Nový zákon o kybernetické bezpečnosti od 1. 11. 2025: Co přináší firmám v Česku?

Od 1. listopadu 2025 vstupuje v platnost nový zákon o kybernetické bezpečnosti, který zásadně mění pravidla pro tisíce firem v České republice. Tento zákon reaguje na požadavky evropské směrnice NIS2, jejímž cílem je zvýšit úroveň kybernetické bezpečnosti v celé Evropské unii. Nová legislativa přináší povinnosti pro regulované subjekty, stanovuje přísnější bezpečnostní opatření a zavádí systém samoidentifikace firem.

Proč nový zákon o kybernetické bezpečnosti?

Dosavadní zákon již nedostačuje potřebám současného digitálního světa. Směrnice NIS2, přijatá na úrovni EU v roce 2023, výrazně rozšířila požadavky v oblasti kybernetické ochrany. Nový zákon implementuje tyto změny do české legislativy a zároveň reflektuje dosavadní zkušenosti s ochranou informačních a komunikačních systémů.

Klíčové změny:

  • Rozšíření počtu regulovaných odvětví a služeb.
  • Zavedení minimálních standardů kybernetické bezpečnosti.
  • Sjednocení výše pokut za porušení pravidel (až 250 milionů Kč).
  • Důraz na dodavatelské řetězce, mezinárodní spolupráci a oznamování incidentů.

Koho se nový zákon o kybernetické bezpečnosti týká?

Podle odhadů se nový zákon dotkne minimálně 6 000 firem v ČR. Zákon rozděluje organizace do dvou kategorií:

  • Subjekty v režimu vyšších povinností (dříve „základní subjekty“).
  • Subjekty v režimu nižších povinností (dříve „důležité subjekty“).

Rozdělení se řídí typem poskytované služby a velikostí organizace podle definice EU (doporučení 2003/361/ES). Klíčovým nástrojem je vyhláška o regulovaných službách, která obsahuje seznam 22 odvětví, např.:

  • Energetika, finanční sektor, zdravotnictví, digitální infrastruktura, veřejná správa, vesmírný průmysl.

Režim vyšších povinností:

  • Více než 250 zaměstnanců nebo obrat nad 50 milionů EUR.

Režim nižších povinností:

  • Více než 50 zaměstnanců nebo obrat nad 10 milionů EUR.

Každá organizace spadá pouze do jednoho režimu – podle nejvýznamnější provozované služby. Samoidentifikace subjektů je klíčová – firmy mají povinnost vyhodnotit, zda naplňují definici regulované služby, a případně se registrovat u NÚKIB.

Jak probíhá samoidentifikace?

Prvním krokem je identifikace poskytované služby dle vyhlášky. Pokud organizace danou službu poskytuje, posoudí se její velikost. Výjimkou jsou specifické případy, kdy může být subjekt zařazen do vyššího režimu i bez splnění ekonomických kritérií – zejména pokud má strategický význam.

Jaké nové povinnosti zákon přináší?

1. Samoidentifikace a registrace u NÚKIB

Organizace mají povinnost oznámit svou kategorii do 60 dnů od účinnosti zákona nebo od okamžiku, kdy začnou poskytovat regulovanou službu. K tomu slouží elektronický formulář na Portálu NÚKIB.

2. Stanovení aktiv a analýza rizik

Je nutné určit primární a podpůrná aktiva, provést analýzu rizik a stanovit odpovídající bezpečnostní opatření.

3. Zavedení technických a organizačních opatření

Rozsah opatření se liší podle režimu:

RežimPočet opatřeníPovinné oblasti
Vyšší25ISMS, řízení rizik, bezpečnost personálu, řešení incidentů, řízení kontinuity
Nižší13ISMS, řízení rizik, základní dokumentace

Organizace musí dokumentovat zavedená, plánovaná i nezavedená opatření včetně jejich odůvodnění. Důraz je kladen na řízení bezpečnosti informací, nikoli jen na nákup technologií.

4. Oznamování kybernetických incidentů

Firmy mají povinnost hlásit incidenty prostřednictvím portálu NÚKIB a spolupracovat na jejich řešení, zejména pokud mají přeshraniční dopad.

Sankce za porušení zákona o kybernetické bezpečnosti

Zákon zavádí nové finanční postihy:

  • Až 250 milionů Kč nebo 2 % obratu pro vyšší režim a strategické služby.
  • Až 175 milionů Kč nebo 1,4 % obratu pro nižší režim.
  • Možnost osobního postihu – zákaz výkonu funkce člena statutárního orgánu.

Jak se připravit na nový zákon o kybernetické bezpečnosti?

Organizace by měly co nejdříve:

  1. Prověřit, zda poskytují regulovanou službu.
  2. Vyhodnotit svou velikost podle kritérií EU.
  3. Zahájit proces samoidentifikace a registrace.
  4. Zmapovat aktiva a zahájit analýzu rizik.
  5. Zajistit implementaci potřebných opatření.

Závěr

Nový zákon o kybernetické bezpečnosti 2025 představuje zásadní změnu pro tisíce organizací v Česku. Nejde pouze o technickou záležitost, ale o systémový přístup k řízení kybernetických rizik. Organizace, které se na nový režim připraví včas, nejenže předejdou sankcím, ale zároveň posílí svou digitální odolnost a důvěryhodnost vůči partnerům i zákazníkům.

Tip pro vás!↘️

Online rychlokurz: Manažer kyberbezpečnosti 2025

Online rychlokurz: Manažer kyberbezpečnosti 2025

Termín: 16. 9. 2025 | Online – živý přenos

Nový zákon o kybernetické bezpečnosti startuje 1. 11. 2025 – Hlášení incidentů, kybernetické hrozby, monitoring a školení zaměstnanců

Další články

Novela k ochraně obchodního tajemství od 1. 1. 2027 – firmy čekají jasnější pravidla

Co dnes ve firmě skutečně představuje obchodní tajemství? Jsou vaše know-how, interní data, obchodní strategie nebo AI workflow opravdu chráněné?

Evidence pracovní doby a evidence docházky

Evidence pracovní doby a evidence docházky: Jaké jsou povinnosti zaměstnavatele podle zákoníku práce?

Evidence pracovní doby patří mezi základní povinnosti každého zaměstnavatele. Správně vedené záznamy slouží jako podklad pro výpočet mzdy, náhrad mzdy...

Nová pravidla pro AI

AI Act: Nová pravidla pro umělou inteligenci. Koho se týkají a jaké povinnosti přinášejí?

AI Act, tedy nařízení o umělé inteligenci, představuje významnou součást evropské legislativy. Přestože vstoupil v platnost už 1. srpna 2024,...

Požárně bezpečnostní řešení

Požárně bezpečnostní řešení: Co musí obsahovat projektová dokumentace

Správné užívání a údržba budov z pohledu požární ochrany vychází z projektové dokumentace ověřené stavebním úřadem. Její součástí je požárně...

eIDAS 2.0 ve spisové službě

eIDAS 2.0 ve spisové službě: Co přinese digitální identita občanům, firmám i veřejné správě

Nařízení eIDAS 2.0 přináší změny, které se dotknou fungování spisové služby, elektronické komunikace i ověřování totožnosti. Zásadní roli bude hrát...

ListoBOX

ListoBOX: první výdejní box pro virtuální sídla v Česku – každé druhé vyzvednutí probíhá mimo běžnou pracovní dobu

Analýza 2 595 vyzvednutí firemní pošty přes ListoBOX ukazuje, že 47 % z nich proběhlo mimo běžnou pracovní dobu (8:00–16:00)....