Co se v ISVS změnilo a proč to většina úřadů podceňuje
1. července 2028, končí přechodné období vyhlášky č. 360/2023 Sb. Každý orgán veřejné správy do té doby musí uvést svou informační koncepci a provozní dokumentaci do souladu s novými pravidly.
Zní to jako formalita pro IT oddělení. Není. Je to zatěžkávací zkouška toho, jak úřad zvládá celý svůj compliance ekosystém: od kybernetické bezpečnosti přes ochranu osobních údajů až po odolnost kritické infrastruktury.
Zákon č. 365/2000 Sb., o informačních systémech veřejné správy, ukládá orgánům veřejné správy povinnost dlouhodobého řízení ISVS a jeho atestace. To není novinka. Novinka je, jak zásadně se změnila pravidla hry:
1. Nová vyhláška o dlouhodobém řízení. Vyhláška č. 360/2023 Sb. nahradila předpis z roku 2006 a zcela přepracovala požadavky na strukturu a náležitosti informační koncepce i provozní dokumentace. Praktický důsledek: informační koncepce psané podle staré vyhlášky č. 529/2006 Sb. nové struktuře v naprosté většině nevyhoví. A to i v případě, že úřad v minulosti atest bez problémů získal.
2. Nová atestační pravidla. Vyhláška č. 153/2024 Sb. novelizovala postupy atestačních středisek. Atestaci nově podléhá dlouhodobé řízení jako celek. Éra „atestace vybraných aspektů" skončila. Atest se uděluje až na 5 let a výsledkem zkoušky je jednoznačné hodnocení: splňuje, splňuje s výhradou, nesplňuje.
3. Přísnější požadavky na kompetence. Digitální a informační agentura stanovila podmínky pro atestační střediska včetně požadavku na prokázanou úroveň znalostí inspektorů. Inspektoři absolvují kurz DIA a získávají osvědčení s omezenou platností. Kompetence se tedy nově prokazuje, neproklamuje. To je správně. A je to standard, který by si úřady měly vynucovat i u svých dodavatelů.
4. Deadline 1. 7. 2028. Čtyřleté přechodné období běží od července 2024. Polovina času je pryč. Kdo dnes nemá aktualizaci informační koncepce ani v plánu práce, směřuje k tomu, že v roce 2028 bude soutěžit o kapacity atestačních středisek s celou veřejnou správou najednou.
Vazba první: nový zákon o kybernetické bezpečnosti
Od 1. listopadu 2025 je účinný zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2. Reguluje 18 odvětví a 60 typů služeb, přičemž veřejná správa patří mezi regulovaná odvětví. Značná část úřadů se tak ocitla v režimu povinných osob s povinností zavést bezpečnostní opatření, řídit rizika dodavatelského řetězce a hlásit incidenty.
A tady přichází detail, který v praxi rozhoduje. Vyhláška č. 360/2023 Sb. výslovně stanovuje bezpečnostní požadavky na důvěrnost, integritu a dostupnost informací v ISVS pro ty orgány veřejné správy, které nejsou povinnými osobami podle zákona o kybernetické bezpečnosti. Jinými slovy: zákonodárce vytvořil bezešvý systém. Buď jste v režimu kyberzákona, nebo vás bezpečnostní požadavky dostihnou přes vyhlášku o dlouhodobém řízení ISVS. Neregulovaný prostor neexistuje.
Pro úřad z toho plyne jediný racionální závěr: bezpečnostní dokumentaci podle zákona č. 264/2025 Sb. a informační koncepci podle vyhlášky č. 360/2023 Sb. nelze psát odděleně. Analýza rizik, klasifikace aktiv, bezpečnostní role, řízení dodavatelů: to vše jsou stavební kameny, které musí v obou dokumentech sedět na milimetr. Dvě verze pravdy jsou horší než žádná.
Vazba druhá: GDPR
Informační systémy veřejné správy zpracovávají osobní údaje. Prakticky bez výjimky. Správce ISVS je současně správcem osobních údajů se všemi povinnostmi podle GDPR: zabezpečení zpracování podle čl. 32, záznamy o činnostech zpracování podle čl. 30, posouzení vlivu na ochranu osobních údajů (DPIA) podle čl. 35 u rizikových zpracování a povinně jmenovaný pověřenec pro ochranu osobních údajů.
Dobrá zpráva: kvalitně zpracovaná informační koncepce a provozní dokumentace ISVS dělají 60 % práce pro GDPR compliance. Popis systémů, datových toků, přístupových oprávnění, bezpečnostních opatření a životního cyklu dat je přesně to, co potřebujete pro záznamy o činnostech zpracování i pro DPIA. Špatná zpráva: platí to i obráceně. Úřad, jehož informační koncepce nevyhoví atestaci, téměř jistě neobstojí ani při kontrole ÚOOÚ. Nedostatky v řízení ICT a nedostatky v ochraně osobních údajů jsou dvě strany téže mince.
Vazba třetí: kritická infrastruktura
Trojici doplňuje zákon č. 266/2025 Sb., o kritické infrastruktuře, který transponuje směrnici CER a rozšiřuje okruh subjektů povinných zajišťovat odolnost kritických služeb. Pro kraje, velká města a provozovatele klíčových agend to znamená další vrstvu: fyzická odolnost, kontinuita činností, krizové plány.
I tady platí stejná logika. Kontinuitu služeb nelze plánovat bez znalosti vlastních informačních systémů, jejich závislostí a dodavatelů. A přesně tyto informace má obsahovat provozní dokumentace ISVS podle vyhlášky č. 360/2023 Sb. Kdo má pořádek v dlouhodobém řízení ISVS, má hotový základ pro resilience management. Kdo nemá, staví krizové plány na písku.
Jeden systém řízení, ne čtyři šanony
Vidím to při auditech znovu a znovu. Úřad má šanon ISVS, šanon kyberbezpečnost, šanon GDPR a nově zakládá šanon kritická infrastruktura. Čtyři dodavatelé, čtyři metodiky, čtyři verze analýzy rizik. Výsledek: čtyřnásobné náklady a nulová konzistence. Při první kontrole nebo incidentu se dokumenty navzájem usvědčí z rozporů.
Racionální cesta vypadá jinak:
1. Jedna evidence aktiv a systémů. Katalog ISVS s vazbami na agendy, data, dodavatele a osobní údaje. Slouží současně informační koncepci, hlášení dle kyberzákona i záznamům o činnostech zpracování.
2. Jedna analýza rizik. Metodicky ukotvená, s pohledy pro ISVS, kybernetickou bezpečnost, GDPR i kontinuitu. Různé výstupy, jeden zdroj pravdy.
3. Jeden harmonogram. Aktualizace informační koncepce, zavedení opatření dle zákona č. 264/2025 Sb. a revize GDPR dokumentace jako jeden program s milníkem atestace před 1. 7. 2028.
4. Ověřené kompetence. U interního týmu i dodavatelů. Ptejte se na osvědčení, akreditace a pověření. Regulátor to u atestačních středisek už vyžaduje. Vy byste měli také.
Co udělat tento měsíc
Pokud jste tajemník, ředitel úřadu, CIO nebo pověřenec, doporučuji tři kroky. Za prvé: nechte si udělat gap analýzu informační koncepce proti vyhlášce č. 360/2023 Sb. Jeden den práce, který vám řekne, jestli máte před sebou kosmetiku, nebo přestavbu. Za druhé: srovnejte harmonogram ISVS s povinnostmi podle zákona č. 264/2025 Sb. a zákona č. 266/2025 Sb., ať opatření zavádíte jednou. Za třetí: vyškolte interního garanta, který bude dokumentaci dlouhodobě vlastnit. Atestace není projekt na jedno léto. Je to provozní disciplína.
Dva roky jsou dost času na to, udělat to pořádně. A příliš málo na to, začít v roce 2028.
Aleš Pilný, partner akreditovaného certifikačního orgánu a atestačního střediska TAYLLORCOX. Na tvorbě aktualizace se podíleli akreditovaní inspektoři s osvědčením Digitální a informační agentury v oblasti atestace a certifikace dlouhodobého řízení ISVS.