NÚKIB varuje před čínskou elektronikou: co to znamená pro firmy?

Co se stalo

NÚKIB upozornil, že riziko představují technologie a služby, které:

1. odesílají systémová nebo uživatelská data do Čínské lidové republiky (včetně Hongkongu a Macaa), nebo

2. jsou vzdáleně spravované z území ČLR.

Dotknout se to může celé škály zařízení – od IP kamer a IoT prvků přes FVE střídače, koncová zařízení, připojená vozidla a cloudové služby až po AI/LLM platformy.

Koho se to týká

• Povinné subjekty dle ZKB (zákon o kybernetické bezpečnosti) musí varování promítnout do analýzy rizik a přijmout přiměřená opatření.
• Ostatní organizace nejsou varováním právně vázány, ale doporučuje se minimálně zmapovat datové toky, upravit způsob vzdálené správy a provést základní technicko-organizační opatření.

Proč je to problém

• Právní prostředí v ČLR umožňuje státním orgánům široký přístup k datům a vynucování spolupráce firem.
• Dlouhodobě dokumentované aktivity aktérů napojených na ČLR vůči evropským cílům (špionáž, krádeže dat).
• Rostoucí závislost na zařízeních a službách, které mohou mít management či datové toky mimo EU.

Jakou elektroniku se to týká (příklady)

Varování míří na způsob nakládání s daty a správu, nikoli na „nálepku původu“. Níže uvedené kategorie a značky (původem z ČLR) jsou orientační – rizikovost vždy závisí na konfiguraci, datových tocích a správě.

• Kamerové systémy a přístupové prvky
  IP kamery, NVR, videovrátníky, interkomy.
  Příklady značek: Hikvision, Dahua, Uniview, Ezviz, Imou.
• Síťová infrastruktura a brány
  Routery, switche, CPE, 4G/5G gatewaye.
  Příklady značek: Huawei, TP-Link, Tenda, Ruijie, H3C.
• IoT / OT a „chytré“ technologie
  Průmyslové gatewaye, PLC/HMI, smartmetry, senzory, robotika.
  Příklady platforem a značek: Tuya, Aqara, (některé) Shelly*, Hikrobot.
  Pozn.: u Shelly záleží na konkrétním modelu a výrobní linii.
• Energetika a FVE
  Střídače, bateriová úložiště, wallboxy, řídicí jednotky.
  Příklady značek: Huawei (FusionSolar), Sungrow, Growatt, GoodWe.
• Koncová zařízení a wearables
  Telefony, tablety, hodinky, notebooky.
  Příklady značek: Huawei, Xiaomi, Oppo, OnePlus, Realme, Lenovo, Honor.
• Drony a kamerová technika
  Příklady značek: DJI, Autel.
• Cloudové/AI služby a ekosystémy
  Úložiště, PaaS/SaaS, AI/LLM s datovým zázemím nebo správou v ČLR.
  Příklady poskytovatelů: Alibaba Cloud, Baidu, Tencent Cloud.
• Automotive / připojená vozidla
  Telemetrie, OTA aktualizace, mobilní aplikace, infotainment.
  Příklady značek: BYD, NIO, SAIC (MG), Geely.

Platí to pro firmy i jednotlivce?

Firmy (včetně veřejné správy)

• Subjekty v režimu ZKB: promítnout do řízení rizik (inventura aktiv/datových toků, opatření, smluvní úpravy).
• Ostatní firmy: minimálně zmapovat datové toky, omezit vzdálené přístupy z ČLR, segmentovat sítě, upravit SLA (lokalita dat, logování, notifikace incidentů).

Jednotlivci / domácnosti

• preferovat lokální režim a EU servery,
• měnit výchozí hesla, zapnout 2FA, pravidelně aktualizovat firmware,
• oddělit IoT do samostatné Wi-Fi/VLAN,
• omezit oprávnění aplikací (poloha, mikrofon, kontakty) na nezbytné minimum,
• zvážit, kam data skutečně odcházejí (cloudové účty, mobilní aplikace).

Co dělat hned (praktický checklist pro firmy)

1. Inventura aktiv a datových toků – identifikujte zařízení/služby s datovým tokem do ČLR nebo se správou z ČLR.
2. Riziková analýza – vyhodnoťte dopad a pravděpodobnost; zvažte i právní rizika (GDPR, smlouvy).
3. Segmentace a síťové politiky – omezení egressu do rizikových destinací, geofencing, jump-hosty, VPN s MFA.
4. Změna modelu správy – pokud je vzdálená správa nutná, převeďte ji na EU-based partnera; používejte just-in-time přístupy a audit.
5. Smlouvy a SLA – definujte lokalitu dat, zákaz přenosu do ČLR bez souhlasu, logování a notifikační povinnost.
6. Plán náhrady – priorizujte náhradu vysoce rizikových prvků (kamerové systémy, brány, cloudové služby).
7. Monitoring a detekce – SIEM/EDR pravidla na anomální odchozí provoz, kontrola firmware, reputace domén/IP.
8. Procurement policy – přednákupní due-diligence (SBOM, bezpečnostní dokumentace, testy integrace).
9. Školení a provozní disciplína – hesla, MFA, patch-management, řízení oprávnění, řízené vzdálené přístupy.
10. Komunikační plán – připravené sdělení pro vedení, zákazníky a případně regulátory.

Veřejné zakázky a compliance

Metodické materiály NÚKIB popisují, jak varování zapracovat do zadávacích řízení (požadavky na lokalitu dat, správu, bezpečnostní kritéria) a že postup není diskriminační, pokud vychází z analýzy rizik a je přiměřený. Doporučit lze i přechodné období a hodnoticí kritéria zohledňující bezpečnostní parametry (logování, audit, transparentnost správy).

Kontext: předchozí upozornění

Už v roce 2018 NÚKIB varoval před použitím některých technologií (Huawei/ZTE) v kritických systémech. Aktuální varování je širší – zaměřuje se na datové toky a vzdálenou správu z území ČLR napříč mnoha kategoriemi zařízení a služeb.

Shrnutí

Nejde o „stopku pro čínské výrobce“, ale o povinnost řídit konkrétní riziko: vědět, kam vaše data tečou a kdo a odkud vaše technologie spravuje. Kdo včas provede inventuru, upraví správu a smlouvy, nasadí segmentaci a monitoring, sníží bezpečnostní i právní riziko a vyhne se nákladným zásahům v budoucnu.

Zdroje

• NÚKIB – Aktualita k varování (předávání dat a vzdálená správa z ČLR): https://nukib.gov.cz/cs/infoservis/aktuality/2294-nukib-vydal-varovani-pred-hrozbou-spocivajici-v-predavani-dat-a-ve-vykonu-vzdalene-spravy-z-cinske-lidove-republiky/
• NÚKIB – Varování (úplné znění, PDF): https://nukib.gov.cz/download/uredni_deska/2025-09-03_Varovani_predavani-dat-podepsano.pdf
• NÚKIB – Metodický materiál k Varování (PDF): https://nukib.gov.cz/download/uredni_deska/2025-09-03_metodicky-material-k-varovani-ze-dne-3-9-2025_v1.0.pdf