Nový zákon o kybernetické bezpečnosti

Dnem 1. listopadu 2025 nabývá účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nahrazuje dosavadní zákon č. 181/2014 Sb.

Nová úprava představuje implementaci evropské směrnice NIS2, jejímž cílem je sjednotit pravidla kybernetické bezpečnosti v celé EU a posílit odolnost organizací vůči rostoucím kybernetickým hrozbám.

Hlavní cíle nové právní úpravy

Nový kybernetický zákon reaguje na potřebu modernizace systému ochrany před kybernetickými útoky a stanoví jasná pravidla pro podniky i instituce. Mezi jeho klíčové cíle patří:

• sjednocení pravidel pro různé typy organizací do jedné kategorie poskytovatelů regulovaných služeb,
• posílení řízení kybernetické bezpečnosti dodavatelů,
• zlepšení hlášení a reakce na incidenty,
• stanovení minimální úrovně bezpečnostních opatření,
• zvýšení efektivity dohledu NÚKIB.

Kdo spadá pod nový zákon?

Zákon se vztahuje na organizace, které:

1. působí v regulovaném odvětví – např. energetika, zdravotnictví, doprava, digitální infrastruktura, veřejná správa, finanční trh, průmysl, vzdělávání aj.,
2. poskytují službu uvedenou ve vyhlášce NÚKIB,
3. splňují podmínky významnosti (velikost podniku, obrat, bilanční suma).

Výjimku tvoří pouze systémy pracující s utajovanými informacemi podle zvláštních předpisů. Zároveň je možností zvláštní postup NÚKIB, kdy může rovněž zahájit řízení z moci úřední, pokud poskytovaná služba má potenciál významně ohrozit bezpečnost České republiky.

Povinnosti poskytovatelů

• Ohlášení regulované služby – do 60 dnů od splnění kritérií.
• Nahlášení kontaktních údajů – do 30 dnů od registrace.
• Hlášení incidentů – do 24 hodin od zjištění, doplnění do 72 hodin a závěrečná zpráva do 30 dnů.
• Zavedení bezpečnostních opatření – do 1 roku od registrace.
• Informování zákazníků o hrozbách a incidentech.
• Provádění protiopatření vydaných NÚKIB.
• Zajištění dostupnosti klíčových služeb z území ČR.
• Řízení bezpečnosti dodavatelského řetězce.
• Umožnění výkonu kontroly ze strany NÚKIB.

Režimy povinností

Podle významu a velikosti organizace rozlišuje zákon dva režimy, režim vyšších povinností – pro strategicky významné subjekty (kritická infrastruktura, základní služby, essential entities dle NIS2) a režim nižších povinností – pro menší či méně kritické subjekty (important entities).

Jednotlivé subjekty mohou fungovat vždy jen v jednom režimu poskytovatele regulované služby, přičemž režim u konkrétního subjektu lze zjistit prostřednictvím vyhlášky o regulovaných službách. Pro ověření, zda bude subjekt dle nové právní úpravy spadat mezi regulované subjekty, lze použít kalkulačku na webových stránkách Portálu NÚKIB.

Sankce a pokuty

Nový zákon výrazně zvyšuje výši pokut a zavádí jejich vazbu na celosvětový roční obrat organizace.
Zatímco původní zákon umožňoval uložit pokutu maximálně 5 milionů Kč, nová úprava počítá s pokutami až v řádu stovek milionů korun.

Maximální výše sankcí

• Režim vyšších povinností:
  až 250 000 000 Kč nebo 2 % čistého celosvětového obratu (podle toho, která částka je vyšší).
  Týká se např. nezavedení bezpečnostních opatření či nesplnění protiopatření NÚKIB.
• Režim nižších povinností:
  až 175 000 000 Kč nebo 1,4 % obratu.
• Méně závažná porušení:
  až 100 000 000 Kč (např. nesplnění ohlašovacích povinností, neaktualizace údajů o dodavatelích).

Pokud si nejste jistí, zda vaše společnost spadá pod novou regulaci, nebo potřebujete zpracovat analýzu dopadů, nastavit interní procesy či připravit smluvní dokumentaci s dodavateli,
neváhejte nás kontaktovat.

Rádi vám pomůžeme se v nové právní úpravě zorientovat, vyhodnotit rizika a zajistit, aby vaše organizace byla na účinnost zákona od 1. listopadu 2025 plně připravena.