Das neue tschechische Gesetz zur Cybersicherheit ist in Kraft getreten. Betrifft es auch Ihr Unternehmen?

Am 1. November 2025 ist das neue Gesetz über Cybersicherheit in Kraft getreten, mit dem die europäische Richtlinie NIS2 in das tschechische Rechtssystem umgesetzt wurde. Diese Rechtsvorschrift erweitert den Kreis der regulierten Unternehmen grundlegend. Die unter die Regulierung fallenden Unternehmen werden in zwei Kategorien unterteilt – in Unternehmen mit geringeren und Unternehmen mit höheren Verpflichtungen.

Das neue Recht ist nicht nur im Hinblick auf die „formale” Erfüllung der gesetzlichen Verpflichtungen wichtig, sondern vor allem als entscheidendes Instrument zur tatsächlichen Prävention von Cyberangriffen. Diese Angriffe stellen eine ernsthafte Bedrohung für den Betrieb von Unternehmen dar und können zu Datenverlusten, finanziellen Schäden und Rufschädigung führen.

Das Gesetz wird von einer Reihe von Durchführungsbestimmungen begleitet. Von zentraler Bedeutung ist die Verordnung über regulierte Dienste, die die konkreten Dienste und Branchen, für die die neue Rechtsvorschrift gilt, sowie die Verordnungen, in denen die Sicherheitsmaßnahmen im Rahmen der geringeren und höheren Verpflichtungen festgelegt sind, detailliert definiert. Für die Meldung regulierter Dienste und den Erhalt relevanter Informationen hat die Nationale Behörde für Cyber- und Informationssicherheit (NÚKIB) ein spezielles elektronisches Portal eingerichtet.

Welche Schritte müssen Sie jetzt unternehmen?

1. Stellen Sie auf Grundlage der Verordnung über regulierte Dienste fest, ob Ihr Unternehmen in den Anwendungsbereich der Verordnung fällt. Dabei spielen auch die Größe des Unternehmens und das Vorhandensein von Partner- oder verbundenen Unternehmen eine Rolle.
2. Fällt Ihr Unternehmen unter Punkt 1, müssen Sie den regulierten Dienst spätestens binnen 60 Tagen nach Erfüllung der Voraussetzungen melden. Die Meldung erfolgt über ein Formular auf dem Portal der NÚKIB.
3. Sind die Bedingungen erfüllt, entscheidet die NÚKIB über die Registrierung der regulierten Dienstleistung.
4. Nach Erhalt der Registrierungsentscheidung muss das Unternehmen innerhalb von 30 Tagen seine Kontaktdaten angeben, sofern diese nicht bereits bei der Meldung der regulierten Dienstleistung gemäß Punkt 2 angegeben wurden.
5. Spätestens ein Jahr nach Zustellung der Registrierungsentscheidung ist Ihr Unternehmen verpflichtet, mit der Meldung von Cybersicherheitsvorfällen zu beginnen und die erforderlichen Sicherheitsmaßnahmen umzusetzen.

Übersicht über ausgewählte Verpflichtungen im Rahmen der Regime mit geringeren und höheren Verpflichtungen:

Regime mit geringeren Verpflichtungen

1. Das Unternehmen muss diejenigen Sicherheitsmaßnahmen umsetzen und durchführen, die seinen Sicherheitsanforderungen entsprechen.
2. Das Unternehmen muss mindestens einmal jährlich sein Verzeichnis der Sicherheitsmaßnahmen aktualisieren und dokumentieren, einschließlich einer Bewertung ihrer Wirksamkeit.
3. Das Unternehmen muss eine für Cybersicherheit verantwortliche Person benennen, die im Bereich Cybersicherheit eine Berufsausbildung absolviert hat oder über nachweisliche Fachkompetenz verfügt.

Regime mit höheren Verpflichtungen

1. Das Unternehmen muss einen Cybersicherheitsmanager ernennen, der über fachliche Kompetenz und mindestens drei Jahre Erfahrung im Management von Cybersicherheit verfügt. Darüber hinaus müssen weitere Sicherheitsfunktionen benannt werden, beispielsweise ein Cybersicherheitsprüfer.
2. Das Unternehmen muss sicherstellen, dass Geschäftskontinuitätspläne, Wiederherstellungspläne und Prozesse im Zusammenhang mit der Behandlung von Cybersicherheitsvorfällen getestet werden.
3. Das Unternehmen muss sicherstellen, dass eine Cybersicherheitsprüfung durchgeführt wird oder gegebenenfalls Penetrationstests durchgeführt werden.

Wir helfen Ihnen dabei, zu beurteilen, ob der neue Rechtsrahmen für Ihr Unternehmen gilt. Ist dies der Fall, übernehmen wir alle weiteren Schritte von der Registrierung bis zur Einrichtung von Prozessen, die den Anforderungen des Gesetzes entsprechen.

Das neue Gesetz betrifft überraschend viele Unternehmen. Rechtssicherheit und Cybersicherheit erfordern daher zeitnahes Handeln.