Zákon o kybernetické bezpečnosti je tady!

Dne 4. srpna 2025 byl ve Sbírce zákonů vyhlášen nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti (ZoKB). Tímto krokem Česká republika transponuje evropskou směrnici NIS2, která má za cíl zvýšit kybernetickou odolnost členských států EU. Zákon nabývá účinnosti 1. listopadu 2025 a není radno ho brát na lehkou váhu.
Proč nový zákon?
Předchozí legislativa (zákon č. 181/2014 Sb.) se zaměřovala pouze na několik subjektů, především ty, které zajišťují provoz důležitých infrastruktur (např. energetiku, dopravu nebo finance). Nový zákon rozšiřuje svůj záběr. V praxi to znamená, že tisíce firem a organizací, které dříve s kybernetickou legislativou neměly přímou zkušenost, budou muset jednat.
Kdo spadá pod nový zákon?
Zákon rozlišuje dvě hlavní kategorie regulovaných subjektů:
- Významný regulovaný subjekt – firmy a instituce s alespoň 50 zaměstnanci nebo ročním obratem přes 10 milionů eur, které zároveň působí v některém z určených odvětví.
- Základní regulovaný subjekt – typicky menší firmy, které ale provozují určité typy služeb nebo technologií (např. hostingové společnosti, poskytovatelé cloudových služeb, online tržiště atd.).
Kromě klasických „kritických“ infrastruktur se nově přidávají i odvětví jako:
- Digitální služby (cloud, datacentra, e-commerce)
- Výroba a distribuce potravin
- Výzkum a vývoj
- Pojišťovnictví a zdravotnictví
- Odpady, vodní hospodářství, chemický průmysl a další
Takže pokud provozujete e-shop nebo hostingovou platformu – je načase připravit se.
Co všechno firmy musí?
Zákon stanovuje povinnost zavést systém řízení kybernetické bezpečnosti, který musí pokrývat mimo jiné:
- Řízení rizik
- Zabezpečení sítě a informačních systémů
- Zálohování a obnova
- Incident management
- Fyzická bezpečnost
- Školení zaměstnanců
- Povinnosti ohlašování bezpečnostních incidentů
Tohle už není jen o tom „mít dobrý antivirus“. Jde o komplexní přístup k zabezpečení celé organizace, od IT infrastruktury přes zaměstnance až po dodavatelský řetězec.
Přehled povinností – stručně a přehledně
Povinnost | Kdo ji musí plnit | Termín |
---|---|---|
Zřízení systému řízení bezpečnosti | Všichni regulovaní | Do 90 dní od zařazení do rejstříku |
Ohlášení bezpečnostního incidentu | Všichni regulovaní | Do 24 hodin |
Vedení evidence | Významní a základní regulovaní | Nepřetržitě |
Pravidelný audit nebo kontrola | Vybrané subjekty dle rizikovosti | Cyklicky |
Jak se dozvím, že se mě zákon týká?
Naštěstí v tom nejste sami. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude spravovat tzv. Rejstřík regulovaných subjektů. A právě z něj se firmy dozví, že se jich zákon týká. NÚKIB bude také připravovat metodiky, šablony a návody, jak jednotlivé požadavky naplnit.
A co když zákon ignoruji?
Tady bohužel platí: Nevědomost neomlouvá. Pokud firma povinnosti nesplní, hrozí pokuty až do výše 10 milionů Kč nebo 2 % z celosvětového obratu. A to už je pro většinu firem hodně nepříjemné číslo.
Co dělat právě teď?
Pokud máte podezření, že by se vás zákon mohl týkat, je ideální postup:
-
Zjistit, zda spadáte do regulované kategorie - pomůže vám průvodce na webu NÚKIBu
-
Zajistit odpovědnou osobu - ideálně IT bezpečnostního specialistu nebo DPO
-
Zahájit analýzu rizik a nastavit vnitřní pravidla
-
Začít školit zaměstnance - a to nejen v IT, ale napříč organizací
-
Připravit se na možné incidenty - krizový plán, zálohování, kontaktní osoby
Nejen hrozba, ale i příležitost
Nový zákon přichází ve chvíli, kdy kybernetické útoky nejsou už jen vzdálenou realitou. Zvyšuje laťku, ale zároveň dává firmám šanci:
- zlepšit interní procesy
- posílit důvěru u zákazníků a partnerů
- být připravený na budoucí výzvy (AI, deepfakes, ransomware...)
Ano, nový zákon je výzva. Ale taky příležitost k růstu a profesionalizaci.
Autor/ka obrázku: Freepik