Nový zákon o kybernetické bezpečnosti byl vyhlášen ve Sbírce zákonů a mezinárodních smluv a nabude účinnosti ke dni 1. listopadu 2025.

Zákon, jehož cílem byla zejména implementace evropské směrnice NIS 2 a posílení kybernetické bezpečnosti České republiky vůči kybernetickým hrozbám, byl podepsán prezidentem a dne 4. srpna 2025 pod č. 264/2025 vyhlášen ve Sbírce zákonů.

Jak jsme Vás již v minulosti informovali, počet povinných subjektů, které budou muset zavést bezpečnostní opatření, se ve srovnání s předchozí právní úpravou novým zákonem výrazně rozšíří. Zákon zavádí povinnosti pro poskytovatele služeb, kteří poskytují služby významné pro bezpečnost či zabezpečení důležitých společenských nebo ekonomických činností. Mezi tato odvětví zákon řadí například energetiku, potravinářský, výrobní a chemický průmysl, dopravu, zdravotnictví, digitální infrastrukturu a služby či finanční trh. Specifičtější kvantifikátory a limity ve vztahu k jednotlivým uvedeným odvětvím činností představují prováděcí předpisy zákona.

Zákon se přitom na poskytovatele těchto regulovaných služeb vztahuje, pokud se jedná o střední nebo velké podniky, přičemž dle příslušného doporučení Evropské komise je středním podnikem takový podnik, který má maximálně 250 zaměstnanců, obrat v rozmezí 10 až 50 milionů EUR a rozvahu nepřesahující 43 milionů EUR; velkým podnikem je pak podnik přesahující výše uvedené limity. Podotýkáme, že podobně jako v oblasti dotační, se i v tomto případě k velikosti podniku připočítají ukazatele podniků partnerských a propojených. To ovšem jen tehdy, kdy nejsou technická aktiva poskytovatele regulované služby a jeho partnerských či propojených podniků oddělena.

Povinnosti dle nového zákona se však mohou vztahovat i na poskytovatele, kteří výše uvedené podmínky nesplňují – NÚKIB je dána pravomoc označit specifické poskytovatele regulovaných služeb, kteří jsou významní pro zabezpečení důležitých společenských nebo ekonomických činností nebo pro bezpečnost v České republice, a uložit jim povinnosti ze zákona vyplývající.

Pro společnosti, které již ke dni 1. listopadu naplní podmínky pro identifikaci regulované služby, platí povinnost nejpozději do 31. prosince zajistit registraci samotné regulované služby prostřednictvím formulářového elektronického portálu prostřednictvím portálu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Společnosti, které tyto podmínky naplní až po 1. listopadu budou mít povinnost zajistit danou registraci nejpozději do 60 dnů od jejich naplnění.

Následně musí společnosti nejpozději do 30 dnů NÚKIB nahlásit kontaktní údaje o fyzických osobách, které jsou v záležitostech upravených novým zákonem o kybernetické bezpečnosti oprávněni poskytovatele zastupovat. Současně je nutné NÚKIB oznámit doplňující údaje, týkající se vlastnické struktury poskytovatele, technické údaje ohledně poskytované regulované služby a jejím geografickém rozšíření, včetně přeshraničního poskytování.

V návaznosti na registraci regulované služby na portálu NÚKIB bude vydáno osvědčení o registraci. Do jednoho roku poté, co bude osvědčení vydáno, že poskytovatel regulované služby povinen zavést potřebná organizační a technická opatření směřující k vytvoření patřičné úrovně kybernetické ochrany jeho aktiv a dat. Tato opatření jsou podrobně popsána v prováděcích předpisech, k jejichž vydání je zákonem zmocněn NÚKIB a jež mají být každým dnem vydána.

Z toho, co je již v tuto chvíli známo, lze uzavřít, že co nejdříve po doručení rozhodnutí o registraci regulované služby musí poskytovatel regulované služby stanovit rozsah řízení kybernetické bezpečnosti, což zahrnuje určení všech primárních aktiv poskytovatele regulované služby a podpůrných aktiv u nich a následně posouzení, zda tato aktiva souvisejí s poskytováním regulované služby.

Následně zavede potřebná bezpečnostní opatření a nastaví procesy pro detekci a hlášení případných kybernetických bezpečnostních incidentů v souladu se zákonem. S tím souvisí např. povinnost zaškolení vrcholného vedení v oblasti řízení procesů v kybernetické bezpečnosti, zavádění systémů pro řízení aktiv a rizik, bezpečnost lidských zdrojů, či používání kryptografických algoritmů.

Je třeba upozornit, že s nesplněním povinností vyplývajících ze zákona mohou být spojeny velmi přísné sankce, např. pokuty až do výše 10 milionů EUR nebo 2 % ročního obratu. Statutární orgány povinných subjektů navíc nesou osobní odpovědnost za splnění požadavků zákona, NÚKIBu je svěřena pravomoc statutární orgán korporace, která je povinným subjektem v režimu vyšších povinností a své povinnosti podstatným způsobem nebo opakovaně nesplní, dočasně zakázat výkon funkce. V krajním případě tak může dojít až k omezení činnosti dané organizace.
…..

Tento materiál slouží pouze jako všeobecná informace o aktuálních tématech, nejedná se o poradenství. Nezohledňují se v něm žádné zvláštní okolnosti, finanční situace či zvláštní požadavky adresátů. Jeho adresáti by si proto měli vždy vyžádat příslušné profesionální služby k uvedeným informacím. I přes pečlivé sestavení tohoto materiálu nemůže společnost bpv Braun Partners s.r.o. advokáti, její partneři, spolupracovníci či spolupracující advokáti a daňoví poradci zaručit přesnost a úplnost informací zde obsažených a nepřebírá jakoukoliv odpovědnost za konání nebo zdržení se konání na základě informací obsažených v tomto materiálu.