Máme pro vás připravenou akční nabídku pro nová připojení

Podrobnosti naleznete ZDE

Zákon o kybernetické bezpečnosti je tady!

Dne 4. srpna 2025 byl ve Sbírce zákonů vyhlášen nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti (ZoKB). Tímto krokem Česká republika transponuje evropskou směrnici NIS2, která má za cíl zvýšit kybernetickou odolnost členských států EU. Zákon nabývá účinnosti 1. listopadu 2025 a není radno ho brát na lehkou váhu.

Proč nový zákon?

Předchozí legislativa (zákon č. 181/2014 Sb.) se zaměřovala pouze na několik subjektů, především ty, které zajišťují provoz důležitých infrastruktur (např. energetiku, dopravu nebo finance). Nový zákon rozšiřuje svůj záběr. V praxi to znamená, že tisíce firem a organizací, které dříve s kybernetickou legislativou neměly přímou zkušenost, budou muset jednat.

Kdo spadá pod nový zákon?

Zákon rozlišuje dvě hlavní kategorie regulovaných subjektů:

  • Významný regulovaný subjekt – firmy a instituce s alespoň 50 zaměstnanci nebo ročním obratem přes 10 milionů eur, které zároveň působí v některém z určených odvětví.
  • Základní regulovaný subjekt – typicky menší firmy, které ale provozují určité typy služeb nebo technologií (např. hostingové společnosti, poskytovatelé cloudových služeb, online tržiště atd.).

Kromě klasických „kritických“ infrastruktur se nově přidávají i odvětví jako:

  • Digitální služby (cloud, datacentra, e-commerce)
  • Výroba a distribuce potravin
  • Výzkum a vývoj
  • Pojišťovnictví a zdravotnictví
  • Odpady, vodní hospodářství, chemický průmysl a další

Takže pokud provozujete e-shop nebo hostingovou platformu – je načase připravit se.

Co všechno firmy musí?

Zákon stanovuje povinnost zavést systém řízení kybernetické bezpečnosti, který musí pokrývat mimo jiné:

  1. Řízení rizik
  2. Zabezpečení sítě a informačních systémů
  3. Zálohování a obnova
  4. Incident management
  5. Fyzická bezpečnost
  6. Školení zaměstnanců
  7. Povinnosti ohlašování bezpečnostních incidentů

Tohle už není jen o tom „mít dobrý antivirus“. Jde o komplexní přístup k zabezpečení celé organizace, od IT infrastruktury přes zaměstnance až po dodavatelský řetězec.

Přehled povinností – stručně a přehledně

Povinnost Kdo ji musí plnit Termín
Zřízení systému řízení bezpečnosti Všichni regulovaní Do 90 dní od zařazení do rejstříku
Ohlášení bezpečnostního incidentu Všichni regulovaní Do 24 hodin
Vedení evidence Významní a základní regulovaní Nepřetržitě
Pravidelný audit nebo kontrola Vybrané subjekty dle rizikovosti Cyklicky

Jak se dozvím, že se mě zákon týká?

Naštěstí v tom nejste sami. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude spravovat tzv. Rejstřík regulovaných subjektů. A právě z něj se firmy dozví, že se jich zákon týká. NÚKIB bude také připravovat metodiky, šablony a návody, jak jednotlivé požadavky naplnit.

A co když zákon ignoruji?

Tady bohužel platí: Nevědomost neomlouvá. Pokud firma povinnosti nesplní, hrozí pokuty až do výše 10 milionů Kč nebo 2 % z celosvětového obratu. A to už je pro většinu firem hodně nepříjemné číslo.

Co dělat právě teď?

Pokud máte podezření, že by se vás zákon mohl týkat, je ideální postup:

  1. Zjistit, zda spadáte do regulované kategorie - pomůže vám průvodce na webu NÚKIBu

  2. Zajistit odpovědnou osobu - ideálně IT bezpečnostního specialistu nebo DPO

  3. Zahájit analýzu rizik a nastavit vnitřní pravidla

  4. Začít školit zaměstnance - a to nejen v IT, ale napříč organizací

  5. Připravit se na možné incidenty - krizový plán, zálohování, kontaktní osoby

Nejen hrozba, ale i příležitost

Nový zákon přichází ve chvíli, kdy kybernetické útoky nejsou už jen vzdálenou realitou. Zvyšuje laťku, ale zároveň dává firmám šanci:

  • zlepšit interní procesy
  • posílit důvěru u zákazníků a partnerů
  • být připravený na budoucí výzvy (AI, deepfakes, ransomware...)

Ano, nový zákon je výzva. Ale taky příležitost k růstu a profesionalizaci.

Autor/ka obrázku: Freepik