Neděle, 7 prosince, 2025
Novinky:
AktuálněEKONOMIKAKOMENTÁŘE

Kybernetická bezpečnost nemocnice: strategická mise pro vedení, ne jen úkol pro IT

redakce

Představte si kybernetickou bezpečnost nemocnice jako její digitální imunitní systém. Stejně jako imunitu těla nehlídá pouze jediná buňka, ani bezpečnost nemocnice nemůže ležet jen na bedrech IT oddělení. Nový zákon č. 264/2025 Sb. transponující směrnici NIS2 dává jasně najevo, že odpovědnost sahá až do nejvyšších pater řízení. Vedení nemocnic musí převzít roli kapitána – držet pevně kormidlo kybernetické bezpečnosti a zajistit, že klíčové služby zdravotní péče zůstanou odolné vůči stále zákeřnějším digitálním hrozbám.

Kybernetická bezpečnost: zodpovědnost od ředitelny po vrátnici

Kybernetická bezpečnost nemocnice už dávno není jen technickou záležitostí správců sítě, ale komplexním problémem, který musí řešit celé vedení organizace. Nová legislativa v ČR (zákon č. 264/2025 Sb., o kybernetické bezpečnosti) transponující přímo neaplikovatelnou evropskou směrnici NIS2 to stvrzuje přímým přiřčením odpovědnosti vrcholnému managementu. I bez zákona je však logické, že ochrana citlivých dat pacientů, zajištění nepřerušené péče a obrana proti hackerským útokům mají zásadní dopad na fungování nemocnice – tedy na její strategické řízení. Ostatně slovo „kybernetika“  pochází z řeckého výrazu „kormidelník“ nebo „umění řídit loď“. V dnešní digitální době by proto kormidlo kybernetické bezpečnosti měli držet pevně primárně členové vedení nemocnice, kteří určují směr a tempo organizačních změn.

Nemocnice si lze představit jako živý organismus – a její kybernetická bezpečnost funguje jako součást imunitního systému. Pokud imunitu zanedbáme, ohrožuje to zdraví celého těla; podobně podceněná digitální ochrana může vyřadit z provozu oddělení či celou nemocnici. Nedávné útoky ukázaly, že kybernetický incident neznamená jen „spadlý server“, ale omezení či úplné zastavení poskytování zdravotní péče pacientům. Úkolem vedení je proto budovat odolnost nemocnice vůči těmto hrozbám stejně pečlivě, jako dbá na kvalitu lékařské péče či finanční stabilitu. V následujících kapitolách si přiblížíme, jak se rámec kybernetické bezpečnosti mění s novými předpisy, proč je aktivní role managementu klíčová a jakými kroky může vedení prakticky zajistit digitální bezpečí své organizace.

Slovníček pojmů

  • NIS2 – Evropská směrnice 2022/2555, která výrazně rozšiřuje okruh odvětví a služeb spadajících pod kybernetickou regulaci. Zavádí přísnější požadavky na řízení rizik, hlášení incidentů a odpovědnost managementu.
  • Zákon č. 264/2025 Sb. – Nový český zákon o kybernetické bezpečnosti účinný od 1. 11. 2025, kterým ČR transponuje směrnici NIS2. Ruší původní zákon č. 181/2014 Sb. a stanoví povinnosti pro poskytovatele regulovaných služeb.
  • Regulovaná služba – Nový pojem označující klíčovou službu v určitém odvětví (např. zdravotnictví, doprava, energetika), jejíž provozovatelé musí splňovat požadavky kybernetické bezpečnosti. Nemocnice poskytující zdravotní péči jsou poskytovateli regulovaných služeb v odvětví zdravotnictví.
  • Režim vyšších/nižších povinností – Kategorizace povinných subjektů dle zákona o kybernetické bezpečnosti. Organizace spadající do režimu vyšších povinností (v ČR de facto všichni poskytovatelé zdravotní péče podle zákona o zdravotních službách s počtem 250 a více zaměstnanců) musejí zavádět mnohem více bezpečnostních opatření. Menší subjekty v nižším režimu povinností čeká mírnější sada opatření, avšak i ty musí plnit základní požadavky (řízení rizik, incidentů atd.).
  • NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost, dohledový orgán v ČR. Vede registr povinných osob, vydává prováděcí předpisy a přijímá hlášení incidentů.
    ISMSInformation Security Management System neboli Systém řízení bezpečnosti informací. Soubor procesů a politik, jimiž organizace řídí kybernetickou bezpečnost.
  • Ransomware (z angl. „ransom“ = výkupné + „software“ = program) je druh škodlivého programu, který zašifruje data nebo zablokuje systém a požaduje od oběti výkupné za obnovení přístupu. Laicky řečeno – útočníci „vezmou data jako rukojmí“ a chtějí zaplatit, aby je odblokovali, případně dokonce vydírají oběť, že budou odcizená data zveřejňovat, pokud neobdrží „výkupné“

Od systémů k „rodinnému stříbru“: nová legislativa a koncept regulovaných služeb

Ještě donedávna se kybernetická regulace soustředila na izolované informační systémy – zákon vymezoval například kritickou informační infrastrukturu nebo významné systémy a kladl důraz hlavně na jejich IT komponenty. Odpovědnost za bezpečnost byla často víceméně formálně přenášena na oddělení ICT a vedení organizace stálo spíše opodál.

Nová éra s NIS2 přináší změnu paradigmatu: předmětem ochrany již není informační systém, ale poskytované služby a jejich kontinuální provoz.

Cílem je zabezpečit doslova „rodinné stříbro“ organizace – tedy to nejcennější, co organizace potřebuje, aby naplnila své primární poslání a poskytovala společnosti klíčové služby – v případě nemocnice jde zejména o poskytování zdravotní péče. Kybernetická bezpečnost se tak přirozeně stává strategickou agendou vedení, nikoliv pouhou provozní starostí IT oddělení.

Poskytovatelé klíčových služeb napříč odvětvími (od veřejné správy, energetiky, přes průmysl, dopravu až po zdravotnictví) proto nyní musí nově identifikovat a chránit své „rodinné stříbro“klíčová aktiva, bez nichž by daná služba nemohla fungovat. Co přesně tím rodinným stříbrem myslíme? Jednoduše řečeno jde o vše, co je pro organizaci opravdu zásadní. Aktivum obecně zahrnuje vše, co má pro organizaci hodnotu – může jít o fyzický či digitální prostředek, osobu nebo činnost spojenou se zpracováním informací. Jinými slovy, za aktivum lze označit cokoliv důležitého pro fungování nemocnice, co je z pohledu bezpečnosti potřeba chránit.

Nejde přitom o žádné virtuální pojmy omezené jen na IT svět. „Rodinné stříbro“ nemocnice představuje velmi konkrétní zdroje, technologie i lidské zdroje, bez nichž by poskytování zdravotní péče nebylo možné. Například jednotka intenzivní péče (JIP) ve velké nemocnici spoléhá na širokou škálu aktiv napříč různými oblastmi. Patří sem nejen informační aktiva (zdravotnická dokumentace, aktuální data z monitorů životních funkcí či výsledky laboratorních a zobrazovacích vyšetření), ale i fyzické zdroje jako stabilní dodávka elektřiny a medicinálních plynů, zabezpečené prostory oddělení a záložní systémy pro případ výpadků. Klíčovou roli hrají technologická aktiva – monitorovací přístroje u lůžek, ventilátory, infuzní pumpy, nemocniční IT systémy a datové sítě – stejně jako lidé, tedy kvalifikovaní lékaři, sestry a technici, kteří s nimi pracují. Důležitou součást tvoří také interní organizační opatření (postupy, léčebné protokoly, plány krizové připravenosti) a vnější dodavatelé (zajištění kyslíku, servis přístrojů, IT podpora apod.). Pokud by některá z těchto složek selhala nebo byla kompromitována, provoz JIP a péče o pacienty mohou být vážně ohroženy.

Takto široký záběr aktiv ukazuje, že bezpečnost kritických služeb nelze řešit izolovaně. Mapování a ochrana všech zmíněných položek vyžaduje zapojení různých odborníků – IT oddělení samo nemá detailní přehled o všech klinických přístrojích či externích dodavatelích, stejně jako kupříkladu právní nebo nákupní útvar nezná všechny používané systémy. Klíčová je proto součinnost napříč nemocnicí. Vrcholové vedení musí vytvářet podmínky a podporu, klinický personál vnáší znalost svých technologií a procesů a specialisté kyberbezpečnosti vše koordinují do jednoho funkčního celku. Jedině tímto holistickým přístupem lze chránit rodinné stříbro komplexně – od odvrácení kybernetických útoků přes fyzické zabezpečení budov až po zajištění kontinuity provozu při nenadálých výpadcích.

Tento posun je pevně zakotven v nových právních předpisech. Nový zákon o kybernetické bezpečnosti dopadá na tisíce subjektů napříč odvětvími včetně většiny zdravotnických zařízení. Každá nemocnice či jiná organizace, která spadá do některé ze skupin regulovaných služeb, má povinnost sama sebe identifikovat a zaregistrovat u NÚKIB jakožto poskytovatel regulované služby. Příloha vyhlášky č. 408/2025 Sb., o regulovaných službách, pak obsahuje seznam všech těchto služeb a stanoví kritéria významnosti, podle nichž se určí, zda konkrétní poskytovatel spadá do režimu vyšších povinností či nižších povinností. Ve zdravotnictví mezi nově regulované subjekty patří nejen velké nemocnice, ale i záchranné služby, specializované laboratoře, výrobci léčiv a další subjekty, které dosud žádné formální kyberbezpečnostní povinnosti neměly. NÚKIB připravil na svém portálu „Kalkulačku“, pomocí které si každý snadno ověří, zda je jím poskytovaná služba regulovaná a do jakého režimu (vyšší či nižší) pravděpodobně spadá (https://portal.nukib.gov.cz/kalkulacka).

Co to v praxi znamená pro nemocnice? Především mnohem širší a přísnější požadavky na zabezpečení, než na jaké byly zvyklé doposud. Vrcholné vedení nese přímou odpovědnost za to, že jeho organizace splní stanovené standardy a průběžně vyhodnocuje kybernetická rizika. Zákon a zejména prováděcí vyhlášky (č. 409/2025 Sb. pro vyšší režim, č. 410/2025 Sb. pro nižší režim) nabízejí sadu organizačních a technických bezpečnostních opatření – od zřízení systému řízení bezpečnosti informací (ISMS), přes řízení rizik a dodavatelů, až po nastavování přístupu, detekci incidentů, zálohování či pravidelná školení personálu.  

Kybernetické útoky na nemocnice nejsou teoretická hrozba, ale realita s vážnými důsledky pro pacienty.

V Česku musela nemocnice v Benešově po útoku ransomwarem na konci roku 2019 téměř tři týdny fungovat v omezeném režimu a škody dosáhly ~59 milionů Kč. Podobně Fakultní nemocnice Brno byla v březnu 2020 zasažena cíleným ransomwarem s odhadovanou škodou 150 milionů Kč a plný provoz obnovila až po několika týdnech. V roce 2020 čelila útoku také Psychiatrická nemocnice Kosmonosy, která obnovila systémy během deseti dnů, ale i zde selhalo zálohování a musela být vybudována nová infrastruktura. A naposledy v roce 2025 kybernetický útok paralyzoval nemocnici v Nymburce – zdravotníci přešli na papír, technika nefungovala a došlo k omezení příjmu pacientů.
Tyto případy jasně ukazují, že jeden úspěšný útok může ochromit zdravotnické zařízení během několika hodin – a obnova pak trvá dny i týdny.

Situace ve světě potvrzuje, že hackeři dokážou svou činností přímo ohrozit lidské životy. Například v Německu vyřadili útočníci z provozu počítačové systémy univerzitní nemocnice v Düsseldorfu – pacientka s akutním stavem musela být převezena do vzdálenější nemocnice a bohužel cestou zemřela[1]. Vyšetřovatelé tento incident označili za první případ, kdy kybernetický útok mohl přímo způsobit úmrtí pacienta. Ani „méně extrémní” útoky však nezůstávají bez vážných následků: při globálním ransomware útoku WannaCry v roce 2017 musely britské nemocnice zrušit odhadem téměř 19 tisíc vyšetření a operací, v několika regionech byly urgentní případy odkláněny do jiných nemocnic[2]. V Irsku zase celonárodní útok na zdravotnickou službu v roce 2021 ochromil objednávkové systémy, přinutil personál přejít na papírové záznamy a některé důležité úkony (např. plánované radioterapie či vyšetření) byly na čas pozastaveny[3]. Dokonce došlo i k soudním sporům kvůli možným obětem kyberútoků – v USA čelila nemocnice v Alabamě žalobě poté, co během ransomware útoku selhala monitorovací technika při porodu a novorozené dítě následně zemřelo[4].

Z těchto incidentů plyne jednoznačné ponaučení: hrozby kyberútoků ve zdravotnictví je nutné brát velmi vážně. Moderní medicína stojí na funkčních IT systémech – když se zhroutí, lékaři nemají přístup k dokumentaci, diagnostickým přístrojům ani komunikaci, což bezprostředně ohrožuje péči o pacienty. Každá nemocnice by proto měla investovat do robustního zabezpečení, záložních systémů a školení personálu. Události z posledních let varují, že opomenutá aktualizace nebo podcenění bezpečnostních opatření může vést nejen k finančním ztrátám, ale i k reálnému ohrožení zdraví a životů lidí. Je lepší se poučit z těchto případů nyní než čelit podobné katastrofě na vlastní půdě.

Klíčovým poselstvím je, že kybernetická bezpečnost ve zdravotnictví není luxus ani formalita, ale kruciální součást ochrany pacientů. Zajištění odolnosti nemocnic vůči útokům – od včasného záplatování známých zranitelností po vytvoření krizových plánů – může v konečném důsledku zachraňovat životy stejně jako špičkové medicínské přístroje či odborná péče lékařů. Připravenost na kybernetické incidenty tak musí být nedílnou součástí řízení nemocnic, aby se hrozby nestaly tragickou realitou.

Proč má vedení řídit kybernetickou bezpečnost

Z výše uvedených incidentů plyne několik obecných pouček.

  1. Lidský faktor je nejslabším článkem řetězce – velmi často vše začíná jedním kliknutím na odkaz v e‑mailu. Proto je nezbytné průběžně školit personál, aby si rizika uvědomoval a uměl rozpoznat potenciální útok (phishing, nebezpečné odkazy, podvodné přílohy apod.).
  2. Krizové plánování a zálohy rozhodují o délce výpadku. Pokud nemocnice nemá připravený vyhovující plán obnovy IT – není jasné, které systémy obnovit nejdříve a kdo o tom rozhodne, vše zůstává na bedrech improvizujících „ajťáků“.

Nemocnice potřebují mít předem vypracované scénáře pro případ kybernetického útoku – včetně jasné role vedení v krizovém štábu.

  • Kultura vnímání kybernetické bezpečnosti: Analýza útoků na nemocnice zjistila, že zaměstnanci do té doby považovali kybernetické hrozby za problém IT, nikoli za svou odpovědnost. To je varovný signál pro všechna zdravotnická zařízení – je nutné prosazovat kulturu, kde si každý (od manažera po sanitáře) uvědomuje svou roli v udržení bezpečnosti. Pokud personál zůstane „nejslabším článkem“ a vedení bude kybernetiku brát jako okrajovou IT záležitost, útočníci toho dříve či později využijí.

Zanedbaná kybernetická bezpečnost může paralyzovat klíčové služby nemocnice a způsobit ztráty v desítkách i stovkách miliónů korun. Jde tedy o riziko v některých ohledech srovnatelné třeba s hrozbou požáru či výpadku elektrické energie – a podle toho by k němu měl management nemocnic přistupovat.

Jak má vedení efektivně řídit kybernetickou bezpečnost

Jakou roli by mělo vrcholné vedení v kybernetické oblasti hrát a jaké konkrétní nástroje má k dispozici, aby zvládlo řídit bezpečnostní agendu stejně kompetentně jako jiné oblasti řízení (finance, kvalitu péče apod.)?

  1. Kybernetická bezpečnost jako součást strategie a risk managementu: Prvním krokem je přiznat kybernetickým rizikům patřičnou důležitost – což znamená zařadit tuto problematiku do celo-organizačního řízení rizik stejně jako např. ekonomická či provozní rizika. Vrcholné vedení by mělo pravidelně hodnotit úroveň zabezpečení a vyžadovat reporty o stavu kyberbezpečnosti podobně, jako dostává zprávy o hospodaření nebo bezpečnosti pacientů. K tomu patří i zavedení metrik a ukazatelů (např. počet incidentů, výsledky testů odolnosti, stav školení personálu apod.), které lze na úrovni představenstva sledovat.
  2. Ohlášení regulované služby, stanovení harmonogramu a formální spuštění procesu: Neprodleně provést tzv. samoidentifikaci a nejpozději do 30. 12. 2025 přes Portál NÚKIB ohlásit poskytovanou regulovanou službu. Zároveň je třeba sestavit harmonogram navazujících aktivit, aby bylo efektivně využito roční přechodné období, které povinným subjektům nová legislativa poskytuje k zavedení požadovaných opatření a splnění všech povinností.
  3. Vyčlenění dostatečných zdrojů: Nelze efektivně chránit organizaci bez adekvátních zdrojů. Úlohou vedení je proto alokovat potřebné finance, personál i technologie pro kybernetickou bezpečnost. To zahrnuje rozpočet na bezpečnostní infrastrukturu, odborníky (interní tým či externí dodavatele) a průběžné vzdělávání. Management by měl pravidelně hodnotit efektivitu vynaložených prostředků a v případě potřeby je navýšit, pokud to rostoucí hrozby či nové zákonné požadavky vyžadují.
  4. Jmenování osob do bezpečnostních rolí a posílení kompetencí: Zákon ukládá každému poskytovateli regulované služby v režimu vyšších povinností ustanovit výbor pro řízení kybernetické bezpečnosti a jmenovat manažera kybernetické bezpečnosti – tj. konkrétní osobu, která dohlíží na celý ISMS. Vedle manažera musí určit ještě architekta a auditora kybernetické bezpečnosti.

V režimu nižších povinností pak namísto těchto formálních rolí působí „pouze“ tzv. osoba pověřená kybernetickou bezpečností, která managementu pomáhá s koordinací bezpečnosti.

Je klíčové, aby všechny tyto zainteresované osoby a útvary měly dostatečné pravomoci a přímý přístup k vedení. Manažeři kybernetické bezpečnosti (případně osoby pověřené KB) by měli být součástí užšího vedení nemocnice, aby mohli efektivně prosazovat opatření napříč útvary. Nemocnice, které tuto pozici dosud nemají zřízenu, by tak měly neprodleně učinit – buď najmout zkušeného odborníka, nebo vyškolit a povýšit někoho ze stávajících zaměstnanců a zajistit pravomoci, zdroje a nezávislost.

  • Vzdělávání a zvyšování kompetencí: Kybernetická bezpečnost je dynamický obor – hrozby i obranné technologie se rychle vyvíjejí. Členové nejvyššího vedení nesmí zůstávat v informatickém analfabetismu, musí investovat do svého rozvoje a absolvovat pravidelná školení a vzdělávací programy, aby porozuměli aktuálním rizikům. Nová legislativa toto přímo vyžaduje: statutární orgány mají povinnost nechat se školit v oblasti kybernetické bezpečnosti. Cílem není z vrcholových manažerů udělat IT experty, ale vybavit je dostatečnými znalostmi pro kvalifikované rozhodování – aby uměli klást správné otázky svým bezpečnostním týmům, rozuměli základním konceptům jako řízení rizik či kontinuita provozu, a dokázali vyhodnotit, zda jsou navrhovaná opatření technicky i ekonomicky realizovatelná a adekvátní. Důsledné záznamy o účasti na školeních navíc mohou posloužit jako důkaz, že vedení své povinnosti nezanedbává. Kromě formálních školení je vhodné, aby se management průběžně seznamoval s best practices v oboru a případovými studiemi významných incidentů – pomůže to udržet pozornost a proaktivní přístup k nově vznikajícím hrozbám.

Vedení musí rovněž zajistit proškolení osob v bezpečnostních rolích a zajistit odpovídající vzdělávání všech pracovníků organizace.

  • Bezpečnostní politika, procesy a kultura:  Vedení musí nastavit tzv. „Tone at the Top“ (doslova „tón shora“ – označení pro kulturu a odpovědnost vrcholného vedení, která činí z kybernetické bezpečnosti běžnou manažerskou disciplínu), a to jak formálně, tak neformálně.“ Z formálního hlediska by mělo schválit a vydat bezpečnostní politiku organizace, která jasně stanoví pravidla (např. používání hesel, práce na dálku, instalace softwaru) a rozdělí odpovědnosti. Nemocnice možná už některé směrnice měla, ale nyní je čas na aktualizaci podle nových zákonných požadavků a hrozeb. Z neformálního hlediska by měli ředitelé a primáři jít příkladem – důsledně dodržovat pravidla. Ano, i management by měl procházet školeními na odolnost proti technikám sociálního inženýrství a dodržovat bezpečnostní politiky. Vedení musí vyslat personálu nemocnic poselství, že kybernetická bezpečnost je nedílnou součástí kvality péče. Bezpečnostní kultura se nevytvoří přes noc, ale začíná právě u postoje vedení. Pokud zaměstnanci vidí, že nadřízení téma ignorují nebo obcházejí pravidla, budou je podceňovat také. Naopak aktivní zájem vedení (např. zařazení tématu do porad, pochvala oddělení za zlepšení v auditu bezpečnosti apod.) může motivovat celý tým brát ochranu dat a systémů vážně.
  • Technologie, investice a zdroje: Zajištění kybernetické bezpečnosti pochopitelně vyžaduje i technické a finanční zdroje. Nemocniční rozpočty jsou napjaté, ale útoky posledních let jasně ukázaly, že investice do prevence jsou zanedbatelné ve srovnání s náklady na obnovu provozu po katastrofě. Vrcholné vedení musí být připraveno vyčlenit finance na nezbytná opatření – ať už jde o modernizaci zastaralých systémů, nasazení bezpečnostních technologií (firewally, detekční systémy, zálohovací infrastruktura apod.), nebo najmutí expertů. Mnohé nemocnice provozují přístroje a IT systémy více než dekádu staré, u nichž končí podpora a objevují se neopravené zranitelnosti. Odborníci z Evropy varují, že zdravotnictví trpí právě „děravými“ zastaralými zařízeními a doporučují například zahrnovat kybernetické požadavky už do výběrových řízení při nákupu nové techniky. Management by tedy měl při investičním plánování myslet na kyberbezpečnost podobně jako na energetickou náročnost či jiné parametry – např. preferovat přístroje a software s prokazatelnou úrovní zabezpečení a dlouhodobou technickou podporou.
  • Plánování reakce na incidenty, kontinuita provozu a obnova při havárii: Další klíčovou odpovědností vedení je zajistit, že se v případě kybernetického incidentu nemocnice „neztroskotá na útesu v neklidných digitálních vodách“. To znamená mít zpracované plány reakce na kybernetické incidenty, plány kontinuity provozu a plány obnovy při havárii – postupy pro nejhorší scénáře, které vedení umožní vykormidlovat nemocnici pryč od útesů a mělčin do hlubších a bezpečnějších vod.

Tyto dokumenty by měly jasně definovat, co dělat při napadení – od technických kroků (odstřižení napadených částí sítě, přepnutí na záložní systémy)  až po organizační (svolání krizového štábu, komunikace s personálem, pacienty i médii, hlášení NÚKIB). Vedení má v takové situaci hrát aktivní roli: rozhodovat o omezení provozu některých oddělení, schválit případné zapojení externích specialistů na incident response a koordinovat postup se zřizovatelem (ministerstvem, krajem či městem) apod.

Krizové štáby nemocnic by měly kybernetické scénáře trénovat podobně, jako se cvičí např. požární evakuace. Odolnost zdravotnického zařízení totiž prověří nejen to, zda má technicky zálohovaná data, ale i to, zda management dokáže pod tlakem situaci řídit a udržet co největší část služeb v chodu. Ne nadarmo se kybernetické incidenty dnes zahrnují do celkových plánů krizové připravenosti nemocnic.

Shrnuto, vedení nemocnice by mělo zaujmout proaktivní postoj, aby nejen splnilo literu zákona, ale zároveň skutečně ochránilo své zařízení.

Je nezbytné identifikovat největší digitální rizika, začlenit jejich ošetření do strategických plánů, určit kompetentní lidi a poskytnout jim zdroje, a současně dohlížet na naplňování bezpečnostních opatření.

Závěr: Když vedení drží pevně kormidlo

Kybernetická bezpečnost ve zdravotnictví není strašákem, ale stává se běžnou součástí řízení nemocnice v 21. století. Nové zákonné požadavky možná na první pohled vypadají jako další administrativní zátěž, ve skutečnosti ale vedou management k zásadní otázce: Jak udržet naši nemocnici v provozu a v bezpečí i tváří v tvář novodobým digitálním hrozbám? Odpověď nemůže znít „to vyřeší IT oddělení“. Stejně jako za celkovou strategii, finance či kvalitu péče nese odpovědnost vedení, i kybernetická odolnost musí být řízena shora.

Povzbudivé je, že mnoho opatření se překrývá s dobrou manažerskou praxí – plánování krizí, školení zaměstnanců, ochrana citlivých dat pacientů a kontinuita služeb. Investice do kyberbezpečnosti zároveň přinášejí důvěru veřejnosti a pacientů, že o jejich data je dobře postaráno a že péče nebude přerušena ani při nenadálých událostech. Nemocnice, které se včas adaptují, získají konkurenční výhodu a klid pro svůj rozvoj. Ty, které by otálely, riskují nejen sankce od regulátora, ale především ohrožení svého poslání léčit a pomáhat.

Naštěstí platí, že odpovědné vedení může hrozby přetavit v příležitost – posílit vnitřní procesy, zbavit se zastaralých systémů, vyškolit personál k digitální gramotnosti a nastavit vyšší standard péče o pacienty i jejich data. Kybernetická bezpečnost je cesta, na níž se nemocnice učí být odolnější a pružnější. A s kapitánem na můstku, který má jasno o cíli i mapu rizik před sebou, tuto cestu úspěšně zvládne každá posádka. Držme pevně kormidlo, starejme se o naše „rodinné stříbro“, plňme ve společnosti roli, která se od nás očekává – budujme důvěru pacientů a chraňme jejich zdraví a životy, za to stojí.

Na závěr je vhodné zdůraznit, že kybernetickou bezpečnost lze řídit různými způsoby a neexistuje jediný „správný“ postup. Tento článek představuje jeden podložený přístup vycházející z aktuální legislativy a odborných doporučení, nicméně vedení nemocnic může volit i jiné cesty v souladu s metodikami NÚKIB, certifikací ČSN ISO/IEC 27001, s doporučeními Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) či například s guideliny American Hospital Association. Klíčové je, aby zvolený postup odpovídal konkrétním podmínkám nemocnice a vedl k naplnění téhož cíle – tj. spolehlivé ochraně pacientů, dat i zdravotnických služeb před kybernetickými hrozbami.

Tento článek vychází z analýzy aktuální legislativy (zákon č. 264/2025 Sb., vyhlášky č. 408/2025 Sb., 409/2025 Sb., 410/2025 Sb.) a odborných doporučení pro kybernetickou bezpečnost ve zdravotnictví. Prezentovaná fakta a příklady incidentů byly ověřeny z veřejných zdrojů a poučení z nich reflektují závěry expertů. Některé konkrétní postupy a doporučení vycházejí z oborových best practices, nutnost manažerského dohledu a školení a jejich účinnost se může lišit podle prostředí. Vedení nemocnic by mělo vždy vycházet z vlastní analýzy rizik a konzultovat aktuální metodiky NÚKIB.

[1] https://www.bbc.com/news/technology-54204356

[2] https://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs

[3] https://www.reuters.com/business/healthcare-pharmaceuticals/irish-ransomware-attack-cost-health-service-tens-millions-euros-2021-05-17/

[4] https://www.cbsnews.com/news/alabama-hospital-springhill-medical-center-cyberattack-baby-death-malpractice/

Ing. Miroslav Pavelka, Katedra informačních technologií PEF ČZU v Praze

Mohlo by se vám také líbit

NEUROSMART: Cílem je co nejkvalitnější péče o seniory a nemocné v domácím prostředí

redakce

Poslanci schválili protikrizový daňový balíček

redakce

Bohumil Hlaváček byl profesionál a slušný člověk

redakce