Nový zákon o kybernetické bezpečnosti nabyl účinnosti. Dotkne se i vaší společnosti?

Dne 1. listopadu 2025 nabyl účinnosti nový zákon o kybernetické bezpečnosti, který do českého právního řádu implementuje evropskou směrnici NIS2. Tento právní předpis zásadně rozšiřuje okruh regulovaných subjektů. Subjekty spadající pod regulaci jsou rozděleny do dvou kategorií – režimu nižších a vyšších povinností.

Nová legislativa je důležitá nejen z hlediska „papírového“ splnění legislativních povinností, ale především jako klíčový nástroj skutečné prevence kybernetických útoků. Tyto útoky představují vážnou hrozbu pro fungování podniků, mohou způsobit ztrátu dat, finanční škody i poškození reputace.

Zákon doprovází soubor prováděcích právních předpisů. Klíčová je vyhláška o regulovaných službách, která detailně vymezuje konkrétní služby a odvětví, na něž se nová právní úprava vztahuje a také vyhlášky specifikující bezpečnostní opatření v režimu nižších a vyšších povinností.

Pro ohlášení regulované služby a získání relevantních informací zřídil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) specializovaný elektronický portál.

Jaké kroky je tedy nutné provést?

  1. Na základě vyhlášky o regulovaných službách určit, zdali Vaše společnost spadá pod tuto regulaci. Roli hraje také velikost podniku, přičemž je třeba zohlednit také partnerské a propojené podniky.
  2. Pokud Vaše společnost spadá dle bodu 1 pod novou regulaci, je nutné ohlásit regulovanou službu nejpozději do60 dnů ode dne, kdy ke splnění podmínek došlo, ohlášení se provádí skrze formulář na portálu NÚKIB.
  3. V případě, že jsou splněny podmínky, rozhodne úřad o registraci regulované služby.
  4. Po doručení rozhodnutí o registraci musí společnost do 30 dnů nahlásit kontaktní údaje v případě, že tak již neučinila při ohlášení regulované služby dle bodu 2.
  5. Nejpozději do jednoho roku od doručení rozhodnutí o registraci je Vaše společnost povinna začít hlásit kybernetické bezpečnostní incidenty a také zavést bezpečnostní opatření.

Přehled vybraných povinností v rámci režimů nižších a vyšších povinností:

Režim nižších povinností

  1. Společnost zavede a provádí bezpečnostní opatření, která jsou přiměřená bezpečnostním potřebám.
  2. Společnost provede a dokumentuje alespoň jednou ročně aktualizaci přehledu bezpečnostních opatření, včetně vyhodnocení jejich účinnosti.
  3. Společnost určí osobu pověřenou kybernetickou bezpečností, která absolvuje odborné školení nebo prokáže odbornou znalost v oblasti kybernetické bezpečnosti.

Režim vyšších povinností

  1. Společnost určí manažera kybernetické bezpečnosti, který musí prokázat odbornou způsobilost a praxi s řízením kybernetické bezpečnosti po dobu nejméně tří let. Dále je třeba určit i další bezpečnostní role, například auditora kybernetické bezpečnosti.
  2. Společnost zajistí testování plánů kontinuity činnosti, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.
  3. Společnost zajistí provedení auditu kybernetické bezpečnosti, případně penetračních testů.

Naše advokátní kancelář Vám pomůže posoudit, zda se na Vaši společnost nová právní úprava vztahuje. V případě pozitivního závěru zajistíme veškeré následné kroky od registrace až po nastavení procesů v souladu s požadavky zákona.

Nový zákon může dopadnout na překvapivě široké spektrum podniků. Včasné řešení je klíčem k právní jistotě i kybernetické odolnosti.