zaměstnanci musí vědět, komu neobvyklé chování systémů oznamovat, a úřad musí umět posoudit významnost dopadu.

Co když se všechno nestihne

Vyhláška s tím počítá: přehled opatření zná stav „v procesu“ s doloženými kroky (výběrové řízení, smlouva, testovací provoz) i “nezavedeno“ s odůvodněním. Úřad, který prokáže systematický postup podle plánu, je v zásadně jiné pozici než úřad, který nemá nic. Prokazatelnost je alfou i omegou celé regulace – co není zdokumentováno, jako by z pohledu kontroly neexistovalo.

Malé obce: lhůta je ještě kratší

Plán výše platí přiměřeně i pro obce I. a II. typu. Podle § 5b zákona č. 365/2000 Sb., o informačních systémech veřejné správy, musí bezpečnostní opatření režimu nižších povinností zavádět na svých informačních systémech i správci ISVS, kteří nejsou poskytovateli regulované služby – a lhůta jim končí už 31. října 2026, tedy dříve než většině ORP. Dozor v této oblasti vykonává Digitální a informační agentura.

Závěr

Devadesát dní nestačí na dokonalost, ale stačí na to, aby úřad přestal být snadným cílem a měl v ruce doložitelný plán. Horší, než pomalý postup, je jen žádný postup: kapacity dodavatelů se s blížícím koncem lhůt rychle plní a sankce mohou dosahovat desítek milionů korun. Začít se dá tento týden.

PaedDr. Vlastimil Veselý, MBA, LL.M.

Služby pro města a obce
O autorovi
PaedDr. Vlastimil Veselý, MBA, LL.M. působí ve společnosti CATANIA GROUP s.r.o., která se mimo jiné specializuje na kybernetickou a informační bezpečnost obcí. Úřady provází celým rozsahem zákona č. 264/2025 Sb. – od GAP analýzy přes penetrační testy etického hackera a bezpečnostní dokumentaci až po aplikaci pro správu dokumentů a nepřetržitou ochranu perimetru – tedy systém KIBOO.
Vlajkovou lodí společnost CATANIA GROUP je poskytování Služeb pro města a obce (SPMO).