Návrh zákona o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS 2[1], který přinese nové povinnosti v oblasti kybernetické bezpečnosti pro odhadem až 6000 subjektů podnikajících ve vybraných odvětvích, byl 11. 6. 2025 schválen Senátem!

Cílem zákona, který představuje novou komplexní právní úpravu, je posílit kybernetickou bezpečnost České republiky, a to zejména prostřednictvím zavádění preventivních kroků k posílení kybernetické bezpečnosti ze strany důležitých organizací. Za účelem naplnění stanoveného cíle navrhovaný zákon přináší celou řadu povinností včetně povinnosti zavádět určitá bezpečnostní opatření či hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Budou se nové povinnosti vztahovat i na Vás?

Nové povinnosti se dotknou tzv. poskytovatelů regulovaných služeb[2]. Kdo je tedy považován za poskytovatele a které služby budou regulovány? Komplexní seznam regulovaných služeb stanoví připravovaná vyhláška o regulovaných službách. Mezi regulované služby jsou zařazeny ty služby, které jsou významné pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v některém z celkem 15 vybraných odvětví, a to: veřejná správa a výkon veřejné moci, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní hospodářství, odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda, výzkum a vzdělávání, poštovní a kurýrní služby, obranný průmysl a vesmírný průmysl.

Za povinné subjekty dle uvedeného zákona jsou vždy považovány střední nebo velké podniky ve smyslu doporučení Komise[3], které poskytují regulované služby. Za střední podnik je tak považován podnik zaměstnávající 50 až 249 osob s obratem nebo rozvahou přesahující 10 milionů eur, jehož roční obrat zároveň nepřesahuje 50 milionů eur, a/nebo jehož bilanční suma roční rozvahy nepřesahuje 43 milionů eur; velkým podnikem je pak podnik přesahující výše uvedené hodnoty. Vedle podniku samotného je ovšem třeba vzít v úvahu též propojené a partnerské podniky a jejich „hodnoty“ při posouzení velikosti podniku připočíst. To však pouze za předpokladu, že jejich technická aktiva jsou propojena s technickými aktivy posuzovaného podniku. Jsou-li technická aktiva zcela oddělena, hodnoty partnerských či propojených podniků se nepřičítají.

Kromě středních a velkých podniků se nové povinnosti mohou vztahovat také na poskytovatele regulované služby, kteří jsou významní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, a to tedy bez ohledu na velikost jejich podniků.

Jaká opatření budou muset poskytovatelé regulované služby přijmout?

Návrh zákona rozlišuje dva režimy povinností, a sice režim nižších a vyšších povinností[4] a také rozlišuje dvě kategorie bezpečnostních opatření, a to opatření organizační a technická. Na poskytovatele služeb v režimu vyšších povinností budou kladeny vyšší požadavky než na poskytovatele služby v režimu nižších povinností, nicméně do jisté míry se tyto požadavky překrývají. Rovněž sankce hrozící subjektům s režimem vyšších povinností jsou samozřejmě přísnější, stejně jako např. rozsah hlášení bezpečnostních incidentů je pro subjekty v režimu vyšších povinností širší. Bezpečnostními incidenty nahlášenými subjekty v režimu vyšších povinností se zabývá přímo NÚKIB, těmi, které budou nahlášeny subjekty v režimu nižších povinností budou řešený národním CERT týmem, kterým je CZ.NIC. 

 S ohledem na skutečnost, že rozsah a intenzita organizačních a technických opatření, které budou povinné subjekty zavázány implementovat, se u obou režimu liší, budou do detailu popsány v podzákonných předpisech, které budou vydány pro každý režim zvlášť. Pro oba režimy však platí, že bude třeba zavést komplexní bezpečnostní strategii, která bude zahrnovat:

• Určení a hodnocení technických aktiv (např. z hlediska důvěrnosti, integrity, dostupnosti)
• Určení a hodnocení kybernetických rizik
• Pravidelnou analýzu kybernetických rizik a na jejím základě pak zlepšení bezpečnostních opatření.
• Ochranu proti ransomwaru, phishingu a sociálnímu inženýrství.
• Monitorování síťového provozu a ochranu kritických systémů.
• Bezpečné uchovávání a šifrování dat.
• Přísné řízení přístupu a nasazení vícefaktorové autentizace.

 V režimu vyšších povinností jsou jak organizační, tak technická opatření přísnější, např. bude v oblasti organizační třeba stanovit jednotlivé bezpečnostní role (manažer, architekt, auditor kybernetické bezpečnosti, garant aktiva), ustanovit výbor pro řízení kybernetické bezpečnosti, vypracovat a schválit bezpečnostní politiku a bezpečnostní dokumentaci, pravidelně analyzovat dopady potenciálních incidentů, řídit kontinuitu činností (pro případ výpadů), stanovit pro tyto situace plán obnovy apod. Stejně tak je třeba nastavit proces pro hlášení incidentů NÚKIB a zajištění součinnosti při řešení vzniklých situací a pravidelně vzdělávat v oblasti kyberbezpečnosti jak vedení, tak zaměstnance společností, aby byli schopní rozpoznat hrozby a na případné incidenty správně reagovat.

 Z technických opatření je možné zmínit přísnější požadavky na autentifikaci uživatelů, povinnost užívat nástroj pro detekci a záznam bezpečnostních a dalších relevantních událostí či řízení a sledování používání vyměnitelných zařízení a datových nosičů. Zmíněny jsou požadavky např. i na aplikační bezpečnost či kryptografické algoritmy a další.

 Je třeba rovněž zmínit, že v mnoha případech bude třeba i prověřit bezpečnostní úroveň dodavatelů a dalších smluvních partnerů.

 Kdy budou muset poskytovatelé nové povinnosti plnit?

V současné době návrh zákona míří k podpisu prezidenta ČR, účinným se stane prvním dnem třetího měsíce po jeho vyhlášení. Pokud by tedy byl zákon vyhlášen do konce června, stal by se účinným 1. 9 2025.

 Povinné subjekty budou mít povinnost sami posoudit, zda podléhají režimu zákona, a to i v jakém režimu a nejpozději do 60 dnů měsíců od účinnosti zákona se sami zaregistrovat u NÚKIB. Nejpozději do 30 dnů poté, co jim bude doručeno rozhodnutí, jímž NÚKIB potvrdí registraci dle zákona, pak musí nahlásit prostřednictvím portálu NÚKIB své kontaktní údaje.

 Nové povinnosti budou subjekty muset plnit nejpozději do 1 roku od doručení rozhodnutí, jímž NÚKIB potvrdí jejich registraci dle zákona.

 Je třeba upozornit, že s nesplněním povinností vyplývajících ze zákona mohou být spojeny velmi přísné sankce, např. pokuty až do výše 10 milionů EUR nebo 2 % ročního obratu. Statutární orgány povinných subjektů navíc nesou osobní odpovědnost za splnění požadavků zákona, NÚKIBu je svěřena pravomoc statutární orgán korporace, která je povinným subjektem v režimu vyšších povinností a své povinnosti podstatným způsobem nebo opakovaně nesplní, dočasně zakázat výkon funkce. V krajním případě tak může dojít až k omezení činnosti dané organizace.

O dalším vývoji, zejména datu účinnosti zákona, Vás budeme samozřejmě informovat.

..

[1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148

[2] ve smyslu § 4 odst. 1 písm. b) návrhu zákona o kybernetické bezpečnosti

[3] doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků

[4] rozdělení poskytovatelů v závislosti na poskytovaných regulovaných službách stanoví NÚKIB vyhláškou