První máj 2026. Zatímco většina republiky řešila grilovačky a líbačky pod rozkvetlými stromy, řídicí orgán IROP otevřel pokladničku s 1 798 341 944 korunami určenými na kybernetickou bezpečnost. Půl roku na žádost, pět krajů, 50% spolufinancování. A jeden důležitý detail, který ve většině článků chybí: musíte být registrovaným poskytovatelem regulované služby, jinak je to celé jen čtení pro zábavu.
Pojďme si projít, kdo z toho doopravdy něco vyždímá, za co se ty peníze dají utratit, a hlavně – co s tím má společného nový zákon o kybernetické bezpečnosti č. 264/2025 Sb., který už od listopadu 2025 vládne domácímu kyberprostoru.
Co se to vlastně otevřelo
120. výzva IROP – Kybernetická bezpečnost II. je oficiální název. SC 1.1, přechodové regiony, kód 06_26_120 – pokud vás tyhle zkratky baví. Pro všechny ostatní stačí tahle čtyři čísla:
- 1,798 mld. Kč alokace z Evropského fondu pro regionální rozvoj
- 50 % je maximální podpora EU – druhou polovinu zaplatíte sami
- 1 mil. Kč je minimální velikost projektu
- 40 mil. Kč je strop pro největší projekty (kritická infrastruktura)
Výzva je průběžná, takže nejde o závody na minutu. Žádosti přijímá portál ISKP21+ od 30. dubna 2026, 14:00 hodin, a uzávěrka je 17. prosince 2026, 14:00. Realizaci pak musíte dotáhnout do 30. září 2029.
A teď k tomu nepříjemnému omezení.
Geografická realita: pět krajů, ostatní mají smůlu
Tahle výzva je vyhlášená pro tzv. přechodové regiony – což jsou kraje, které z pohledu evropské metodiky nejsou ani „rozvinuté", ani „méně rozvinuté". V překladu: jejich HDP na hlavu se pohybuje v určitém pásmu kolem unijního průměru. Dotčené jsou:
- Středočeský kraj
- Jihočeský kraj
- Plzeňský kraj
- Kraj Vysočina
- Jihomoravský kraj
Pokud sedíte v Praze, na Ostravsku, v Liberci nebo v Hradci, tahle výzva pro vás otevřená není. Existují podobné dotační tituly pro „rozvinutější" i „méně rozvinuté" regiony, ale tohle je úplně jiná hra s jinými parametry. Pro Prahu zvlášť je situace tradičně nejtvrdší – evropské peníze sem skoro netečou.
Drobná výjimka: Pokud žadatelem je Krajské ředitelství policie Středočeského kraje, samotný Středočeský kraj nebo organizace, kterou Středočeský kraj zřizuje či zakládá, přípustné místo realizace zahrnuje i hl. m. Prahu. To je logické – řada středočeských institucí má sídlo v Praze. Pro pražské městské části, samostatné pražské nemocnice nebo Magistrát hl. m. Prahy to ovšem není.
Kdo skutečně může žádat (a kdo si maluje vzdušné zámky)
Čtu webové stránky různých dotačních poradců a všude se říká „obce, kraje, nemocnice". Pravda je o dost přísnější. Rozdělme si žadatele podle režimu, který jim přiřadil zákon o kybernetické bezpečnosti:
A) Režim vyšších povinností:
- krajská ředitelství Policie ČR
- hasičské záchranné sbory krajů (případně MV-GŘ HZS jako řídící subjekt)
- konkrétně vyjmenované fakultní nemocnice: Brno, Plzeň, u sv. Anny v Brně
- Centrum kardiovaskulární a transplantační chirurgie Brno
- Masarykův onkologický ústav
- kraje samotné
- akciovky a s.r.o. ve 100% vlastnictví kraje nebo ORP
- příspěvkové organizace zřízené kraji nebo ORP
B) Režim nižších povinností:
- pouze obce s rozšířenou působností (ORP)
Pokud jste obec II. stupně, malá vesnice nebo nemocnice, která není na seznamu, máte smůlu. A teď ten nejdůležitější filtr, který zatím v žádném komentáři pod článkem o této výzvě nikdo neřeší: každý žadatel musí být registrovaným poskytovatelem regulované služby podle zákona 264/2025 Sb.
Zákon stanoví obecnou lhůtu 60 dnů od splnění podmínek pro registraci. Pro většinu typických adresátů této výzvy (ORP, kraje, vyjmenované fakultní nemocnice, HZS, krajská ředitelství Policie) lhůta vyšla na 31. prosince 2025 – tedy 60 dnů od účinnosti zákona 1. 11. 2025. Subjekty, které byly regulovány už podle předchozího zákona č. 181/2014, mají specifický přechodný režim podle § 71. Pokud jste lhůtu nestihli a nespadáte pod přechodný režim, žádost se vám automaticky odpíská.
Na co se ty peníze dají utratit
Tady se to dělí podle režimu, do kterého spadáte. Vyšší povinnosti mají širší paletu:
- bezpečnost komunikačních sítí (firewally, segmentace, VPN)
- správa a ověřování identit (IDM, MFA, single sign-on)
- řízení přístupových práv a oprávnění (PAM)
- detekce kybernetických bezpečnostních událostí (EDR, NDR)
- zaznamenávání událostí (logování, SIEM)
- vyhodnocování událostí (SOC, SOAR)
- aplikační bezpečnost (WAF, kód-revize)
- kryptografické algoritmy (šifrování, PKI)
- zajišťování dostupnosti regulované služby (zálohování, vysoká dostupnost)
Nižší povinnosti mají užší výběr, ale podstata je stejná – řízení kontinuity činností, řízení přístupu, detekce a logování incidentů, řešení incidentů, sítě, aplikace, kryptografie.
A teď to, na co se ty peníze utratit nedají, protože se tady dost často naráží:
- fyzická bezpečnost – zámky, mříže, kamery v serverovně, biometrický přístup k racku
- průmyslové, řídicí systémy a OT – pokud máte výrobní linku nebo SCADA systém v energetice, tahle výzva to neřeší
To první mě překvapilo, protože zákon o kybernetické bezpečnosti samozřejmě fyzickou bezpečnost vyžaduje. Akorát IROP říká: zaplaťte si ji ze svého rozpočtu, my financujeme to digitální. Logiku to má – fyzické zabezpečení je obecná stavební investice.
Kolik konkrétně dostanete
Maximum se odvíjí od toho, do jaké kategorie spadáte:
Ale pozor – tohle jsou celkové způsobilé výdaje. EU vám zaplatí 50 %. Druhých 50 % musíte mít z vlastních zdrojů. Pokud žádáte o projekt za 20 milionů, musíte mít v rozpočtu připraveno 10 milionů vlastních. To je u středně velké ORP nebo příspěvkové organizace docela váha, kterou je dobré řešit dopředu se zřizovatelem.
Praktický plán na příštích osm týdnů
Termín 17. prosince 2026 zní vzdáleně, ale není. Tady je nejjednodušší odhad, jak by měla vypadat příprava, pokud chcete žádost podat ještě před prázdninami:
Týden 1–2: Ověření způsobilosti
Zkontrolujte registraci v portálu NÚKIB a její režim. Bez registrace je další postup zbytečný. Současně zjistěte u zřizovatele, jestli máte schválené spolufinancování nebo aspoň verbální podporu pro získání dalších peněz.
Týden 3–4: Gap analýza
Tohle je klíčový krok, který stejně musíte udělat kvůli zákonu 264/2025. Projdete bezpečnostní opatření z vyhlášky 409/2025 Sb. (vyšší povinnosti) nebo 410/2025 Sb. (nižší povinnosti), označíte si, co máte zavedené a co ne. Z toho vám vypadne seznam opatření, která potřebujete pořídit – a právě ta jdou do projektu.
Týden 5–6: Návrh projektu
Vyberete konkrétní technická opatření. Nejvyšší šance na schválení mají projekty, které řeší mezeru, kterou si firma sama identifikovala v gap analýze. Pamatujte, že do způsobilých výdajů patří i implementace a počáteční konfigurace, takže nejde jen o nákup licencí.
Týden 7–8: Veřejná zakázka a žádost
Pokud projekt přesahuje stanovené limity, čeká vás veřejná zakázka. Tu je dobré rozjet co nejdříve, protože dotace pokrývá uzavřené smlouvy, ne hotové investice. Žádost se podává elektronicky přes ISKP21+.
Kde do toho zapadá Kraita Cyber One
Buďme upřímní: žádost o IROP dotaci za vás Kraita nepodá – to je práce dotačního poradce. A samotná technická řešení jako EDR, SIEM nebo IDM se kupují u dodavatelů, kteří se na to specializují.
Kde Kraita Cyber One uleví, je o jedno patro níž – v tom dokumentačním a procesním základu, na který všechno ostatní navazuje. Konkrétně:
- Gap analýza: kompletní set kontrolních otázek pokrývajících opatření z vyhlášek 409/2025 a 410/2025, AI vám pomůže vyplnit, kde stojíte teď a kde vznikají mezery
- Mapa technických aktiv: vstup, který stejně potřebujete pro projekt
- Bezpečnostní dokumentace: politika, plán zvládání rizik, plán kontinuity – povinné výstupy, které IROP audity kontrolují
- Hlášení incidentů: napojení na portál NÚKIB a evidence, která vám později ušetří týdny při kontrole
Bez téhle vrstvy se technické nástroje koupit dají, ale pak na ně nikdo nedohlédne a auditor nenajde papírovou stopu. Což je při kontrole ze strany NÚKIB nebo poskytovatele dotace problém.
Závěrem: nepropásněte to, ale nepanikařte
Pokud spadáte mezi oprávněné žadatele a sídlíte v jednom z pěti krajů, tahle výzva je pravděpodobně nejlevnější způsob, jak povinnosti ze zákona 264/2025 splnit. Padesátiprocentní spolufinancování od EU se v jiných oblastech kybernetické bezpečnosti nevidí.
Klíčová úskalí:
- Zapomněli jste na registraci – nedá se to napravit zpětně
- Nemáte hotovou gap analýzu – bez ní nevíte, co kupovat
- Nemáte schválené spolufinancování – v půlce procesu zjistíte, že vám chybí 10 milionů
- Plánujete fyzickou bezpečnost nebo OT – nezpůsobilé, do projektu nepatří
A nakonec dobrá zpráva: pokud něco z výše uvedeného nemáte, máte ještě sedm měsíců, abyste to vyřešili. Začněte gap analýzou – stejně ji potřebujete.
Chcete probrat, jak na gap analýzu konkrétně u vás? Domluvte si nezávaznou konzultaci s naším týmem – ukážeme, jak Kraita Cyber One zvládne dokumentační část za zlomek času, který by vám zabralo dělat to ručně. Vyzkoušet demo | Nezávazná konzultace