Poslanecká sněmovna dne 25. dubna 2025 ve třetím čtení schválila vládní návrh zákona o kybernetické bezpečnosti, o jehož přípravě jsme Vás již dříve informovali. Návrh nyní míří k projednání do Senátu.
Cílem návrhu zákona je implementace evropské směrnice NIS 2,[1] sjednocení požadavků na kybernetickou bezpečnost a posílení kybernetické bezpečnosti České republiky vůči kybernetickým hrozbám prostřednictvím preventivních opatření. Tato opatření budou muset zavést povinné subjekty, jejichž počet se ve srovnání se současnou právní úpravou přijetím návrhu zákona výrazně rozšíří.
Návrh zákona zavádí nové povinnosti pro tzv. poskytovatele regulovaných služeb. Mezi regulované služby jsou zařazeny služby významné pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v některém z celkem 15 vybraných odvětví, mezi něž patří např.: výrobní průmysl, potravinářský průmysl, odpadové hospodářství, digitální infrastruktura a služby, finanční trh, zdravotnictví, poštovní a kurýrní služby nebo energetika.
Vedle poskytování regulovaných služeb zákon rozeznává další podmínku pro aplikaci pravidel na podniky, a tím je určitý kvantifikátor. Kvantifikátorem je téměř vždy velikost samotného podniku, neboť zákon se vztahuje na střední nebo velké podniky ve smyslu doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků. Dle uvedeného doporučení je středním podnikem takový podnik, který má maximálně 250 zaměstnanců, obrat v rozmezí 10 až 50 milionů EUR a rozvahu nepřesahující 43 milionů EUR; velkým podnikem je pak podnik přesahující výše uvedené limity.
Další kvantifikátory představují prováděcí předpisy zákona, lze uvést např. celkový instalovaný energetický výkon výrobce elektřiny či skutečnost, že distributor chemických látek distribuuje takové množství nebezpečných látek, které je uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 3 tabulky I nebo II.
Nové povinnosti se budou rovněž vztahovat na poskytovatele regulované služby, kteří sice nenaplňují výše uvedená kritéria, ale jsou významní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, přičemž Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je dána pravomoc takové poskytovatele regulovaných služeb případně označit a uložit jim povinnosti ze zákona vyplývající.
Návrh zákona rozlišuje dvě úrovně regulace, a to režim nižších a režim vyšších povinností, přičemž na povinné subjekty v režimu vyšších povinností budou samozřejmě kladeny vyšší požadavky.[2] Návrh zákona dále rozlišuje dvě kategorie bezpečnostních opatření, a to opatření organizační a technická. Mezi nové povinnosti patří například školení vrcholného vedení, zavádění systémů pro řízení aktiv a rizik, bezpečnost lidských zdrojů, či používání kryptografických algoritmů.
Při posouzení rozsahu povinností nemusí vždy záležet na tom, zda je regulovaná služba jedinou či důležitou činností daného podniku. Například bez ohledu na celkový instalovaný energetický výkon bude velký podnik držící licencí na výrobu elektřiny zařazen do režimu vyšších povinností, střední podnik se stejnou licencí bude spadat pod režim nižších povinností. A to i v případě, že jeho hlavní činnost směřuje do úplně jiného segmentu trhu, který se k regulovaným službám neřadí. Podstatné zde je, že jde o licencovaného výrobce elektřiny o určité velikosti podniku. Licenci na výrobu elektřiny si však zhusta pořizují i podniky, pro které je např. střešní fotovoltaická elektrárna řešením pro pokrytí vlastní, nemalé spotřeby a případný prodej přebytků je činností v porovnání s hlavní náplní společnosti naprosto marginální. Obdobné řešení je přitom dáno např. též pro obchodníky s elektřinou, agregátory či provozovatele bateriových úložišť.
Předpokládá se, že návrh zákona nabyde účinnosti od 1. ledna 2026. Povinné subjekty se budou muset do 60 dnů od naplnění podmínek pro registraci regulované služby tzv. sebeidentifikovat a zaregistrovat u NÚKIBu. Nové povinnosti budou subjekty muset plnit nejpozději do 1 roku od doručení rozhodnutí o registraci.
…
…
