Varování se nevztahuje na open source velké jazykové modely společnosti DeepSeek, jejichž zdrojový kód je veřejně přístupný a který je provozován lokálně.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 10. 7. 2025 oficiální varování před hrozbou v oblasti kybernetické bezpečnosti spočívající ve využívání produktů, aplikací, řešení, webových stránek a webových služeb, včetně aplikačního programového rozhraní (tzv. API), poskytovaných společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností (společně dále jen „dotčené produkty“) na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.
Na základě vydaného varování musí povinné osoby dle zákona o kybernetické bezpečnosti zohlednit hrozbu v analýze rizik a na zjištěná rizika reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná.
Současně NÚKIB doporučuje i široké veřejnosti pečlivě zhodnotit použití dotčených produktů, popřípadě zvážení toho, jaké informace do nich vkládá. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučuje dotčené produkty nepoužívat. Vydané varování a výše zmíněná doporučení jsou v souladu se zákonem o kybernetické bezpečnosti, který ukládá NÚKIB mj. zajišťovat prevenci v oblasti kybernetické bezpečnosti.
Obavy z možných bezpečnostních hrozeb vyplývají především z nedostatečného zabezpečení přenosu a nakládání s daty, ze sběru takových typů dat, která ve větším rozsahu mohou vést k de-anonymizaci uživatelů, a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jemuž je společnost DeepSeek zcela podřízena.
Toto varování se nevztahuje na bezpečnostní testování, výzkum a analýzu dotčených produktů ani open-source velké jazykové modely společnosti DeepSeek, jejichž zdrojový kód je veřejně přístupný a který je provozován lokálně, bez možnosti komunikace se servery využívanými společností DeepSeek ani s jejími předchůdkyněmi, nástupnickými, mateřskými, dceřinými či přidruženými společnostmi.
„Při analýze, která vedla k tomuto varování, jsme vycházeli z kombinace vlastních zjištění a informací od našich zahraničních partnerů. Dotčené produkty společnosti DeepSeek nakládají s daty způsobem, který může představovat bezpečnostní riziko pro subjekty spadající pod zákon o kybernetické bezpečnosti. V kontextu právního prostředí Čínské lidové republiky, které umožňuje státním orgánům přístup k těmto datům, je důvod k obavám zcela oprávněný. To ostatně potvrzuje i nedávná atribuce kybernetického útoku skupiny APT31, napojené na Čínu, proti českému Ministerstvu zahraničních věcí. Ukazuje se, že Peking je připraven jednat v přímém rozporu se zájmy České republiky,“ uvedl ředitel NÚKIB Lukáš Kintr.
Současně s tímto varováním také Vláda ČR dne 9. 7. 2025 schválila usnesení týkající se dotčených produktů DeepSeek. Usnesením bylo členům vlády, ministerstvům a jiným ústředním orgánům státní správy uloženo, že jim podřízená ministerstva a další orgány státní správy nebudou pro výkon jejich pravomocí využívat produkty, aplikace, řešení, webové stránky a webové služby (včetně API) poskytované společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností. Zákaz se týká užívání výše uvedeného na jakýchkoli zařízeních v majetku státu.
