Nový zákon o kybernetické bezpečnosti zasáhne tisíce organizací
Nový zákon o kybernetické bezpečnosti (NZoKB) se od 4. srpna nachází ve Sbírce zákonů. S účinností od 1. listopadu 2025 tak transponuje evropskou směrnici NIS2 do českého prostředí. Cílem NZoKB je zvýšení úrovně kyberbezpečnosti v klíčových odvětvích. Oproti dosavadní právní úpravě dopadne na tisíce nových subjektů, a to na soukromé i státní organizace.
Koho se nový zákon týká?
Nová úprava výrazně rozšiřuje okruh povinných subjektů. Rozhodujícími kritérii pro určení, zda je organizace povinným subjektem, jsou její velikost a skutečnost, zda organizace poskytuje některou ze služeb z odvětví vymezených v připravovaných vyhláškách k NZoKB.
K dříve regulovaným službám z odvětví jako zdravotnictví, energetika, doprava, digitální infrastruktura nebo bankovnictví se přidá například potravinářství, výroba, veřejná správa, výzkum, veřejné služby a sítě elektronických komunikací, řízené IT služby, odpadní hospodářství, poštovní služby nebo chemický průmysl.
Dvojí režim povinností a sankce
Nad rámec rozšíření okruhu povinných subjektů nový zákon počítá s rozlišením dvojího režimu povinností podle míry kritické důležitosti regulovaného subjektu. Jedná se o režim nižších a vyšších povinností.
- V režimu nižších povinností se většinou bude jednat o menší organizace, kterým zákon ukládá povinnost zajistit alespoň základní úroveň zabezpečení.
- Oproti tomu v režimu vyšších povinností budou platit přísnější pravidla, zejména pro zavádění bezpečnostních opatření, postupy při hlášení incidentů, provádění protiopatření vydaných regulátorem (NÚKIB) nebo zabezpečení dodavatelských řetězců.
Význam kybernetické bezpečnosti podtrhují i sankce za porušení jednotlivých povinností. Pokuty mohou dosahovat až 250 milionů korun nebo dvě procenta z čistého celosvětového obratu společnosti. Zároveň může být vyvozena i osobní odpovědnost vrcholného vedení, která může vyústit až v dočasný zákaz výkonu funkce člena statutárního orgánu.
Odpovědnost za kybernetickou bezpečnost tak neleží jen na odděleních IT, ale přímo na vrcholném vedení organizací. To bude muset nově zajistit, aby opatření kybernetické bezpečnosti byla v organizaci skutečně zavedena a udržována. Jinými slovy, aby nezůstala pouze na papíře.
Jak a do kdy se připravit?
Pokud si nejste jistí, co, do kdy a jestli vůbec něco musí Vaše organizace v souvislosti s NZoKB podniknout, níže uvádíme přehled nejdůležitějších termínů a na ně navázaných povinností:
- 1. listopadu 2025 – účinnost NZoKB.
- 60 dní od splnění podmínek pro registraci – na základě principu samoidentifikace budou mít povinné subjekty povinnost ohlásit poskytování jimi identifikované regulované služby NÚKIB. Pro základní orientaci o tom, zda Vámi poskytovaná služba bude regulovaná, lze využít kalkulačku umístěnou na stránkách portálu NÚKIB.
- 30 dní od doručení registrace regulované služby – po obdržení rozhodnutí o zařazení mezi poskytovatele regulované služby mají povinné subjekty povinnost do 30 dnů předat prostřednictvím Portálu NÚKIB kontaktní údaje osob, které za tuto oblast ve společnosti zodpovídají.
- Rok od registrace regulované služby – roční přechodné období, během něhož musí povinný subjekt nastavit a uvést do praxe vhodná technická i organizační opatření: od řízení rizik a plánů kontinuity, přes zabezpečení dodavatelského řetězce, až po pravidelné školení zaměstnanců i vrcholného vedení.
Pro mnoho organizací mohou být nové povinnosti, včetně samoidentifikace, technicky i právně složité. Proto našim klientům poskytujeme komplexní služby, které propojují odborné znalosti právních specialistů i odborníků na kyberbezpečnost. Pokud se potřebujete zorientovat v oblasti NZoKB, nejste si jisti, zda se na Vás vztahují nová pravidla nebo potřebujete asistenci při implementaci zákonných požadavků, neváhejte a obraťte se nás.