Legislativa Zákon 264/2025 Sb. · NIS2 · Vyhláška 409/2025 · Kybernetická bezpečnost

Když ransomware vyřadí nemocnici. Zákon 264/2025 Sb., NIS2 a stav kybernetické bezpečnosti českého zdravotnictví

13. března 2020, dvě hodiny ráno. Den po vyhlášení nouzového stavu kvůli koronaviru padá ve Fakultní nemocnici Brno všechen nemocniční IT. Onkologie odkládá zákroky, ICU pracuje s tužkou a papírem, dárci krve nemají odbavení. Za pár hodin je z útoku národní bezpečnostní událost. O šest let později — v listopadu 2025 — vstupuje v účinnost zákon 264/2025 Sb. o kybernetické bezpečnosti. Přechodná lhůta na zavedení povinných opatření končí pro většinu nemocnic v listopadu 2026. Průměrné plnění bezpečnostních pravidel se odhaduje na třetinu požadavků. To není soukromý problém IT oddělení. To je zdravotně systémový rizikový faktor.

24. května 2026 · 19 minut čtení · redakce HSPA Monitoru

Představte si rentgenologa, který ve středu 11. prosince 2019 ráno nastoupí do služby na CT v Nemocnici Rudolfa a Stefanie v Benešově. Otevírá obraz pacienta po autonehodě. Obraz nenačítá. Restartuje stanici, otevírá pracovní list — pracovní list zmizel. Otevírá síťový disk, kde má referenční snímky pro porovnání — disk je zašifrovaný a v adresářích se zobrazí soubory s názvem „RyukReadMe.txt". Server PACS — Picture Archiving and Communication System, srdce každé moderní radiologie — neodpovídá. Kolega na příjmu volá: nefungují recepty, nefunguje vykazování pojišťovnám, nefunguje lůžkový systém. Sálovou plánovačku má sestra v ruce vytištěnou z minulotýdenního exportu. Pacient po autonehodě potřebuje urgentní zhodnocení; akutní snímky se přenášejí mimo nemocnici improvizovanými cestami a popis jde na papír. Tak vypadá nemocnice po ransomware útoku. Není to scéna z thrilleru. Je to středa 11. prosince 2019, Benešov. (Postava radiologa je redakční ilustrací — konkrétní jména a osudy pacientů během výpadku nejsou pro tuto reportáž z otevřených zdrojů ověřitelné a uvádíme proto pouze rámec dne, jak ho potvrzují policejní podklady a NÚKIB.)

Pacient po autonehodě v té středeční službě měl štěstí — péče byla poskytnuta včas, jen za cenu organizačního chaosu, který trval tři týdny. Benešovskou nemocnici útok stál podle pozdějších policejních podkladů přes 59 milionů korun na obnově systémů, ztracených vykázaných výkonech a externí krizové podpoře. Pachatel nebyl zjištěn. Vyšetřování středočeských kriminalistů bylo odloženo. O tři měsíce později, 13. března 2020, narazil obdobný útok — tentokrát vektor kryptovirus Defray, šířený phishingovým e-mailem — na Fakultní nemocnici Brno. Škoda přesáhla 150 milionů korun, obnova klíčových systémů trvala dva měsíce a podle ředitelství FN Brno některé interní subsystémy nebyly do plné funkčnosti vráceny ani po třech letech. Rok 2025 přinesl ransomware útok na Nemocnici Nymburk (1. července 2025), který vyřadil informační systémy do nouzového režimu. NÚKIB v ročence za rok 2024 evidoval v sektoru zdravotnictví necelé tři desítky nahlášených incidentů; podle nezveřejněných odhadů provozovatelů se k tomuto číslu připojuje řádově další stovky pokusů, které jsou odraženy perimetrem nebo nejsou vyhodnoceny jako významné. České nemocnice — provozující kritickou infrastrukturu pro 10,7 milionu obyvatel — žijí v prostředí trvalého nízkohladinového kybernetického napadání s občasnými explozemi, které vyhodí systém na týdny.

Tento článek je o tom, co s tímto stavem dělá zákon 264/2025 Sb. o kybernetické bezpečnosti, jeho prováděcí vyhlášky 408/2025 Sb. a 409/2025 Sb., a evropská směrnice (EU) 2022/2555 (NIS2), kterou český zákon transponuje. Není to text o IT. Je to text o systémové odolnosti zdravotnictví — tedy o jednom z méně viditelných, ale kritických rozměrů HSPA frameworku v dimenzi Struktury → Informační systémy a infrastruktura.

Systémový kontext: nemocnice jako kritická infrastruktura

Zdravotnictví je v rámci NIS2 (směrnice EU 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, ze 14. prosince 2022) zařazeno do tzv. highly critical sectors v příloze I — vedle energetiky, dopravy, bankovnictví, infrastruktury finančního trhu, vodohospodářství a digitální infrastruktury. NIS2 nahradila předchozí směrnici NIS1 (2016/1148), která zdravotnictví pokrývala jen na úrovni „nemocnic" a omezené množiny poskytovatelů — bez výrobců léčiv, distributorů, laboratoří a klinik. NIS2 rozsah radikálně rozšiřuje: regulovanými subjekty se stávají poskytovatelé zdravotní péče (definice odkazuje na článek 3 písm. g) směrnice 2011/24/EU o přeshraniční zdravotní péči), referenční laboratoře EU, výrobci léčiv (článek 1 bod 2 směrnice 2001/83/ES) a výrobci vybraných zdravotnických prostředků klasifikovaných jako kritické v případě veřejné zdravotní krize (nařízení EU 2022/123 o posílení role EMA).

Důvod tohoto rozšíření je empirický a tristní. ENISA — European Union Agency for Cybersecurity — ve své zprávě Health Threat Landscape (publikováno červenec 2023, datová báze leden 2021 — březen 2023, EU a sousední země) zaznamenala v sektoru zdravotnictví 215 veřejně hlášených kybernetických incidentů; ransomware byl s 54 % nejčastější hrozbou, následovaný datově orientovanými hrozbami (~46 %) a útoky cílenými na narušení provozu (kategorie se z metodiky ENISA částečně překrývají, protože jeden incident má často víc dopadů současně). Poskytovatelé zdravotní péče tvořili 53 % obětí (z toho nemocnice 42 %); 83 % útoků mělo finanční motivaci a jen 27 % organizací mělo dedikovaný program obrany proti ransomwaru. Mezi nejviditelnější celoevropské epizody patří útok WannaCry na britskou NHS v květnu 2017 (podle National Audit Office Investigation: WannaCry Cyber Attack and the NHS, říjen 2017, bylo zasaženo alespoň 81 z 236 NHS trustů v Anglii a dalších cca 600 GP praxí; 19 000 zrušených návštěv; náklad ~£92 mil. — z toho ~£20 mil. ztracený výstup během útoku a ~£72 mil. následná obnova IT); útok na Universitätsklinikum Düsseldorf (UKD) 10. září 2020 (pacientka s rupturou aorty byla pro nedostupnost IT převezena do vzdálenějšího Wuppertalu a zemřela; státní zastupitelství v Kolíně nad Rýnem zahájilo vyšetřování pro podezření z usmrcení z nedbalosti v souvislosti s kyberútokem — což byl precedens samotného vyšetřování — ale v listopadu 2020 došlo k závěru, že úmrtí nelze kauzálně přičítat ransomware útoku, protože pacientka by zemřela i bez prodlevy; viz Schneier on Security / IFSH); a opakované útoky na italský regionální zdravotní systém ASL Roma 3 v letech 2021 a 2022.

Český kontext má svá specifika. Síť 156 lůžkových zařízení s akutní péčí (data NRPZS, ÚZIS 2025), z toho 20 fakultních a velkých specializovaných center pod přímým zřizovatelstvím ministerstva, zhruba 80 středně velkých zařízení v zřizování krajů a měst, a desítky menších soukromých a oblastních nemocnic. K tomu přibližně 4 800 ambulantních zdravotnických zařízení, čtrnáct krajských středisek zdravotnické záchranné služby, tři velkodistributoři léčiv (Phoenix, Pharmos, Alliance) a několik desítek laboratorních provozovatelů. Tato heterogenita znamená, že jeden zákon musí pracovat s dramaticky odlišnými kapacitami: zatímco Všeobecná fakultní nemocnice v Praze má vlastní oddělení informační bezpečnosti s několika desítkami specialistů, oblastní nemocnice v menším okrese typicky nemá ani plně vytíženého CISO a IT správa je outsourcována na regionálního dodavatele. Právě tento gradient je zdrojem rizika — průzkum českého poskytovatele bezpečnostních služeb ComSource zveřejněný v lednu 2026 (citovaný v publikaci Komora Plus) odhaduje, že průměrná nemocnice v ČR plní zhruba třetinu požadavků, jež nový zákon vyžaduje; 65 % opatření nefunguje správně nebo není zavedeno vůbec, 25 % vykazuje nedostatky a pouze 10 % je hodnoceno jako plně funkční. Mediální odhady hovoří až o tisíci pokusech o průnik do informačních systémů jedné nemocnice ročně; přibližně 12 nemocnic je dle některých zdrojů hodnoceno jako kriticky podzabezpečené s nízkou pravděpodobností úspěšné obrany proti cílenému útoku.

Stav implementace bezpečnostních opatření v českých nemocnicích (ComSource 1/2026)

10 % plně funkční opatření

25 % opatření s nedostatky

65 % nefunguje / nezavedeno 12 měsíců do listopadu 2026

12 nemocnic v kritickém pásmu (HCI 2023) cílený útok s nízkou pravd. obrany

Zdroj: ComSource (Komora Plus 1/2026), HealthCare Institute „Nejlepší nemocnice 2023". Sebe-deklarace + penetrační testy, ne plošný auditní průzkum — orientační hodnoty.

Zákon 264/2025 Sb. — co konkrétně mění

Zákon 264/2025 Sb. byl publikován ve Sbírce zákonů 6. září 2025 a nabyl účinnosti 1. listopadu 2025, čímž nahradil předchozí zákon 181/2014 Sb. o kybernetické bezpečnosti. Nejde o kosmetickou novelu — jde o novou normu psanou na zelené louce, jejímž primárním účelem je transponovat směrnici NIS2 a uvést český režim do souladu s evropským rámcem. Změny lze shrnout do pěti vrstev.

První vrstva: rozšíření okruhu povinných subjektů. Předchozí režim (zákon 181/2014 Sb.) pracoval s úzkým okruhem provozovatelů kritické informační infrastruktury (KII) a významných informačních systémů (VIS) — v praxi především několik desítek největších nemocnic, které byly určeny rozhodnutím NÚKIB. Nový režim zavádí kategorii poskytovatel regulované služby a počet povinných subjektů zvyšuje řádově. K 1. únoru 2026 ohlásilo regulovanou službu 4 825 organizací (zdroj: aktualita NÚKIB z 11. 2. 2026), což představuje zhruba tři čtvrtiny očekávaného množství cca 6 000 povinných subjektů; zbylá čtvrtina pokračuje v ohlašování v průběhu roku 2026. Mezi povinnými je nyní prakticky každá akutní nemocnice, větší ambulantní pracoviště, krajská ZZS, distributoři léčiv, laboratoře a vybraní výrobci zdravotnické techniky. Konkrétní příklad regulované služby v zákonné definici uvádí vyhláška 408/2025 Sb. v příloze pod položkou 18.2 — poskytování zdravotnické záchranné služby.

Druhá vrstva: dva režimy povinností. Zákon dělí povinné subjekty na režim vyšších povinností a režim nižších povinností. Vyšší režim zahrnuje subjekty, které jsou — z důvodu velikosti, počtu uživatelů, geografického rozsahu, dopadu na fungování odvětví nebo rizikovosti provozu — značně ekonomicky, společensky nebo bezpečnostně významné pro Českou republiku. Pro nemocnice to v praxi znamená všechny fakultní nemocnice, většinu krajských a oblastních nemocnic střední a větší velikosti a ZZS všech krajů. Nižší režim připadá na menší ambulantní zařízení a vybrané typy laboratoří. Bezpečnostní opatření jsou rozdílná: vyšší režim (vyhláška 409/2025 Sb. ze dne 26. září 2025, účinná od 1. listopadu 2025) pokrývá systém řízení bezpečnosti informací (ISMS) podle ISO/IEC 27001, řízení rizik, řízení dodavatelského řetězce, fyzickou bezpečnost, bezpečnost komunikačních sítí, kontrolu přístupu, řízení zranitelností a krizovou kontinuitu provozu; nižší režim (samostatná vyhláška) zavádí zjednodušený standard minimální kybernetické bezpečnosti s důrazem na řízení rizik, bezpečnost lidských zdrojů a řešení incidentů.

Třetí vrstva: lhůty. Zákon stanoví třístupňový časový rámec. (1) Ohlášení regulované služby — podle § 6 zákona 264/2025 Sb. — do 60 dnů od okamžiku, kdy se zákon na subjekt začne vztahovat. Pro subjekty splňující kritéria k 1. listopadu 2025 byla lhůta vypršela 31. prosince 2025. (2) Doplnění registračních údajů — 30 dnů po vydání rozhodnutí o registraci. (3) Zavedení bezpečnostních opatření — 1 rok od registrace. Pro subjekty registrované v prosinci 2025 znamená přechodná lhůta zavedení opatření vypršení v prosinci 2026; pro pozdější registrace se lhůta posouvá v ročním cyklu. Klíčový praktický důsledek: pro většinu českých nemocnic končí přechodná lhůta na zavedení plného souboru organizačních a technických bezpečnostních opatření v listopadu nebo prosinci 2026. To je jedenáct až třináct měsíců od dnešního dne. Z hodnocení ComSource (jedna třetina plnění) vyplývá, že naprostá většina povinných subjektů ze zdravotnictví má k tomuto termínu dvě třetiny opatření buď v rovině plánování, nebo zcela nezavedených.

Čtvrtá vrstva: hlášení incidentů. Klíčovou novinkou je systém povinného a strukturovaného hlášení kybernetických bezpečnostních incidentů. Povinný subjekt v režimu vyšších povinností musí podat včasné upozornění NÚKIB do 24 hodin od zjištění incidentu, jenž má významný dopad, doplnit ho úplným oznámením incidentu do 72 hodin a případně předložit průběžnou zprávu a závěrečnou zprávu do jednoho měsíce od oznámení. Tento režim přesně kopíruje strukturu NIS2 (článek 23 směrnice). Logika je dvojí: rychlá reakce krizové infrastruktury (NÚKIB sdílí informace s ostatními poskytovateli, aby zabránil řetězení podobných útoků) a evidenční podchycení rozsahu hrozeb (datová báze pro vyhodnocení trendů a tvorbu regulační politiky). Pro zdravotnictví je tato povinnost potenciálně transformativní: dosud byla velká část útoků v menších nemocnicích řešena „interně", bez oznámení regulátorovi a bez sdílení informace s ostatními zařízeními. Po listopadu 2026 bude oznámení — pro registrované subjekty — povinné, s přímými sankcemi za neplnění.

Pátá vrstva: sankce a vymáhání. Maximální výše pokuty činí podle zákona 264/2025 Sb. až 250 milionů Kč nebo 2 % čistého celosvětového ročního obratu subjektu (vyšší z obou hodnot). Pro velkou fakultní nemocnici s ročním obratem několika miliard korun je 2% strop teoreticky vyšší než absolutní limit; v praxi je ale očekáváno, že NÚKIB bude pokuty stanovovat výrazně pod stropem a že primárním nástrojem vymáhání budou nápravná opatření a odstraňování nedostatků. Klíčové ustanovení je odpovědnost statutárního orgánu: zákon explicitně ukládá vrcholovým orgánům povinnost dohlížet na kybernetickou bezpečnost a být v ní řádně proškoleny. To je strukturální posun — kybernetická bezpečnost přestává být doménou IT oddělení a stává se předmětem corporate governance, v souladu s logikou směrnice NIS2 (čl. 20 — Cybersecurity risk-management measures and reporting obligations).

Datový rámec: kde stojí české nemocnice ke květnu 2026

Empirická data o stavu kybernetické bezpečnosti českého zdravotnictví jsou bohužel fragmentovaná a z velké části privátní. Žádný systematický národní průzkum srovnatelný například s estonským e-Tervise küberturvalisuse aruanne nebo finským THL Cybersecurity Maturity Assessment v ČR pravidelně neprobíhá. To, co je veřejně k dispozici, lze rozdělit do tří kategorií.

Komerčně zveřejněné průzkumy. Společnost ComSource (citovaná Komorou Plus v lednu 2026) hodnotí stav implementace bezpečnostních opatření v českých nemocnicích jako 33% průměrné plnění; 65 % opatření buď nefunguje správně, nebo není zavedeno vůbec, 25 % vykazuje nedostatky, 10 % je plně funkčních. HealthCare Institute v projektu „Nejlepší nemocnice roku" hodnotí kybernetickou bezpečnost samostatnou kategorií od roku 2022 — ročenka 2023 identifikovala 12 nemocnic v kritickém pásmu zabezpečení s vysokou zranitelností proti cíleným útokům. Tyto údaje pocházejí ze sebe-deklarace nemocnic a z penetračních testů na vybraných organizacích, nikoli z plošného nezávislého auditu — výsledky je proto třeba číst s rezervou jako orientační, nikoli jako přesnou statistiku.

NÚKIB — agregovaná čísla incidentů. NÚKIB ve své výroční zprávě eviduje za rok 2024 v sektoru zdravotnictví necelé tři desítky nahlášených incidentů; část z nich byly prosté provozní výpadky (porucha hardwarového úložiště, výpadek konektivity, chyba aktualizace) bez aktivního útočníka. Cílených útoků s prokázaným cizím aktérem bylo v evidenci NÚKIB za rok 2024 v zdravotnictví méně než deset; všechny byly v rané fázi zachyceny a žádný neměl rozsah srovnatelný s útokem na FN Brno 2020. To ale platí pro rok 2024 — rok 2025 přinesl ransomware útok na Nemocnici Nymburk (1. července 2025) a několik menších útoků na ambulantní zařízení, jejichž souhrnná evidence ještě nebyla oficiálně zveřejněna. Po vstupu zákona 264/2025 Sb. v účinnost lze očekávat, že počet evidovaných incidentů v sektoru zdravotnictví v roce 2026 řádově vzroste — ne proto, že by hrozby vzrostly, ale proto, že povinnost hlásit dopadne na výrazně větší okruh subjektů než dosud.

HSPA datový stín. Kybernetická odolnost není v dosavadním HSPA frameworku WHO ani v indikátorové sadě OECD Health at a Glance samostatným ukazatelem. To je z hlediska metodiky překvapivé — odolnost informačních systémů nemocnic ovlivňuje kontinuitu péče, kvalitu klinického rozhodování a ochranu dat pacientů, což jsou všechno tradiční dimenze HSPA. Důvodem je obtížnost konstrukce indikátoru: kybernetická bezpečnost je z principu obtížně měřitelná, protože útočník přizpůsobuje techniku obraně a metriky se rychle stávají zastaralými. ENISA v rámci nového Akčního plánu (viz dále) připravuje na rok 2026–2027 sadu společných ukazatelů zdravotní kybernetické vyspělosti pro členské státy EU; HSPA Monitor ČR bude tyto ukazatele moci použít okamžitě po jejich publikaci. Do té doby pracuje Monitor s nepřímými signály — adopcí elektronického zdravotnictví ehealth_adoption, frekvencí výpadků klíčových systémů a — pokud je k dispozici z NÚKIB — počtem evidovaných incidentů per 100 000 obsloužených pacientů ročně.

Legislativní cesta NIS2 → české nemocnice (2022 → 2027)

14. 12. 2022
Směrnice NIS2 přijata na úrovni EU

Nahrazuje NIS1, rozšiřuje sektorový záběr o zdravotnictví v širším pojetí (poskytovatelé, výrobci zdravotnické techniky, distributoři léčiv).
EU
17. 10. 2024
Transpoziční lhůta NIS2

Datum, do kterého měla ČR transponovat směrnici do národního práva. Termín nebyl dodržen — transpoziční zákon vyšel ve Sbírce až o necelý rok později.
Zpoždění
6. 9. 2025
Zákon 264/2025 Sb. publikován ve Sbírce

Nahrazuje zákon 181/2014 Sb. Zavádí kategorii „poskytovatel regulované služby", dva režimy povinností, lhůty 24 / 72 hod / 1 měsíc pro hlášení incidentů, sankce do 250 mil. Kč nebo 2 % obratu.
Sbírka
26. 9. 2025
Vyhláška 409/2025 Sb. — režim vyšších povinností

Konkretizuje technická a organizační opatření pro fakultní a krajské nemocnice (ISMS dle ISO/IEC 27001, segmentace sítí, MFA, BCP, řízení dodavatelského řetězce).
1. 11. 2025
Účinnost zákona 264/2025 Sb.

Začínají běžet 60denní lhůty pro ohlášení regulované služby.
31. 12. 2025
Konec lhůty pro ohlášení

K 1. 2. 2026 ohlásilo regulovanou službu 4 825 organizací (cca 3/4 očekávaného počtu 6 000).
květen 2026
Přechodná fáze — 6 měsíců do termínu

Komerční průzkumy (ComSource) ukazují průměrné plnění 33 %. Většina povinných subjektů je 11–13 měsíců od svého individuálního termínu, 6 měsíců od sektorového stropu.
Teď
listopad–prosinec 2026
Konec přechodné lhůty (1 rok od registrace)

Subjekty registrované v listopadu/prosinci 2025 musí mít zavedena všechna opatření podle vyhlášky 409/2025 Sb. Po této hranici platí sankce.
Sankce
2027+
Sektorový SOC + P4P bonus za bezpečnostní vyspělost

Studie proveditelnosti sdíleného SOC (NCEZ + NÚKIB) ještě nebyla publikována. Úhradová vyhláška 2028+ — otevřená debata o vazbě úhrad na doloženou kybernetickou vyspělost (analogie německé § 75c SGB V nebo britského CQUIN).

Zdroj: Sbírka zákonů (264/2025, 409/2025), aktualita NÚKIB z 11. 2. 2026, hodnocení ComSource pro Komoru Plus 1/2026, EU NIS2 čl. 41 (transpoziční lhůta).

Legislativní a regulační rámec — kdo za co odpovídá

Kybernetická bezpečnost ve zdravotnictví leží na průniku tří jurisdikcí — kyberbezpečnostní (zákon 264/2025 Sb., NÚKIB), zdravotnické (zákon 372/2011 Sb., ministerstvo zdravotnictví, kraje, ÚZIS) a ochrany osobních údajů (nařízení (EU) 2016/679 — GDPR, Úřad pro ochranu osobních údajů). Žádná z těchto jurisdikcí není sama o sobě postačující a ve skutečnosti se v krizovém scénáři protínají v nepříjemně překrývajících se vrstvách kompetencí, které žádná novela dosud plně nesjednotila.

NÚKIB — Národní úřad pro kybernetickou a informační bezpečnost je primárním dozorovým orgánem podle zákona 264/2025 Sb. Přijímá registrace, vydává metodické pokyny (Portál NÚKIB), přijímá hlášení o incidentech, provádí kontroly a ukládá sankce. Současně je v rámci své role vůči zdravotnictví poskytovatelem podpory: provozuje vzdělávací programy, vydává metodické dokumenty (např. Bezpečnostní standardy pro nemocnice 2024) a v krizové situaci poskytuje podporu CSIRT (Computer Security Incident Response Team) prostřednictvím GovCERT.CZ.

Ministerstvo zdravotnictví ČR je gestorem zákonů o zdravotních službách (372/2011 Sb.), o veřejném zdravotním pojištění (48/1997 Sb.) a o elektronizaci zdravotnictví (325/2021 Sb.). Pro oblast kybernetické bezpečnosti zřídilo v roce 2017 Národní centrum elektronického zdravotnictví (NCEZ), které je metodickým pracovištěm pro elektronizaci a — v omezené míře — i pro kybernetickou bezpečnost zdravotnických informačních systémů. NCEZ úzce spolupracuje s NÚKIB, ale primární gesce nad kybernetickou bezpečností nemocnic leží na NÚKIB. MZ ČR je odpovědné za to, aby zákonné povinnosti podle 264/2025 Sb. byly v jím zřízených fakultních nemocnicích plněny, a za to, aby cílový stav kybernetické bezpečnosti odpovídal Národní strategii elektronického zdravotnictví ČR 2025–2035.

Zřizovatel zařízení — kraj, město, ministerstvo, soukromý vlastník — nese věcnou odpovědnost za to, aby zdravotnické zařízení pod jeho zřizovatelstvím fungovalo bezpečně a kontinuálně. V případě fakultních nemocnic je to MZ ČR. V případě krajských nemocnic je to příslušný kraj — kraje jsou dle § 110 zákona 372/2011 Sb. zodpovědné za zajištění dostupnosti zdravotních služeb na svém území, a tato odpovědnost zahrnuje i zajištění toho, aby vlastní zařízení nebyla z provozu vyřazena kybernetickým útokem. V praxi krajské úřady — jako Asociace krajů ČR v souhrnu — od roku 2021 explicitně volaly po rozšíření regulace KII na menší nemocnice, protože samy nedisponují kapacitou uložit požadavky bezpečnosti zákonnou cestou; požadavek byl reflektován v rozšíření okruhu povinných subjektů v zákoně 264/2025 Sb.

Zdravotní pojišťovny jsou ve specifické pozici. Nejsou primárně provozovatelé péče (s výjimkou vlastních smluvních zařízení), ale jsou platiteli a mají smluvní vztah s každým poskytovatelem. Úhradová vyhláška — viz paralelní text HSPA Monitoru Úhradová vyhláška — by mohla principem zavést P4P bonus za doloženou kybernetickou vyspělost (analogicky k britskému CQUIN — Commissioning for Quality and Innovation). V cyklu 2027 to však ještě není explicitně zahrnuto. V přechodné fázi pojišťovny působí spíše jako sekundární kontrolor — k 1. lednu 2027 mohou v rámci kontrolní činnosti ověřovat, zda smluvní partner splňuje povinnosti podle 264/2025 Sb., a v případě závažných nedostatků uplatňovat smluvní sankce.

Statutární orgán a ředitel zařízení — typicky generální nebo lékařský ředitel a člen představenstva nebo dozorčí rady — nese individuální odpovědnost za řízení rizik podle zákona 264/2025 Sb. V případě závažného porušení povinností lze postihnout nejen organizaci, ale také konkrétního statutáře. To je posun, který v ČR nemá v oblasti zdravotnictví precedent — dosud byla manažerská odpovědnost za kybernetickou bezpečnost spíše implicitní; po 264/2025 Sb. je explicitní a vymahatelná.

Mezinárodní srovnání — co dělají jinde

Evropský rámec NIS2 nastavuje minimum, které všechny členské státy transponují. Národní implementace se ale liší v rozsahu, přísnosti a v doprovodné podpoře.

Evropská unie — Akční plán pro kybernetickou bezpečnost nemocnic. Evropská komise zveřejnila 15. ledna 2025 European action plan on the cybersecurity of hospitals and healthcare providers. Plán je strukturován do čtyř pilířů: prevence, detekce a identifikace hrozeb, reakce na útoky a kybernetická deterrence. Klíčový operativní výstup — který spadá přímo do roku 2026 — je vznik European Cybersecurity Support Centre for Hospitals and Healthcare Providers v rámci ENISA. Centrum bude poskytovat tailored guidance, nástroje, služby a tréninky cílené specificky na zdravotnictví; bude provozovat EU-wide early warning subscription service s near-real-time výstrahami a sdílením indikátorů kompromitace mezi členskými státy. ENISA finální podobu Centra představila v září 2025; plný provoz je naplánován postupně v období 2026–2027. Pro české nemocnice to znamená, že — aniž by si to musely zařizovat samy — získají v roce 2026 přístup ke sdílené EU bezpečnostní infrastruktuře, výstrahám a metodikám. Otázkou je rychlost a kvalita českého implementačního napojení, které je v gesci NÚKIB a NCEZ.

Německo — Krankenhauszukunftsgesetz a § 75c SGB V. Německo zavedlo zákonnou povinnost nemocnic implementovat opatření podle aktuálního stavu techniky kybernetické bezpečnosti zákonem Krankenhauszukunftsgesetz (KHZG, účinný od 29. října 2020 — celkový rámec ~4,3 mld. EUR, z toho 3 mld. EUR z federálního rozpočtu a ~30 % spolufinancování zemí a nemocnic; nejméně 15 % každé dotace musí jít na IT bezpečnost) a doplněním § 75c do páté knihy sociálního zákoníku (SGB V). Klíčový rys německé implementace je explicitní vazba na financování: nemocnice, které do 1. ledna 2022 neimplementovaly stav techniky, riskovaly snížení úhrad od pojišťoven (DRG úhrad) o 2 %. Tento finanční mechanismus byl účinnější než pouhá regulační hrozba pokuty, a proto je vážně zvažován i pro českou implementaci v rámci zmíněného úhradového cyklu 2028+. Veřejně dostupná hodnocení BSI (Bundesamt für Sicherheit in der Informationstechnik) z let 2023–2024 dlouhodobě ukazují, že významná část německých nemocnic má základní stav techniky podle § 75c implementován — startovní pozice je tak proti českým odhadům jedné třetiny plnění výrazně lepší (konkrétní podíl „73 %“ z předchozí verze textu nebyl v rámci tohoto auditu z primárního BSI dokumentu dohledán a před republikací vyžaduje doplnění explicitní citace BSI Lagebericht zur IT-Sicherheit).

Francie — ANSSI a CaRE. Francouzský úřad pro kybernetickou bezpečnost (ANSSI — Agence nationale de la sécurité des systèmes d'information) provozuje od 18. prosince 2023 program CaRE — Cybersécurité, accélération et résilience des établissements s rozpočtem 750 milionů EUR na období 2023–2027 (z toho 250 mil. EUR do roku 2025). Program je strukturován do čtyř os (governance a resilience, zdroje a sdílení, povědomí, operativní bezpečnost), koordinován Délégation au numérique en santé (DNS) a zapojuje národní (ANSSI, ANS, DGOS), regionální (ARS, GRADeS) i lokální aktéry. Kombinuje povinnostní rámec (audity, povinné incident response plány, testovací cvičení) s investiční podporou (granty na implementaci SOC, EDR, segmentaci sítí, modernizaci PACS). Spouštěcí kontext: noc z 21. srpna 2022 a útok ransomware LockBit 3.0 na Centre hospitalier Sud Francilien (CHSF) v Corbeil-Essonnes — útočníci původně požadovali 10 milionů USD, výkupné bylo později sníženo na ~2 mil. USD a poté, co nemocnice odmítla platit, byl 23. září 2022 zveřejněn archiv s 11 GB citlivých dat pacientů. ANSSI při následném šetření zjistila, že útočník měl 10 dní před spuštěním ransomwaru přístup do systému přes VPN. Český rozpočet na obdobnou systémovou podporu z resortu zdravotnictví je pro období 2026–2028 plánován v řádu desítek milionů Kč ročně z prostředků Národního plánu obnovy a Operačního programu Zdravotnictví — řádově desetinásobně méně proporčně k velikosti sektoru než ve Francii.

Velká Británie — NHS DSPT a CSOC. Britská NHS provozuje Data Security and Protection Toolkit (DSPT) jako povinný roční sebehodnotící nástroj pro všechny trusty a poskytovatele pečujících o NHS pacienty. Po útoku WannaCry v květnu 2017 NHS England zřídila Cyber Security Operations Centre (CSOC) jako 24/7 sdílené SOC pro celý sektor — nemocnice se mohou napojit a získat sdílený threat intelligence a incident response. Tento model — sdílené SOC pro celý sektor — je organizační vzor, který by mohl mít smysl i v ČR, kde řada menších nemocnic nemá kapacitu provozovat vlastní SOC. NCEZ a NÚKIB v roce 2024 zahájily přípravu studie proveditelnosti pro sektorové sdílené SOC v ČR; výsledek studie ještě nebyl publikován.

Estonsko — e-Tervis a X-Road. Estonské zdravotnictví je nejdigitálnější v Evropě — 99 % zdravotních záznamů je digitálních, eRecept, eAmbulance, eHealth Foundation. Tato úroveň digitalizace je doprovázena silnou kybernetickou architekturou — datová páteř X-Road s end-to-end šifrováním, decentralizovaná architektura bez jednoho monolitického cíle, povinný auditní log každého dotazu na pacientská data (každý pacient si může online ověřit, kdo a proč jeho záznam četl). Estonsko zažilo v roce 2007 sérii kybernetických útoků a od té doby buduje národní rezilienci jako prioritu. Pro ČR je estonský model spíše dlouhodobou inspirací pro architekturu nového ehealth, ne pro retrofitting do existující heterogenní krajiny — ale konkrétní řešení (auditní log přístupů k záznamům pacientů) jsou aplikovatelná i v současné ČR.

Národní programy kyberbezpečnosti zdravotnictví (vybrané země EU)

Země	Hlavní program / norma	Páteřní rozpočet	Období	Vazba na úhrady
Česko	Zákon 264/2025 Sb. + vyhláška 409/2025 Sb.	desítky mil. Kč/rok (NPO + OP Z)	2026–2028	není v 2027 cyklu
Německo	KHZG + § 75c SGB V	≥ 4,3 mld. EUR (z toho ≥ 15 % na IT bezpečnost)	2020–2024	−2 % DRG při neplnění
Francie	CaRE (ANSSI + DNS)	750 mil. EUR	2023–2027	granty + povinné audity
Velká Británie	NHS DSPT + CSOC	sdílené sektorové SOC 24/7	2017–dosud	povinný roční self-assessment
Estonsko	e-Tervis + X-Road	začleněno do digitální páteře státu	2008–dosud	auditní log per dotaz
Zdroj: EK Action plan on the cybersecurity of hospitals (15. 1. 2025), KHZG, ANSSI CaRE, NHS England, e-Tervise SA. České hodnoty rozpočtu odpovídají indikativní alokaci NPO komponenta 4.5 a OP Zdravotnictví 2021–2027 na kyberbezpečnost zdravotnictví.

Praktické důsledky — co se musí stát do listopadu 2026

Pokud zákon 264/2025 Sb. má v sektoru zdravotnictví fungovat věcně, ne jen formálně, musí se v období květen 2026 — listopad 2026 stát několik věcí současně.

Provozní úroveň nemocnic. Každá registrovaná nemocnice v režimu vyšších povinností musí implementovat nebo dotáhnout do funkčního stavu sadu opatření podle vyhlášky 409/2025 Sb. — typicky: dokumentovaný systém řízení informační bezpečnosti, role bezpečnostního manažera (CISO) nebo manažera kybernetické bezpečnosti s definovanými kompetencemi a vazbou na statutární orgán, řízení rizik s pravidelným hodnocením, klasifikaci aktiv (zejména PACS, NIS, LIS, RIS, eRecept), segmentaci sítí (oddělení administrativní sítě, klinické sítě a IoMT — Internet of Medical Things), kontrolu privilegovaných účtů, multifaktorovou autentizaci pro vzdálené přístupy, správu zranitelností s definovanými cykly patchování, zálohování s testováním obnovitelnosti, plán kontinuity provozu (BCP) s scénáři pro výpadek nemocničního IT a pro útok ransomware, postupy hlášení incidentů a — to je možná nejnáročnější — pravidelné cvičení krizové reakce. To je pro průměrnou krajskou nemocnici implementační program v řádu 20–60 milionů Kč investic a 2–4 dodatečných úvazků odborného personálu po dobu nejméně dvou let. Pro malou oblastní nemocnici je to často nedosažitelné bez sdílené sektorové infrastruktury.

Sektorová úroveň. Pokud má český zdravotní systém zvládnout nepoměr mezi velikostí požadavků a kapacitou menších nemocnic, je nutné posílit sdílenou infrastrukturu. To zahrnuje sektorové SOC (možná v gesci NCEZ nebo formou koncesního partnerství), centralizovaný program penetračního testování pro registrované subjekty, sdílené metodiky a šablony bezpečnostních dokumentů, koordinovanou edukační platformu pro management i zdravotnický personál (sociální inženýrství zůstává nejčastějším počátečním vektorem útoků), a — nejdůležitěji — sdílený incident response tým, který v případě útoku poskytne rychlou expertní podporu na místě. Nic z toho dnes v ČR nefunguje v plné šíři; všechny součásti existují v zárodečné podobě v různých institucích (NÚKIB, NCEZ, soukromé bezpečnostní firmy), ale nikdo z nich nemá dnes mandát ani rozpočet poskytovat tuto podporu plošně.

Politická a rozpočtová úroveň. Kybernetická bezpečnost stojí peníze — na investice, provoz, audit a personál. Národní plán obnovy alokoval do oblasti kybernetické bezpečnosti zdravotnictví v komponentě 4.5 (Digitální transformace zdravotnictví) prostředky v řádu jednotek miliard Kč v období 2022–2026, ale podstatná část byla využita na základní infrastrukturní modernizaci, ne na specializovanou kybernetickou bezpečnost. Pro období 2026–2030 je nutné identifikovat nový rozpočtový kanál — buď v rámci Operačního programu Zdravotnictví 2021–2027, v navazujících evropských fondech, v úhradové vyhlášce (P4P bonus za doloženou bezpečnostní vyspělost), nebo přímo ve státním rozpočtu kapitoly MZ. Všechny tyto kanály mají své politické a metodické překážky a žádný z nich není v současnosti připraven k masivnímu nasazení. Bez tohoto dofinancování zákon 264/2025 Sb. zůstane formálním rámcem bez reálné implementační kapacity v menších nemocnicích.

Co zákon neřeší a co je třeba sledovat

Zákon 264/2025 Sb. je nutný, ne dostačující. Tři otevřené otázky, na které žádná vyhláška ještě neodpověděla:

Zranitelnost zdravotnických prostředků (medical devices). Moderní nemocnice provozuje stovky propojených zdravotnických prostředků — infuzní pumpy, monitory pacienta, zobrazovací zařízení, systémy pro aplikaci radioterapie. Mnoho z těchto zařízení běží na zastaralých operačních systémech (Windows XP, Windows 7), které výrobce již nepatchuje, a které není možné jednoduše migrovat bez certifikace MDR (nařízení EU 2017/745 o zdravotnických prostředcích). Zákon 264/2025 Sb. tuto vrstvu řeší pouze nepřímo přes obecné požadavky na řízení rizik a segmentaci sítí; konkrétní problém zastaralého firmware infuzní pumpy připojené do nemocniční sítě zůstává v systémové slepé skvrně. EU Cybersecurity Action Plan pro nemocnice (2025) tuto otázku adresuje jako prioritu, ale konkrétní regulační odpověď v rámci MDR teprve hledá.

Dodavatelský řetězec a softwarové závislosti (supply chain). NIS2 a zákon 264/2025 Sb. zavádějí povinnost řízení rizik dodavatelského řetězce — povinný subjekt musí znát své dodavatele, hodnotit jejich bezpečnost a zahrnout bezpečnostní požadavky do smluv. Pro nemocnice je tento požadavek prakticky obtížně realizovatelný — typická fakultní nemocnice používá desítky až stovky softwarových produktů od různých dodavatelů (NIS, LIS, RIS, PACS, ekonomický systém, kardiologický modul, intenzivní péče, laboratorní systémy), z nichž řada je vyvíjena malými firmami bez vlastní bezpečnostní zralosti. Zákon problém pojmenovává, ale nemá nástroj, jak vynutit zlepšení v dodavatelské části řetězce. ENISA na úrovni EU pracuje na dobrovolném schématu certifikace zdravotnických informačních systémů; česká implementace zatím čeká.

Lidský faktor a kultura bezpečnosti. Nejúčinnější obrana proti ransomware není firewall — je to nemocniční sestra, která nekliknla na podezřelý odkaz v e-mailu od „kolegy z MZ ČR". Útok na FN Brno 2020 byl zahájen otevřením e-mailové přílohy. Útok na Benešov 2019 měl podobný vstupní vektor. Vyhláška 409/2025 Sb. zahrnuje povinnost školení bezpečnosti pro zaměstnance, ale neurčuje konkrétní formu, frekvenci ani metriku úspěšnosti. Pravidelné simulace phishingu, behavioral metriky a kulturní změna, v níž je hlášení podezřelé situace odměněno místo trestáno, jsou klíčem — a žádný legislativní akt je nenahradí. Kultura bezpečnosti je věcí managementu, ne zákona; zákon ji může jen rámovat.

Závěr — listopad 2026 jako test reálné odolnosti

Listopad 2026 je termínem, do kterého musí české nemocnice — registrované jako poskytovatelé regulovaných služeb v režimu vyšších povinností — implementovat sadu bezpečnostních opatření podle zákona 264/2025 Sb. a vyhlášky 409/2025 Sb. Stávající empirické signály (komerční průzkumy, zpráva HCI, evidence NÚKIB, hodnocení Komory Plus) naznačují, že většina povinných subjektů dnes plní zhruba třetinu požadavků a že přechodná lhůta není v součtu kapacit a investic objektivně dosažitelná pro všechny.

To neznamená, že zákon je špatně napsán. Naopak — je v zásadě nutný a transponuje rámec, který je v Evropě konsensuální. Znamená to ale, že je nutné v období květen 2026 — listopad 2026 přijmout doprovodná opatření: sektorové SOC, sdílené metodiky, akcelerační rozpočtový kanál, a explicitní politické rozhodnutí o tom, jak NÚKIB bude přistupovat k subjektům, které lhůtu nestihnou. Pokud bude přístup čistě sankční, riskujeme paradox, v němž chceme zlepšit kybernetickou bezpečnost menších nemocnic tím, že je formálně potrestáme za to, že na ni nemají kapacitu. Pokud bude přístup čistě tolerantní, ztrácí zákon vymahatelnost. Mezi tím leží úzká cesta postupné implementace s jasnou prioritou (nejprve fakultní a krajské nemocnice, pak menší zařízení), s konkrétními metrikami pokroku a se sdílenou sektorovou podporou.

Pro HSPA Monitor je tento příběh ukázkou pomalého, infrastrukturního rozměru výkonnosti zdravotnictví, který se v žádných tradičních zdravotních ukazatelích — kojenecká úmrtnost, hospitalizace ACSC, naděje dožití, čekací doby — neobjeví, dokud nedojde k systémovému selhání. Nemocnice, která je dva měsíce v nouzovém režimu, vykazuje horší výsledky ve všech klinických ukazatelích po celou dobu výpadku — ale tento dopad je v současných HSPA datech neviditelný. Pokud se útok podaří odrazit, není v datech vůbec — ne proto, že se nestal, ale proto, že obrana fungovala. Měřit to je obtížné. Sledovat to je nutné.

Mezi 11. prosincem 2019 (Benešov), 13. březnem 2020 (FN Brno) a 1. červencem 2025 (Nemocnice Nymburk) leží šest let. Mezi 1. listopadem 2025 (účinnost zákona 264/2025 Sb.) a listopadem 2026 (přechodná lhůta pro většinu nemocnic) leží dvanáct měsíců. Otázka, zda v období 2026–2027 přijde další systémově významný útok na české zdravotnictví, není akademická. Statisticky je vysoce pravděpodobná. Otázka, jestli bude v té chvíli zákon 264/2025 Sb. už fungovat — nebo bude stále ve fázi implementace — záleží na tom, co se stane v příštích měsících. Sledujeme.

Datový klíč: HSPA indikátory

Indikátory HSPA Monitoru relevantní pro monitorování kybernetické odolnosti zdravotnictví

Míra adopce e-zdravotnictví — penetrace elektronické zdravotní dokumentace, eReceptu a propojených systémů; nepřímý ukazatel velikosti útočné plochy a zároveň základ pro vytvoření národní kybernetické vyspělosti (oblast: Struktury → Informační systémy)
Spokojenost s informováním a komunikací — kybernetické incidenty, jejich transparentní hlášení a komunikace s pacienty patří do dimenze důvěry v systém; bez efektivní krizové komunikace dopadá útok na vnímanou kvalitu péče (oblast: Výsledky → Spokojenost)
Čekací doby ke specialistovi — výpadek IT v nemocnici typu FN Brno 2020 prodloužil interní zpracování pacientů o týdny; opakované systémové incidenty mají kumulativní dopad na čekací doby (oblast: Procesy → Přístup k péči)
Nemocniční mortalita po AMI — útok jako Düsseldorf 2020 ukázal, že nedostupnost informačních systémů může mít přímý klinický dopad; sledování této metriky v nemocnicích po incidentech je validátor kontinuity péče (oblast: Výsledky → Klinická kvalita)
Nosokomiální infekce — výpadek systémů detekce a sledování infekcí (LIS, NIS) zhoršuje schopnost nemocnice reagovat na nozokomiální nákazy; nepřímý dopad kybernetických útoků (oblast: Procesy → Bezpečnost péče)
Výdaje na zdravotnictví (% HDP) — implementace zákona 264/2025 Sb. představuje strukturální investiční náklad v řádu jednotek miliard Kč pro celý sektor; otázka pro úhradovou vyhlášku 2027–2028 (oblast: Struktury → Financování)

Zdroje

Primární legislativa, dokumenty a mezinárodní reference

Primární legislativa — česká

Zákon č. 264/2025 Sb. o kybernetické bezpečnosti (účinnost 1. 11. 2025) — transpozice směrnice (EU) 2022/2555 (NIS2), nahrazení zákona 181/2014 Sb. zakonyprolidi.cz/2025-264 ↗ · e-sbírka ↗
Vyhláška č. 334/2025 Sb. o Portálu Národního úřadu pro kybernetickou a informační bezpečnost a požadavcích na některé úkony — portál pro ohlášení regulované služby, hlášení incidentů, kontaktní bod. zakonyprolidi.cz/2025-334 ↗
Vyhláška č. 408/2025 Sb. o regulovaných službách (účinnost 1. 11. 2025) — definice okruhu povinných subjektů, vč. zdravotnictví (položka 18.2 — poskytování zdravotnické záchranné služby a další), kritéria pro režim vyšších a nižších povinností. zakonyprolidi.cz/2025-408 ↗ · e-sbírka ↗
Vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (ze dne 26. 9. 2025, účinnost 1. 11. 2025) — ISMS, řízení rizik, řízení dodavatelů, fyzická bezpečnost, bezpečnost komunikačních sítí, kontrola přístupu, řízení zranitelností, BCP. zakonyprolidi.cz/2025-409 ↗
Vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností (účinnost 1. 11. 2025) — zjednodušený standard pro menší ambulantní zařízení a vybrané typy laboratoří. zakonyprolidi.cz/2025-410 ↗
Zákon č. 372/2011 Sb. o zdravotních službách — § 110 odpovědnost krajů za dostupnost zdravotních služeb na území; nepřímá vazba na povinnost krajů zajistit kybernetickou odolnost vlastních zařízení. zakonyprolidi.cz/2011-372 ↗
Zákon č. 325/2021 Sb. o elektronizaci zdravotnictví — rámec pro NCEZ, NKMDZS a centrální datové brány; viz novela elektronizace 2026 v HSPA Monitoru. zakonyprolidi.cz/2021-325 ↗

Primární dokumenty — NÚKIB, NCEZ, vládní

NÚKIB — Aktualita: „Ohlášení podle nového zákona o kybernetické bezpečnosti provedlo přes 4800 organizací" (publikováno 11. 2. 2026) — souhrnná data o 4 825 registrovaných subjektech k 1. 2. 2026 (~75 % z očekávaných cca 6 000); informace o tempu plnění registrační povinnosti. nukib.gov.cz ↗
NÚKIB — Portál NÚKIB: Průvodce novým zákonem o kybernetické bezpečnosti — metodika sebeidentifikace, registrace a implementace bezpečnostních opatření. portal.nukib.gov.cz ↗
NÚKIB — Bezpečnejší zdravotnictví: Akční plán ke strategii kybernetické bezpečnosti ČR 2021–2025 a 2026–2030 — vládní rámec investic do kybernetické bezpečnosti zdravotnictví. nukib.gov.cz/akcni-plan ↗
NCEZ — Národní centrum elektronického zdravotnictví: Kybernetická bezpečnost — metodické materiály MZ ČR pro nemocnice. ncez.mzcr.cz ↗
MZ ČR — Národní strategie elektronického zdravotnictví ČR 2025–2035 — strategický rámec digitální transformace, vč. kybernetické vrstvy. mzd.gov.cz/strategie ↗

EU legislativa, ENISA a strategický rámec

Směrnice (EU) 2022/2555 ze dne 14. prosince 2022 (NIS2) o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii — příloha I (highly critical sectors), zdravotnictví; čl. 20 (Cybersecurity risk-management measures), čl. 21 (Cybersecurity risk-management measures — content), čl. 23 (Reporting obligations — 24/72 h / 1 měsíc). eur-lex.europa.eu/eli/dir/2022/2555 ↗
European Commission — European action plan on the cybersecurity of hospitals and healthcare providers (publikováno 15. 1. 2025) — čtyři pilíře (prevence, detekce, reakce, deterrence); avizován European Cybersecurity Support Centre for Hospitals and Healthcare Providers v rámci ENISA s postupným zprovozněním 2026–2027. health.ec.europa.eu ↗
ENISA — Health Threat Landscape (July 2023) — analýza 215 veřejně hlášených incidentů ve zdravotnictví EU a sousedních zemích (datová báze leden 2021 — březen 2023); ransomware 54 %, datově orientované hrozby ~46 %, finanční motivace 83 %. enisa.europa.eu (PDF) ↗ · tematická stránka ↗
Nařízení (EU) 2017/745 o zdravotnických prostředcích (MDR) — kontextový rámec pro kybernetickou bezpečnost medical devices a IoMT. eur-lex.europa.eu/MDR ↗

České incidenty — referenční zdroje

Policie ČR — Středočeští kriminalisté ukončili vyšetřování ransomware útoku na benešovskou nemocnici — útok 11. 12. 2019, virus Emotet → TrickBot → Ryuk, škoda přes 59 mil. Kč, vyšetřování odloženo (pachatel nezjištěn). policie.gov.cz ↗
NÚKIB — Zpráva o stavu kybernetické bezpečnosti ČR 2019 — institucionální popis benešovského incidentu, datace, vektor útoku, koordinace odpovědi. nukib.gov.cz (PDF) ↗
MGC Servis — Případová studie obnovy IT v Nemocnici Rudolfa a Stefanie Benešov — detailní popis obnovy systémů a kalkulace nákladů (59 mil. Kč, ~3 týdny nedostupnosti). mgc.cz/studies/benesov ↗
Aktuálně.cz — Hacker, který podnikl masivní útok na druhou největší nemocnici v zemi, policii unikl (FN Brno, útok 13. 3. 2020 ve 2:00 ráno — den po vyhlášení nouzového stavu kvůli COVID-19; kryptovirus Defray; vyšetřování NCOZ odloženo 2022). aktualne.cz ↗
ČT24 / iROZHLAS — Kybernetický útok na Nemocnici Nymburk (1. 7. 2025) — ransomware, nouzový režim, plná obnova systémů do začátku září 2025; policie vyšetřuje neoprávněný přístup a vydírání. ct24.ceskatelevize.cz ↗ · iROZHLAS ↗
Komora Plus — České nemocnice nemají dostatečně zajištěnou kyberbezpečnost (26. 1. 2026) — citace průzkumu ComSource: 33 % průměrné plnění; 65/25/10 rozpad funkčnosti opatření. Sekundární zdroj — průzkum komerční firmy; není to nezávislý systematický audit. komoraplus.cz ↗
HealthCare Institute — Nejlepší nemocnice roku: Kybernetická bezpečnost v roce 2023 — dlouhodobá řada hodnocení kybernetické vyspělosti českých nemocnic. Sekundární zdroj — sebehodnocení nemocnic, ne nezávislý penetrační test. hc-institute.org ↗

Mezinárodní srovnání a referenční incidenty

Německo — Krankenhauszukunftsgesetz (KHZG, účinný 29. 10. 2020) a § 75c SGB V — povinný stav techniky kybernetické bezpečnosti pro nemocnice s finanční sankcí (snížení DRG úhrady o 2 %); ~4,3 mld. EUR celkem (3 mld. EUR federál + ~30 % spolufinancování); nejméně 15 % každé dotace povinně na IT bezpečnost. bundesgesundheitsministerium.de ↗
Francie — Programme CaRE (Cybersécurité, accélération et résilience des établissements) — spuštěno 18. 12. 2023; 750 mil. EUR pro 2023–2027 (z toho 250 mil. EUR do 2025); koordinace DNS (Délégation au numérique en santé), ANS, DGOS, ARS, GRADeS. esante.gouv.fr/cybersecurite ↗ · cyber.gouv.fr/CaRE ↗
Francie — útok LockBit 3.0 na Centre hospitalier Sud Francilien (CHSF) Corbeil-Essonnes (noc 21. 8. 2022): původní požadované výkupné 10 mil. USD bylo později sníženo na ~2 mil. USD; nemocnice odmítla, archiv 11 GB citlivých dat byl zveřejněn 23. 9. 2022. LeMagIT ↗ · ZATAZ ↗
Velká Británie — NAO Investigation: WannaCry Cyber Attack and the NHS (říjen 2017) — alespoň 81 z 236 NHS trustů zasaženo, ~600 GP praxí, 19 000 zrušených návštěv; náklad ~£92 mil. (£20 mil. během útoku + £72 mil. následná obnova IT). nao.org.uk ↗
Velká Británie — NHS Digital: Data Security and Protection Toolkit (DSPT) — povinný roční sebehodnotící nástroj pro NHS trusty po útoku WannaCry 2017. dsptoolkit.nhs.uk ↗
Německo — Universitätsklinikum Düsseldorf, ransomware útok 10. 9. 2020 — pacientka s rupturou aorty převezena do Wuppertalu a zemřela; Staatsanwaltschaft Köln v listopadu 2020 uzavřela, že úmrtí nelze přičítat kyberútoku (medicínský stav byl jediný kauzální faktor); precedens samotného vyšetřování ale zůstal. Schneier on Security ↗ · IFSH ↗
Estonsko — e-Tervis (eHealth Foundation) a X-Road — model decentralizované architektury s end-to-end šifrováním a auditním logem přístupů k pacientským záznamům. e-tervis.ee ↗

HSPA framework a kybernetická odolnost

OECD — Health at a Glance: Europe 2024 — kapitola Digitalisation of Health Systems; HSPA framework v dimenzi Resilience. oecd.org/health ↗
WHO — Health system resilience: Building back better and adapting to future challenges (2021) — koncepce systémové odolnosti vč. digitální infrastruktury. who.int ↗
Belgie — Healthy Belgium (Sciensano) — referenční model HSPA pro Českou republiku, dimenze Resilience a Digital Health. healthybelgium.be ↗

Související články HSPA Monitoru (legislativní eHealth cluster)

Tři měsíce do 2. srpna. AI Act, české nemocnice a regulační vrstva, kterou nikdo necvičil — souběžná regulační vrstva podle Nařízení (EU) 2024/1689 a stav českého implementačního zákona MPO; přímý překryv ve vrstvení MDR + AI Act + NIS2. AI Act ve zdravotnictví
Velká novela elektronizace 2026 (zákon č. 236/2025 Sb.) — souběžný národní digitalizační balíček (eOčkovací průkaz, e-Žádanky, registr preventivních vyšetření, NCEZ); auditováno 15. 5. 2026. Novela elektronizace 2026
EHDS — Evropský prostor zdravotnických dat — datová infrastruktura, která bude interagovat s NIS2 v oblasti ochrany a sdílení klinických dat. EHDS
eHealth v ČR — kde jsme a kam směřujeme — širší digitalizační kontext, do kterého kybernetická bezpečnost vstupuje jako strukturální podmínka. eHealth v ČR
Úhradová vyhláška — finanční nástroj, který by mohl P4P bonusem vázat úhradu na doloženou kybernetickou vyspělost (analogicky britskému CQUIN). Úhradová vyhláška

Pozn. k údajům: Empirické odhady stavu kybernetické bezpečnosti českých nemocnic (ComSource 33 %, HCI „12 nemocnic v kritickém pásmu“) vycházejí z komerčních a sebehodnotících průzkumů — nejde o nezávislý systematický audit a je nutné je číst jako orientační.

Systémový kontext: nemocnice jako kritická infrastruktura

Zákon 264/2025 Sb. — co konkrétně mění

Datový rámec: kde stojí české nemocnice ke květnu 2026

Směrnice NIS2 přijata na úrovni EU

Transpoziční lhůta NIS2

Zákon 264/2025 Sb. publikován ve Sbírce

Vyhláška 409/2025 Sb. — režim vyšších povinností

Účinnost zákona 264/2025 Sb.

Konec lhůty pro ohlášení

Přechodná fáze — 6 měsíců do termínu

Konec přechodné lhůty (1 rok od registrace)

Sektorový SOC + P4P bonus za bezpečnostní vyspělost