Nový zákon o kybernetické bezpečnosti od 1. 11. 2025: Co přináší firmám v Česku?

Od 1. listopadu 2025 vstupuje v platnost nový zákon o kybernetické bezpečnosti, který zásadně mění pravidla pro tisíce firem v České republice. Tento zákon reaguje na požadavky evropské směrnice NIS2, jejímž cílem je zvýšit úroveň kybernetické bezpečnosti v celé Evropské unii. Nová legislativa přináší povinnosti pro regulované subjekty, stanovuje přísnější bezpečnostní opatření a zavádí systém samoidentifikace firem.

Proč nový zákon o kybernetické bezpečnosti?

Dosavadní zákon již nedostačuje potřebám současného digitálního světa. Směrnice NIS2, přijatá na úrovni EU v roce 2023, výrazně rozšířila požadavky v oblasti kybernetické ochrany. Nový zákon implementuje tyto změny do české legislativy a zároveň reflektuje dosavadní zkušenosti s ochranou informačních a komunikačních systémů.

Klíčové změny:

  • Rozšíření počtu regulovaných odvětví a služeb.
  • Zavedení minimálních standardů kybernetické bezpečnosti.
  • Sjednocení výše pokut za porušení pravidel (až 250 milionů Kč).
  • Důraz na dodavatelské řetězce, mezinárodní spolupráci a oznamování incidentů.

Koho se nový zákon o kybernetické bezpečnosti týká?

Podle odhadů se nový zákon dotkne minimálně 6 000 firem v ČR. Zákon rozděluje organizace do dvou kategorií:

  • Subjekty v režimu vyšších povinností (dříve „základní subjekty“).
  • Subjekty v režimu nižších povinností (dříve „důležité subjekty“).

Rozdělení se řídí typem poskytované služby a velikostí organizace podle definice EU (doporučení 2003/361/ES). Klíčovým nástrojem je vyhláška o regulovaných službách, která obsahuje seznam 22 odvětví, např.:

  • Energetika, finanční sektor, zdravotnictví, digitální infrastruktura, veřejná správa, vesmírný průmysl.

Režim vyšších povinností:

  • Více než 250 zaměstnanců nebo obrat nad 50 milionů EUR.

Režim nižších povinností:

  • Více než 50 zaměstnanců nebo obrat nad 10 milionů EUR.

Každá organizace spadá pouze do jednoho režimu – podle nejvýznamnější provozované služby. Samoidentifikace subjektů je klíčová – firmy mají povinnost vyhodnotit, zda naplňují definici regulované služby, a případně se registrovat u NÚKIB.

Jak probíhá samoidentifikace?

Prvním krokem je identifikace poskytované služby dle vyhlášky. Pokud organizace danou službu poskytuje, posoudí se její velikost. Výjimkou jsou specifické případy, kdy může být subjekt zařazen do vyššího režimu i bez splnění ekonomických kritérií – zejména pokud má strategický význam.

Jaké nové povinnosti zákon přináší?

1. Samoidentifikace a registrace u NÚKIB

Organizace mají povinnost oznámit svou kategorii do 60 dnů od účinnosti zákona nebo od okamžiku, kdy začnou poskytovat regulovanou službu. K tomu slouží elektronický formulář na Portálu NÚKIB.

2. Stanovení aktiv a analýza rizik

Je nutné určit primární a podpůrná aktiva, provést analýzu rizik a stanovit odpovídající bezpečnostní opatření.

3. Zavedení technických a organizačních opatření

Rozsah opatření se liší podle režimu:

RežimPočet opatřeníPovinné oblasti
Vyšší25ISMS, řízení rizik, bezpečnost personálu, řešení incidentů, řízení kontinuity
Nižší13ISMS, řízení rizik, základní dokumentace

Organizace musí dokumentovat zavedená, plánovaná i nezavedená opatření včetně jejich odůvodnění. Důraz je kladen na řízení bezpečnosti informací, nikoli jen na nákup technologií.

4. Oznamování kybernetických incidentů

Firmy mají povinnost hlásit incidenty prostřednictvím portálu NÚKIB a spolupracovat na jejich řešení, zejména pokud mají přeshraniční dopad.

Sankce za porušení zákona o kybernetické bezpečnosti

Zákon zavádí nové finanční postihy:

  • Až 250 milionů Kč nebo 2 % obratu pro vyšší režim a strategické služby.
  • Až 175 milionů Kč nebo 1,4 % obratu pro nižší režim.
  • Možnost osobního postihu – zákaz výkonu funkce člena statutárního orgánu.

Jak se připravit na nový zákon o kybernetické bezpečnosti?

Organizace by měly co nejdříve:

  1. Prověřit, zda poskytují regulovanou službu.
  2. Vyhodnotit svou velikost podle kritérií EU.
  3. Zahájit proces samoidentifikace a registrace.
  4. Zmapovat aktiva a zahájit analýzu rizik.
  5. Zajistit implementaci potřebných opatření.

Závěr

Nový zákon o kybernetické bezpečnosti 2025 představuje zásadní změnu pro tisíce organizací v Česku. Nejde pouze o technickou záležitost, ale o systémový přístup k řízení kybernetických rizik. Organizace, které se na nový režim připraví včas, nejenže předejdou sankcím, ale zároveň posílí svou digitální odolnost a důvěryhodnost vůči partnerům i zákazníkům.

Tip pro vás!↘️

Online rychlokurz: Manažer kyberbezpečnosti 2025

Online rychlokurz: Manažer kyberbezpečnosti 2025

Termín: 16. 9. 2025 | Online – živý přenos

Nový zákon o kybernetické bezpečnosti startuje 1. 11. 2025 – Hlášení incidentů, kybernetické hrozby, monitoring a školení zaměstnanců

Další články

Jak správně vést skartační řízení a ukládat dokumenty ve škole

Vedení dokumentace a skartační řízení ve škole nejsou jen byrokratickými formalitami, ale klíčovou součástí řízení a administrativního pořádku. Ačkoliv je...

Nejčastější chyby v pracovních inzerátech: Co (ne)psat v roce 2025

Pracovní inzerát zůstává v roce 2025 nejběžnějším způsobem, jak firmy oslovují nové zaměstnance. Přesto se v něm stále objevují chyby,...

Kam na bylinky a jedlé plody: Nejlepší aplikace na léto pro děti i dospělé

Léto je ideálním obdobím pro výlety do přírody. Ať už se chystáte s dětmi na prázdninovou procházku, nebo plánujete školní...

Toxický zaměstnanec na pracovišti: Jak rozpoznat, řešit a předcházet problémům v týmu

Toxické chování na pracovišti může zásadně narušit atmosféru v týmu, způsobit zvýšenou fluktuaci, pokles výkonnosti i psychické vyčerpání kolegů. Jak...

Komunikace s rodiči v mateřské škole: Jak budovat důvěru a zlepšit spolupráci

Kvalitní komunikace s rodiči v mateřské škole je klíčová pro vytváření pozitivního prostředí, ve kterém se dítě cítí bezpečně a...

Co dělat, když někdo poškodí jméno vaší firmy?

Poškození dobré pověsti firmy není jen otázkou morálky – může jít o právně postižitelné jednání. Ačkoliv se to často týká...