Akt pro digitály vs. ZoKB
Akt pro digitály vs. nový Zákon č. 264/2025 Sb. o kybernetické bezpečnosti respektive Vyhláška o bezpečnostních opatřeních (409/2025 Sb.)
Pro subjekty spadající pod regulaci ZoKB je klíčové určit, kterým prováděcím předpisem se mají řídit. Zatímco většina odvětví v ČR (energetika, doprava, zdravotnictví) postupuje podle vyhlášky č. 409/2025 Sb., vybraní poskytovatelé digitálních služeb se musí řídit přímo Aktem pro digitály (Nařízení EU 2024/2690).
1. Základní rozdíl v aplikaci
Akt pro digitály má tzv. přímou účinnost a povahu lex specialis. To znamená, že pro digitální infrastrukturu a služby (Cloud, MSP, DNS, on-line tržiště atd.) plně nahrazuje technické požadavky české vyhlášky.
| Parametr | Vyhláška č. 409/2025 Sb. | Akt pro digitály (2024/2690) |
|---|---|---|
| Působnost | Většina sektorů (energetika, voda...) | Pouze vybrané digitální služby |
| Povaha | Vnitrostátní předpis ČR | Přímo použitelné nařízení EU |
| Incidenty | Kvalitativní kritéria (dopad na službu) | Kvantitativní prahy (%, čas, peníze) |
| Audit | Dle národních metodik NÚKIB | Specifické požadavky na doložitelnost pro EU |
2. Co Akt pro digitály vyžaduje „navíc“ nebo jinak?
Oproti české vyhlášce 409/2025 Sb. klade Akt pro digitály důraz na specifické technické detaily, které reflektují povahu digitálních služeb:
A. Přesné prahy pro hlášení incidentů
Zatímco česká vyhláška posuzuje „významnost“ incidentu šířeji, Akt pro digitály definuje incident jako významný, pokud splní alespoň jedno z těchto kritérií:
- Uživatelé: Zasaženo více než 5 % uživatelů (nebo > 100 000 uživatelů).
- Čas: Služba je nedostupná nebo omezená déle než 12 hodin.
- Finance: Přímá ztráta subjektu nad 500 000 EUR nebo 5 % ročního obratu.
B. Bezpečnost dodavatelského řetězce (Supply Chain)
Akt pro digitály jde nad rámec běžného hodnocení rizik dodavatelů. Vyžaduje:
- Průběžné monitorování: Nestačí prověřit dodavatele při podpisu smlouvy; musí být nastaven proces pro aktivní sledování jejich bezpečnostního profilu.
- SBOM (Software Bill of Materials): Povinnost udržovat soupis všech softwarových komponent (včetně open-source knihoven) pro rychlejší reakci na zranitelnosti.
C. Technická izolace a segmentace
Nařízení EU je striktnější v požadavcích na logické a fyzické oddělení kritických systémů:
- Vyžaduje striktní izolaci prostředí pro správu (management) od zákaznických dat.
- U cloudových služeb klade důraz na mechanismy zabraňující „přetečení“ útoku mezi jednotlivými zákazníky (tenanty).
D. Řízení identit a MFA
Zatímco vyhláška 409 vyžaduje vícefaktorové ověřování (MFA) primárně pro administrátory, Akt pro digitály vyžaduje nasazení MFA pro všechny uživatele a účty, které přistupují k citlivým datům nebo systémům, na základě analýzy rizik.
3. Hybridní režim: Na co si dát pozor?
Pokud vaše organizace poskytuje více typů služeb (např. provozujete nemocnici, ale zároveň nabízíte cloudové služby jiným subjektům), ocitáte se v tzv. hybridním režimu:
- Pro „nemocniční“ část ISMS postupujete dle vyhlášky č. 409/2025 Sb.
- Pro „cloudovou“ část musíte splnit Akt pro digitály.
Doporučení: Vzhledem k tomu, že Akt pro digitály je v mnoha bodech detailnější, doporučuje se v rámci sjednocení ISMS nastavit vnitřní pravidla podle tohoto přísnějšího nařízení. Tím zajistíte shodu s oběma předpisy zároveň.
Tento přehled vychází ze stavu legislativy k lednu 2026.