Kybernetická bezpečnost podle nových pravidel: Co se mění od 1.11.2025

Od 1. listopadu 2025 je v platnosti nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který v českém právním řádu implementuje směrnici NIS2. Zákon zásadně mění systém řízení kybernetické bezpečnosti – dotkne se tisíců firem, veřejných institucí i poskytovatelů služeb.

Hlavní změny v kostce

Rozšíření okruhu regulovaných subjektů: Povinnosti se nově vztahují na mnohem širší okruh organizací – odhadem 6 000 až 10 000 subjektů.

Dva režimy povinností: Zákon zavádí režim vyšších a nižších povinností podle významu poskytované služby a velikosti organizace.

Osobní odpovědnost vedení: Vrcholový management ponese přímou odpovědnost za dodržování pravidel kybernetické bezpečnosti.

Nové povinnosti pro organizace:

• provádění analýz rizik, identifikace aktiv, hrozeb a zranitelností
• zavedení technických a organizačních opatření (např. vícefaktorové ověřování, segmentace sítě, logování)
• povinnost hlásit incidenty v krátkých lhůtách (např. předběžně do 24 h, rozšířeně do 72 h, závěrečná zpráva do 1 měsíce)
• požadavky na bezpečnost dodavatelského řetězce (monitoring poskytovatelů, třetích stran)

Vyhláška o regulovaných službách č. 408/2025 Sb.: definuje, v jakých sektorech a pro jaké služby se zákon vztahuje.

Významné sankce: Za nedodržení povinností hrozí pokuty v řádu stovek milionů korun nebo procenta z obratu.

Povinnosti firem – krok za krokem:

• Samoidentifikace: Firma musí ověřit, zda spadá pod regulaci (působí v regulovaném odvětví + poskytuje regulovanou službu + splňuje podmínku významnosti).
• Registrace u Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB): Pokud zjistíte, že se vás regulace týká, je třeba učinit ohlášení/registraci. Např. do 60 dní od účinnosti zákona.
• Určení odpovědných osob: Vyčlenění osoby pro komunikaci s NÚKIB, v režimu vyšších povinností i manažera kybernetické bezpečnosti.
• Implementace opatření: Začít procesy pro analýzu rizik, nastavení bezpečnostních politik, zabezpečení aktiv, školení zaměstnanců, dokumentaci, tvorbu incident-managementu, atd. V ideálním případě co nejdříve, protože lhůta pro plnou implementaci je 12 měsíců od registrace.
• Dokumentace, audit, dodavatelské vztahy: Věnujte pozornost třetím stranám, dodavatelům, jejich bezpečnostnímu profilu, zaznamenávejte datové toky, aktivujte monitoring.
• Kontrola plnění a sankce: Pokud povinnosti nesplníte, hrozí nejen pokuty, ale i osobní odpovědnost členů vedení.

Nová regulace jako příležitost – posílení důvěry a konkurenční výhody

Nový zákon o kybernetické bezpečnosti není jen souborem nových povinností a sankcí. Je především příležitostí, jak posílit důvěryhodnost, stabilitu a odolnost organizace vůči stále častějším kybernetickým hrozbám. Firmy, které se na změny připraví včas, získají náskok – nejen z pohledu souladu s legislativou, ale také díky vyšší důvěře svých zákazníků, partnerů a dodavatelů.

Zavedení systematického řízení kybernetické bezpečnosti, jasných procesů a ověřených technických opatření se stává novým standardem profesionálního přístupu k ochraně dat a infrastruktury. Transparentní a prokazatelně bezpečné fungování může být navíc konkurenční výhodou při veřejných zakázkách, v dodavatelských řetězcích či při mezinárodní spolupráci.

Naopak podcenění nebo odkládání přípravy může vést nejen k finančním sankcím, ale i k dlouhodobému poškození pověsti organizace. Kybernetická bezpečnost se tak stává nejen zákonnou povinností, ale také klíčovým prvkem důvěry a odpovědného řízení firmy.

EZÚ pomáhá firmám splnit požadavky nového zákona o kybernetické bezpečnosti

EZÚ působí jako certifikační orgán a nabízí firmám podporu při naplňování požadavků nového Zákona o kybernetické bezpečnosti (ZoKB).

Pomáháme organizacím zhodnotit jejich aktuální stav prostřednictvím služby Pre-screening, zajišťujeme školení k nové legislativě a kybernetickým požadavkům, provádíme Pre-audit připravenosti a následně i finální certifikaci.

Naším cílem je usnadnit firmám cestu k souladu s novými pravidly a posílit jejich důvěryhodnost v oblasti kybernetické bezpečnosti.

Více informací o nabízených službách naleznete zde: NIS 2 – Zákon o kybernetické bezpečnosti – IT EZÚ.