Kybernetický útok dnes nemusí vyřadit jen velkou firmu nebo nemocnici. Stejně citelně může zasáhnout i obecní úřad-zastavit agendy, znepřístupnit data, zkomplikovat služby občanům a narušit důvěru veřejnosti. Obce s rozšířenou působností proto stojí před úkolem, který přesahuje běžnou správu IT, vybudovat dlouhodobě řízenou, prokazatelnou a odolnou kybernetickou bezpečnost. Výzva IROP č. 120 jim k tomu otevírá příležitost. 

Od konce dubna mohou oprávnění žadatelé využít výzvu IROP č. 120 „Kybernetická bezpečnost II.“, která přináší významnou příležitost financovat projekty zaměřené na posílení ochrany informačních a komunikačních systémů. Zejména pro obce s rozšířenou působností, na které dopadají nové požadavky v souvislosti se směrnicí NIS2 a novým zákonem o kybernetické bezpečnosti, může jít o důležitý krok k systematickému řízení bezpečnosti. 

Kybernetické hrozby rostou. Největším rizikem je ztráta dat 

Podle aktuálních poznatků Národního úřadu pro kybernetickou a informační bezpečnost počet kybernetických incidentů meziročně narůstá. Útoky jsou sofistikovanější, častější a jejich dopady mohou být pro organizace velmi závažné. Jedním z nejkritičtějších scénářů zůstává ztráta nebo nedostupnost dat. 

Pro obec to nemusí znamenat jen technický problém. Ztráta dat může ochromit výkon agend, zkomplikovat komunikaci s občany, narušit chod úřadu, ohrozit důvěru veřejnosti a v krajním případě způsobit i dlouhodobé provozní škody. Otázka proto nezní, zda se kybernetickou bezpečností zabývat, ale jak rychle a jak systematicky s ní začít. 

NÚKIB obcím doporučuje zejména identifikovat klíčová aktiva, provést analýzu rizik, nastavit odpovídající bezpečnostní opatření, věnovat pozornost zálohování a pravidelně školit zaměstnance. Právě lidský faktor, nepřehledná správa aktiv, slabá procesní dokumentace nebo nedostatečné řízení dodavatelů totiž často patří mezi místa, kde bezpečnostní řetězec selhává. 

Proč se výzva IROP č. 120 týká zejména ORP 

Obce s rozšířenou působností (ORP) mají v systému veřejné správy zvláštní postavení. Vykonávají rozsáhlé agendy, pracují s citlivými údaji a provozují nebo využívají informační systémy, jejichž dostupnost a bezpečnost jsou zásadní pro každodenní fungování úřadu i služeb občanům. 

Nová regulace kybernetické bezpečnosti, navazující na evropskou směrnici NIS2, přináší pro ORP konkrétní povinnosti v režimu nižších povinností. Nejde tedy pouze o obecné doporučení „zlepšit IT bezpečnost“, ale o potřebu zavést řízený a průkazný systém. Obce budou muset určit rozsah regulovaných služeb, evidovat aktiva, řídit rizika, zavádět přiměřená technická a organizační opatření, řešit incidenty a mít k dispozici dokumentaci, která prokáže, že bezpečnost není nahodilá, ale řízená. 

Výzva IROP č. 120 na tuto situaci přímo reaguje. Je zaměřena na posílení kybernetické bezpečnosti informačních a komunikačních systémů a podporuje projekty, které vedou ke skutečnému zvýšení odolnosti organizací. Příjem žádostí probíhá od 30. dubna do 17. prosince 2026, případně do vyčerpání alokace. Ta celkově činí přibližně 1,8 miliardy korun a minimální výše způsobilých výdajů projektu je stanovena na 1 milion korun. Projekty musí být dokončeny nejpozději do 30. září 2029. 

Je však důležité zdůraznit, že výzva není plošně určena všem obcím ani všem institucím. Oprávněnost žadatelů je vymezena podmínkami výzvy a v některých případech se týká právě obcí s rozšířenou působností. Podpora se zároveň vztahuje pouze na přechodové regiony. Každá organizace by si proto měla před zahájením přípravy projektu ověřit, zda splňuje podmínky výzvy. 

Dotace pomůže, ale klíčem je kvalitní příprava 

Úspěšný projekt v oblasti kybernetické bezpečnosti nemůže stát pouze na nákupu technologií. Výzva klade důraz na věcnou připravenost, jasně popsaný cílový stav a prokazatelné přínosy. Organizace musí doložit mimo jiné analýzu rizik, studii proveditelnosti, návrh architektury, popis současného a cílového stavu a odůvodnění navrhovaných opatření. 

Právě zde se ukazuje, že kybernetická bezpečnost není jednorázový projekt, ale dlouhodobý proces. Aby bylo možné správně určit, co obec potřebuje chránit, je nejprve nutné vědět, jaká aktiva má, jaké hrozby jí reálně hrozí, kde jsou slabá místa a jaká opatření dávají smysl z hlediska rizik, legislativy i provozních možností úřadu. 

Bez kvalitní evidence aktiv a analýzy rizik se bezpečnostní opatření snadno mění v izolované investice bez jasné návaznosti. Naopak dobře připravený projekt umožňuje obci postupovat systematicky, obhájit navržené kroky a vytvořit základ pro dlouhodobé řízení kybernetické bezpečnosti. 

Nástroj CSA pro řízení kybernetické bezpečnosti a analýzu rizik 

Společnost Gordic nabízí obcím a dalším organizacím řešení v podobě nástroje CSA, tedy Cyber Security Audit. Jde o komplexní softwarové řešení pro řízení kybernetické bezpečnosti, analýzu rizik a podporu plnění legislativních požadavků. 

CSA pomáhá organizacím získat přehled o tom, co chrání, jaká rizika jsou s jejich aktivy spojena, jaká opatření již existují a jaká je potřeba doplnit. Podporuje požadavky vyplývající ze zákona o kybernetické bezpečnosti, směrnice NIS2 i standardů řady ISO 27000. 

Je zásadní, že CSA nevnímá kybernetickou bezpečnost pouze jako technickou disciplínu. Pomáhá propojit technologie, procesy, dokumentaci, odpovědnosti i požadavky do jednoho přehledného systému. Obec tak získává nástroj, který podporuje jak přípravu na nové povinnosti, tak každodenní řízení bezpečnosti. 

SaaS model jako rychlý a praktický první krok 

Pro mnoho ORP může být výhodné pořídit nástroj CSA formou služby SaaS. Tento model nevyžaduje budování vlastní infrastruktury, umožňuje rychlé zahájení práce a snižuje nároky na technickou implementaci. 

CSA se tak může stát prvním praktickým krokem na cestě k vyšší kybernetické odolnosti. Pomůže obci zjistit, kde se aktuálně nachází, co je potřeba řešit přednostně a jak navrhnout bezpečnostní opatření tak, aby odpovídala skutečným rizikům i požadavkům nové legislativy. 

V přípravě na nové požadavky ani v samotné realizaci projektu však obce nejsou samy. Rádi vám pomůžeme s orientací ve výzvě IROP č. 120, s přípravou podkladů, analýzou rizik i nastavením vhodného postupu pro posílení kybernetické bezpečnosti. Kontakt na nás najdete zde.