Evropská směrnice NIS 2 (Network and Information Security 2) přináší zásadní změny v oblasti kybernetické bezpečnosti.

Česká republika aktuálně připravuje nový zákon o kybernetické bezpečnosti (nZoKB), který bude transpozicí této směrnice do národní legislativy.

Zákon byl 25. dubna 2025 schválen Poslaneckou sněmovnou Parlamentu České republiky. Předpokládá se, že účinnosti nabyde koncem roku (listopad 2025).

Koho se změny týkají?

Nová pravidla se dotknou mnohem širšího okruhu subjektů než dosud. Postihnou tak velké hráče, ale i středně velké podniky v klíčových sektorech, jako jsou:

• energie,
• doprava,
• ICT služby,
• zdravotnictví,
• bankovnictví,
• veřejná správa,
• chemický průmysl,
• výroba a distribuce potravin,
• digitální infrastruktura a další.

Co přináší nový zákon?

• Zavedení povinné registrace regulovaných subjektů.
• Vyšší požadavky na bezpečnostní opatření a dokumentaci.
• Navýšení sankcí.
• Nové role a odpovědnosti.

Od nabytí účinnosti nového zákona o kybernetické bezpečnosti běží poskytovatelům regulované služby 60 denní lhůta na ohlášení této skutečnosti Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Stejná lhůta pro ohlášení je stanovena i pro organizace, které naplní kritéria pro registraci regulované služby až v budoucnu.

Po ohlášení probíhá registrace automaticky. NÚKIB doručí organizaci rozhodnutí o registraci, k čemuž může dojít ihned v den ohlášení. Organizace má poté 30 dní na doplnění kontaktních údajů, pokud tak dosud neučinila.

Poskytovatel regulované služby je povinen začít hlásit kybernetické bezpečnostní incidenty nejpozději do jednoho roku od doručení rozhodnutí o registraci. Ve stejné lhůtě je povinen zavést bezpečnostní opatření dle příslušné vyhlášky k novému zákonu o kybernetické bezpečnosti.

Proč byste se měli o NIS2 a nZoKB zajímat, i když nepatříte mezi regulované subjekty?

• Dodržování pravidel NIS2 a nZoKB pomůže minimalizovat riziko útoků a jiných hrozeb, zvýší  odolnost vaší organizace a ochrání vaše data a pověst.
• Implementace základních postupů dle NIS2 a nZoKB zvýší důvěryhodnost vaší značky, protože dáváte najevo, že ochranu dat berete vážně.  
• Získáte konkurenční výhodu, která vám může pomoci otevřít dveře nových příležitostí.  

V Q-COM sledujeme legislativní vývoj a jsme připraveni vám pomoci s:

• analýzou dopadu NIS2 a nZoKB na vaši organizaci
• nastavením nebo úpravou systému řízení bezpečnosti informací
• vytvořením interních směrnic a procesů podle požadavků zákona
• školením odpovědných osob a zaměstnanců
• přípravou na audity a inspekce
• zajištěním rolí odpovědných za kybernetickou bezpečnost vaší organizace

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Pohybujeme se v dynamickém a konkurenčním prostředí. Trh se neustále mění. Požadavky zákazníků rostou. Tam, kde je kvalita stěžejním faktorem pro úspěch organizace, je naprosto klíčové mít zavedený systém, který pomáhá pružně reagovat na tyto změny.

Systém řízení kvality dle ISO 9001 (QMS) poskytuje rámec pro neustálé zlepšování procesů, zvyšování efektivity a minimalizaci rizik.

Jaké jsou hlavní výhody a přínosy udržování a neustálého zlepšování QMS?

Výhody systému řízení kvality

Zvýšení efektivity a výkonnosti organizace

Udržování systému řízení kvality dle ISO 9001 vede k optimalizaci procesů, díky čemuž dochází ke snížení plýtvání, lepšímu využívání zdrojů a vyšší ziskovosti. Standard rovněž podporuje systematické řízení činností vedoucí ke zlepšení produktivity a vyšší efektivitě práce.

Snížení nákladů a minimalizace rizik

Efektivní řízení kvality pomáhá identifikovat a eliminovat problémy již v raných fázích, čímž dochází ke snížení nákladů na reklamace, opravy a zmetkovitost. Tímto způsobem organizace minimalizuje plýtvání zdroji, finanční ztráty a potenciální právní rizika.

Podpora inovací a neustálého zlepšování

Norma ISO 9001 podporuje kulturu neustálého zlepšování (princip PDCA – Plan-Do-Check-Act), což vede k efektivnějšímu zavádění inovací, optimalizaci procesů a vyšší flexibilitě organizace v reakci na změny trhu.

Zajištění souladu se zákonnými a regulačními požadavky

ISO 9001 pomáhá organizacím splňovat zákonné a regulační požadavky tím, že nastavuje jasná pravidla a postupy. To vede ke snížení rizika pokut, právních problémů a negativního dopadu na reputaci společnosti.

Zlepšení interní komunikace a motivace zaměstnanců

Dobře implementovaný systém řízení kvality podporuje jasně definované role, odpovědnosti a procesy, což zlepšuje interní komunikaci. Zaměstnanci mají větší přehled o svých úkolech a lépe spolupracují, což zvyšuje jejich motivaci a angažovanost. Pravidelné hodnocení a zpětná vazba pomáhají zaměstnancům rozvíjet se a přispívat k úspěchu organizace.

Zvýšení spokojenosti zákazníků

ISO 9001 klade důraz na porozumění a plnění potřeb zákazníků. Systematické procesy a neustálé zlepšování vedou ke zvyšování kvality dodávaných produktů a služeb, což se promítá do spokojenosti a důvěry zákazníků a vytváří dlouhodobé a loajální obchodní vztahy.

Posílení konkurenceschopnosti

Certifikace ISO 9001 je uznávaným důkazem kvality a spolehlivosti. Zvyšuje důvěryhodnost organizace na trhu a otevírá nové obchodní příležitosti nebo upevňuje stávající obchodní partnerství. Mnoho zákazníků a obchodních partnerů preferuje nebo dokonce vyžaduje spolupráci s certifikovanými dodavateli, což zlepšuje možnosti expanze na nové trhy.

Zlepšení image a reputace organizace

Organizace, která si udržuje certifikaci ISO 9001, prokazuje závazek k dlouhodobé kvalitě a spolehlivosti. To vede k pozitivnějšímu vnímání organizace stakeholdery, což přispívá k lepší značce a reputaci na trhu.

Lepší krizové řízení a připravenost na nečekané situace

Strukturované procesy a dokumentace umožňují rychlejší reakce na krizové situace a snižují negativní dopady nečekaných událostí jako jsou výpadky dodavatelského řetězce, zákonné změny nebo ekonomické výkyvy.

Jak Vám může Q – COM pomoci se systémem řízení kvality?

Zavedení a udržování efektivního systému řízení kvality (QMS) může být klíčem k dlouhodobému úspěchu a růstu organizace. Společnost Q – COM nabízí komplexní podporu v každé fázi tohoto procesu.

• Analýza současného stavu – Posoudíme stávající procesy a identifikujeme oblasti pro zlepšení s ohledem na požadavky ISO 9001.
• Návrh a implementace QMS – Pomůžeme vám vybudovat systém řízení kvality na míru, který bude odpovídat vašim potřebám, firemní kultuře i legislativním požadavkům.
• Školení zaměstnanců – Zajistíme praktická školení pro klíčové pracovníky tak, aby rozuměli svým rolím v rámci QMS a přispívali k jeho efektivitě.
• Interní audity – Provedeme nezávislé interní audity, které pomohou odhalit slabá místa a připraví vás na úspěšné zvládnutí certifikačního auditu.
• Podpora při certifikaci – Budeme vaším partnerem při komunikaci s certifikační autoritou a pomůžeme zajistit hladký průběh certifikačního procesu.
• Dlouhodobá správa a zlepšování QMS – Nabízíme průběžnou podporu při aktualizacích, zlepšování systému a sledování výkonnosti v souladu s principy neustálého zlepšování.

Díky našim zkušenostem a individuálnímu přístupu získáte partnera, který vám pomůže nejen splnit formální požadavky, ale především vytvořit systém, který skutečně přináší hodnotu vaší organizaci.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Bez výměny dat prostřednictvím informačních technologií bychom se už těžko obešli. Proto se jejich ochrana před kybernetickými hrozbami a budování odolnosti stává nezbytností pro podniky všech velikostí a zaměření.

S tím může pomoci Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000.

Máte zaveden nebo o zavedení uvažujete?

Pak byste měli vědět, že vloni byl aktualizován nejen standard ISO/IEC 27002, o čemž jsme už psali zde , ale došlo i na ISO/IEC 27001. Norma ISO/IEC 27001 je hlavní mezinárodní normou pro Systém řízení bezpečnosti informací (ISMS), a tedy i pro kybernetickou bezpečnost. Její loňská revize nahrazuje normu ISO/IEC 27001:2013 a přináší opatření pro bezpečnost IT, ochranu dat či bezpečnost cloudů.

Transpozice normy ISO/IEC 27001:2022 do českého prostředí vyšla letos v říjnu pod označením ČSN EN ISO/IEC 27001:2023 .

Aktualizace normy si klade za cíl pomáhat organizacím řídit kontrolní mechanismy tím, že je po vzoru ISO/IEC 27002 seskupuje do 4 kategorií místo původních 14 – organizační, personální, technologické a fyzické bezpečnosti.

Nejdůležitější změny se týkají přílohy A, která je vybavena 11 novými opařeními, přičemž jejich celkový počet klesl ze 114 na 93 (některé byly sloučeny, další aktualizovány). Kromě toho byla revidována struktura opatření, která zavádí „atribut“ a „účel“ pro každé opatření a již nepoužívá „cíl“ pro skupinu opatření. 

Přechodové období je tříleté, zbývá čas do 31. 10. 2025. Od 1. 11. 2025 budou certifikáty dle ISO/IEC 27001:2013 neplatné.

Nová verze normy 27001

První změnou je úprava názvu normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky“ (information security, cybersecurity and privacy protection – Information security management systems – Requirements). Norma specifikuje požadavky na sestavení, implementaci, provoz, monitorování, přezkoumání a zlepšování systému managementu informační bezpečnosti.

Nová verze je jednou z prvních norem systému managementu, kde došlo k nahrazení předchozí struktury vysoké úrovně harmonizovanou strukturou , která slouží jako základní struktura a vzor pro vývoj a revize nově vznikajících norem systému managementu.

Norma vyžaduje, aby změny v ISMS byly prováděny plánovaným způsobem. Očekává se, že proces změn souvisejících s ISMS byl zvládnut. Dále bude potřeba identifikovat potřebné procesy a jejich interakce v rámci ISMS, které jsou potřebné k jeho implementaci a údržbě. Systém řízení informační bezpečnosti musí být založen na zavedených, sledovatelných procesech a jejich interakcí. Na základě těchto procesů jsou pak navrženy a přizpůsobeny kontroly bezpečnosti informací dle přílohy A.

Největší změny zaznamenala příloha A, která byla kompletně revidována. Počet opatření se snížil na 93 (místo původních 114) a nově jsou jen 4 sekce (místo původních 14).

Seznam opatření je odvozen z normy ISO/IEC 27002:2022. 35 opatření zůstalo bez změny, 23 bylo přejmenováno, 57 sloučeno do 24 opatření a přibylo 11 nových:

• Informační bezpečnost při využívání cloudových služeb
• Připravenost ICT na kontinuitu podnikání
• Zpravodajství o hrozbách
• Monitorovací fyzické bezpečnosti
• Maskování údajů
• Správa konfigurace
• Vymazání informací
• Zabránění úniku údajů
• Monitorovací činnosti
• Filtrování webu
• Bezpečné kódování

Příloha A normy ISO/IEC 27001:2022 se omezuje na pojmenování kontrolních mechanismů, zatímco implementační příručka ISO/IEC 27002:2022 poskytuje další možnosti jejich kategorizace, kde se ke každému opatření vztahuje pět skupin atributů, které usnadňují jejich kagegorizaci. Atributy lze použít k filtrování, třídění nebo zobrazení pro různé organizační pohledy.

Jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

• Typ opatření – preventivní, detektivní, nápravné
• Vlastnosti informační bezpečnosti – důvěrnost, integrita, dostupnost
• Koncepty kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
• Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
• Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost

Jak přejít na novou normu

Potřebujete pomoct s přechodem na novou normu? Nabízíme přehled základních kroků, které je potřeba udělat:

• Seznamte se se zněním norem ISO/IEC 27001:2022 a ISO/IEC 27002:2022.
• Proveďte analýzu rizik s ohledem na nová opatření a rozdělení aktiv.
• Realizujte opatření, která vyplynula z analýzy rizik a implementujte je do procesů ISMS.
• Implementujte nová opatření do provozní dokumentace.
• Aktualizujte Prohlášení o aplikovatelnosti (PoA).
• S ohledem na nová opatření proveďte interní audit.
• Proveďte přezkoumání managementu.

Jak bylo uvedeno v úvodu, běží tříleté přechodové období.

U nově certifikovaných organizací budou certifikační audity prováděny dle nové normy ISO/IEC 27001:2022 od 1. 1. 2024.

Od 1. 11. 2025 se budou všechny audity provádět pouze podle nové normy a certifikáty dle ISO/IEC 27001:2013 nebudou po tomto datu nadále platné. Tedy nejpozději k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Od 24. srpna 2023 se nesmí používat diisokyanáty (samostatné látky, složky jiných látek nebo ve směsích pro pro průmyslové a profesionální použití v koncentracích vyšších než 0,1% hmotnosti), pokud profesionální a průmysloví uživatelé před použitím těchto výrobků neabsolvovali odbornou přípravu.

Na fyzické osoby se tato povinnost nevztahuje. Zároveň musí být každý takový výrobek opatřen větou „Ode dne 24. srpna 2023 se pro průmyslové nebo profesionální použití vyžaduje odpovídající odborná příprava.“

Uvádění diisokyanátů na trh je omezováno již od 24. února 2022 za účelem zlepšení ochrany lidského zdraví (aby se zabránilo potenciální senzibilizaci těmito látkami) a životního prostředí.

Diisokyanáty se používají v celé řadě odvětví, především k výrobě polyuretanových výrobků jako jsou lepidla, tmely, nátěry nebo injektáže používané v průmyslové výrobě nebo ve stavebnictví.

Nové povinnosti jsou obsaženy v Nařízení komise (EU) 2020/1149 ze dne 3. srpna 2020, kterým se mění příloha XVII nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 o registraci, hodnocení, povolování a omezování chemických látek, pokud jde o diisokyanáty.

Předpis zmiňuje také požadavky na obsah školení. Odborná příprava se obnovuje nejméně každých pět let.

Někteří dodavatelé se již přizpůsobili a nabízí výrobky na jiné bázi nebo zajišťují požadované školení (mnohdy i zdarma). Jedná se například o společnost Sika CZ, s.r.o., Soudal Ltd., DEK a.s. a další.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

S 1. červencem 2023 nabyla účinnosti třetí tzv. cloudová vyhláška, kterou vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), a to vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.

Vyhláška spolu s dřívějšími vyhláškami č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci a č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu reguluje využívání cloud computingu podle zákona o kybernetické bezpečnosti a podle zákona o informačních systémech veřejné správy.

NÚKIB současně vydal také výkladový materiál sjednocující regulaci vyúžívání cloud computingu orgány veřejné moci.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Vyhláška 50 upravující odbornou způsobilost v elektrotechnice, familiárně označovaná jako „padesátka“, Vyhláška Českého úřadu bezpečnosti práce a Českého báňského úřadu o odborné způsobilosti v elektrotechnice 50/1978 Sb. definitivně po 44 letech skončila.

Přestože byla dle mnohých nadčasová, o potřebě její novelizace se hovořilo už v minulém století.

Když však došlo ke zrušení autora vyhlášky Českého úřadu bezpečnosti práce, zhasly všechny naděje na jakoukoliv úpravu, neboť novelizovat vyhlášku (v zásadě jakýkoliv právní předpis) může pouze ten subjekt, který ji vydal. 

Bylo potřeba vzít to z gruntu, neboť se zároveň přišlo na to, že u nás vlastně není nikdo, kdo by měl oprávnění náhradu padesátky vydat.  Z toho důvodu byl přijat zákon 250/2021 Sb. o bezpečnosti práce v souvislosti s provozem vyhrazených technických zařízení a o změně souvisejících zákonů, který dává zmocnění Ministerstvu práce a sociálních věcí (MPSV), aby vydalo nové Nařízení vlády, které se bude odbornou způsobilostí v elektrotechnice zabývat.

Zda se dílo povedlo či má mouchy, ukáže až praxe. Každopádně k 1. 7. 2022 se elektrotechnika po více než čtyřech dekádách mění.

V dnešní novince se nechceme zabývat právním rozborem, spíš bychom rádi upozornili na existenci nového zákona a prováděcích předpisů jakož i na nejdůležitější změny.

Mimo jiné se dočtete:
Proč bylo nutné vyhlášku 50/1978 Sb. zrušit
Co mění zákon 250/2021 Sb.
Platnost osvědčení vydaných dle vyhlášky 50/1978 Sb.
Novinka – hlášení vzniku havárie související s VTZ
Paragrafy vyhlášky 50/1978 Sb. vs. nařízení vlády 194/2022 Sb.
Změny, které s sebou nese nařízení vlády 194/2022 Sb.

Co mění zákon 250/2021 Sb.

Zákon 250/2021 Sb. s účinností od 1. 7. 2022 mění znění 3 zákonů a ruší dosud platný zákon 174/1968 Sb., o státním odborném dozoru nad bezpečností práce. Spolu s ním se zrušuje dalších 24 zákonů či prováděcích předpisů nebo jejich částí, mezi které patří zejména: 

• Vyhláška 50/1978 Sb., o odborné způsobilosti v elektrotechnice.
• Části sedmá, devátá a jedenáctá vyhlášky 48/1982 Sb., kterou se stanoví základní požadavky k zajištění bezpečnosti práce a technických zařízení.
• Vyhláška 85/1978 Sb., o kontrolách, revizích a zkouškách plynových zařízení.
• Vyhláška 21/1979 Sb., kterou se určují vyhrazená plynová zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
• Vyhláška 18/1979 Sb., kterou se určují vyhrazená tlaková zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
• Vyhláška 19/1979 Sb., kterou se určují vyhrazená zdvihací zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
• Vyhláška 73/2010 Sb., o stanovení vyhrazených elektrických zařízení do tříd a skupin a o bližších podmínkách jejich bezpečnosti (vyhláška o vyhrazených elektrických zařízeních).

Státní správa a dozor

Státní správu v oblasti bezpečnosti provozu vyhrazených technických zařízení  (VTZ) vykonává dle nového zákona MPSV spolu se Státním úřadem inspekce práce a oblastními inspektoráty práce. Státním odborným dozorem byla v souladu se zákonem pověřena Technická inspekce České republiky (TIČR), kde zřizovatelem je MPSV. 

Nové definice

Zákon 250/2021 Sb. přichází s odlišnou definicí Vyhrazeného technického zařízení a nově definuje průvodní a provozní dokumentaci.

Vyhrazeným technickým zařízením je tlakové, zdvihací, elektrické nebo plynové zařízení, které při provozu svým charakterem nebo akumulovanou energií, v důsledku nesprávného použití, výskytem provozních rizik vyvolávajících nebezpečné situace nebo nedodržením podmínek bezpečného provozu představuje závažné riziko ohrožení života, zdraví a bezpečnosti fyzických osob.

Průvodní dokumentace je soubor dokumentů, dodaných výrobcem nebo dodavatelem vyhrazeného technického zařízení, v českém jazyce, který musí být k dispozici po celou dobu provozu zařízení. 
Nepřebírejte zařízení bez české dokumentace, chcete-li se při případné kontrole vyhnout dokazování, že zaměstnanci rozumí návodu výrobce v originálním znění! 

Provozní dokumentace je soubor dokumentů obsahující záznamy o kontrolách, zkouškách a revizích, místní provozní řád, provozní deník, doklady o kvalifikaci obsluhy, záznamy o opravách a údržbě, harmonogramy, záznamy o činnostech prováděných na provozovaném vyhrazeném technickém zařízení a jiné specifické dokumenty, vznikající při provozu daného vyhrazeného technického zařízení v rozsahu požadovaném právními a ostatními předpisy k zajištění bezpečnosti a ochrany zdraví při práci.

Platnost osvědčení vydaných dle vyhlášky 50/1978 Sb.

Od 1. 7. 2022 sice platí nové podmínky a zkoušky se již budou dělat podle nové zákonné úpravy, nicméně stávající osvědčení, která byla vydaná podle vyhlášky 50/1978 Sb., budou podle přechodného ustanovení zákona platit po celou dobu, na kterou byla vydána.

Za zmínku stojí, že TIČR bude nově oprávnění k montáži, opravám, revizím, zkouškám VTZ a k plnění nádob plyny vydávat právnické osobě nebo podnikající fyzické osobě na 10 let.

Hlášení vzniku havárie

Naprostou novinkou je povinnost uložená provozovateli ohlásit bez zbytečného odkladu oblastnímu inspektorátu práce vznik mimořádné, částečně nebo zcela neovladatelné, časově a prostorově ohraničené událostiv souvislosti s provozem vyhrazených technických zařízení, nebo kdy jsou příčinou vzniku této události vyhrazená technická zařízenía v jejímž důsledku došlo ke škodě na majetku přesahující částku 5 milionů Kč.

Paragrafy vyhlášky 50 vs. nařízení 194

Novinkou je také zákonem řešená odborná způsobilost osob vykonávajících  obsluhu a práci na elektrických zařízeních bez napětí, v blízkosti elektrických zařízení pod napětím a na elektrických zařízeních pod napětím. Od začátku července rozeznáváme osoby znalé, osoby poučené a osoby školené, které nejsou znalé ani poučené, ale jsou školené ve smyslu zákoníku práce. 

Osobou poučenou se stanete ve chvíli, kdy podepíšete zápis o provedeném poučení a ověření znalostí, který stvrdí i osoba znalá, jež poučení provedla. Takové poučení je potřeba opakovat ve lhůtě ne delší než 3 roky. 

Za osoby znalé se považují osoby pro samostatnou činnost, osoby pro řízení činnosti a revizní technici. Tuto problematiku dříve řešila vyhláška č. 50/1978 Sb., dnes na to máme nařízení vlády 194/2022 Sb., o požadavcích na odbornou způsobilost k výkonu činnosti na elektrických zařízeních a na odbornou způsobilost v elektrotechnice. 

S nařízením vlády 194/2022 Sb. dochází ke snížení počtu stupňů odborné způsobilosti v elektrotechnice ze 7 na 3, kam se řadí elektrotechnik, vedoucí elektrotechnik a revizní technik.

Byť nařízení vlády v mnohém původní paragrafy kopíruje, došlo k aktualizování a doplnění problematiky stupňů odborné způsobilosti, jakož i k novému číselnému označení paragrafů a změně pojmů. 

Pracovníci pro samostatné projektování a pracovníci pro řízení projektování nejsou v nařízení vlády výslovně uvedeni, ale dle § 7, odst. 1 mohou vedoucí elektrotechnici projektovat vyhrazená elektrická zařízení, která nejsou předmětem autorizace dle jiného právního předpisu (zákon č. 360/1992 Sb., o výkonu povolání autorizovaných architektů a o výkonu povolání autorizovaných inženýrů a techniků činných ve výstavbě, ve znění pozdějších předpisů).

Změny dle nařízení vlády 194/2022 Sb.

Princip odborné způsobilosti v elektrotechnice zůstal s 1. červencem 2022 nezměněn. Stále jde o zajištění objektivního a nezávislého ověření, zda je elektrotechnik schopen provádět odbornou činnost na elektrických zařízení, aby se nikomu nic nestalo a elektrická zařízení zůstala bezpečná. Velmi zjednodušeně řečeno. 

Mění se však administrativní část spojená se získáváním a obnovováním odborné způsobilosti, kdy je kladen větší důraz na odbornost zkušební komise. 

Jediný stupeň, který podléhá zkoušce před TIČR je revizní technik. Tak tomu bylo i dosud. Všechny ostatní stupně budou moci zaměstnavatelé nebo podnikatelé zajistit buďto prostřednictvím své komise nebo externí komise.

Pro stupeň elektrotechnik a vedoucí elektrotechnik, bude platit, že v tříčlenné komisi musí být předsedou revizní technik.

Další změnou je, že jsou do systému vpuštěny i profesní kvalifikace. Osoby, které uspěly v teoretické a praktické části profesní zkoušky (bez ohledu na to, kde znalosti a zkušenosti nabraly) budou moci konat v rozsahu konkrétní profesní kvalifikace. 

Doposud jsme byli zvyklí, že na odbornou způsobilost v elektrotechnice se vydávají osvědčení podle vyhlášky 50. Po novu osvědčení vydává pouze Technická inspekce České republiky na ty zkoušky, které ona provádí. V elektrotechnice výhradně pro revizní techniky. Dokument který bude vydáván podle nařízení vlády se jmenuje „Doklad o odborné způsobilosti v elektrotechnice„.

Související nařízení

Abychom dostáli svému závazku z úvodu, nesmíme opomenout zmínit další prováděcí předpisy, které ruku v ruce se zákonem 250/2021 Sb. nabyly 1. 7. 2022 účinnosti:

Nařízení vlády 191/2022 Sb. o vyhrazených technických plynových zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 21/1979 Sb., kterou se určují vyhrazená plynová zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nařízení vlády 192/2022 Sb. o vyhrazených technických tlakových zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 18/1979 Sb., kterou se určují vyhrazená tlaková zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nařízení vlády 193/2022 Sb. o vyhrazených technických zdvihacích zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 19/1979 Sb., kterou se určují vyhrazená zdvihací zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Informace jsou synonymem dnešní doby!

Dnes již snad neexistuje organizace, která by se nemusela zabývat jejich efektivním a bezpečným zpracováním v celém životním cyklu. Od pořízení až po výmaz a skartaci. Možná řešení jsou rozmanitá (tomu pak odpovídají i výsledky).

Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?

Pak by vás mělo zajímat, že v únoru 2022 byl po devíti letech aktualizován standard ISO/IEC 27002. Aktualizace přináší řadu změn. Zavádí kategorie, atributy a nová opatření umožňující reagovat na aktuální úskalí bezpečnosti informací.

Principem ISMS je ochrana identifikovaných informačních aktiv. Celý systém je navržen tak, aby zajistil (na základě analýzy rizik) adekvátní opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.

Nová verze normy 27002

První změny si všimneme již v úvodu, neboť je upraven samotný název normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).

Autoři vypustili označení „Soubor postupů“/“Code of practise“, což lépe odráží účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.

ISO/IEC 27002:2022 je výrazně delší než předchozí verze ISO/IEC 27002:2013. Výraznou změnou je přeskupení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.

Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově tedy máme 93 opatření místo původních 114. Mezi zcela nová opatření patří:  

• Správa hrozeb (shromažďování a analýza)
• Bezpečnost informací v rámci využívání cloudových služeb
• Připravenost ICT pro kontinuitu provozu
• Monitorovací aktivity
• Správa konfigurace
• Mazání informací
• Maskování dat
• Prevence úniku dat
• Filtrování webu
• Bezpečné kódování

Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

• Druh opatření – preventivní, detektivní, nápravné
• Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
• Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
• Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
• Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost

Organizace si může zvolit i další atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).

Stejně tak je možno doplnit i další opatření specifická pro danou organizaci nebo lze využít opatření pro řízení identifikovatelných rizik, jež jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:

• cloudové služby ISO/IEC 27017
• ochranu soukromí ISO/IEC 27701
• energetický průmysl ISO/IEC 27019
• telekomunikační organizace ISO/IEC 27011
• zdravotnické organizace ISO 27799

Další vyčnívající změnou je rozdělení aktiv na primární a podpůrná. Primárními aktivy se míní podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.

Následovat bude aktualizace normy ISO/IEC 27001

Pravděpodobně se ještě letos dočkáme také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu. 

Očekává se, že tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na organizace, ale i specialisty z těchto oblastí. 

Chcete-li držet krok s novými verzemi, bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Volby a následné „podzimní období temna“ hodily vidle do schvalovacího procesu návrhu zákona o ochraně oznamovatelů transponujícího směrnici Evropské unie č. 2019/1937 o ochraně osob do vnitrostátního práva. Cílem je ochránit lidi, kteří v práci zaznamenají nějaké protiprávní jednání a oznámí ho. 

Protože s novou vládou na projednávání návrhu zákona dosud nedošlo, musíme se zmíněnou směrnicí řídit napřímo, a to s účinností již od 17. prosince 2021!

Metodika k přímé aplikovatelnosti směrnice o ochraně osob, kterou vydalo Ministerstvo spravedlnosti, přehledně vysvětluje, na koho směrnice dopadá a jaké povinnosti nám z ní plynou.

Už pár týdnů by tak veřejnoprávní subjekty (státní orgány, obce nad 10 tisíc obyvatel a další veřejné instituce) měly mít přijaty procesy a pravidla pro vnitřní oznamovací systém. Jakmile nabyde účinnosti zákon o ochraně oznamovatelů, padne tato povinnost také na soukromý sektor.

Směrnice počítá s implementací příslušných předpisů týkajících se právních subjektů v soukromém sektoru od 50 zaměstnanců. Nicméně dle českého návrhu zákona lze očekávat, že se zmíněné povinnosti budou týkat všech zaměstnavatelů od 25 zaměstnanců. Více na našem blogu.

Vnitřní oznamovací systém je kanál pro přijímání oznámení o možném porušování práva v organizaci. Takové oznámení je potřeba nejen přijmout, pečlivě prošetřit, vše zdokumentovat, ale také evidovat kroky, které povedou k nápravě protiprávního stavu, přičemž musíme mít na zřeteli zabránění odvetným opatřením proti oznamovateli (ukončení pracovního poměru, snížení platu či mzdy, kázeňský trest, přeložení na jiné místo atd.). 

Systém musí být schopen především utajit totožnost oznamovatelů, například tak, jak to umí námi vytvořená aplikace OhlasTo. 

Vyvinuli jsme online oznamovací kanál OhlasTo, který slouží pro sběr oznámení a je navázán na aplikaci pro evidenci a řízení podaných oznámení – vnitřní oznamovací systém. Nástroj OhlasTo splňuje všechna kritéria Evropské unie, je jednoduchý, dostupný, uživatelsky přívětivý a  zajišťuje anonymitu oznamovatelů. OhlasTo běží na platformě IS QML. Můžete si to vyzkoušet – oznamte nám třeba jak jste spokojeni s našimi službami.

Na webu www.ohlasto.online klikněte na tlačítko „Podat oznámení“ a do pole Příjemce oznámení zadejte Q-COM. Nebo použijte tlačítko níže.

Váš whistleblower samozřejmě nemusí používat web ohlasto.online. Na formulář se pohodlně dostane proklikem z vaší firemní webové prezentace nebo prostřednictvím QR kódu z vašich informačních materiálů.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.