Hlavní kybernetické incidenty a trendy v Evropě 2025
Ransomware a útoky na velké firmy: Rok 2025 v Evropě pokračoval v trendu rozsáhlých ransomware útoků na významné podniky. V Británii zasáhl v srpnu masivní útok automobilku Jaguar Land Rover (JLR) – firma musela preventivně odstavit výrobu téměř na šest týdnů, což způsobilo výpadek produkce ve všech jejích závodech (včetně továrny v Nitře na Slovensku). Ekonomické dopady byly bezprecedentní: odhaduje se, že incident stál britskou ekonomiku až 1,9 miliardy liber (53 miliard Kč) a ovlivnil více než 5 000 organizací napojených na JLR. Samotná automobilka hlásila přímé náklady téměř 200 milionů liber na obnovu systémů a najmutí expertů; hackerský útok ji tak ve třetím čtvrtletí uvrhl do ztráty a vymazal zisky předchozích období. Pro britskou ekonomiku šlo patrně o nejvážnější kybernetický incident v historii – vláda uvedla, že útok na JLR srazil růst HDP ve 3. čtvrtletí 2025 o 0,3 %.
Krátce před tím, na jaře 2025, čelila útoku také britská maloobchodní ikona Marks & Spencer (M&S). Dubnový bezpečnostní průnik ochromil její online prodejní systémy téměř na dva měsíce, což firmu stálo okolo 300 milionů liber (8,4 miliardy Kč) na ušlých tržbách. Útok na M&S byl součástí koordinované kampaně proti více britským retailerům – ve stejné době byly napadeny i řetězec Co-op a luxusní obchodní dům Harrods. Britské úřady později v souvislosti s těmito útoky zatkly čtyři mladé osoby, členy hackerské skupiny zvané Scattered Spider, která se specializuje na vysoce sofistikované sociální inženýrství. Tato skupina ve spojení s ransomware gangy dokázala proniknout i do velmi dobře zabezpečených organizací – v případě M&S se útočníci vydávali za pracovníky IT podpory a povedlo se jim získat přístup k interním systémům, což vedlo k nasazení ransomwaru (dle parlamentního slyšení šlo o variantu DragonForce). Kombinované škody způsobené útoky na M&S a Co-op byly vyčísleny až na 440 milionů liber. Britské Národní centrum kybernetické bezpečnosti (NCSC) konstatovalo, že počet závažných kybernetických incidentů v zemi meziročně stoupl o 50 % a že série útoků dočasně vyřadila z provozu řadu velkých britských značek, mimo jiné Marks & Spencer, Co-op i Jaguar Land Rover.
Útoky na nemocnice a zdravotnictví: Zdravotnický sektor zůstává v Evropě jedním z nejohroženějších cílů. Již v lednu 2025 představila Evropská komise Akční plán pro kybernetickou bezpečnost nemocnic, reagující na narůstající počet incidentů v evropském zdravotnictví. Během roku došlo k několika vážným útokům na nemocnice – tyto incidenty často paralyzovaly péči a ohrozily pacienty. Například v Belgii zasáhl na přelomu 2025/2026 ransomware nemocnici AZ Monica v Antverpách, kde vedení muselo odstavit všechny servery a zrušit plánované operace, aby útok zastavilo. V důsledku toho muselo být sedm pacientů v kritickém stavu akutně převezeno do jiných zařízení a nemocnice dočasně pozastavila příjem akutních případů – sanitky byly odkláněny jinam. Podobně vážné následky měl útok i v další belgické nemocnici, která po kybernetickém incidentu musela omezit péči a dočasně odmítat sanitky s pacienty. Tyto případy navázaly na varovný trend z předchozích let – už dříve došlo v EU k incidentům, kdy ransomware ochromil nemocnici natolik, že došlo ke zpoždění život zachraňující péče. V roce 2025 proto evropské zdravotnictví kladlo ještě větší důraz na kybernetickou odolnost: nemocnice investují do záloh systémů a školení personálu, aby dokázaly fungovat i při výpadku IT, a probíhá také systematické testování zabezpečení zdravotnických přístrojů a sítí.
Incidenty u cloudových a dodavatelských služeb: Rok 2025 také ukázal zranitelnost sdílených cloudových služeb a softwaru poskytovaného třetími stranami. Řada evropských firem doplatila na útoky, které mířily na jejich dodavatele nebo partnerské platformy. Výmluvným příkladem byla zářijová nehoda v letecké dopravě: kyberútok zacílil na cloudový systém vMUSE od společnosti Collins Aerospace, používaný pro odbavení cestujících na letištích. Následkem toho vypadly automatizované odbavovací systémy na několika velkých evropských letištích (mj. v Bruselu, Londýně-Heathrow a Berlíně), což vedlo k návratu manuálního odbavení, rušení desítek letů a hodinovým zpožděním. Šlo o ransomware útok na kritickou infrastrukturu v letectví, který odhalil zranitelnost jednotného digitálního zázemí – narušení jednoho klíčového dodavatele služby dokázalo ochromit více letišť naráz. Regulátoři potvrdili, že šlo o ransomware, a incident byl vyšetřován jako útok na kritickou informační infrastrukturu v rámci EU.
I v dalších odvětvích byly zaznamenány řetězové útoky přes dodavatele. Například výrobce nákladních vozů Volvo oznámil, že únik citlivých osobních dat tisíců zaměstnanců zapříčinilo napadení externího dodavatele HR softwaru (švédské firmy Miljödata) – útočníci pronikli do jejího cloudu a odsud získali data o zaměstnancích několika společností včetně Volva. V září se také provalilo, že hackeři získali citlivé údaje o klientech luxusních módních značek Gucci a Balenciaga ze systémů jejich mateřské firmy Kering pomocí ransomware útoku kombinovaného s krádeží dat. Všechny tyto incidenty zdůraznily potřebu lepšího řízení dodavatelských rizik a zabezpečení SaaS aplikací. Firmy v Evropě si stále více uvědomují, že odpovědnost za kybernetickou bezpečnost dodavatelského řetězce nelze ponechat jen na dodavatelích – vyžaduje to důsledné audity, smluvní závazky a plány pro případ výpadku. Tento tlak se promítá i do legislativy a norem (např. nové směrnice EU nyní explicitně požadují, aby organizace hodnotily a řídily rizika u svých poskytovatelů ICT služeb – viz níže NIS2).
Nové regulace: ZoKB, NIS 2, DORA a Cyber Resilience Act
V roce 2025 vstoupily v platnost zásadní kyberbezpečnostní regulace, které mají posílit odolnost evropských institucí i firem vůči podobným hrozbám. V Česku i napříč EU se výrazně zpřísnila legislativa:
- Nový český zákon o kybernetické bezpečnosti (ZoKB): Dne 1. listopadu 2025 nabyl účinnosti zcela nový zákon č. 264/2025 Sb. o kybernetické bezpečnosti, jenž nahrazuje dosavadní právní úpravu z roku 2014. Podle ředitele NÚKIB Lukáše Kintra jde po více než deseti letech o zásadní modernizaci systému zajišťování kybernetické bezpečnosti, reagující na dramatický vývoj hrozeb. Zákon transponuje evropskou směrnici NIS2 (viz dále) a významně rozšiřuje okruh regulovaných subjektů. Nově dopadne na 6 000 až 10 000 organizací napříč ekonomicky a společensky důležitými odvětvími. Vedle tradičních sektorů (energetika, doprava, telekomunikace, finance) se povinnosti nově vztahují také např. na odvětví potravinářství, vodárenství, odpadového hospodářství a na veřejnou správu včetně větších obcí. Cílem je, aby tyto důležité subjekty zavedly alespoň základní bezpečnostní opatření, prováděly hlášení incidentů a měly plány pro reakci na kybernetické útoky. Nový zákon rovněž posiluje bezpečnost dodavatelských řetězců státu – zavádí mechanismus pro prověřování a vylučování technologií, které mohou představovat riziko pro národní bezpečnost. V praxi tak může vláda zakázat ve strategické infrastruktuře použít zařízení či software od výrobců, u nichž existuje podezření z napojení na cizí mocnosti či z vážných zranitelností. Česká republika si v ZoKB oproti minimálnímu rámci NIS2 stanovila i vlastní přísnější požadavky, což podle expertů sice zvýší celkovou bezpečnost, ale zároveň přinese více administrativy a nákladů pro firmy. NÚKIB však deklaruje, že bude nově regulovaným subjektům poskytovat metodickou podporu a partnerství při zavádění požadavků.
- Směrnice NIS 2 (Network and Information Security 2): V celounijním měřítku je NIS2 nejvýznamnější změnou kybernetických pravidel. Tato směrnice byla přijata koncem roku 2022 a členské státy ji v roce 2024 implementovaly do svých zákonů (právě český ZoKB je příkladem). NIS2 výrazně rozšiřuje počet odvětví a firem, které musí dodržovat bezpečnostní standardy, oproti původní směrnici NIS z roku 2016. Stanovuje závazné řízení rizik (každá organizace musí přijmout opatření v oblastech jako je řízení přístupu, šifrování, zálohování, detekce hrozeb apod.) a hlavně zavádí přísné hlášení incidentů: do 24 hodin od zjištění útoku musí organizace odeslat prvotní varování úřadům a do 72 hodin podrobnější zprávu. Poprvé také nese odpovědnost vrcholové vedení – NIS2 umožňuje postihnout management firmy, pokud hrubě zanedbá kybernetickou bezpečnost. Vedoucí pracovníci mohou být za vážné porušení dokonce dočasně diskvalifikováni z řídících funkcí. Směrnice rovněž harmonizuje sankce: u zásadních subjektů (např. energetika, zdravotnictví, doprava) musí národní úřady mít možnost udělit pokutu až 10 milionů € nebo 2 % z celosvětového obratu firmy (podle toho, co je vyšší). U důležitých subjektů (např. potravinářství, výroba, digitální služby) je strop pokuty 7 milionů € nebo 1,4 % obratu. To představuje dramatické zvýšení oproti minulosti a mělo by to zajistit, že kybernetická rizika budou brána na nejvyšších místech vážně. NIS2 také klade důraz na bezpečnost dodavatelů – organizace musejí posuzovat kybernetická rizika svých poskytovatelů služeb a mohou být nuceny přijmout opatření, pokud dodavatel představuje slabý článek. Celkově NIS2 posouvá laťku bezpečnosti výše v celé EU a sjednocuje přístup: už nejde jen o kritickou infrastrukturu, ale o široké spektrum “essential and important entities“, které dohromady tvoří nervový systém evropské ekonomiky.
- Nařízení DORA (Digital Operational Resilience Act): Od 17. ledna 2025 platí v celé EU také nový předpis pro finanční sektor – nařízení DORA. Jakožto nařízení EU je přímo účinné a jeho cílem je zajistit, aby banky, pojišťovny, investiční společnosti a další finanční instituce (celkem 20 různých typů subjektů) měly dostatečnou digitální odolnost vůči kybernetickým hrozbám. DORA zavádí jednotná pravidla pro řízení ICT rizik ve finančnictví: finanční firmy musí mít pevný rámec pro správu kybernetické bezpečnosti, povinně hlásit závažné ICT incidenty do 72 hodin příslušnému dohledu a pravidelně provádět testy odolnosti svých systémů. Velký důraz klade DORA na testování – významné instituce budou muset periodicky podstoupit pokročilé testy (tzv. Threat-Led Penetration Testing), simulující reálné útoky na jejich infrastrukturu. Další novinkou je dohled nad dodavateli ICT služeb: pokud banka či pojišťovna využívá kritického dodavatele (typicky velký cloudový provozovatel, IT outsourcing atd.), mohou být tito dodavatelé označeni za „kritické ICT poskytovatele“ a spadat přímo pod dohled evropských orgánů. DORA tím reaguje na fakt, že finanční sektor je stále více závislý na technologiích a externích IT firmách – výpadek nebo napadení takového poskytovatele by mohlo ochromit klíčové finanční služby. Harmonizací pravidel DORA zvyšuje odolnost celého finančního systému EU proti systémovým digitálním rizikům.
- Akt o kybernetické odolnosti (Cyber Resilience Act, CRA): Koncem roku 2024 byl na úrovni EU schválen také průlomový Akt o kybernetické odolnosti, který se zaměřuje na bezpečnost samotných digitálních produktů a zařízení. CRA vstoupil v platnost 10. prosince 2024 a začne se postupně uplatňovat – hlavní povinnosti pro výrobce hardwaru a softwaru nabývají účinnosti do 36 měsíců, tedy do roku 2027. Tento předpis stanoví, že výrobky s digitálními prvky (od IoT zařízení a hraček až po software jako antiviry či operační systémy) musejí splňovat základní kyberbezpečnostní požadavky, aby mohly být prodávány na jednotném trhu. Výrobci budou muset prokazovat shodu (obdobně jako se dnes prokazuje např. bezpečnost elektrospotřebičů) – zavádí se povinné CE označení pro kyberbezpečnost. Důležité je, že povinnosti CRA nekončí prodejem: výrobci musí zajišťovat aktualizace a podporu po celou dobu životního cyklu produktu a reagovat na nově objevené zranitelnosti. Pokud firma zjistí vážnou zranitelnost nebo dojde k závažnému incidentu, musí to do 24 hodin nahlásit evropským orgánům. Nedodržení může vést k citelným pokutám – až 15 milionů € nebo 2,5 % celosvětového obratu firmy (podle toho, co je vyšší). Akt o kybernetické odolnosti tak má zvýšit laťku zabezpečení pro celý digitální ekosystém v EU a přenést odpovědnost na výrobce technologií: už nebude možné uvádět na trh nezabezpečené “chytré” produkty bez hrozby právních následků. Pro evropské uživatele by to mělo znamenat méně zařízení s jednoduchými bezpečnostními chybami či výchozími hesly a obecně vyšší “cyber hygiene” na úrovni spotřebních produktů.