Kybernetická bezpečnost jako strategická nutnost: Jak se připravíte na nový zákon o kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti (NZKB) zavádějící směrnici NIS2 oficiálně vstoupil v účinnost dne 1. listopadu 2025. Tato legislativní změna zásadně rozšiřuje okruh povinných subjektů a klade větší odpovědnost přímo na Vaše vrcholné vedení. Proč by Vás tato zpráva měla zajímat strategicky? Protože včasnou a správnou implementací získáte stabilitu, důvěryhodnost a významnou výhodu na trhu namísto pozdějšího stresu a rizika sankcí či ztrát Vašich odběratelů. Pojďme se podívat na pět klíčových oblastí, které máte jako lídři své organizace pochopit a řešit.

1. Kdo je povinný? Začněte sebeidentifikací

Nově se již nečeká na úřední určení. Těžiště určování povinných osob je přeneseno primárně na Vaši organizaci.

Klíčové otázky:

Poskytujete regulovanou službu? Jde o služby v klíčových sektorech, jako jsou energetika, doprava, finanční trh, zdravotnictví, digitální infrastruktura nebo výrobní průmysl. Seznam těchto služeb naleznete v prováděcí vyhlášce o regulovaných službách.

Jaká je velikost Vašeho podniku? Regulace se typicky týká středních a velkých podniků.

  • Střední podnik: Máte více než 50 zaměstnanců, nebo rozvahu vyšší než 10 milionů EUR, nebo obrat vyšší než 10 milionů EUR.
  • Velký podnik: Máte 250 a více zaměstnanců, rozvahu nad 43 milionů EUR, nebo obrat nad 50 milionů EUR.

Důležité doporučení: Využijte kalkulačku pro snadnější orientaci. NÚKIB tyto podpůrné materiály zveřejňuje na svém portálu: https://portal.nukib.gov.cz/kalkulacka

Pokud poskytujete více regulovaných služeb spadajících do různých režimů (vyšší a nižší povinnosti), platí pro Vás pravidlo: vždy se sjednocuje na režim vyšších povinností.

2. Časování a termíny: Kdy začít jednat?

Zákon nabyl účinnosti 1. listopadu 2025. S tím souvisí Vaše klíčové kroky a lhůty, které je třeba splnit:

Krok

Lhůta

Start lhůty

Povinnost ze zákona

Ohlášení regulované služby

Nejpozději do 60 dnů

Od okamžiku, kdy splníte podmínky pro registraci.

Musí proběhnout elektronicky přes Portál Úřadu.

Hlášení kontaktních údajů

Nejpozději do 30 dnů

Od doručení rozhodnutí o registraci regulované služby.

Zajištění přímé komunikační linky s regulátorem.

Zavedení bezpečnostních opatření a hlášení incidentů

Nejpozději do 1 roku

Od doručení rozhodnutí o registraci regulované služby.

Nejdelší, ale nejpřísnější fáze.


Nyní již není nač čekat! Včasnou přípravou si zajistíte čas potřebný pro zavedení bezpečnostních opatření, zejména pokud spadáte do vyššího režimu, který vyžaduje robustní systém řízení bezpečnosti.

3. Vnitřní odpovědnost: Definujte rozsah

Jednou z nejzásadnějších organizačních povinností je správné Stanovení rozsahu řízení kybernetické bezpečnosti (dále jen „Stanovený rozsah“).

Pokud tento rozsah nedefinujete a nedokumentujete, zákon stanovuje právní fikci: Rozsahem se stává celá Vaše organizace a veškeré požadavky NZKB budou uplatňovány na ni celou. To pro Vás znamená obrovské, zbytečné zatížení.

Co udělejte (krok za krokem):

  1. Určete všechna primární aktiva (tj. informace nebo služby, které poskytujete).

  2. Posuďte, která primární aktiva jsou nezbytná pro poskytování regulované služby.

  3. U takto posouzených aktiv určete podpůrná aktiva, která je zajišťují (např. zaměstnanci, dodavatelé, hardware, software) 

  4. Dokumentujte to. Je nutné vést evidenci aktiv, která jsou součástí Stanoveného rozsahu, i těch, která byla vyjmuta.

Tento rozsah není jen o primárním určení, musíte ho pravidelně přezkoumávat a aktualizovat.

4. Řízení rizik a dodavatelský řetězec

Implementace bezpečnostních opatření se liší podle režimu, do kterého spadáte.

  • Vyšší režim: Jste povinni provést analýzu rizik a vypracovat plán zvládání rizik. Následně implementujete příslušná organizační a technická opatření a to včetně řízení kontinuity a provádění auditu.
  • Nižší režim: Jste povinni zavést systém zajišťování minimální kybernetické bezpečnosti. Místo povinné analýzy rizik vedete Přehled bezpečnostních opatření.

Velký důraz je kladen na dodavatelský řetězec. Jste povinni vybírat dodavatele v souladu s požadavky bezpečnostních opatření a tyto požadavky musí být zahrnuty ve smlouvách. To znamená revizi smluvní dokumentace. Důležité je si v tomto kontextu uvědomit, že i Vy můžete být součástí dodavatelského řetězce pro jiný povinný subjekt.

Co s incidenty?

NZKB definuje přísné lhůty pro hlášení incidentů. Incident je narušení bezpečnosti informací (důvěrnosti, integrity, dostupnosti dat) s původem v kyberprostoru, u kterého nelze vyloučit úmysl.

  • Prvotní hlášení: Bez zbytečného odkladu, nejpozději do 24 hodin od zjištění.
  • Oznámení (aktualizace): Nejpozději do 72 hodin (včetně prvotního posouzení dopadu).
  • Závěrečná zpráva: Nejpozději do 30 dnů od předložení oznámení.

Pokud jste ve vyšším režimu a incident by mohl mít závažný dopad na bezpečnost České republiky, NÚKIB může dokonce uložit povinnost informovat Vaše uživatele a zákazníky o incidentu a krocích, které by měli učinit (např. změna hesel).

5. Riziko a finanční dopady: Na co myslet

Hlavním regulátorem a kontrolním orgánem je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

NÚKIB má pravomoc ukládat nápravná opatření (odstranit nedostatky ve stanovené lhůtě). Pokud nápravné opatření není splněno, nastupují sankce.

Finanční sankce (pokuty):

  • Vyšší režim: Až 250 000 000 Kč nebo 2 % čistého celosvětového ročního obratu.
  • Nižší režim: Až 175 000 000 Kč nebo 1,4 % čistého celosvětového ročního obratu.

Nefinanční sankce (speciálně pro vyšší režim): V případě opakovaného nebo závažného porušení povinností může NÚKIB zakázat členovi statutárního orgánu výkon řídící funkce (nejméně na 6 měsíců), a to až do doby odstranění nedostatků.

Tato rizika jsou příliš velká, proto doporučujeme včas jednat.

Jak Vám můžeme pomoci

Přestože nová legislativa přináší komplexní výzvy, existují praktická, funkční řešení, která Vaší organizaci ušetří čas, peníze i kapacity.

Ve společnosti 22HLAV vnímáme kybernetickou bezpečnost, ochranu osobních údajů a další compliance oblasti jako provázané elementy řízení dat.

Namísto vytváření složitých manuálů nastavujeme procesy tak, aby skutečně fungovaly jednoduše, logicky, efektivně a především v praktickém kontextu fungování Vaší organizace. 

Co pro Vás můžeme udělat v souvislosti s NZKB:

  • Identifikace a Gap-analýza: Pomůžeme Vám přesně určit, zda a do jakého režimu spadáte, provedeme audit současného stavu (tzv. gap-analýzu) a odhalíme slabá místa.
  • Komplexní dokumentace: Připravíme všechnu potřebnou dokumentaci, která bude nejen formálně splňovat požadavky zákona, ale bude i prakticky využitelná.
  • Procesní nastavení: Navrhneme a zavedeme řešení na míru Vašim rizikům a potřebám.
  • Audit a jistota: Poskytujeme i pravidelný nezávislý audit kybernetické bezpečnosti a posouzení souladu s právními předpisy.

V každém takovém případě jsme Vám k dispozici na našich webových stránkách https://www.22hlav.cz/, kde můžete využít našeho kontaktního formuláře pro Váš dotaz. 

Důležitý zdroj: Portál NÚKIB

Pro technické detaily, podpůrné materiály, kalkulačky pro určení režimu a elektronické ohlášení Vaší regulované služby doporučujeme využít i portál úřadu.

Kompletní informace a portál naleznete zde: https://portal.nukib.gov.cz 

 

“Představte si kybernetickou bezpečnost jako silniční navigační systém. NÚKIB Vám ukazuje mapu a pravidla silničního provozu (regulaci). My ve 22HLAV jsme Váš palubní počítač a navigátor, který zajistí, že zvolíte nejrychlejší a nejbezpečnější cestu, abyste dorazili do cíle (plné a funkční compliance) s minimem spotřebované energie.”

 

Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty. V případě dotazů k tomuto článku prosím kontaktujte autora.

Napište nám

Kontrolní otázka jako ochrana proti automatizovanému odesílání formulářů
Odkaz:

Zásady ochrany osobních údajů

Zakliknutím zaškrtávacího pole a odesláním vyplněného formuláře souhlasíte se zpracováním vašich údajů společností 22HLAV s.r.o. a 22HLAV EDU s.r.o. za účelem vyžádaného poradenství. Máte právo souhlas odvolat a dále máte práva na přístup k údajům, jejich opravu a výmaz. Více informací o zpracování osobních údajů naleznete v Zásadách na ochranu osobních údajů.