Česko má za sebou důležitý krok v oblasti digitální bezpečnosti. Poslanecká sněmovna 25. dubna 2025 schválila nový zákon o kybernetické bezpečnosti (nZKB) a tzv. doprovodný zákon, které implementují evropskou směrnici NIS2. Tato regulace přináší zásadní změny, rozšiřuje okruh regulovaných subjektů a klade vyšší nároky na řízení rizik, odpovědnost managementu i spolupráci v rámci dodavatelských řetězců.
Plovoucí účinnost místo pevného data
Zásadní změnou oproti původnímu plánu je zrušení pevného data účinnosti (1. července 2025). Nově zákon nabývá účinnosti „prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení“. Pokud by byl zákon například vyhlášen ve Sbírce zákonů do konce července, účinnost nastane 1. října 2025. Finální datum účinnosti se bude odvíjet od rychlosti zbývající části legislativního procesu (Senát, případné opětovné hlasování v Poslanecké sněmovně, Prezident, vyhlášení ve Sbírce zákonů). Odhady se aktuálně pohybují mezi 1. září 2025 a 1. lednem 2026.
Prováděcí předpisy – bez nich to nepůjde
Mnoho detailů bude jasných až po vydání prováděcích vyhlášek. Z dosavadních informací NÚKIB lze očekávat změny oproti dříve zveřejněným tezím vyhlášek. Kvůli chybějícím vyhláškám zatím organizace nemají jistotu, zda se na ně zákon vztahuje, což komplikuje přípravu.
Skutečná účinnost regulace je podmíněna nejen samotným zákonem, ale i vydáním prováděcí vyhlášky o regulovaných službách. Bez ní nebude možné určit, kdo pod regulaci spadá, a tedy až jejím vyhlášením nastane účinnost celé regulace. Legislativní proces vyhlášky přitom zahrnuje mezirezortní připomínkové řízení, projednání v Legislativní radě vlády a publikaci ve Sbírce zákonů, a nelze proto vyloučit, že se může objevit ve Sbírce zákonů až po účinnosti samotného zákona.
Koho se regulace týká?
Nový zákon rozšiřuje působnost na tisíce organizací napříč 18 sektory – od energetiky, zdravotnictví, potravinářství až po digitální služby. Povinnosti se mohou vztahovat i na organizace mimo hlavní odvětví, zejména pokud jsou dodavateli regulovaných subjektů.
Některé subjekty navíc může určit NÚKIB na základě svého vyhodnocení, pokud by jejich činnost mohla mít dopad na kybernetickou bezpečnost. Tento postup odpovídá konceptu tzv. "určených subjektů" dle NIS2.
Nové povinnosti a odpovědnost managementu
Zákon klade důraz na osobní odpovědnost vedení firem za řízení kybernetických rizik. Management musí schvalovat bezpečnostní politiky, zajistit školení zaměstnanců nebo pravidelně vyhodnocovat bezpečnostní opatření. Za porušení povinností hrozí pokuty až 10 milionů eur nebo 2 % celosvětového obratu.
Praktické dopady a doporučení
- Analýza dopadů: Organizace by měly co nejdříve prověřit, zda a v jakém rozsahu na ně nová regulace dopadá, zejména pak jaká jsou jejich primární aktiva (např. klíčové systémy, data, infrastruktura).
- Revize smluv a procesů: Je nutné aktualizovat smlouvy s dodavateli, interní postupy i bezpečnostní dokumentaci.
- Školení a osvěta: Klíčové je proškolit zaměstnance i vedení v nových povinnostech a kybernetických rizicích.
- Spolupráce s experty: Vyplatí se využít konzultace a odborné audity, zejména v oblasti řízení rizik a incidentů.
Slovensko napřed, Evropa v pohybu
Na Slovensku už obdobná legislativa platí od 1. ledna 2025. Stejně tak už platí implementace v Belgii, Chorvatsku, Řecku, Maďarsku, Itálii, Lotyšsku, Litvě, na Maltě a v Rumunsku. Zkušenosti ukazují, že včasná příprava je klíčová – organizace, které začaly s implementací v předstihu, zvládají přechod na nová pravidla snadněji a pokročileji. Prokazatelný postup zavádění nových povinností do praxe organizací bude bezesporu hrát roli i v rámci případných kontrol a jejich závěrů.
Závěr: Kybernetická bezpečnost jako nutnost i příležitost
Nový zákon přináší vyšší administrativní nároky, ale také šanci posílit důvěryhodnost a odolnost firem. Kdo začne s přípravami včas, získá výhodu nejen při plnění zákonných povinností, ale i při budování důvěry u zákazníků a partnerů.
