Kyberbezpečnost už u kamerových systémů není okrajové téma pro specialisty z IT. V českém prostředí se z ní stává běžná součást provozní odpovědnosti. Podívejme se, jaké novinky v tomto směru přináší směrnice NIS2, varování NÚKIB ze září 2025 a evropské nařízení CRA.
NIS2: jak systém provozujete?
Od 1. listopadu 2025 platí nový zákon o kybernetické bezpečnosti, který do české praxe promítl požadavky směrnice NIS2. Pro organizace, které spadají mezi regulované subjekty, to znamená jediné: kamery, rekordéry, síťové reproduktory, interkomy i VMS už nelze vnímat jen jako prvky fyzické ochrany, ale jako plnohodnotná síťová aktiva, která musejí bezpečně spravovat po celý jejich životní cyklus.
V praxi se proto mění hlavně provozní přístup. Nestačí zařízení koupit, připojit do sítě a ponechat bez další péče. Důraz se přesouvá na řízení přístupových oprávnění, pravidelné aktualizace firmwaru a softwaru, správu zranitelností, dohled nad provozem, evidenci změn, reakci na incidenty i schopnost doložit, kdo měl k systému přístup a co v něm měnil. Právě u kamerových systémů je to důležité dvojnásob: na jedné straně můžou pomáhat chránit serverovny, datová centra nebo citlivé provozy, na druhé straně samy představují možné slabé místo, přes nějž se útočník může dostat do sítě organizace. Proto dnes musejí mnohem těsněji spolupracovat fyzická bezpečnost, IT i vedení organizace.
NÚKIB: tečou vaše data do Číny?
Velkým tématem posledních měsíců je také dodavatelský řetězec. NÚKIB vydal 3. září 2025 varování před hrozbou spojenou s předáváním dat do Čínské lidové republiky a s výkonem vzdálené správy technických aktiv z jejího území. Pro provozovatele kamer, IoT a dalších síťových technologií je důležité správně pochopit, co to znamená. Nejde o jednoduchý plošný zákaz všeho, co má vazbu na Čínu. Jde o to, že povinné osoby musejí tuto hrozbu zohlednit v analýze rizik a přijmout přiměřená opatření. Jinými slovy: nestačí sledovat jen cenu, obrazové parametry nebo funkce videoanalýzy. Stejně důležité je zkoumat, kam můžou odcházet data, kdo a odkud provádí vzdálenou správu, jak se řeší technická podpora a zda je dodavatel z hlediska práva, bezpečnosti i důvěryhodnosti pro konkrétní typ služby nebo infrastruktury přijatelný.
CRA: nese výrobce vašich kamer odpovědnost?
Třetí důležitou vrstvou je evropské Nařízení o kybernetické odolnosti neboli Cyber Resilience Act (CRA). To sice dopadá především na výrobce produktů s digitálními prvky, jeho význam ale pocítí i koncoví zákazníci. CRA totiž posiluje požadavky na bezpečnost už při návrhu produktu, na správu zranitelností, bezpečnostní aktualizace, dokumentaci i odpovědnost výrobce během celého životního cyklu zařízení. Pro uživatele bezpečnostních technologií je to dobrá zpráva. Při výběru dodavatele bude stále důležitější, zda výrobce umí transparentně řešit zranitelnosti, jak dlouho garantuje podporu, jak oznamuje bezpečnostní problémy a zda má celý proces správy produktu nastavený systematicky, nejen marketingově. CRA vstoupil v účinnost v prosinci 2024, část povinností zejména v oblasti hlášení zranitelností začne platit už v průběhu roku 2026 a hlavní režim se plně uplatní od prosince 2027.
Pro provozovatele kamerových systémů z toho plyne praktický závěr. Při nákupu i při revizi stávající infrastruktury je správné klást několik základních otázek: kdo má k zařízení vzdálený přístup, jak se řeší aktualizace, zda existují auditní záznamy, jak je chráněna komunikace, jak rychle dodavatel reaguje na nové zranitelnosti a zda jsou smluvně ošetřeny servis, konec podpory i odpovědnost při incidentu. Dnešní kamerový systém už není jen „oko“ organizace. Je to součást její digitální odolnosti. A právě v tom bude klíčové v éře NIS2 rozlišit mezi technologiemi, které bezpečnost posilují, a těmi, které se samy můžou stát zdrojem rizika.
Autor: Dalibor Smažinka
NÚKIB v kostce: Varování NÚKIB ze září 2025 neříká „zakažte vše“. Říká: vyhodnoťte riziko, prověřujte dodavatele, sledujte tok dat a mějte pod kontrolou vzdálenou správu. Přesně to jsou základní kameny důvěryhodnosti bezpečnostních technologii.
