Nový zákon o kybernetické bezpečnosti – termíny, povinnosti a sankce až 250 milionů

Zákon o kybernetické bezpečnosti (č. 181/2014 Sb.) je právní předpis, který definuje povinnosti v oblasti ochrany informačních systémů a sítí elektronických komunikací před kybernetickými hrozbami. Novela tohoto zákona schválená Senátem v červnu 2025 významně rozšiřuje okruh regulovaných subjektů a implementuje evropskou směrnici NIS2. Od listopadu 2025 se bude vztahovat na přibližně 6000 středních a velkých firem napříč 18 odvětvími, které budou muset zavést komplexní bezpečnostní opatření včetně systému řízení kybernetické bezpečnosti a hlášení incidentů či pravidelných auditů v případě režimu vyšších povinností. Detailní informace o konkrétních povinnostech, termínech a praktických krocích najdete v následujícím článku – a pokud vás zajímají odpovědi na nejčastější otázky, podívejte se sem.

→ Tip: Mohlo by vás zajímat více o NIS2.

 

Novela dramaticky rozšiřuje počet regulovaných firem – ze 300 na 6000

Česká republika stojí před největší změnou v oblasti kybernetické bezpečnosti za posledních 10 let. Novela zákona o kybernetické bezpečnosti, kterou 11. června 2025 schválil Senát, fundamentálně mění pravidla hry pro tisíce českých firem. Zatímco dosud se zákon vztahoval především na kritickou infrastrukturu státu a několik stovek kritických subjektů, nová úprava rozšíří počet regulovaných organizací na přibližně 6000.

Legislativní proces se blíží ke konci – po schválení Poslaneckou sněmovnou 25. dubna 2025 a následném přijetí Senátem nyní zákon čeká pouze na podpis prezidenta republiky. Ten má čas do 2. července 2025, přičemž odborníci nepředpokládají využití práva veta. Účinnost je stanovena na první den třetího kalendářního měsíce po vyhlášení, což při očekávaném červencovém podpisu znamená 1. listopad 2025.

Důležité termíny, které si musíte zapamatovat

Pro dotčené firmy začne běžet několik kritických lhůt:

• 60 dní od účinnosti – povinnost registrace u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
• 12 měsíců od účinnosti – lhůta pro plnou implementaci všech požadovaných bezpečnostních opatření.
• Průběžné plnění – hlášení kybernetických incidentů, vedení dokumentace.

Implementace evropské směrnice NIS2 do českého práva přichází s více než ročním zpožděním – původní termín vypršel již 17. října 2024. Česká republika tak patří mezi opozdilce, nicméně například Slovensko či Belgie již podobnou legislativu úspěšně zavedly.

Sankce, které mohou ohrozit existenci firmy

Nejvýraznější změnou jsou drasticky zvýšené sankce. Zatímco dosud hrozily pokuty v řádu jednotek milionů korun, nová úprava stanovuje:

• Základní subjekty – až 250 milionů Kč nebo 2 % celosvětového ročního obratu (vyšší částka).
• Důležité subjekty – až 175 milionů Kč nebo 1,4 % celosvětového obratu.
• Osobní odpovědnost – členové vrcholového vedení mohou dostat zákaz výkonu funkce na minimálně 6 měsíců.

NÚKIB bude při ukládání sankcí postupovat podle principu postupné eskalace – nejprve upozornění, stanovení lhůty k nápravě, vydání reaktivního opatření a teprve při jejich nesplnění přistoupí k pokutám. Ty jsou splatné do 30 dnů od nabytí právní moci rozhodnutí.

Kdo konkrétně spadá pod novou regulaci – na velikosti v tomto případě záleží

Určení, zda vaše firma spadá pod nový zákon o kybernetické bezpečnosti, začíná u velikostních kritérií. Regulace se bude vztahovat na střední a velké podniky, které splňují alespoň jedno z následujících kritérií:

• 50 a více zaměstnanců.
• Roční obrat nad 10 milionů € (přibližně 250 milionů Kč).
• Bilanční suma nad 10 milionů €.

Tato kritéria vycházejí z evropského doporučení a jsou jednotná pro všechny členské státy EU. Zásadní je však kombinace velikosti a odvětví, ve kterém firma působí.

18 regulovaných odvětví – od energetiky po online tržiště

Novela rozšiřuje počet regulovaných sektorů ze 7 na 18. Do režimu kybernetické bezpečnosti nově vstupují odvětví, která dosud nebyla regulována:

Odvětví s vyššími povinnostmi (příloha I směrnice NIS2):

• Energetika – výroba, přenos a distribuce elektřiny, plynu, ropy.
• Doprava – železniční, letecká, vodní a silniční doprava.
• Bankovnictví a kapitálové trhy.
• Zdravotnictví – nemocnice, výrobci léčiv a zdravotnických prostředků.
• Pitná a odpadní voda.
• Digitální infrastruktura – poskytovatelé internetových uzlů, DNS a cloudových služeb.
• Veřejná správa.

Odvětví s nižšími povinnostmi (Příloha II směrnice NIS2):

• Poštovní a kurýrní služby.
• Odpadové hospodářství.
• Chemický průmysl – výroba a distribuce chemických látek.
• Potravinářství – výroba, zpracování a distribuce potravin.
• Výroba kritických produktů – léčiva, zdravotnické prostředky, počítače, elektronika.
• Poskytovatelé digitálních služeb – online tržiště, internetové vyhledávače, sociální sítě.
• Vesmírný průmysl.

Dva režimy povinností podle kritičnosti

Zákon o kybernetické bezpečnosti rozlišuje mezi základními a důležitými subjekty, což určuje rozsah povinností:

Režim vyšších povinností se vztahuje na:

• Velké podniky (nad 250 zaměstnanců nebo obrat nad 50 mil. EUR) z odvětví Přílohy I.
• Subjekty poskytující základní služby bez ohledu na velikost.

Režim nižších povinností platí pro:

• Střední podniky z odvětví Přílohy I.
• Všechny střední a velké podniky z odvětví Přílohy II.

Pozor na dodavatelské řetězce

Velmi důležitou novinkou je regulace strategicky významných dodavatelů. Pokud vaše firma dodává klíčové služby nebo produkty regulovaným subjektům, může se na vás vztahovat povinnost dodržovat bezpečnostní požadavky bez ohledu na velikost. Typicky jde o:

• IT firmy spravující kritické systémy.
• Poskytovatele cloudových služeb.
• Dodavatele bezpečnostních řešení.
• Správce datových center.

NÚKIB bude mít pravomoc na návrh regulovaného subjektu určit, že konkrétní dodavatel je strategicky významný, a může dokonce zakázat využívání rizikových dodavatelů.

 

 

Jaké konkrétní povinnosti novela ukládá – od systému řízení po hlášení incidentů

Implementace požadavků nového zákona o kybernetické bezpečnosti znamená transformaci firemních procesů. Všechny regulované subjekty musí zavést komplexní systém řízení bezpečnosti informací (ISMS), který zahrnuje:

• Řízení rizik – pravidelná analýza a hodnocení kybernetických hrozeb.
• Bezpečnostní politiky – dokumentované postupy a pravidla.
• Organizační bezpečnost – jasně definované role a odpovědnosti.
• Řízení přístupu – kontrola oprávnění k systémům a datům.
• Fyzická bezpečnost – ochrana serveroven a IT infrastruktury.
• Školení zaměstnanců – pravidelná osvěta v oblasti kybernetické bezpečnosti.
• Řízení kontinuity – plány pro případ výpadků a krizových situací.
• Zvládání incidentů – postupy pro detekci a řešení bezpečnostních událostí.

Významné pozice – manažer, architekt a auditor

Subjekty v režimu vyšších povinností musí jmenovat tři specializované pozice:

• Architekt kybernetické bezpečnosti – navrhuje technická řešení, dohlíží na bezpečnostní architekturu systémů.
• Auditor kybernetické bezpečnosti – provádí nezávislé kontroly, ověřuje účinnost zavedených opatření.
• Manažer kybernetické bezpečnosti – koordinuje implementaci bezpečnostních opatření, komunikuje s NÚKIB a nese odpovědnost za dodržování zákona.

→ Tip: Pronajměte si služby manažera kybernetické bezpečnosti, který převezme zodpovědnost za soulad s legislativou.

Tyto role můžete obsadit interními zaměstnanci nebo externími dodavateli, musí však splňovat kvalifikační požadavky a být nezávislé. Subjekty v režimu nižších povinností potřebují pouze jednu odpovědnou osobu.

Hlášení incidentů – každá hodina rozhoduje

Povinnost hlásit kybernetické bezpečnostní incidenty patří k nejkritičtějším požadavkům:

Režim vyšších povinností:

• Hlášení přímo NÚKIB do 24 hodin od detekce.
• Předběžné hlášení, následná aktualizace a závěrečná zpráva.
• Uchovávání logů 18 měsíců.

Režim nižších povinností:

• Hlášení přes Národní CERT do 72 hodin.
• Zjednodušený formát hlášení.
• Uchovávání logů 12 měsíců.

Technická opatření – od SIEM po vícefaktorovou autentizaci

Firmy musí povinně implementovat pokročilé bezpečnostní technologie; pro režim vyšších povinností např.:

• SIEM systémy pro sběr a vyhodnocování bezpečnostních událostí.
• EDR řešení pro ochranu koncových stanic.
• Vícefaktorová autentizace pro přístup k citlivým systémům.
• Šifrování dat v klidu i při přenosu.
• Pravidelné penetrační testy a audity.
• Nástroje pro detekci anomálií v síťovém provozu.

→ Tip: Obraťte se na nás s penetračními testy i bezpečnostními audity.

Odpovědnost vrcholového vedení

Zásadní novinkou je přímá odpovědnost managementu. Představenstvo a vrcholové vedení musí:

• Zajistit dostatečné zdroje pro kybernetickou bezpečnost.
• Stanovit bezpečnostní cíle a strategie.
• Aktivně se podílet na řízení rizik.
• Pravidelně přezkoumávat účinnost opatření.

Při závažném porušení povinností hrozí členům vedení osobní sankce včetně dočasného zákazu výkonu funkce.

 

Jak se připravit na nové povinnosti – začněte ihned

S implementací požadavků zákona o kybernetické bezpečnosti není radno otálet. Průměrná doba zavedení komplexního systému kybernetické bezpečnosti se pohybuje mezi 6 až 12 měsíci, přičemž kritický nedostatek specialistů situaci dále komplikuje.

Krok 1 – sebeidentifikace a gap analýza

Prvním krokem je určení, zda spadáte pod regulaci a v jakém režimu. NÚKIB připravuje online nástroj pro sebehodnocení, který bude k dispozici ještě před účinností zákona. Následně proveďte:

• Analýzu současného stavu bezpečnostních opatření.
• Identifikaci chybějících prvků oproti požadavkům.
• Zmapování dodavatelského řetězce.
• Vyhodnocení rizik a priorit.

Krok 2 – využijte metodickou podporu NÚKIB

Národní úřad intenzivně pracuje na podpůrných materiálech:

• Průvodce řízením aktiv a rizik s praktickými příklady.
• Metodiky analýzy rizik pro různé velikosti organizací.
• Standardy pro audity a vzorové dokumenty.
• E-learningové kurzy pro bezpečnostní role.
• CyberEdu NIS2 Academy – bezplatný 6týdenní online kurz.

Krok 3 – zvažte certifikaci ISO 27001

Firmy s certifikací ISO 27001 mají významnou výhodu – již implementují řadu požadovaných opatření. Certifikace poskytuje:

• Ověřený systém řízení bezpečnosti informací
• Metodiku pro kontinuální zlepšování
• Snazší prokázání souladu se zákonem
• Důvěru zákazníků a partnerů

Praktické tipy pro rychlý start

1. Začněte bezpečnostními politikami – nízkonákladové, ale účinné řešení.
2. Zajistěte školení klíčových osob – investice do znalostí se rychle vrátí.
3. Vytvořte incident response plán – připravenost na krize je kritická.
4. Implementujte základní monitoring – viditelnost do systémů je základ.
5. Dokumentujte vše od začátku – ušetříte čas při auditech.

→ Tip: Přečtete si i náš předchozí článek o tom, jak se připravit na legislativní změny a vyhnout se sankcím.

 

Finanční dopady a překážky implementace

Implementace požadavků nového zákona o kybernetické bezpečnosti představuje významnou finanční zátěž. Podle průzkumu EY nově regulované společnosti očekávají navýšení nákladů na kybernetickou bezpečnost až o 40 %, zatímco již regulované subjekty počítají s nárůstem o 15 %.

Největší nákladové položky zahrnují:

• Investice do technologií (SIEM, EDR, SOAR) – miliony korun.
• Externí audity a certifikace – stovky tisíc ročně.
• Školení zaměstnanců a budování bezpečnostního povědomí.
• Mzdy specialistů nebo outsourcing – SOC služby od 100 000 Kč měsíčně.

Kritický nedostatek odborníků

Více než 50 % firem uvádí nedostatečné personální kapacity jako hlavní překážku. Situaci komplikuje:

• Akutní nedostatek kvalifikovaných specialistů na trhu.
• Vysoké mzdové požadavky expertů.
• Časový tlak – 34 % manažerů vidí jako zásadní problém nedostatek času.

Řešením může být využití externích dodavatelů, sdílení zdrojů v rámci skupiny nebo investice do vzdělávání stávajících zaměstnanců.

 

Na co se nejčastěji ptáte (FAQ)

Kdo spadá pod zákon o kybernetické bezpečnosti?

Pod zákon o kybernetické bezpečnosti spadají střední a velké podniky (50+ zaměstnanců nebo obrat nad 10 mil. €) působící v 18 regulovaných odvětvích, správci kritické infrastruktury, poskytovatelé základních a digitálních služeb a jejich strategicky významní dodavatelé.

Kdy začne platit NIS2?

Nový zákon o kybernetické bezpečnosti implementující směrnici NIS2 začne platit 1. listopadu 2025 (při očekávaném podpisu prezidenta v červenci 2025). Firmy budou mít 60 dní na registraci u NÚKIB a 12 měsíců na plnou implementaci.

Koho se týká NIS2?

NIS2 se týká přibližně 6000 českých firem napříč odvětvími od energetiky a dopravy přes zdravotnictví a finance až po potravinářství, chemický průmysl a digitální služby. Rozhodující je kombinace velikosti firmy a odvětví působení.

Co je regulovaná služba?

Regulovaná služba je služba poskytovaná v některém z 18 odvětví definovaných směrnicí NIS2, jejíž narušení by mohlo mít významný dopad na ekonomiku, společnost nebo veřejnou bezpečnost. NÚKIB vydá prováděcí vyhlášku s přesným vymezením.

 

Zajistěte včas soulad se zákonem o kybernetické bezpečnosti

Čas na přípravu rychle ubývá – s implementací požadavků zákona o kybernetické bezpečnosti musíte začít okamžitě. Algotech má více než 25 let zkušeností s kyberbezpečností a pomůže vám projít celým procesem od analýzy po soulad s novou legislativou. Zjistěte více o našich řešeních implementace NIS2 pro veřejný sektor nebo soukromý sektor a vyžádejte si nezávaznou konzultaci ještě dnes.