Zákon o kybernetické bezpečnosti (dle NIS2)

Na podzim 2025 bude účinný nový Zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. Dopadne na tisíce českých společností napříč obory a přinese přísnější požadavky na kybernetickou bezpečnost, nové povinnosti i vyšší odpovědnost managementu.

Pokud pod novou legislativu spadáte, budete muset své podnikání zabezpečit v režimu vyšších nebo nižších povinností. To zahrnuje řízení rizik, implementaci bezpečnostních opatření a obsazení bezpečnostních rolí. Se vším Vám pomůžeme – od zjištění, jestli se Vás zákon týká, přes zavedení opatření až po dlouhodobý outsourcing.

Koho se nový zákon týká?

Nový Zákon o kybernetické bezpečnosti rozšiřuje okruh společností, na které se budou vztahovat povinnosti v oblasti kybernetické bezpečnosti. Dopadne i na ty, které dřív žádné požadavky plnit nemusely. Klíčové bude, jestli poskytujete tzv. regulovanou službu.

Při posuzování se zohledňuje především: velikost firmy, oblast podnikání (například telekomunikace, energetika, zdravotnictví, vodárenství, doprava nebo digitální služby) a konkrétní typ poskytovaných služeb. Nejde přitom jen o hlavní předmět podnikání – rozhodující může být i to, jaké služby reálně poskytujete třeba jako součást provozu.

V některých odvětvích se přihlíží i k přesným parametrům, jako je počet zákazníků, držení specifických licencí (například od Energetického regulačního úřadu) nebo počet lůžek akutní péče ve zdravotnictví.

Zákon se Vás může týkat i v případě, že žádnou regulovanou službu neposkytujete, ale NÚKIB Vás mezi povinné subjekty zařadí v rámci stanovených výjimek.

  • Nová legislativa o kyberbezpečnosti zavádí pro povinné subjekty řadu nových povinností. Mezi ty nejvýznamnější patří:
  • Samostatně identifikovat, jestli je společnost poskytovatelem regulované služby
  • Odpovědnost vedení společnosti za přijatá opatření v oblasti kybernetické bezpečnosti
  • Povinnost vedoucích orgánů účastnit se pravidelných školení.
  • Povinnost zavádění bezpečnostních opatření.
  • Provádění protiopatření a mnohá další.
  • Součástí opatření by pro některé subjekty mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů.

Budou se Vás týkat změny, které přináší nový zákon?

Zjistěte zdarma v našem průvodci

Přejít na urči.se

Jaké povinnosti nový zákon přinese?

Povinnosti vrcholného vedení

Cílem této povinnosti je, aby osoby v rozhodujících pozicích chápaly důsledky svých rozhodnutí a jejich dopad nejen do kybernetické bezpečnosti společnosti, ale jejího celkového fungování. Manažeři se tak budou muset seznamovat s klíčovými dokumenty, anebo absolvovat pravidelná školení.

Za opakované porušení povinností může být výkon řídící funkce člena vrcholového vedení pozastaveno.

Bezpečnost lidských zdrojů

V oblasti kybernetické bezpečnosti je potřeba zaměstnance hlavně vzdělávat. A zaznamenávat to, že jste je vzdělávali. Sebelepší (a drahé) technické řešení kybernetické bezpečnosti může selhat v případě, že vaši zaměstnanci nebudou řádně vyškoleni a otevřou phishingový e-mail.

Plány vzdělávání, školení samotná a jejich evidence jsou hlavními povinnostmi v této oblasti.

Řízení přístupu

K důležitým informacím vaší společnosti by se měly dostat pouze pečlivě vybrané osoby. K tomuto účelu slouží zakládání a evidence uživatelských účtů a řízení jejich přístupů. Zaměstnanec na HR by neměl mít přístup k obchodním datům společnosti, na rozdíl od ekonoma. A zase naopak – ekonom by neměl mít přístup k údajům o zaměstnancích.

Řízení kontinuity činností

Kontinuita činností vaší společnosti pomůže domyslet důsledky kybernetických útoků a jiných pohrom. Jaká by byla reakce v případě výpadku životně důležitého informačního systému? Jak rychle může být obnoven? Kolik mě bude stát, pokud budu chtít, aby to bylo rychleji?

Znát odpovědi na tyto a navazující otázky je lepší dřív, než se incident stane. V tom okamžiku je zásadní mít všechny postupy předem promyšlené a sepsané – k tomu slouží řízení kontinuity činností.

Bezpečnost komunikačních sítí

Bezpečnost komunikační sítě zajistíte například oddělením jednotlivých částí sítě pomocí logických celků. Neplecha pak zůstaneme jenom v dílčí části a bude tím ukončena.

S bezpečností komunikační sítě souvisí také vzdálené přístupy a zavedení VPN. S jeho implementací souvisí možnost ověřit totožnost přistupujících pomocí MFA a vést jejich evidenci.

Kryptografické algoritmy

Cílem užívání kryptografických algoritmů je zabezpečit komunikaci, technická aktiva a ostatní nástroje. Důležité je například vhodné zvolení komunikačních protokolů a stanovení pravidel pro nakládání s kryptografickými algoritmy.
NÚKIB tuto oblast aktivně sleduje a informuje o ní. Na jeho úřední desce je umístěn dokument „Minimální požadavky na kryptografické algoritmy“. Když se jej budete držet, neuděláte chybu.

Aplikační bezpečnost

U každého užívaného software je důležité, zda jej výrobce či dodavatel podporuje. U těch nepodporovaných totiž není možné zajistit jejich bezpečnost. V rámci aplikační bezpečnosti je například požadováno vedení seznamu nepodporovaného SW a dalších aktiv a skenování zranitelností interní sítě.

Řízení aktiv

Aktivum je vše, co má pro Vaši společnost hodnotu. Jedná se zpravidla o informace, systémy nebo procesy.

Když aktiva ohodnotíte, budete vědět, která jsou pro Vás nejdůležitější, na čem závisí jejich fungování a kdo je za ně odpovědný.

Řízení rizik

Řízení rizik se táhne jako červená stuha celou kybernetickou bezpečností – jedná se o aktivitu, kterou je pravidelně nutné opakovat. Společnost musí stanovit metodiku, ve které popíše, jak hodnotí rizika, identifikuje hrozby a zranitelnosti. Cílem je, aby bylo jasné, jak rizika řídit do budoucna.

Další bezpečnostní opatření se na Vás budou vztahovat podle toho, zda se svým podnikáním spadáte do nižšího, nebo vyššího režimu povinnosti. Chcete zjistit, do jakého režimu spadáte? Využijte našeho průvodce Urči.se ↗

Důležité termíny

Účinnost zákona
Účinnost nového Zákona o kybernetické bezpečnosti se očekává na podzim 2025.
Ohlášení regulované služby
Povinné subjekty musí ohlásit regulovanou službu prostřednictvím Portálu NÚKIB nejpozději do 60 dnů od účinnosti zákona.
Nahlášení kontaktních údajů
Po obdržení rozhodnutí o registraci regulované služby nahlásíte kontaktní údaje odpovědných osob přes Portál NÚKIB. Lhůta je 30 dní od doručení rozhodnutí o registraci.
Plnění povinností
Do 1 roku od rozhodnutí o registraci Vaší regulované služby musíte zavést bezpečnostní opatření podle režimu, do kterého spadáte a hlásit bezpečnostní incidenty.
1
2
3
4
Podzim 2025
+ 60 dní od účinnosti zákona
+ 30 dní od doručení registrace regulované služby
+ 1 rok od registrace regulované služby

Často kladené otázky

NIS2 je zkratka pro evropskou směrnici o kybernetické bezpečnosti, kterou musí všechny členské země EU promítnout do svého právního řádu.

Nový český Zákon o kybernetické bezpečnosti je naším způsobem implementace směrnice NIS2. Jeho cílem je zvýšit odolnost společností proti kybernetickým útokům. Proto zavádí povinnosti pro zajišťování bezpečnosti informačních systémů, klade odpovědnost na vedení společností, přináší povinnost řídit aktiva a rizika a mnoho dalšího.

Zákon bude účinný na podzim 2025. Společnosti pak musí dodržet dvě klíčové lhůty:

  • Do 60 dnů od účinnosti zákona – ohlášení regulované služby
  • Do 1 roku od potvrzení registrace regulované služby – implementace bezpečnostních opatření a povinnost hlásit incidenty.


S přípravou na změny doporučujeme začít co nejdříve, zejména kvůli rostoucím kybernetickým hrozbám, nedostatku odborníků a potřebě racionálního plánování výdajů společnosti.

Nový zákon se bude týkat i společností, které dřív žádné požadavky plnit nemusely. Odhaduje se, že dopadne na 8–10 tisíc českých organizací napříč 22 vybranými odvětvími. Pro posouzení bude klíčové, jestli poskytujete tzv. regulovanou službu nebo patříte mezi výjimky stanovené NÚKIBem. Jestli bude Vaše společnost spadat pod nový zákon si můžete jednoduše ověřit v našem bezplatném průvodci URCI.SE.

Samoidentifikace je proces, při kterém společnost sama posuzuje, jestli poskytuje regulovanou službu a spadá tak pod nový zákon. Pokud ano, má povinnost do 60 dní od účinnosti zákona regulovanou službu nahlásit na NÚKIB a začít plnit požadavky.

Ve většině případů zvládnete samoidentifikaci sami. Konzultaci s odborníky doporučujeme, pokud si nejste jisti interpretací zákona, máte komplexní organizační strukturu, poskytujete služby ve více sektorech nebo chcete minimalizovat riziko chybného posouzení.

Vyšší a nižší režim povinností si můžete představit jako dva stupně obtížnosti. S nižším režimem se pojí méně povinností, rozsah vyžadované dokumentace je sotva poloviční a je třeba obsadit jednu bezpečnostní roli. Pokud máte šikovné IT, možná nebudete muset ani přijímat nového člověka. Teoreticky jen potřebujete někoho, kdo Vám vysvětlí obsah nových povinností.

Společnosti spadající pod režim vyšších povinností oproti tomu musí obsadit minimálně tři bezpečností role, řídit rizika, spravovat a pravidelně aktualizovat více než 20 dokumentů, zavést a udržovat systémy pro monitorování sítě a mnoho dalšího.

Implementace nových legislativních požadavků obvykle trvá 6–12 měsíců v závislosti na velikosti společnosti a současném stavu kybernetické bezpečnosti. S přípravou doporučujeme začít co nejdříve.

Jak Vám můžeme pomoc?

Začneme samoidentifikací – společně určíme, jestli se na vás nový Zákon o kybernetické bezpečnosti vztahuje a do jakého režimu spadáte. Dále zmapujeme Vaše aktiva, procesy a současný stav kyberbezpečnosti (co už máte vyřešeno a kde máte mezery).

Na základě rozhovorů s odpovědnými zaměstnanci připravíme detailní plán implementace všech požadovaných opatření. Vytvoříme nebo doplníme Vaši dokumentaci tak, aby splňovala požadavky nového zákona.

Výstupem naší spolupráce budou přehledně zpracované podklady připravené na případné kontroly NÚKIBu i pro interní řízení informační bezpečnosti. Dokumentaci přizpůsobíme režimu povinností i reálnému nastavení Vaší společnosti.

Domluvit konzultaci
  • Provedením tzv. gap analýzy ověříme situaci ve Vaší společnosti a připravíme plán dalších kroků
  • Vypracujeme analýzu aktiv a rizik
  • Posoudíme bezpečnostní rizika Vašich dodavatelských řetězců
  • Vysvětlíme obsah nových povinností a zajistíme školení pro vrcholové vedení
  • Připravíme plán kontinuity podnikání a další potřebnou dokumentaci
  • Zajistíme outsourcing manažera kybernetické bezpečnosti i dalších rolí

Jak budeme postupovat?

1
Určení režimu a povinností

Pomůžeme Vám zjistit, jestli a v jakém rozsahu se na vás nový zákon vztahuje a vysvětlíme Vám, co přesně budete muset splnit.

2
Analýza současného stavu

Provedením tzv. gap analýzy ověříme stav kybernetické bezpečnosti ve Vaší společnosti a porovnáme ji s požadavky nového zákona.

3
Bezpečnostní opatření

Navrhneme technická a organizační opatření přizpůsobená Vašemu provozu. Vše tak, aby odpovídalo zákonu a zároveň dávalo smysl v praxi.

4
Tvorba a úprava dokumentace

Vytvoříme nebo upravíme Vaši bezpečnostní dokumentaci tak, aby splňovala požadavky nového zákona a byla srozumitelná i pro Váš tým.

5
Školení zaměstnanců

Zaškolíme vedení i Vaše zaměstnance. Pomůžeme nastavit odpovědnosti a zvýšit povědomí o kyberbezpečnosti napříč společností.

6
Outsourcing a podpora

Zajistíme i následnou podporu – revize, hlášení incidentů, změny v legislativě. Pokud je potřeba, postaráme se i o outsourcing bezpečnostních rolí.

Kontaktujte nás a získejte svůj deštník proti kybernetickým hrozbám!

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení. Naučíme Vás, jak rozumět a spoléhat se na Vaše zabezpečení v případě incidentů, aby mělo preventivní charakter a neochromilo provoz.

Kontakt
  • info@cybrela.com
  • + 420 724 587 588

Cybrela s.r.o.

IČ: 17597943

Sídlo:

Rybná 682/14

Praha 1-Staré Město

110 00

Kancelář:

Dukelských hrdinů 564/34

Praha 7-Holešovice

170 00

Ochrana osobních údajů

© 2025 Cybrela

Tvorba webových stránek