Nový zákon o kybernetické bezpečnosti – jste připraveni?

Koho se zákon týká?

Zatímco dosud se regulace týkala cca 600 organizací, nově může jít až o 6 000 firem v ČR. Povinnost se vztahuje na střední a velké podniky z více než 18 odvětví – od energetiky, dopravy, zdravotnictví až po digitální služby a veřejnou správu.

Mnoho společností si zatím vůbec neuvědomuje, že do této regulace spadnou.

Právě prvním krokem je zjistit, zda mezi ně patříte – a jaké dopady to bude mít.

Co z toho plyne? Konkrétní povinnosti:

1. Ohlášení regulované služby

• Do 60 dnů od účinnosti zákona nebo od naplnění podmínek.
• Provádí se přes Portál NÚKIB.

2. Nahlášení kontaktních osob

• Do 30 dnů od registrace služby.
• Uvádí se jméno, funkce a kontaktní údaje odpovědných osob.

3. Stanovení rozsahu řízení bezpečnosti

• Určete, která aktiva se vztahují k regulované službě.
• Pokud není rozsah stanoven, regulace se vztahuje na celou organizaci.

4. Zavedení systému řízení kybernetické bezpečnosti (ISMS)

• Dle režimu: vyšší nebo nižší povinnosti.
• Obsahuje:
  • Řízení přístupů
  • Zálohování
  • Školení zaměstnanců
  • Monitoring
  • Kryptografie, více faktorová autentizace, logování, SIEM
  • Jasné rozdělení bezpečnostních rolí
  • Pravidelné analýzy rizik
  • Pravidelné audity a revize dokumentace
  • Zajištění kontinuity činností a obnovy provozu (BCP/DRP)

5. Hlášení incidentů

• Vyšší režim: hlášení NÚKIB do 24 hodin.
• Nižší režim: hlášení Národnímu CERT.
• Povinnost informovat zákazníky.

6. Reakce na protiopatření NÚKIB

• Povinnost provést opatření vydaná úřadem.

7. Prověřování dodavatelů

• Posouzení bezpečnostních rizik dodavatelů.
• Možnost zákazu rizikových dodavatelů.
• Řízení bezpečnosti dodavatelského řetězce.

8. Určit manažera kybernetické bezpečnosti

• Vyšší režim: odborně způsobilý manažer.
• Nižší režim: pověřená osoba.

9. Zajistitdostupnost služeb z území ČR

• Týká se strategicky významných služeb.

Proč je to důležité?

Computer Security Incident Response Team Czech Republic (CSIRT) tedy tým pro řešení kybernetických bezpečnostních incidentů v České republice ve své statistice uvádí, že v roce 2024 proběhlo celkem 2 283 incidentů, v roce 2025 jich bylo 2 217. 

Mezi nejčastější patří: Phishing, Spam a Malware.

Průměrná doba obnovy po vážném incidentu (např. ransomware) se pohybuje mezi 3 až 14 dny, podle typu organizace, dokonce některé případy (např. útoky na nemocnice nebo města) vedly k výpadkům trvajícím i týdny. Přímé škody v ČR nejsou přesně vyčísleny, ale v roce 2024 byly odhadovány na miliardy korun.

Online mapa kybernetických útoků: Live Cyber Threat Map | Check Point

Sankce za nedodržení zákona

NÚKIB může uložit:

• Pokuty až 10 mil. EUR nebo 2 % obratu (základní subjekt)
• Pozastavení certifikací nebo funkcí až na 6 měsíců
• Povinnost nápravných opatření a opakovaných auditů

Co můžete udělat už teď?

• Ověřte si, zda se vás zákon týká.
• Zajistěte, že máte určenou odpovědnou osobu nebo manažera kybernetické bezpečnosti.
• Proveďte základní audit kybernetické bezpečnosti ve vaší organizaci.

Nečekejte na útok. Připravte se včas. Zákon je tu, hrozby také. Buďte o krok napřed.

Rádi vám pomůžeme zorientovat se v požadavcích zákona a naplánovat další kroky, neváhejte se na nás obrátit

Autorka:

Nikola Šeborová, Manager, Technology & Digital Consulting