Státní správa České republiky dosáhla vysoké úrovně implementace technologií IPv6 a DNSSEC, konstatuje nová zpráva o podpoře těchto protokolů vydaná ministerstvem průmyslu a obchodu. Rok 2026 ovšem nepřinesl významné zlepšení a u části úřadů přetrvávají nedostatky v dodržování stanovených povinností v kybernetické bezpečnosti.
Český stát se zavázal IPv6 a DNSSEC nasadit v roce 2024, kdy vláda podepsala dokument vyžadující k implementaci zmíněných standardů (takzvaný Restart zavádění technologie DNSSEC a protokolu IPv6). Proces souvisí i s přechodem na jednotnou doménu .gov.cz, kterou už používají hlavní orgány.
“Zavádění protokolu IPv6 a technologie DNSSEC ve státní správě České republiky v posledních letech zaznamenalo významný pokrok, což potvrzují pravidelné monitorovací testy. Klíčovým impulsem pro další rozvoj je společná deklarace uzavřená mezi Ministerstvem průmyslu a obchodu, Českým telekomunikačním úřadem, sdružením CZ.NIC, sdružením NIX.CZ, Digitální informační agenturou, Ministerstvem vnitra, sdružením CESNET a operátory, která respektuje vládou stanovený termín pro přechod na IPv6-only služby státní správy do roku 2032 a vytváří rámec pro koordinovanou spolupráci všech zúčastněných subjektů,” stojí v novém reportu.
Shrnutí ministerstva průmyslu zní takto (celá zpráva je tady):
Plnění povinnosti ve vztahu k zavádění protokolu IPv6 se v prvním roce od přijetí usnesení výrazně zlepšilo. Na základě výsledků pravidelného monitorovacího testu lze konstatovat, že zatímco v době přijetí výše uvedeného materiálu Restart zavádění technologie DNSSEC a protokolu IPv6 ve státní správě bylo průměrné skóre testu 70,97 bodů ze 100, v červnu roku 2025 bylo průměrné skóre 91,61 bodů.
Naopak v roce 2026 nedošlo k výraznému posunu, v červnu roku 2026 bylo průměrné skóre 90,32 bodů. Tento pokles má dva hlavní aspekty. Jedním je stagnace; úřady, pro něž byl přechod na IPv6 prioritou, učinily tento krok hned v nejbližších měsících po přijetí vládního usnesení. Nicméně v několika případech stále nejsou plněny povinnosti ve vztahu k zavádění IPv6, a v jednom případě se dokonce skóre zavádění IPv6 na doméně snížilo. Dílčí nedostatky byly zjištěny u 11 úřadů z celkových 31 sledovaných (více zde).
V současné době nejsou známy žádné skutečnosti, které by bránily těmto úřadům naplnit povinnosti vyplývající z usnesení vlády ze dne 17. ledna 2024 č. 49. Ministerstvo průmyslu a obchodu bude nadále komunikovat s úřady ve smyslu plnění povinností z předmětného usnesení.
Kromě IPv6 se monitorovací testy zaměřují i na oblast e-mailové bezpečnosti. Většina institucí má správně nastavené základní ochranné mechanismy SPF (Sender Policy Framework) a DMARC (Domain-based Message Authentication, Reporting and Conformance), které pomáhají bránit zneužití e-mailových adres k podvodům. Naopak pokročilejší mechanismy (zejména DANE – DNS-based Authentication of Named Entities a MTA-STS – Mail Transfer Agent Strict Transport Security), které zajišťují bezpečnější doručování e-mailů, jsou ve většině případů buď chybějící, nebo neúplně nastavené. Podobně smíšený obraz vychází i u zabezpečení webových služeb pomocí certifikátů. U některých domén byly zjištěny problémy, například neúplný certifikační řetězec nebo blížící se expirace certifikátu, což může dočasně snížit důvěryhodnost webu nebo způsobit jeho horší dostupnost.
Dalším sledovaným prvkem jsou takzvané CAA (Certification Authority Authorization) záznamy, které určují, která certifikační autorita smí vydávat bezpečnostní certifikáty pro danou doménu. Tyto záznamy u části institucí chybí, což sice neznamená okamžitý problém, ale představuje určitou rezervu v oblasti bezpečnostního nastavení.
V budoucím období se Ministerstvo průmyslu a obchodu zaměří na testy dalších webů a služeb státu (např. ARES – Administrativní registr ekonomických subjektů), které doposud nebyly sledovány, ale z dosavadních zjištění je zřejmé, že nesplňují povinnosti uložené výše uvedeným usnesením.
ČLÁNKY DO MAILU