Dne 20. ledna 2026 představila Evropská komise rozsáhlý balíček v oblasti kybernetické bezpečnosti, jehož stěžejním prvkem je návrh revidovaného aktu o kybernetické bezpečnosti. Současně byly zveřejněny cílené změny směrnice NIS 2. Oba návrhy představují další krok ve vývoji evropského rámce odolnosti a reagují na zřetelný posun v charakteru hrozeb, kterým Unie čelí. Vedle nárůstu útoků na kritickou infrastrukturu a klíčové služby se totiž do popředí dostávají rizika spojená s technologickými závislostmi na třetích zemích a se zranitelností dodavatelských řetězců.
Vývoj regulace
Původní akt o kybernetické bezpečnosti z roku 2019 vybudoval evropský rámec certifikace produktů, služeb a procesů v oblasti ICT a posílil mandát agentury ENISA jako technické autority Unie. Certifikace byla koncipována jako dobrovolný nástroj, jehož cílem bylo zabránit roztříštěnosti vnitrostátních schémat a podpořit důvěru na jednotném trhu. Otázka bezpečnosti dodavatelských řetězců však byla řešena spíše nepřímo, prostřednictvím motivace k využívání certifikovaných řešení.
Navrhovaná revize představuje kvalitativní posun. Kybernetická bezpečnost již není pojímána jen jako technická disciplína týkající se šifrování, firewallů či správy zranitelností, ale jako strategická otázka řízení rizik napříč celým životním cyklem ICT. Těžiště úpravy se přesouvá k systematickému dohledu nad ICT dodavatelskými řetězci a k možnosti přijímat závazná opatření vůči tzv. klíčovým ICT aktivům.
Nový rámec pracuje s pojmem ICT dodavatelského řetězce v širokém smyslu, zahrnujícím všechny subjekty, produkty a služby podílející se na vývoji, zpřístupnění, provozu a údržbě informačních a komunikačních technologií. Rozhodujícím kritériem pro dopad regulace přitom není velikost podniku, nýbrž jeho role a význam v rámci řetězce a míra rizika, které by selhání jeho produktů či služeb představovalo pro odolnost unijní infrastruktury. Na rozdíl od směrnice NIS 2 se tedy neuplatní prahové hodnoty obratu či počtu zaměstnanců; přístup je funkční a rizikově orientovaný.
Stěžejní návrhy
Klíčovým prvkem je mechanismus identifikace tzv. klíčových ICT aktiv. Ta budou vymezována na základě koordinovaných posouzení rizik na úrovni Unie, přičemž se zohlední funkční kritičnost daného aktiva, riziko narušení, míra závislosti na omezeném počtu dodavatelů i širší bezpečnostní kontext. Teprve po jejich formálním určení prováděcím aktem Komise bude možné ukládat konkrétní opatření ke zmírnění rizik.
Spektrum těchto opatření je mimořádně široké. Může zahrnovat povinnost poskytovat orgánům detailní a aktuální informace o dodavatelském řetězci, omezení přenosů dat do třetích zemí či jejich vzdáleného zpracování, zavedení konkrétních technických kontrol ověřovaných nezávislou třetí stranou, omezení outsourcingu nebo stanovení smluvních podmínek vůči dodavatelům. Významná je rovněž možnost uložit povinnost diverzifikace dodavatelů s cílem předejít závislosti na jediném subjektu.
Zcela mimořádný význam mají pravidla týkající se dodavatelů označených jako vysoce rizikoví. V sektorech mobilních, pevných a satelitních sítí elektronických komunikací má být zakázáno používání a integrace komponent takových dodavatelů do klíčových ICT aktiv. Komise bude vést seznam vysoce rizikových dodavatelů, přičemž zohlední nejen technické faktory, ale i otázky vlastnické struktury a možné kontroly ze strany třetích států. V krajním případě se počítá i s povinností vyřadit již nasazené produkty, a to ve stanovené přechodné lhůtě. Takový zásah může mít zásadní ekonomické i provozní dopady na provozovatele kritické infrastruktury.
Porušení uložených povinností má být sankcionováno odstupňovaným systémem správních pokut navázaných na celosvětový roční obrat. Zvláště přísně budou postihována porušení zákazů týkajících se vysoce rizikových dodavatelů, kde horní hranice pokuty může dosáhnout až sedmi procent celosvětového obratu. Sankční rámec tak zjevně míří na velké nadnárodní hráče a má odrazovat od strategických pochybení v oblasti řízení dodavatelských rizik.
Současně dochází k modernizaci evropského rámce certifikace kybernetické bezpečnosti. Certifikace zůstává formálně dobrovolná, avšak její praktický význam narůstá. Nově se počítá nejen s certifikací konkrétních produktů či služeb, ale i s možností hodnotit úroveň řízení kybernetických rizik na úrovni celé organizace. Certifikáty mohou zakládat domněnku souladu s jinými právními předpisy Unie, což zvyšuje jejich atraktivitu a může vést k tomu, že budou fakticky obligatorní prostřednictvím veřejných zakázek či tržních očekávání.
Zásadně se rozšiřuje i role agentury ENISA. Ta má získat silnější postavení při přípravě certifikačních schémat, při vydávání technických pokynů i v oblasti situačního přehledu, včasného varování a koordinace reakce na incidenty. Navrhovaný jednotný vstupní bod pro oznamování incidentů má umožnit naplnění více oznamovacích povinností jedním podáním. Otázkou zůstává, nakolik se podaří skutečně omezit paralelní oznamovací režimy vyplývající z různých sektorových předpisů.
Navržené změny směrnice NIS 2 doplňují tento záměr. Dochází totiž k úpravám osobní působnosti, včetně rozšíření na některé nové kategorie poskytovatelů, a ke zpřesnění některých odkazů na další unijní předpisy. Zpřísňuje se rovněž režim oznamování incidentů, zejména v případě ransomwarových útoků, což reflektuje jejich rostoucí četnost a závažnost.
Závěr
Celkově lze konstatovat, že revize aktu o kybernetické bezpečnosti znamená posun od převážně technického a dobrovolného rámce k integrovanému modelu strategického řízení rizik s výraznými regulatorními důsledky. Kybernetická bezpečnost se stává otázkou compliance, která zasahuje do smluvních vztahů, nákupních strategií, architektury systémů i personální politiky. Pro podniky působící v dotčených sektorech bude klíčové včas zmapovat své dodavatelské řetězce, identifikovat potenciální závislosti a přizpůsobit interní procesy tak, aby obstály v prostředí přísnějšího dohledu a vysokých sankčních rizik. V tomto smyslu nejde jen o další sektorovou regulaci, ale o strukturální proměnu evropského přístupu k digitální bezpečnosti.
