Nový zákon o kybernetické bezpečnosti za humny. Jaké jsou první kroky nově regulovaných organizací? 

• Zákon o kybernetické bezpečnosti vstupuje v účinnost 1. listopadu 2025.
• Vyplývá z evropské směrnice NIS2.
• Rozšiřuje okruh regulovaných subjektů z několika stovek na tisíce.
• Týká se širokého spektra odvětví – energetika, zdravotnictví, doprava, průmysl, digitální služby aj.
• Organizace musí zjistit, zda spadají pod novou regulaci, a připravit se na nové požadavky.

Prvního listopadu 2025 vstupuje v účinnost dlouho avizovaný zákon o kybernetické bezpečnosti, který do českého právního řádu přináší změny vycházející z evropské směrnice NIS2. Jde o zásadní změnu, která rozšiřuje okruh regulovaných subjektů z několika stovek na vyšší tisíce napříč Českou republikou, a to od energetiky přes zdravotnictví až po výrobní podniky a poskytovatele digitálních služeb. Kde by tedy měly organizace s přípravou na nové požadavky začít?

Posouzení, zda organizace spadá pod novou regulaci

Prvním krokem je proces zvaný samoidentifikace a jedná se o vyhodnocení, zda se na organizaci nový zákon vůbec vztahuje. Aby se subjekt stal tzv. poskytovatelem regulované služby, musí naplnit následující tři kritéria:

1. Působí v regulovaném odvětví – například v energetice, zdravotnictví, dopravě, vodním hospodářství, průmyslu nebo digitální infrastruktuře.
2. Poskytuje konkrétní regulovanou službu, která je uvedena ve vyhlášce o regulovaných službách. Nestačí tedy působit v odvětví samotném – rozhodující je, jakou službu organizace skutečně poskytuje.
3. Dosahuje určité velikosti nebo významnosti – typicky jde o střední a velké podniky (50 a více zaměstnanců nebo obrat nad 10 milionů eur), případně organizace, jejichž činnost může mít dopad na poskytování klíčových služeb státu.

Zákon se naopak nevztahuje na malé a mikropodniky ani na subjekty mimo regulovaná odvětví. Každá organizace si však musí tato kritéria posoudit samostatně. V praxi to znamená posoudit své činnosti a poskytované služby a určit, zda se některá z nich neřadí mezi regulované služby.

Pomocným nástrojem při orientačním posouzení může být online kalkulačka dostupná na webu Portál NÚKIB.

Povinnost registrace

Pokud organizace výše uvedená kritéria naplňuje, bude podle významnosti poskytovaných služeb zařazena do jednoho ze dvou režimů:

• nižší režim – zahrnuje základní bezpečnostní opatření, určené vyhláškou o bezpečnostních opatřeních pro nižší režim.
• vyšší režim – vztahuje se na klíčové služby (např. energetika, zdravotnictví, telekomunikace) a ukládá přísnější požadavky, které jsou specifikovány vyhláškou o bezpečnostních opatřeních pro vyšší režim.

Platí přitom zásada, že pokud organizace poskytuje více regulovaných služeb v různých režimech, rozhoduje vždy režim vyšší.

Následně je nutné formálně nahlásit poskytované regulované služby prostřednictvím Portálu NÚKIB. Na registraci mají organizace 60 dnů od účinnosti zákona, tedy do 31. prosince 2025.

Po registraci začíná běžet jednoroční přechodná lhůta na zavedení všech požadovaných organizačních a technických opatření. Firmy tak musí splnit své povinnosti nejpozději do konce roku 2026.

Proč se vyplatí začít už teď

Nový zákon o kybernetické bezpečnosti není pouze o plnění povinností vůči regulátorovi.

Jeho cílem je zajistit, aby subjekty působící v ekonomicky, společensky nebo bezpečnostně významných odvětvích měly zaveden alespoň základní standard kybernetické ochrany.

Včasná příprava pomůže nejen splnit zákonné požadavky, ale i snížit riziko výpadků, ztráty dat nebo reputační škody.

Organizace by proto měly minimálně:

• vyhodnotit aktuální úroveň zabezpečení a porovnat ji s požadavky nového zákona,
• provést evidenci aktiv a analýzu rizik,
• a zahájit procesy pro implementaci požadovaných bezpečnostních opatření