Zákon o kyberbezpečnosti: Jak se připravit na nové povinnosti ve vaší firmě

Poslanecká sněmovna schválila 25. dubna nový zákon o kybernetické bezpečnosti (NZKB), který významně mění pravidla a povinnosti pro firmy i organizace v Česku. Očekává se, že tento zákon nabude účinnosti ve druhé polovině letošního roku. Pokud chcete být v souladu s novou legislativou a vyhnout se možným sankcím, je nezbytné se na změny připravit včas.

Klíčové povinnosti podle nového zákona o kybernetické bezpečnosti

Nová legislativa zavádí komplexní soubor povinností, které mají zajistit vyšší úroveň kybernetické bezpečnosti a ochrany před rostoucími kybernetickými hrozbami. Mezi hlavní povinnosti zákona patří:

  • Registrace regulovaných služeb (§ 6): firmy musí registrovat své regulované služby do 30 dnů od splnění identifikačních kritérií nebo od účinnosti zákona.
  • Hlášení kontaktních údajů (§ 11): povinnost hlásit nové kontaktní údaje do 30 dnů a změny do 15 dnů.
  • Stanovení rozsahu řízení kybernetické bezpečnosti (§ 12): organizace musí určit, v jakém rozsahu kyberbezpečnostní opatření zavádí, jinak se předpokládá jejich plná aplikace.
  • Implementace bezpečnostních opatření (§ 13): zavedení technických a organizačních opatření v předepsaném režimu (vyšším či nižším) do jednoho roku od zařazení do evidence.
  • Hlášení kybernetických incidentů (§ 15): povinnost okamžitě hlásit kybernetické bezpečnostní incidenty příslušným orgánům veřejné moci podle jejich závažnosti.
  • Reakce na protiopatření (§ 20): organizace musí okamžitě reagovat na varování a opatření stanovená Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB).

Jak správně nastavit adaptační projekt na novou legislativu?

Úspěšná implementace požadavků zákona o kyberbezpečnosti vyžaduje systematický a promyšlený přístup. Doporučený postup zahrnuje tyto klíčové kroky:

1. Expoziční analýza – identifikujte rozsah působnosti

Prvním krokem je expoziční analýza, která pomůže určit, zda a v jakém rozsahu se na vaši organizaci vztahují povinnosti podle nové legislativy. Analýza vychází z kritérií stanovených směrnicí NIS2, například podle velikosti firmy, počtu zaměstnanců, hodnoty aktiv či obratu a významu poskytovaných služeb pro společnost.

Na základě analýzy zjistíte, zda na vás dopadá vyšší či nižší režim povinností. Vyšší režim znamená širší rozsah opatření v souladu s náročnějšími požadavky, nižší režim se zaměřuje na základní bezpečnostní opatření kybernetické hygieny. K tomu lze využít i dostupnou „kalkulačku“ na portálu NÚKIB.

2. Zmapování aktuálního stavu a slabin

Dalším krokem je důkladné zmapování současného stavu kybernetické bezpečnosti ve firmě:

  • Identifikace klíčových aktiv – fyzických (servery, zařízení), digitálních (data, systémy) i lidských zdrojů.
  • Analýza kybernetických rizik – hodnocení hrozeb a jejich dopadu na organizaci.
  • Dokumentace stávajících bezpečnostních opatření – technických i organizačních.
  • GAP analýza – porovnání současného stavu s požadavky nové legislativy a identifikace mezer.

Výsledkem je přehled o slabinách, rizicích a potřebných opatřeních pro naplnění zákonných požadavků.

3. Stanovení priorit a plánu adaptace

Na základě zmapování stavu a GAP analýzy je třeba nastavit realistický a proveditelný plán adaptace, který zohlední finanční a personální kapacity organizace. Prioritizujte klíčové oblasti a služby, které vyžadují nejrychlejší zavedení opatření. Důraz na správné plánování doporučuje i NÚKIB jako zásadní pro dlouhodobou udržitelnost souladu s legislativou.

4. Implementace bezpečnostních opatření

Praktická implementace opatření je klíčovou fází:

  • Zavedení technických i organizačních opatření – fyzická bezpečnost, šifrování, řízení přístupu.
  • Jmenování odpovědné osoby za kybernetickou bezpečnost (např. CISO).
  • Vypracování bezpečnostní dokumentace – politiky, plány řízení incidentů, metodiky.
  • Řízení dodavatelů – stanovení smluvních standardů a bezpečnostních záruk, pravidelné hodnocení dodavatelů.
  • Školení zaměstnanců – pravidelná osvěta o kybernetické hygieně a bezpečnostních postupech.
  • Testování a audit zavedených opatření – penetrační testy, simulace kybernetických útoků.

Dodržujte plán, postupujte krok za krokem a nezahlcujte organizační kapacity.

5. Kontinuální zlepšování kybernetické bezpečnosti

Kybernetická bezpečnost není jednorázová záležitost. Vyžaduje průběžné monitorování, aktualizace a přizpůsobení se novým hrozbám a legislativním změnám. Pravidelné audity a testy zajistí, že vaše opatření budou stále efektivní.

Doporučení na závěr

  • Nepodceňujte přípravu na nový zákon o kybernetické bezpečnosti – začněte s adaptačním projektem co nejdříve.
  • Řiďte se zásadou přiměřenosti – investujte do bezpečnostních opatření odpovídajících rizikům.
  • Většinu základních kroků zvládnete sami, postupujte systematicky a plánovitě.
  • Kybernetická bezpečnost znamená nejen legislativní soulad, ale i ochranu dat, systémů, dobré reputace a kontinuity vašeho podnikání.

Připravte svou firmu na nové výzvy v oblasti kybernetické bezpečnosti a získejte jistotu, že splníte všechny povinnosti podle platného zákona.

Tip pro vás!↘️

Nový zákon o kybernetické bezpečnosti 2025 SCHVÁLEN: povinnosti, postupy, sankce
Termín: 5. 6. 2025 | Online – živý přenos

Další články

Interní směrnice a školská dokumentace: Proč jsou klíčové pro efektivní řízení školy

Interní směrnice představují základní pilíř každé školy, která chce zajistit efektivní řízení školy, právní soulad a transparentní fungování. Správně nastavené...

Zákaz kotlů 1. a 2. emisní třídy od roku 2024: Co musí domácnosti a firmy udělat v roce 2025?

V roce 2025 se zákaz kotlů emisní třídy 1 a 2 dotkne tisíců domácností, chalup, firem i provozoven. Pokud ještě...

Nový RVP PV: Co čeká mateřské školy od roku 2026?

Od 1. září 2026 začne být pro všechny mateřské školy závazný nový Rámcový vzdělávací program pro předškolní vzdělávání (RVP PV)....

Zkušební doba po flexinovele zákoníku práce 2025: Přehled změn a nová pravidla

Od 1. června 2025 vstupuje v platnost flexibilní novela zákoníku práce, která mění pravidla týkající se zkušební doby. Tyto změny...

Nová pravidla pro vstupní lékařské prohlídky zaměstnanců: Co platí v roce 2025?

Od roku 2024 vstoupila v platnost důležitá změna v oblasti pracovnělékařských služeb. Spolu s novelou zákoníku práce byla upravena pravidla...

Výpovědní doba ve školách od 1. 6. 2025: Co mění flexibilní novela zákoníku práce?

Od 1. června 2025 začne v Česku platit flexibilní novela zákoníku práce, která přináší zásadní změny v oblasti výpovědních lhůt....