Nový zákon o kybernetické bezpečnosti

Od 1. listopadu 2025 vstupuje v účinnost nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který zásadně mění povinnosti obchodních korporací v oblasti ochrany informačních systémů a dat.

 Zákon vychází z evropské směrnice pod unifikovaným označením NIS2 a jeho cílem je zvýšit odolnost společností vůči kybernetickým útokům prostřednictvím zavedení povinných preventivních opatření a navazujících mechanismů.

 Povinné subjekty

Nová právní úprava kybernetické bezpečnosti se dotkne mnohem širšího spektra subjektů, než tomu bylo doposud. Regulace ochrany kybernetické bezpečnosti se bude vztahovat nejen na poskytovatele kritické infrastruktury, ale nově i na společnosti z oblastí, které dosud nepodléhaly dohledu NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) nespadaly.

 Pro zařazení společnosti do nového režimu musí být naplněny tyto dvě základní podmínky:

• společnost poskytuje tzv. regulovanou službu (bohužel neexistuje jedna definice regulované služby, půjde např. o veřejně dostupnou službu elektronických komunikací, cloud computing, datové centrum),
• má dostatečný hospodářský význam (typicky podle její velikosti, obratu nebo strategického postavení).

 Každá společnost si bude muset sama vyhodnotit, zda do nového režimu zákona spadá či nikoliv. K tomu lze využít oficiální „kalkulačku“ NÚKIB, dostupnou na adrese: https://portal.nukib.gov.cz/kalkulacka.

 Harmonogram a přechodná období

Vzhledem k tomu, že zákon o kybernetické bezpečnosti nabývá účinnosti již shora uvedeného dne 1. listopadu 2025, bude každá společnost spadající do jeho působnosti povinna registrovat se u Národního úřadu pro kybernetickou a informační bezpečnost nejpozději do 31. prosince 2025. Po registraci následuje období, během něhož je v příslušné společnosti nutné zavést všechny předepsané bezpečnostní opatření; konečný termín pro jejich implementaci je pak stanoven do 31. prosince 2026.

 Zákon rozlišuje dvě úrovně povinností – pro střední a velké společnosti (podniky) – přičemž rozsah opatření a délka potřebné přípravy se odvíjí od velikosti organizace a charakteru poskytovaných služeb.

 Povinná bezpečnostní opatření

Společnosti, které spadají pod nový režim, musí zavést komplexní soubor technických, organizačních a procesních opatření. Mezi hlavní povinnosti patří zejména:

• řízení rizik a bezpečnostní politiky – pravidelná analýza kybernetických hrozeb, nastavení kontrolních procesů, evidence incidentů,
• řízení přístupů a autentizace uživatelů, včetně vícefaktorového ověřování,
• zálohování, testování obnovy a kontinuita provozu,
• hlášení kybernetických incidentů v určených lhůtách NÚKIB,
• zajištění bezpečnosti dodavatelského řetězce – povinnost prověřovat i partnery a subdodavatele,
• určení, resp. vytyčení odpovědnostních rolí v oblasti kybernetické bezpečnosti,
• školení zaměstnanců a vzdělávání managementu.

 Odpovědnost a sankce

Nový zákon o kybernetické bezpečnosti klade zvýšené nároky na statutární orgány společností. Tyto mají výslovnou povinnost přijmout adekvátní opatření v oblasti kybernetické bezpečnosti, zajistit, že systém řízení bezpečnosti je plně zaveden, udržován a pravidelně vyhodnocován (je tedy životaschopný), prokazatelně alokovat potřebné technické, lidské i finanční zdroje, vést k tomuto příslušnou dokumentaci, provádět audity a školení a monitorovat dodávky od dodavatelů.

 V případě nesplnění těchto povinností hrozí zákonem dotčeným subjektům významné sankce. Za nejzávažnější přestupky v režimu vyšších povinností, například nezavedení klíčových bezpečnostních opatření, neprovádění reaktivního protiopatření nebo závažné porušení pravidel u dodavatelů, může být uložena ze strany NÚKIB pokuta až do výše 250.000.000,- Kč nebo až do výše 2 % čistého celosvětového ročního obratu společnosti, podle toho, která z těchto částek bude vyšší! U méně závažných porušení zákona jsou stanoveny nižší limity pokut, přičemž konkrétní výše se vždy bude odvíjet od charakteru porušení a toho, zda společnost spadá do režimu vyšších či nižších povinností.

 Tento právní rámec jednoznačně ukazuje, že kybernetická bezpečnost není pouze technickou záležitostí IT oddělení, ale klíčovou manažerskou odpovědností. Vrcholový management tak musí být nově aktivně zapojen do přípravy, zavádění i dohledu nad bezpečnostními opatřeními, a to s důrazem na jejich reálnou funkčnost a účinnost. Zajisté tak nebude stačit pouhé formální zavedení těchto opatření, ale vyžadována bude i jejich následná kontrola zaměřená na dodržování těchto pravidel a jejich vyhodnocování a aktualizování, neboť jen tak budou zákonem dotčené subjekty v rámci případné kontroly schopné prokázat, že požadavkům tohoto zákona řádně dostály.

 Doporučení pro přípravu

Každá společnost by nyní měla provést vstupní analýzu a zjistit, zda její činnost spadá pod nový zákon či nikoliv. Pokud společnost do režimu ochrany kybernetické bezpečnosti spadá, je nezbytné zajistit její registraci u NÚKIB nejpozději do 31. prosince 2025 a současně naplánovat projekt implementace bezpečnostních opatření s jasně definovanými kroky a termíny tak, aby všechna opatření byla plně zavedená do 31. prosince 2026.

 Součástí příprav těchto nových opatření je rovněž nutnost určení odpovědných osob, prověření smluvních vztahů s dodavateli a jejich začlenění do interních procesů. Současně je doporučeno školit vedení a klíčové zaměstnance tak, aby tito byli schopni efektivně řídit systém kybernetické bezpečnosti a prokazatelně plnit povinnosti v rámci stanovených povinností a lhůt.

 Další nezbytnou součástí bude i provedení příslušných školení vedoucích a klíčových zaměstnanců, aby byla zajištěna jejich znalost povinností a schopnost nová pravidla jasně definovat a dohlížet na jejich dodržování.

 Celý proces by měl být vnímán nejen jako povinnost, ale i jako příležitost ke zvýšení odolnosti společností vůči kybernetickým hrozbám a posílení její důvěryhodnosti vůči klientům, obchodním partnerům a regulatorním orgánům.

 Závěr

Nový zákon o kybernetické bezpečnosti tak pro společnosti přináší nová pravidla, jež budou vyžadovat provedení vlastního interního auditu zaměřeného na zodpovězení těchto základních otázek:

• určení, zda pod nový zákon spadají či nikoliv,
• zajistit v zákonné lhůtě příslušnou registraci u Národního úřadu pro kybernetickou a informační bezpečnost.
• provedení právních a compliance analýz,
• nutnost vyhotovení interní dokumentace a navazující smluvní úpravy,
• nastavení odpovědnosti statutárních orgánů a vedoucích zaměstnanců a vnitřních procesů.

 Mgr. Adam Silovský, advokát