V neděli 15. března 2026 se spustil proces šifrování. Přesně o půlnoci. Tiše, bez upozornění, v serverovně jednoho z jihomoravských městských úřadů. Nikdo o tom nevěděl, všichni ještě prožili úplně normální víkend.
Jenže v pondělí ráno přišli zaměstnanci Městského úřadu Židlochovice do práce a nestačili se divit. Nefungovaly e-maily, nefungovaly telefony, nefungovalo prakticky nic. Na dveřích se objevilo oznámení: Úřad je kvůli kybernetickému útoku uzavřen.
Zůstane zavřený celý týden.
Co se přesně stalo?
Útočníci nasadili ransomware zvaný Deadlock – relativně nový vyděračský software, teprve asi půl roku starý. Deadlock funguje jednoduše: pronikne do systému, zašifruje data a zobrazí zprávu s požadavkem na výkupné. Výkupné v bitcoinech, samozřejmě – aby se útočníci nedali vystopovat.
V Židlochovicích to šlo ale jinak, než útočníci plánovali. Přestala fungovat jedna z aplikací pro občany – a IT pracovníci začali hned pátrat po příčině. Při té příležitosti zjistili, že na serverech běží aktivní proces šifrování. Podařilo se ho v určité fázi zastavit. Útok nedokončil svůj záměr.
Starosta Jan Vitula to popsal takto: „Uvnitř jsme našli zprávu ohledně výkupného, která by se nám po doběhnutí procesu zobrazila." Výše výkupného nebyla specifikována – útočníci zvolili taktiku „cena na dotaz". Právníci upozorňují, že z hlediska trestněprávní kvalifikace to není bezvýznamný detail.
Radnice platit odmítla. Případ předala policii a NÚKIB.
Proč se útok vůbec mohl stát?
Tohle je ta část, která by vás jako manažera nebo IT správce měla zajímat víc než samotný příběh o hackerech.
Mluvčí policie Bohumil Malášek při té příležitosti prozradil věc, která je docela otřesná: podobné instituce – tedy úřady, nemocnice, firmy veřejného sektoru – se stávají terčem kybernetického útoku zhruba jednou za měsíc. Jen týden před Židlochovicemi zažil identický scénář úřad v Jemnici na Třebíčsku.
A pokud si myslíte, že jste jako soukromá firma v bezpečí – mýlíte se. NÚKIB za rok 2025 evidoval desítky incidentů měsíčně – jen za červenec to bylo 23 kybernetických bezpečnostních incidentů a dalších 7 závažných událostí. Ve svých zprávách o stavu kybernetické bezpečnosti přitom NÚKIB opakovaně zdůrazňuje, že ransomware a DDoS patří z hlediska závažnosti dopadů k nejobávanějším typům hrozeb. Trend rok od roku roste.
Proč jsou tyto útoky tak časté? Útočníci jsou racionální aktéři. Útočí tam, kde je největší šance na úspěch a nejmenší riziko odhalení. A instituce (ať veřejné nebo soukromé), které nemají pravidelné zálohy, nemají plán reakce na incident a nemají základní monitoring, jsou pro ně snadná kořist.
Zálohy zachránily situaci. Ale zálohy samy o sobě nestačí
Židlochovice měly jedno klíčové aktivum: pravidelné zálohy dat. Díky nim se podařilo minimalizovat škody a postupně obnovit chod úřadu.
To je dobrá zpráva. Ale pozor – zálohy jsou nezbytná podmínka, nikoliv dostatečná. Obnova systémů z nuly trvá dny. V průběhu té doby:
- nefunguje elektronická komunikace (e-maily, telefony)
- jsou ochromené agendy registru vozidel, řidičů, cestovních dokladů
- data účetnictví, pokladny a stavebního úřadu jsou nedostupná
- desítky zaměstnanců nemohou pracovat
- úřad je fyzicky zavřený, občané se musí obrátit jinam nebo počkat
A to je případ, kdy se útok podařilo zastavit dřív, než doběhl. Kdyby doběhl? Pohled na historické případy je varovný: útok na nemocnici v Benešově v roce 2019 způsobil škody za 59 milionů korun za necelé tři týdny výpadku. Fakultní nemocnice Brno proinvestovala od útoku do obnovy a posílení zabezpečení přes 300 milionů korun – a systémy nejsou plně obnoveny ani dnes, šest let po incidentu.
Co říká zákon? (A co to znamená pro vaši firmu)
Tady přicházíme k tomu, proč tento příběh není jen zajímavá novinářská zpráva, ale věc, která se může týkat přímo vás.
Zákon o kybernetické bezpečnosti č. 264/2025 Sb. (česká implementace směrnice NIS2) vstoupil v účinnost a s ním prováděcí vyhlášky 408–412/2025. Tento zákon rozšiřuje okruh povinných subjektů na tisíce firem v ČR, kterých se dosud tyto regulece netýkaly.
Klíčové povinnosti, které zákon ukládá, jsou přesně to, co by v Židlochovicích problémům buď předešlo, nebo je výrazně zmírnilo:
1. Zálohovací politika Zákon vyžaduje zavedení adekvátních bezpečnostních opatření – zálohy dat jsou explicitně součástí minimálního standardu. Nestačí ale zálohy mít. Musíte je pravidelně testovat, aby fungovaly v okamžiku, kdy je skutečně potřebujete.
2. Plán reakce na incidenty Povinné subjekty musí mít zavedenou interní proceduru pro zvládání kybernetických incidentů (v zákoně označovanou jako řízení bezpečnostních incidentů). Bez ní tápete – a každá hodina tápání stojí peníze.
3. Hlášení incidentů NÚKIB Pokud se incident skutečně stane, máte povinnost prvotní hlášení odeslat NÚKIBu do 24 hodin od zjištění. Podrobnější zpráva pak do 72 hodin. Pokud incident může ovlivnit vaše zákazníky – musíte informovat i je, bez zbytečného odkladu.
4. Řízení rizik Zákon nezakazuje prohru. Zakazuje nepřipravenost. Organizace musí provádět analýzu rizik, implementovat opatření k jejich snížení a tyto kroky průběžně dokumentovat.
Sankce za neplnění? Až 10 milionů EUR nebo 2 % ročního obratu. Navíc: při závažném porušení může NÚKIB iniciovat dočasný zákaz výkonu funkce odpovědné osoby ve vedení firmy. To je věc, která manažery většinou dokáže pěkně znervóznit.
Co byste měli mít pod kontrolou – praktický checklist
Příběh Židlochovic je dobrá příležitost udělat si rychlý audit. Ne kvůli paragrafu, ale protože to říká zdravý rozum.
☑ Zálohy – máte je? Jak jsou staré? Kdy jste naposledy testovali obnovu?
☑ Monitoring – víte, co se děje ve vaší síti? Nebo byste útok narozdíl od Židlochovic odhalili pozdě nebo náhodou?
☑ Plán reakce – existuje? Vědí o něm relevantní lidé? Byl někdy procvičen?
☑ Kontakty – máte po ruce číslo na NÚKIB, forenzního specialistu, externího bezpečnostního konzultanta?
☑ Školení – vědí zaměstnanci, jak vypadá phishingový e-mail? Víte, jak nejčastěji ransomware do systémů proniká?
☑ Soulad s NIS2 – splňujete kritéria pro povinný subjekt? Provedli jste GAP analýzu?
Pokud na víc než tři otázky odpovídáte „nevím" nebo „asi jo" – je na čase to změnit. Nikoliv proto, že hrozí pokuta, ale protože případ Židlochovic dokazuje, že útok může přijít o víkendu, v noci, bez varování a ano, i na vás.
Závěrem: Co se v Židlochovicích povedlo
Abychom to neuzavřeli jen negativně – v celém příběhu je i věc, která se povedla dobře. IT pracovníci útok odhalili a podařilo se jim proces šifrování zastavit. Zálohy existovaly a obnova dat probíhá. Radnice správně nekomunikovala s útočníky a incident okamžitě nahlásila policii a NÚKIB.
To jsou věci, které mají v rukách i vaši lidé. Nejde o raketovou vědu. Jde o připravenost.
A právě s tou připraveností dokážeme pomoci.
Chcete vědět, jestli vaše firma splňuje požadavky nového zákona o kybernetické bezpečnosti?
Vyzkoušejte demo Kraita Cyber One – AI nástroj, který za pár minut provede GAP analýzu vašeho bezpečnostního stavu vůči zákonu 264/2025 Sb. a připraví konkrétní akční plán. Bez právního žargonu, bez strachu, bez překvapení.