Nový zákon o kybernetické bezpečnosti (2025)

V dubnu 2025 schválila Poslanecká sněmovna nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2 do českého právního řádu. Nová legislativa výrazně rozšiřuje rozsah regulace oproti předchozímu zákonu z roku 2014 a dotkne se přibližně 6 000 až 9 000 organizací – včetně poskytovatelů cloudových služeb, výrobců kritické infrastruktury i podniků působících v sektorech energetiky, dopravy, zdravotnictví a financí.

Co se mění?

Zákon se nově vztahuje i na malé a střední podniky, které dříve regulaci nepodléhaly. Klíčovou změnou je zavedení osobní odpovědnosti vrcholového managementu za dodržování pravidel kybernetické bezpečnosti – včetně schvalování bezpečnostních politik a zajištění adekvátních zdrojů.

Organizace budou povinny:

hlásit bezpečnostní incidenty ve stanovených lhůtách,
pravidelně provádět analýzy rizik,
implementovat technická a organizační bezpečnostní opatření,
spolupracovat s NÚKIB a reagovat na jeho výstrahy.

Zákon vstoupí v platnost první den třetího kalendářního měsíce po jeho vyhlášení. Firmy budou mít 60 dní na uvedení do souladu s novými pravidly.

Cíle směrnice NIS2

Směrnice NIS2 má za cíl sjednotit minimální standardy bezpečnosti napříč členskými státy EU, rozšířit působnost na 18 klíčových sektorů a posílit dohled a vymahatelnost. Zahrnuje také vícefázové lhůty pro hlášení incidentů (24 h, 72 h, 1 měsíc) a přísnější sankce – až 10 milionů eur nebo 2 % globálního obratu.

V čem jde český zákon ještě dál?

Nová legislativa nejen kopíruje strukturu NIS2, ale v některých oblastech ji rozšiřuje. Mezi doplňující povinnosti patří například:

povinnost vést registr ICT aktiv,
každoroční nezávislý audit souladu,
tvorba mapy toků dat,
možnost diskvalifikace člena statutárního orgánu až na 3 roky při závažném nebo opakovaném porušení povinností.

Tím se český přístup přibližuje modelu tzv. „harmonizovaného minima plus“ – jeho cílem je zvýšit efektivitu vymáhání pravidel bez nadměrného zatížení konkurenceschopnosti firem.

Kterých firem se to týká?

Zákon se bude vztahovat na firmy z těchto sektorů:

informační technologie,
energetika,
doprava,
zdravotnictví,
finance,
výroba s významem pro kritickou infrastrukturu.

Pokud vaše firma působí v některém z výše uvedených odvětví a splňuje daná kritéria, nová pravidla se jí pravděpodobně budou týkat.

Co bude třeba udělat?

připravit nebo aktualizovat bezpečnostní politiku,
určit osoby odpovědné za kyberbezpečnost,
zavést odpovídající technická opatření (např. firewall, šifrování, monitoring),
pravidelně vyhodnocovat rizika a dokumentovat způsob jejich řízení.

Zásadní je, že za kyberbezpečnost bude nést odpovědnost přímo vedení firmy – nejde tedy jen o roli IT oddělení.

Shrnutí

Nový zákon přináší nejen povinnosti, ale i příležitost posílit odolnost organizace vůči digitálním hrozbám. Největším rizikem není samotná regulace, ale její ignorování. V digitálním prostředí uspěje ten, kdo jedná proaktivně, ne reaktivně. Kyberbezpečnost se stává jazykem, kterému se musí podniky naučit rozumět – nejen kvůli zákonu, ale kvůli vlastní budoucnosti.

Nejnovější články