Nový zákon o kybernetické bezpečnosti: Tisíce českých firem čeká nový režim

Prezident 26. června 2025 podepsal nový zákon o kybernetické bezpečnosti (NZKB), který začne platit od 1. 11. 2025. Zákon transponuje evropskou směrnici NIS2, jež rozšiřuje okruh regulovaných odvětví a ukládá přísnější povinnosti v oblasti kybernetické ochrany.

Nově se regulace dotkne tisíců firem a institucí, které dosud nebyly zahrnuty. NZKB navazuje na nařízení DORA pro finanční sektor a vychází z praxe i zkušeností NÚKIB, který bude dozor nad plněním zákona vykonávat.

Co přináší NIS2 a NZKB?

• Rozšíření regulace na 18 odvětví, včetně veřejné správy, potravinářství, poštovních služeb, IT a digitálních platforem.
• Rozdělení regulovaných subjektů na essential entities (klíčové) a important entities (důležité).
• Povinnost mít bezpečnostní politiku, řízení rizik, ochranu dodavatelského řetězce, vícefaktorovou autentizaci či procesy reakce na incidenty.
• Posílený dohled a možnost vysokých sankcí – až 250 mil. Kč nebo 2 % obratu.
• Pro management i osobní odpovědnost – v krajním případě může NÚKIB uložit dočasný zákaz výkonu funkce členům statutárních orgánů.

Hlavní povinnosti regulovaných subjektů:

• Registrace prostřednictvím self-assessmentu a zápisu do registru NÚKIB.
• Úprava vnitřních předpisů (politiky, smlouvy s dodavateli, pravidelné audity).
• Nahlášení kontaktních osob pro kyberbezpečnost.
• Zavedení technických a organizačních opatření dle vyhlášek.
• Hlášení incidentů a plnění protiopatření NÚKIB.

Závěr:
NZKB zásadně posouvá odpovědnost na vrcholový management a motivuje organizace k tomu, aby kybernetickou bezpečnost vnímaly jako strategickou prioritu, nikoli jen technickou povinnost. Smyslem není trestat, ale zvýšit odolnost firem proti hrozbám a posílit důvěru jejich partnerů i zákazníků.