Nový zákon o kybernetické bezpečnosti od 1. 11. 2025: Co přináší firmám v Česku?
Od 1. listopadu 2025 vstupuje v platnost nový zákon o kybernetické bezpečnosti, který zásadně mění pravidla pro tisíce firem v České republice. Tento zákon reaguje na požadavky evropské směrnice NIS2, jejímž cílem je zvýšit úroveň kybernetické bezpečnosti v celé Evropské unii. Nová legislativa přináší povinnosti pro regulované subjekty, stanovuje přísnější bezpečnostní opatření a zavádí systém samoidentifikace firem.
Proč nový zákon o kybernetické bezpečnosti?
Dosavadní zákon již nedostačuje potřebám současného digitálního světa. Směrnice NIS2, přijatá na úrovni EU v roce 2023, výrazně rozšířila požadavky v oblasti kybernetické ochrany. Nový zákon implementuje tyto změny do české legislativy a zároveň reflektuje dosavadní zkušenosti s ochranou informačních a komunikačních systémů.
Klíčové změny:
- Rozšíření počtu regulovaných odvětví a služeb.
- Zavedení minimálních standardů kybernetické bezpečnosti.
- Sjednocení výše pokut za porušení pravidel (až 250 milionů Kč).
- Důraz na dodavatelské řetězce, mezinárodní spolupráci a oznamování incidentů.
Koho se nový zákon o kybernetické bezpečnosti týká?
Podle odhadů se nový zákon dotkne minimálně 6 000 firem v ČR. Zákon rozděluje organizace do dvou kategorií:
- Subjekty v režimu vyšších povinností (dříve „základní subjekty“).
- Subjekty v režimu nižších povinností (dříve „důležité subjekty“).
Rozdělení se řídí typem poskytované služby a velikostí organizace podle definice EU (doporučení 2003/361/ES). Klíčovým nástrojem je vyhláška o regulovaných službách, která obsahuje seznam 22 odvětví, např.:
- Energetika, finanční sektor, zdravotnictví, digitální infrastruktura, veřejná správa, vesmírný průmysl.
Režim vyšších povinností:
- Více než 250 zaměstnanců nebo obrat nad 50 milionů EUR.
Režim nižších povinností:
- Více než 50 zaměstnanců nebo obrat nad 10 milionů EUR.
Každá organizace spadá pouze do jednoho režimu – podle nejvýznamnější provozované služby. Samoidentifikace subjektů je klíčová – firmy mají povinnost vyhodnotit, zda naplňují definici regulované služby, a případně se registrovat u NÚKIB.
Jak probíhá samoidentifikace?
Prvním krokem je identifikace poskytované služby dle vyhlášky. Pokud organizace danou službu poskytuje, posoudí se její velikost. Výjimkou jsou specifické případy, kdy může být subjekt zařazen do vyššího režimu i bez splnění ekonomických kritérií – zejména pokud má strategický význam.
Jaké nové povinnosti zákon přináší?
1. Samoidentifikace a registrace u NÚKIB
Organizace mají povinnost oznámit svou kategorii do 60 dnů od účinnosti zákona nebo od okamžiku, kdy začnou poskytovat regulovanou službu. K tomu slouží elektronický formulář na Portálu NÚKIB.
2. Stanovení aktiv a analýza rizik
Je nutné určit primární a podpůrná aktiva, provést analýzu rizik a stanovit odpovídající bezpečnostní opatření.
3. Zavedení technických a organizačních opatření
Rozsah opatření se liší podle režimu:
| Režim | Počet opatření | Povinné oblasti |
|---|---|---|
| Vyšší | 25 | ISMS, řízení rizik, bezpečnost personálu, řešení incidentů, řízení kontinuity |
| Nižší | 13 | ISMS, řízení rizik, základní dokumentace |
Organizace musí dokumentovat zavedená, plánovaná i nezavedená opatření včetně jejich odůvodnění. Důraz je kladen na řízení bezpečnosti informací, nikoli jen na nákup technologií.
4. Oznamování kybernetických incidentů
Firmy mají povinnost hlásit incidenty prostřednictvím portálu NÚKIB a spolupracovat na jejich řešení, zejména pokud mají přeshraniční dopad.
Sankce za porušení zákona o kybernetické bezpečnosti
Zákon zavádí nové finanční postihy:
- Až 250 milionů Kč nebo 2 % obratu pro vyšší režim a strategické služby.
- Až 175 milionů Kč nebo 1,4 % obratu pro nižší režim.
- Možnost osobního postihu – zákaz výkonu funkce člena statutárního orgánu.
Jak se připravit na nový zákon o kybernetické bezpečnosti?
Organizace by měly co nejdříve:
- Prověřit, zda poskytují regulovanou službu.
- Vyhodnotit svou velikost podle kritérií EU.
- Zahájit proces samoidentifikace a registrace.
- Zmapovat aktiva a zahájit analýzu rizik.
- Zajistit implementaci potřebných opatření.
Závěr
Nový zákon o kybernetické bezpečnosti 2025 představuje zásadní změnu pro tisíce organizací v Česku. Nejde pouze o technickou záležitost, ale o systémový přístup k řízení kybernetických rizik. Organizace, které se na nový režim připraví včas, nejenže předejdou sankcím, ale zároveň posílí svou digitální odolnost a důvěryhodnost vůči partnerům i zákazníkům.
Online rychlokurz: Manažer kyberbezpečnosti 2025
Termín: 16. 9. 2025 | Online – živý přenos
