Dekorativní pozadí stránky

NIS2 a nový zákon o kybernetické bezpečnosti: Co čeká české organizace?

NIS2 a nový zákon o kybernetické bezpečnosti: Co čeká české organizace?

Česko má za sebou důležitý krok v oblasti digitální bezpečnosti. Poslanecká sněmovna 25. dubna 2025 schválila nový zákon o kybernetické bezpečnosti (nZKB) a tzv. doprovodný zákon, které implementují evropskou směrnici NIS2. Tato regulace přináší zásadní změny, rozšiřuje okruh regulovaných subjektů a klade vyšší nároky na řízení rizik, odpovědnost managementu i spolupráci v rámci dodavatelských řetězců.

Plovoucí účinnost místo pevného data

Zásadní změnou oproti původnímu plánu je zrušení pevného data účinnosti (1. července 2025). Nově zákon nabývá účinnosti „prvním dnem třetího kalendářního měsíce následujícího po jeho vyhlášení“. Pokud by byl zákon například vyhlášen ve Sbírce zákonů do konce července, účinnost nastane 1. října 2025. Finální datum účinnosti se bude odvíjet od rychlosti zbývající části legislativního procesu (Senát, případné opětovné hlasování v Poslanecké sněmovně, Prezident, vyhlášení ve Sbírce zákonů). Odhady se aktuálně pohybují mezi 1. září 2025 a 1. lednem 2026.

Prováděcí předpisy – bez nich to nepůjde

Mnoho detailů bude jasných až po vydání prováděcích vyhlášek. Z dosavadních informací NÚKIB lze očekávat změny oproti dříve zveřejněným tezím vyhlášek. Kvůli chybějícím vyhláškám zatím organizace nemají jistotu, zda se na ně zákon vztahuje, což komplikuje přípravu.

Skutečná účinnost regulace je podmíněna nejen samotným zákonem, ale i vydáním prováděcí vyhlášky o regulovaných službách. Bez ní nebude možné určit, kdo pod regulaci spadá, a tedy až jejím vyhlášením nastane účinnost celé regulace. Legislativní proces vyhlášky přitom zahrnuje mezirezortní připomínkové řízení, projednání v Legislativní radě vlády a publikaci ve Sbírce zákonů, a nelze proto vyloučit, že se může objevit ve Sbírce zákonů až po účinnosti samotného zákona.

Koho se regulace týká?

Nový zákon rozšiřuje působnost na tisíce organizací napříč 18 sektory – od energetiky, zdravotnictví, potravinářství až po digitální služby. Povinnosti se mohou vztahovat i na organizace mimo hlavní odvětví, zejména pokud jsou dodavateli regulovaných subjektů. 

Některé subjekty navíc může určit NÚKIB na základě svého vyhodnocení, pokud by jejich činnost mohla mít dopad na kybernetickou bezpečnost. Tento postup odpovídá konceptu tzv. "určených subjektů" dle NIS2. 

Nové povinnosti a odpovědnost managementu

Zákon klade důraz na osobní odpovědnost vedení firem za řízení kybernetických rizik. Management musí schvalovat bezpečnostní politiky, zajistit školení zaměstnanců nebo pravidelně vyhodnocovat bezpečnostní opatření. Za porušení povinností hrozí pokuty až 10 milionů eur nebo 2 % celosvětového obratu.

Praktické dopady a doporučení

  • Analýza dopadů: Organizace by měly co nejdříve prověřit, zda a v jakém rozsahu na ně nová regulace dopadá, zejména pak jaká jsou jejich primární aktiva (např. klíčové systémy, data, infrastruktura).
  • Revize smluv a procesů: Je nutné aktualizovat smlouvy s dodavateli, interní postupy i bezpečnostní dokumentaci.
  • Školení a osvěta: Klíčové je proškolit zaměstnance i vedení v nových povinnostech a kybernetických rizicích.
  • Spolupráce s experty: Vyplatí se využít konzultace a odborné audity, zejména v oblasti řízení rizik a incidentů.

Slovensko napřed, Evropa v pohybu

Na Slovensku už obdobná legislativa platí od 1. ledna 2025. Stejně tak už platí implementace v Belgii, Chorvatsku, Řecku, Maďarsku, Itálii, Lotyšsku, Litvě, na Maltě a v Rumunsku. Zkušenosti ukazují, že včasná příprava je klíčová – organizace, které začaly s implementací v předstihu, zvládají přechod na nová pravidla snadněji a pokročileji. Prokazatelný postup zavádění nových povinností do praxe organizací bude bezesporu hrát roli i v rámci případných kontrol a jejich závěrů

Závěr: Kybernetická bezpečnost jako nutnost i příležitost

Nový zákon přináší vyšší administrativní nároky, ale také šanci posílit důvěryhodnost a odolnost firem. Kdo začne s přípravami včas, získá výhodu nejen při plnění zákonných povinností, ale i při budování důvěry u zákazníků a partnerů.

Související články
RRTV bude všechny influencery regulovat stejně jako streamovací platformy. Akorát, že vůbec
Ivan Rámeš, Michal Kandráč, Nikita Fesyukov, Robert Nešpůrek

RRTV bude všechny influencery regulovat stejně jako streamovací platformy. Akorát, že vůbec

Influenceři, kteří tvoří audiovizuální obsah, by měli mít podle nového výkladu Rady pro rozhlasové a televizní vysílání (RRTV) povinnost oznamovat svoji činnost jako poskytování audiovizuálních mediálních služeb na vyžádání (AVMSnV) a podléhat tak stejným podmínkám jako streamovací platformy. Tento