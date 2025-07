Aby udržely krok s dobou, přinášejí Evropská unie i Česká republika zásadní změnu v legislativě.

Proč vzniká nový zákon o kyberbezpečnosti?

Směrnice Network and Information System Directive 2 (NIS2) je modernizovaná verze původní směrnice NIS z roku 2016. Zejména by měla posílit celoevropskou úroveň cyber security a lépe chránit digitální prostor. Česká republika má jako členský stát EU povinnost tuto směrnici implementovat do svého právního řádu. A právě proto vznikl nový zákon o kybernetické bezpečnosti, který nahradí ten stávající z roku 2014.

Jaké změny s sebou zákon přináší?

Kdy zákon vstoupí v platnost? Zákon byl 11. června 2025 schválen Senátem Parlamentu ČR a prezidentem podepsán 26. června 2025. Očekává se tedy, že vstoupí v platnost v nejbližší době a účinnosti nabyde pravděpodobně už ve druhé polovině roku 2025.

Stávající český kybernetický zákon se týká přibližně 300 organizací, ale nová legislativa s implementovanou směrnicí NIS2 zasáhne odhadem šest až devět tisíc českých subjektů. To je obrovský nárůst, který se dotkne širokého spektra firem napříč různými odvětvími.

Nový zákon rozděluje regulované subjekty do dvou kategorií, tedy režimu nižších a vyšších povinností. Od tohoto zařazení se pak odvíjejí konkrétní požadavky, které bude muset firma splnit, aby byla jejich kybernetická bezpečnost maximálně zajištěna.

Na koho se vztahuje zákon o kybernetické bezpečnosti?

Podstatná jsou dvě kritéria – velikost organizace a poskytované služby.

Pokud firma zaměstnává alespoň 50 zaměstnanců nebo má roční obrat či bilanční sumu aktiv přesahující 10 milionů eur, pravděpodobně pod novou regulaci spadá.

Zákon se také vztahuje na organizace, které poskytují alespoň jednu z tzv. regulovaných služeb v některém z následujících odvětví:

veřejná správa a výkon veřejné moci odpadové hospodářství vesmírný průmysl vodní hospodářství potravinářský průmysl finanční trh digitální infrastruktura a služby výrobní průmysl zdravotnictví věda, výzkum a vzdělávání obranný průmysl doprava poštovní a kurýrní služby chemický průmysl energetika

Firmy čekají nové povinnosti a zvýšená odpovědnost

Nový zákon přináší pro regulované firmy několik změn a povinností:

Za řízení kybernetické bezpečnosti bude plně odpovědné vedení společnosti. Cyber security přestává být pouze IT záležitostí a stává se strategickou prioritou celé firmy. Povinností managementu firmy bude také zvyšování povědomí zaměstnanců o kybernetických hrozbách a správných bezpečnostních postupech.

Firmy nově musejí zavést bezpečnostní opatření , která zajistí odpovídající úroveň kybernetické bezpečnosti systémů a dat.

, která zajistí odpovídající úroveň kybernetické bezpečnosti systémů a dat. Další nezbytností bude přesná identifikace a evidence klíčových aktiv, jako je hardware, software a data. Pro subjekty ve vyšším režimu přibude také povinnost hodnotit rizika.

Nezbytností bude i zohledňování kybernetické bezpečnosti i u dodavatelů a zavádění minimálních smluvních a bezpečnostních požadavků.

a zavádění minimálních smluvních a bezpečnostních požadavků. V případě kybernetického incidentu bude povinností jej nahlásit příslušným úřadům.

Jak postupovat? Firma, která splňuje všechny podmínky, se musí ohlásit u Národního úřadu pro kybernetickou a informační bezpečnost, a to prostřednictvím platformy Portál NÚKIB. Následně se stanoví systém řízení kybernetické bezpečnosti dle rozsahu povinností. Ty se liší podle toho, zda regulovaná služba spadá do vyššího, nebo nižšího režimu: Pro nižší režim je potřeba zajistit osobu, která bude zodpovědná za řízení kybernetické bezpečnosti.

je potřeba zajistit osobu, která bude zodpovědná za řízení kybernetické bezpečnosti. Pro vyšší režim je třeba určit manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti. Oficiální kontroly bude provádět NÚKIB, ale i dozorové orgány dle odvětví. Například finanční instituce bude kontrolovat Česká národní banka (ČNB).

Nedostatečná kybernetická bezpečnost může znamenat i likvidační pokuty!

S novou legislativou přicházejí i výrazně vyšší sankce za nedodržení povinností. Pokuty mohou dosáhnout až 250 milionů korun nebo 2 % z celosvětového ročního obratu firmy. Vedle finančních sankcí mohou hrozit také nefinanční postihy, jako je pozastavení certifikací nebo výkonu řídicích funkcí vrcholného managementu.