Dne 3. září 2025 vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varování dle § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (ZKB). Podle tohoto varování existuje významná hrozba v oblasti kybernetické bezpečnosti, kterou úřad hodnotí na úrovni Vysoká – hrozba je pravděpodobná až velmi pravděpodobná.

Obsah varování

NÚKIB upozorňuje na dvě zásadní rizika:

1. předávání systémových a uživatelských dat do Čínské lidové republiky (včetně zvláštních administrativních oblastí Hongkong a Macao), případně subjektům usídleným na těchto územích,
2. vzdálenou správu technických aktiv z území Čínské lidové republiky či zvláštních administrativních oblastí, nebo ze strany subjektů zde usídlených.

Právní rámec

Varování bylo vydáno na základě § 12 ZKB, který umožňuje NÚKIB upozornit povinné subjekty na hrozby v oblasti kybernetické bezpečnosti. Tato varování nejsou jen „doporučením“, ale pro povinné subjekty spadající do regulace ZKB jde o závazný prvek, se kterým musí pracovat při plnění povinností, zejména při analýze a řízení rizik.

Srovnatelný přístup byl aplikován již dříve v souvislosti s technologiemi společností Huawei a ZTE. Praxe ukazuje, že vydané varování musí být reflektováno nejen v oblasti bezpečnostní politiky, ale také při rozhodování v rámci investic, provozu informačních systémů a zadávání veřejných zakázek.

Varování NÚKIB je signálem k zvýšené obezřetnosti a posilování digitální suverenity nejen veřejných institucí, a zároveň motivací k důslednému posuzování možností předcházení kybernetickým rizikům při využívání informačních a komunikačních technologií.

Podle přechodných ustanovení nového zákona o kybernetické bezpečnosti, který nabývá účinnosti 1. listopadu 2025, se varování vydaná podle dosavadního zákona o kybernetické bezpečnosti před tímto datem považují za varování vydaná podle nového zákona.

Dopady na veřejné zakázky

Nové varování tak může mít zásadní vliv na připravovaná, ale i probíhající zadávací řízení nejen v ICT oblasti. Zadavatelé, pokud spadají pod regulaci ZKB, budou muset při stanovení zadávacích podmínek zohlednit skutečnost, že dodavatel, jeho poddodavatelé či technologie mohou být spojeny s předáváním systémových a uživatelských dat či vzdálenou správou technických aktiv z Číny, včetně zvláštních administrativních oblastí, jimiž jsou Hongkong a Macao.

Opomenutí zohlednění varování povinnými osobami dle ZKB může vést k porušení povinností dle tohoto zákona, a tedy i k případným sankčním následkům. Na druhou stranu i subjekty mimo působnost ZKB mohou z varování čerpat inspiraci a přizpůsobit svou bezpečnostní politiku či povinnosti kladené na svůj dodavatelský řetězec.

Závěrem doplňujeme, že zohlednění požadavků vyplývajících z bezpečnostních opatření podle ZKB v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

Doporučení

Povinné subjekty dle ZKB musí bezodkladně aktualizovat analýzu rizik a reflektovat vydané varování ve svých bezpečnostních opatřeních.

Zadavatelé veřejných zakázek by měli prověřit, zda se nové varování dotýká jejich připravovaných či již běžících zadávacích řízení.

Ostatní organizace, byť nejsou pod režimem ZKB, mohou z varování vycházet a přijmout preventivní opatření.

Plné znění varování je dostupné na Úřední desce NÚKIB zde: https://nukib.gov.cz/download/uredni_deska/2025-09-03_Varovani_predavani-dat-podepsano.pdf.

Autor:

Mgr. Pavel Král