Das neue Gesetz über Cybersicherheit wurde im Gesetzblatt veröffentlicht und tritt am 1. November 2025 in Kraft.

Das Gesetz, das in erster Linie auf die Umsetzung der europäischen NIS-2 EU-Richtlinie und die Stärkung der Cybersicherheit der Tschechischen Republik gegen Cyberbedrohungen abzielt, wurde vom Präsidenten unterzeichnet und am 4. August 2025 unter der Nummer 264/2025 im Gesetzblatt veröffentlicht.

Wie wir Ihnen bereits in der Vergangenheit mitgeteilt haben, wird die Zahl der verpflichteten Unternehmen, die Sicherheitsmaßnahmen umsetzen müssen, unter dem neuen Gesetz im Vergleich zur bisherigen Gesetzgebung deutlich steigen. Das Gesetz führt Verpflichtungen für Dienstleister ein, die Dienste erbringen, die für die Sicherheit oder den Schutz wichtiger sozialer oder wirtschaftlicher Aktivitäten von Bedeutung sind. Das Gesetz klassifiziert diese Sektoren beispielsweise als Energie-, Lebensmittel-, Fertigungs- und Chemieindustrie, Verkehr, Gesundheitswesen, digitale Infrastruktur und Dienstleistungen sowie den Finanzmarkt. Genauere Quantifizierer und Grenzwerte in Bezug auf die einzelnen Tätigkeitsbereiche sind in den Durchführungsverordnungen des Gesetzes festgelegt.

Das Gesetz gilt für Anbieter dieser regulierten Dienste, wenn es sich um mittlere oder große Unternehmen handelt, wobei gemäß der einschlägigen Empfehlung der Europäischen Kommission ein mittleres Unternehmen ein Unternehmen mit maximal 250 Beschäftigten, einem Umsatz zwischen 10 und 50 Millionen Euro und einer Bilanzsumme von höchstens 43 Millionen Euro ist; ein großes Unternehmen ist ein Unternehmen, das die oben genannten Grenzen überschreitet. Wir weisen darauf hin, dass wie im Bereich der Subventionen auch die Größe des Unternehmens durch Hinzurechnen der Indikatoren von Partner- und verbundenen Unternehmen berechnet wird. Dies gilt jedoch nur, wenn die technischen Vermögenswerte des Anbieters der regulierten Dienstleistung und seiner Partner- oder verbundenen Unternehmen nicht getrennt sind.

Die Verpflichtungen nach dem neuen Gesetz können jedoch auch für Anbieter gelten, die die oben genannten Bedingungen nicht erfüllen – die NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost – Nationale Behörde für Cyber- und Informationssicherheit) ist befugt, bestimmte Anbieter regulierter Dienste, die für die Sicherheit wichtiger sozialer oder wirtschaftlicher Aktivitäten oder für die Sicherheit in der Tschechischen Republik von Bedeutung sind, zu benennen und ihnen gesetzliche Verpflichtungen aufzuerlegen.

Unternehmen, die bereits zum 1. November die Voraussetzungen für die Identifizierung eines regulierten Dienstes erfüllen, sind verpflichtet, den regulierten Dienst selbst bis spätestens 31. Dezember über das elektronische Portal der NÚKIB unter www.portal.nukib.gov.cz zu registrieren. Unternehmen, die diese Voraussetzungen nach dem 1. November erfüllen, müssen die Registrierung spätestens 60 Tage nach Erfüllung der Voraussetzungen sicherstellen.

Anschließend müssen die Unternehmen der NÚKIB innerhalb von spätestens 30 Tagen die Kontaktdaten der natürlichen Personen melden, die befugt sind, den Anbieter in Angelegenheiten zu vertreten, die unter das neue Cybersicherheitsgesetz fallen. Gleichzeitig müssen der NÚKIB zusätzliche Informationen über die Eigentümerstruktur des Anbieters, technische Daten über die erbrachte regulierte Dienstleistung und deren geografische Abdeckung, einschließlich der grenzüberschreitenden Erbringung, mitgeteilt werden.

Nach der Registrierung des regulierten Dienstes auf dem NÚKIB-Portal wird eine Registrierungsbescheinigung ausgestellt. Innerhalb eines Jahres nach Ausstellung der Bescheinigung ist der Anbieter des regulierten Dienstes verpflichtet, die erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, um ein angemessenes Maß an Cybersicherheit für seine Vermögenswerte und Daten zu schaffen. Diese Maßnahmen sind in den Durchführungsbestimmungen, zu deren Erlass die NÚKIB gesetzlich befugt ist und die in Kürze erlassen werden sollen, ausführlich beschrieben.

Aus dem, was zum jetzigen Zeitpunkt bereits bekannt ist, lässt sich schließen, dass der Anbieter eines regulierten Dienstes so bald wie möglich nach Erhalt der Entscheidung über die Registrierung eines regulierten Dienstes den Umfang des Cybersicherheitsmanagements festlegen muss, wozu die Identifizierung aller primären Vermögenswerte des Anbieters des regulierten Dienstes und der damit verbundenen unterstützenden Vermögenswerte sowie die anschließende Bewertung gehört, ob diese Vermögenswerte mit der Erbringung des regulierten Dienstes in Zusammenhang stehen.

Anschließend muss er die erforderlichen Sicherheitsmaßnahmen umsetzen und Prozesse zur Erkennung und Meldung von Cybersicherheitsvorfällen gemäß den gesetzlichen Bestimmungen einrichten. Dazu gehören beispielsweise die Verpflichtung zur Schulung der Führungskräfte im Bereich Cybersicherheitsprozessmanagement, die Implementierung von Vermögens- und Risikomanagementsystemen, die Sicherheit der Humanressourcen und die Verwendung von kryptografischen Algorithmen.

Es ist zu beachten, dass die Nichteinhaltung der gesetzlichen Verpflichtungen zu sehr strengen Strafen führen kann, wie z. B. Geldbußen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Darüber hinaus sind die gesetzlichen Organe der verpflichteten Unternehmen persönlich für die Einhaltung der gesetzlichen Anforderungen verantwortlich, und die NÚKIB wurde mit der Befugnis ausgestattet, die Funktionen des gesetzlichen Organs eines Unternehmens, das einem höheren Verpflichtungsregime unterliegt und seinen Verpflichtungen in erheblicher Weise oder wiederholt nicht nachkommt, vorübergehend auszusetzen. In extremen Fällen kann dies zu Einschränkungen der Aktivitäten der betreffenden Organisation führen.

…

Dieses Material dient nur der allgemeinen Information über aktuelle Themen, es handelt sich um keine Rechtsberatung. Es berücksichtigt keine besonderen Umstände, finanziellen Situationen oder speziellen Anforderungen der Adressaten. Die Empfänger sollten daher stets geeignete professionelle Dienste für die bereitgestellten Informationen in Anspruch nehmen. Unabhängig von der sorgfältigen Zusammenstellung dieses Materials können bpv Braun Partners s.r.o. advokáti, seine Partner, verbundene Unternehmen oder kooperierende Anwälte und Steuerberater nicht für die Exaktheit oder Vollständigkeit der hierin enthaltenen Informationen garantieren und übernehmen keine Verantwortung für Handlungen oder Unterlassungen die auf der Grundlage der in diesem Material enthaltenen Informationen unternommen wurden.