S nástupem nového roku musí být prakticky všechny české nemocnice zaregistrovány jako poskytovatelé regulovaných služeb a následně splňovat pevně daná bezpečnostní pravidla. Za rozšíření působnosti zákona o kybernetické bezpečnosti na mnohem více subjektů může implementace evropské směrnice NIS2.

Kybernetická bezpečnost v českých zdravotnických zařízeních přitom ale zůstává slabým místem. Podle aktuální analýzy české společnosti ComSource, která se zaměřuje na kyberbezpečnost, síťovou infrastrukturu a datovou analytiku, je v průměru zajištěna jen ze třetiny toho, co právní předpisy požadují. Nemocnice navíc často nemají správně zavedené systémy a procesy na zvládání kybernetických hrozeb a nejsou dostatečně připraveny reagovat na kybernetické útoky. To může mít negativní dopad na jejich fungování a ohrožovat zdraví pacientů.

„Situace není o nic lepší než před rokem, kdy jsme vydali podobné varování. Naopak - zatímco se diskutovalo o legislativě, čas plynul. Nemocnice se sice snaží, ale mnohdy jen na papíře. Víme naštěstí i o pozitivních příkladech zdravotnických zařízení, která si vzala naši analýzu k srdci a začala intenzivně pracovat na modernizaci své kybernetické bezpečnosti. I tak jsou ale stále případy, kdy veškerá bezpečnost začíná a končí ochrankou na vrátnici, antivirovým programem a heslem do počítače. To opravdu k zajištění bezpečnosti a fungování nemocnice nestačí. Věříme, že rozšíření působnosti zákona o kybernetické bezpečnosti na téměř všechna zdravotnická zařízení bude pro ně dostatečným impulzem, aby kybernetickou ochranu brala vážně. Nejde jen o formální splnění legislativy," říká Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource, která má své pobočky v Praze, Brně, Písku a v Bratislavě.

Novela zákona o kybernetické bezpečnosti implementující evropskou směrnici NIS2 výrazně rozšířila okruh subjektů, které se jí musí řídit. Tyto subjekty musí splnit řadu povinností a dodržet určité lhůty. Do konce roku se organizace poskytující tzv. regulovanou službu - kam patří právě i nemocnice - musely zaregistrovat u NÚKIB.

„Subjekty, které nestihly v daném čase registraci provést, tak mohou stále učinit, ale hrozí jim pokuty až do výše 250 miliónů korun. Registrace ale není jen administrativní záležitost. Jde o to, aby si nemocnice uvědomily, jaký je skutečný stav jejich kybernetické bezpečnosti. Řada z nich to zjišťuje teprve nyní, a to je problém," upozorňuje Michal Štusák.

Legislativa stanovuje dva okruhy kyberbezpečnostních opatření - organizační a pak samotné technické. Podle poznatků expertů ComSource plní nemocnice v průměru přibližně pouze třetinu z nich - 65 % opatření nefunguje správně nebo dokonce není vůbec zavedeno, 25 % vykazuje určité nedostatky a pouhých 10 % opatření funguje přesně tak, jak je třeba. Nemocnicím často chybí systémy řízení bezpečnosti informací, nastavení řízení rizik, nebo zajištění bezpečnostních rolí, nemají stanovené požadavky na zvládání kybernetických incidentů a nastaveno fungování v případě útoku.

Stává se, že například využívané IT sítě tak nemají žádný provozní ani bezpečnostní monitoring, chybí jednotná správa účtů a nepoužívají se nástroje pro detekci kybernetických bezpečnostních událostí. Naopak zpravidla všechna zdravotnická zařízení se věnují určitému řízení dodavatelů nebo lidských zdrojů i z pohledu kyberbezpečnosti.

„Nemocnice by si měly provést audit, během kterého by zjistily skutečný stav jejich kybernetické ochrany. Není to totiž jen o tom, že jim něco chybí - setkáváme se i s případy, že mají definované postupy, ale ty jsou jen někde uloženy a nikdo o nich neví, což nedává smysl. Nebo potřebné technické vybavení mají, ale je špatně nastavené a spravované, protože chybí kapacita kvalifikovaných lidí v jejich IT týmu. Právě dostatečná kapacita a kvalifikace IT pracovníků je v nemocnicích obrovským problémem," dodává expert na kybernetickou bezpečnost.

Společnost ComSource díky vlastní laboratoři vyvinula mj. systém FlowGuard chránící před DDoS útoky. Ty patří mezi nejzávažnější kybernetické hrozby posledních let. Jsou rychlé, účinné a mimořádně levné. Nadbytečnými požadavky zahltí útočníci kapacitu cílového serveru, a tím znemožní běžným uživatelům přístup na webové stránky nebo k důležitým aplikacím. FlowGuard udrží aplikace a servery během útoku v chodu.

NIS2 je nová směrnice Evropské unie, která má za cíl posílit kybernetickou bezpečnost organizací poskytujících klíčové služby pro společnost. Požadavky NIS2 se promítly do české legislativy prostřednictvím nového zákona o kybernetické bezpečnosti. Ten se stal účinným 1. listopadu 2025.

Průvodce zákonem o kybernetické bezpečnosti naleznete ZDE.

EMC Public Relations

Zatím největší vlnu DDoS eviduje NÚKIB v září 2025? V tomto měsíci bylo zaznamenáno hned 24 incidentů v rámci celé ČR. Mnohé z nich byly DDoS útoky v podobě zahlcení serverů směřované na kritickou infrastrukturu, včetně zdravotnických portálů.

Nejslabším článkem už nejsou jen e-maily zaměstnanců nemocnic? Rizikem jsou i špatně zabezpečené zdravotnické přístroje, které jsou připojené k síti, a mají zastaralý software.