Zákon o kyberbezpečnosti: Jak se připravit na nové povinnosti ve vaší firmě

Poslanecká sněmovna schválila 25. dubna nový zákon o kybernetické bezpečnosti (NZKB), který významně mění pravidla a povinnosti pro firmy i organizace v Česku. Očekává se, že tento zákon nabude účinnosti ve druhé polovině letošního roku. Pokud chcete být v souladu s novou legislativou a vyhnout se možným sankcím, je nezbytné se na změny připravit včas.

Klíčové povinnosti podle nového zákona o kybernetické bezpečnosti

Nová legislativa zavádí komplexní soubor povinností, které mají zajistit vyšší úroveň kybernetické bezpečnosti a ochrany před rostoucími kybernetickými hrozbami. Mezi hlavní povinnosti zákona patří:

  • Registrace regulovaných služeb (§ 6): firmy musí registrovat své regulované služby do 30 dnů od splnění identifikačních kritérií nebo od účinnosti zákona.
  • Hlášení kontaktních údajů (§ 11): povinnost hlásit nové kontaktní údaje do 30 dnů a změny do 15 dnů.
  • Stanovení rozsahu řízení kybernetické bezpečnosti (§ 12): organizace musí určit, v jakém rozsahu kyberbezpečnostní opatření zavádí, jinak se předpokládá jejich plná aplikace.
  • Implementace bezpečnostních opatření (§ 13): zavedení technických a organizačních opatření v předepsaném režimu (vyšším či nižším) do jednoho roku od zařazení do evidence.
  • Hlášení kybernetických incidentů (§ 15): povinnost okamžitě hlásit kybernetické bezpečnostní incidenty příslušným orgánům veřejné moci podle jejich závažnosti.
  • Reakce na protiopatření (§ 20): organizace musí okamžitě reagovat na varování a opatření stanovená Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Jak správně nastavit adaptační projekt na novou legislativu?

Úspěšná implementace požadavků zákona o kyberbezpečnosti vyžaduje systematický a promyšlený přístup. Doporučený postup zahrnuje tyto klíčové kroky:

1. Expoziční analýza – identifikujte rozsah působnosti

Prvním krokem je expoziční analýza, která pomůže určit, zda a v jakém rozsahu se na vaši organizaci vztahují povinnosti podle nové legislativy. Analýza vychází z kritérií stanovených směrnicí NIS2, například podle velikosti firmy, počtu zaměstnanců, hodnoty aktiv či obratu a významu poskytovaných služeb pro společnost.

Na základě analýzy zjistíte, zda na vás dopadá vyšší či nižší režim povinností. Vyšší režim znamená širší rozsah opatření v souladu s náročnějšími požadavky, nižší režim se zaměřuje na základní bezpečnostní opatření kybernetické hygieny. K tomu lze využít i dostupnou „kalkulačku“ na portálu NÚKIB.

2. Zmapování aktuálního stavu a slabin

Dalším krokem je důkladné zmapování současného stavu kybernetické bezpečnosti ve firmě:

  • Identifikace klíčových aktiv – fyzických (servery, zařízení), digitálních (data, systémy) i lidských zdrojů.
  • Analýza kybernetických rizik – hodnocení hrozeb a jejich dopadu na organizaci.
  • Dokumentace stávajících bezpečnostních opatření – technických i organizačních.
  • GAP analýza – porovnání současného stavu s požadavky nové legislativy a identifikace mezer.

Výsledkem je přehled o slabinách, rizicích a potřebných opatřeních pro naplnění zákonných požadavků.

3. Stanovení priorit a plánu adaptace

Na základě zmapování stavu a GAP analýzy je třeba nastavit realistický a proveditelný plán adaptace, který zohlední finanční a personální kapacity organizace. Prioritizujte klíčové oblasti a služby, které vyžadují nejrychlejší zavedení opatření. Důraz na správné plánování doporučuje i NÚKIB jako zásadní pro dlouhodobou udržitelnost souladu s legislativou.

4. Implementace bezpečnostních opatření

Praktická implementace opatření je klíčovou fází:

  • Zavedení technických i organizačních opatření – fyzická bezpečnost, šifrování, řízení přístupu.
  • Jmenování odpovědné osoby za kybernetickou bezpečnost (např. CISO).
  • Vypracování bezpečnostní dokumentace – politiky, plány řízení incidentů, metodiky.
  • Řízení dodavatelů – stanovení smluvních standardů a bezpečnostních záruk, pravidelné hodnocení dodavatelů.
  • Školení zaměstnanců – pravidelná osvěta o kybernetické hygieně a bezpečnostních postupech.
  • Testování a audit zavedených opatření – penetrační testy, simulace kybernetických útoků.

Dodržujte plán, postupujte krok za krokem a nezahlcujte organizační kapacity.

5. Kontinuální zlepšování kybernetické bezpečnosti

Kybernetická bezpečnost není jednorázová záležitost. Vyžaduje průběžné monitorování, aktualizace a přizpůsobení se novým hrozbám a legislativním změnám. Pravidelné audity a testy zajistí, že vaše opatření budou stále efektivní.

Doporučení na závěr

  • Nepodceňujte přípravu na nový zákon o kybernetické bezpečnosti – začněte s adaptačním projektem co nejdříve.
  • Řiďte se zásadou přiměřenosti – investujte do bezpečnostních opatření odpovídajících rizikům.
  • Většinu základních kroků zvládnete sami, postupujte systematicky a plánovitě.
  • Kybernetická bezpečnost znamená nejen legislativní soulad, ale i ochranu dat, systémů, dobré reputace a kontinuity vašeho podnikání.

Připravte svou firmu na nové výzvy v oblasti kybernetické bezpečnosti a získejte jistotu, že splníte všechny povinnosti podle platného zákona.

Tip pro vás!↘️

Nový zákon o kybernetické bezpečnosti 2025 SCHVÁLEN: povinnosti, postupy, sankce
Termín: 5. 6. 2025 | Online – živý přenos

Další články

Generační rozdíly ve firmě: Skrytý potenciál nebo časovaná bomba?

Na dnešních pracovištích je běžné, že spolupracují zaměstnanci různých věkových skupin – od zkušených odborníků z řad baby boomers až...

Spisový řád a vedení spisové služby ve škole: Co musí každá škola vědět

Povinnosti škol v oblasti vedení spisové služby a zpracování školních dokumentů jsou přesně stanoveny archivním zákonem. Každá škola musí mít...

GDPR 2.0: Evropská komise plánuje zjednodušení ochrany osobních údajů

Evropská unie čelí rostoucí kritice za nadměrnou regulaci, zejména v oblasti digitální ekonomiky, ochrany osobních údajů, udržitelnosti a technologických investic....

Velká novela školského zákona přináší zásadní změny od školního roku 2025/2026

Poslanecká sněmovna schválila 28. května 2025 velkou novelu školského zákona, která zavádí řadu klíčových změn ve fungování škol a školských...

Interní směrnice a školská dokumentace: Proč jsou klíčové pro efektivní řízení školy

Interní směrnice představují základní pilíř každé školy, která chce zajistit efektivní řízení školy, právní soulad a transparentní fungování. Správně nastavené...

Zákaz kotlů 1. a 2. emisní třídy od roku 2024: Co musí domácnosti a firmy udělat v roce 2025?

V roce 2025 se zákaz kotlů emisní třídy 1 a 2 dotkne tisíců domácností, chalup, firem i provozoven. Pokud ještě...