Nezávazná poptávka

Průvodce 2026: Kyberbezpečnostní audit pro obce. Vše, co potřebujete vědět.

Martin Vokřál
22/04/2026
  • Kyberbezpečnost
Kybernetická bezpečnost se týká každé obce, školy, nemocnice i příspěvkové organizace. Bez ohledu na velikost. Zjistěte, co je kyberbezpečnostní audit, proč ho potřebujete a jak ho zafinancovat z 120. výzvy IROP - Kybernetická bezpečnost II. Vše na jednom místě.
Kyberbezpečnostní audit prověřuje systémy, přístupy i procesy obecního úřadu
Obsah článku

Co je kyberbezpečnostní audit?

Kyberbezpečnostní audit prověřuje technologie, uživatelské přístupy i správu obecních systémů
Kyberbezpečnostní audit je nezávislé, systematické prověření toho, zda vaše obec zavádí bezpečnostní opatření požadovaná zákonem, zda jsou tato opatření funkční a zda odpovídají aktuálním hrozbám.

Není to jednorázová kontrola počítačů. Jde o komplexní posouzení organizačních procesů, technické infrastruktury i bezpečnostní kultury zaměstnanců.

Výsledkem je auditní zpráva se stavem plnění zákonných povinností, identifikovanými mezerami a konkrétními doporučeními, co a v jakém pořadí napravit.
Více o kybernetickém auditu

Koho se povinnost auditu týká?

Legislativní základ

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti je účinný od 1. listopadu 2025. Nahrazuje původní zákon č. 181/2014 Sb., a přináší nové povinnosti i pro obce s rozšířenou působností (ORP).

Zákonná povinnost: ORP a regulované subjekty

Nový zákon č. 264/2025 Sb. zařadil obce s rozšířenou působností (ORP) do režimu nižších povinností jako poskytovatele regulované služby.

Zákon ORP přímo ukládá zavést a udržovat bezpečnostní opatření (technická i organizační).

Pravidelný externí audit ze zákona povinný není (ten platí pro subjekty vyššího režimu), ale NÚKIB může audit nařídit kdykoli, pokud má indicie nebo důkazy o nedostatcích.

Proč tedy audit i tak dává smysl? Protože bez nezávislého auditu jen těžko prokážete, že vaše opatření jsou skutečně funkční. Audit je nejspolehlivější způsob, jak si to ověřit interně i navenek.
Zdrojový kód symbolizující analýzu IT systémů v rámci kyberbezpečnostního auditu pro obce

Koho se zákon č. 264/2025 Sb. týká?

– Obce s rozšířenou působností (ORP) – nižší režim povinností
– Kraje
– Státní podniky a organizační složky státu
– Příspěvkové organizace organizačních složek státu
– Hasičské záchranné sbory krajů
– Vybrané nemocnice a zdravotnická zařízení — vyšší režim (pro ně je audit ze zákona povinný)
Poradíme vám

Jak kyberbezpečnostní audit probíhá?

1
Kick-off, vymezení rozsahu, sběr dat a dokumentace

Úvodní schůzka, na níž se nastavují cíle auditu, rozsah (které systémy, procesy a aktiva), harmonogram a odpovědné osoby. Domluva, co bude předmětem prověrky.

Auditor poté prochází bezpečnostní politiky, směrnice, záznamy o incidentech, smlouvy s dodavateli a technická nastavení. Provádí rozhovory s klíčovými pracovníky (IT, vedení, HR).

2
Technická prověrka infrastruktury

Posouzení konfigurace sítě, firewallu, systémů pro správu identit a přístupů, zálohovacích řešení, koncových zařízení a softwarového inventáře včetně aktualizací.

3
Posouzení souladu se zákonem

Porovnání zjištěného stavu s požadavky zákona č. 264/2025 Sb. a prováděcích vyhlášek. Identifikace konkrétních nesouladů (GAP analýza) a klasifikace rizik.

4
Zpráva z auditu a prezentace výsledků

Výstupem je auditní zpráva s hodnocením souladu, popisem identifikovaných slabých míst, návrhem nápravných opatření a doporučenou prioritizací. Vše přehledně odprezentujeme vedení.

Jak by audit probíhal konkrétně u vás?

Chci nezávazně poptat

Co konkrétně auditor u obce zkoumá?

Rozsah auditu vychází z požadavků zákona. Auditor se zaměří na organizační i technická opatření.

Klíčové oblasti kyberbezpečnostního auditu pro obce

  • Bezpečnostní dokumentace: existence a aktuálnost bezpečnostní politiky, směrnic a provozní dokumentace
  • Řízení aktiv: inventarizace a klasifikace informačních systémů, hardware, software a dat
  • Správa identit a přístupů: politika hesel, vícefaktorová autentizace (MFA), práva uživatelů
  • Zálohování a obnova dat: pravidelnost záloh, testování obnovení, offsite uložení
  • Zabezpečení sítě: firewall, segmentace, správa vzdálených přístupů (VPN)
  • Aktualizace a patch management: postupy pro záplatování operačních systémů a aplikací
  • Řízení kybernetických incidentů: plán reakce, hlášení NÚKIB, evidence incidentů
  • Bezpečnost dodavatelského řetězce: smlouvy a bezpečnostní požadavky vůči externím IT dodavatelům
  • Školení zaměstnanců: povědomí o phishingu, bezpečnostní hygieně a postupech
  • Fyzická bezpečnost: přístupy do serveroven, ochrana hardware

Jak často audit provádět?

Zákon č. 264/2025 Sb. žádnou konkrétní frekvenci auditu nestanovuje. Pro regulované subjekty platí obecný princip: opatření musí být pravidelně přezkoumávána a vyhodnocována v souladu s hodnocením rizik. NÚKIB nevyžaduje audit proaktivně. Může ho nařídit ex-post, tedy v případě, kdy má indicie nebo důkazy o nesouladu s povinnostmi.

Audit jednoznačně dává smysl po konkrétních událostech: po zásadní změně IT infrastruktury (nový systém, přechod na cloud, změna dodavatele), po kybernetickém incidentu nebo bezpečnostní události, nebo po implementaci opatření z dotace 120.IROP.

Ale co když u vás nic z toho nenastalo? Kybernetické útoky na obce a veřejné instituce v posledních letech výrazně přibývají. Obec, která roky neprovedla žádný audit, neví o svých slabinách. Únik osobních dat občanů, zablokování obecního systému ransomwarem nebo zveřejnění interních dokumentů jsou scénáře, které se reálně stávají. Jejich dopady (finanční, provozní i reputační) mnohonásobně převyšují náklady na preventivní audit.

„Auditní cyklus nejlépe nastavte tak, aby výsledky byly k dispozici vždy před sestavováním rozpočtu. Snáze tak získáte schválení prostředků na nápravná opatření.”
Jiří Jedlička, obchod
Jiří Jedlička
ASITIS.cz

Jaké jsou sankce za nesplnění povinností?

Pro regulované subjekty (ORP a další) nový zákon výrazně zpřísnil sankce. Pokuty za nedodržení povinností v oblasti kybernetické bezpečnosti mohou dosáhnout desítek milionů korun. Finanční sankce jsou ale jen část obrazu. Větší praktická hrozba pro většinu obcí je jiná: ochromení chodu úřadu. Ransomwarový útok nebo výpadek klíčových systémů může paralyzovat výplatu dávek, přístup k registrům, provoz datových schránek i komunikaci s občany. K tomu se přidává reputační škoda, která se v komunální politice napravuje velmi obtížně.

10 mil.
EUR

Pro vyšší povinnosti (základní subjekty). Max.pokuta: 10 mil. EUR
nebo 2 % celosvětového obratu

7 mil.
EUR

Nižší povinnosti (důležité subjekty, ORP). 7 mil. EUR
nebo 1,4 % celosvětového obratu

Pro menší obce bez zákonné povinnosti pokuty ze ZoKB přímo nehrozí, ale kybernetické riziko je reálné bez ohledu na velikost. Útočníci cílí právě tam, kde je nejméně ochrany.

Zjistit více o službě

Dotace 120.IROP

Dobrou zprávou je, že Ministerstvo pro místní rozvoj vyhlásilo 120. výzvu IROP — Kybernetická bezpečnost II. Výzva umožňuje spolufinancovat technická bezpečnostní opatření z evropských fondů a přímo reaguje na nový zákon o kybernetické bezpečnosti.

120. výzva IROP: Kybernetická bezpečnost II.

1,8 mld.
Celková alokace (Kč)
50 %
Podíl EU na způsobilých výdajích
od 1 mil.
Min. velikost projektu (Kč)
Kyberbezpečnostní audit prověřuje technologie, uživatelské přístupy i správu obecních systémů

120. výzva IROP: Kyberbezpečnost II. – co potřebujete vědět

Jan Vokřál
Jan Vokřál

Zjistěte, kde vaše obec stojí z pohledu kybernetické bezpečnosti. Nezávazná konzultace zdarma. Do 24 hodin se vám ozveme.

Kontaktovat

Líbil se vám článek?

Nechte si zasílat další články na váš 
e-mail a buďte stále v obraze.
Newsletter formulář (footer)
Přihlášením odběru novinek souhlasíte s podmínkami ochrany osobních údajů
Autor článku

Martin Vokřál

CEO společnosti ASITIS
Navázat spojení
Více o autorovi

Nejnovější články