NOVÝ ZÁKON O KYBERNETICKÉ BEZPEČNOSTI

11. 08. 2025

Zákon o kybernetické bezpečnosti byl dne 4. 8. 2025 vyhlášen ve Sbírce zákonů a mezinárodních smluv jako zákon č. 264/2025 Sb. Povinnosti jím stanovené se však stanou závaznými až od 1. 11. 2025, kdy nastává účinnost zákona. Prověřit, zda se nová úprava týká také Vaší společnosti, je však vhodné již nyní.

Připravili jsme pro Vás přehled základních informací o novém zákoně o kybernetické bezpečnosti, který Vám pomůže zorientovat se v nové úpravě.

Proč byl přijat nový zákon a co se mění?

Nová úprava provádí směrnici NIS 2, která si klade za cíl zvýšit odolnost vůči kybernetickým útokům a zmírňovat tak hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích.

Zásadní změnou je rozšíření počtu povinných subjektů ze stávajících zhruba 500 regulovaných subjektů, na které dopadá současná úprava, na odhadovaných 8.000 subjektů.[1] Další subjekty mohou být nepřímo dotčeny prostřednictvím dodavatelského řetězce.

V jaké fázi je zákon a prováděcí předpisy?

Nový zákon o kybernetické bezpečnosti prošel legislativním procesem a byl vyhlášen ve Sbírce zákonů a mezinárodních smluv. Nyní běží tzv. legisvakanční lhůta tří měsíců počínající prvním dnem následujícího měsíce po vyhlášení. Nový zákon tak nabude účinnosti a stane se závazným 1. 11. 2025.

Podzákonné předpisy provádějící nový zákon o kybernetické bezpečnosti připravené NÚKIB prošly mezirezortním připomínkovým řízením a NÚKIB tyto připomínky aktuálně vypořádává. Ukončení legislativního procesu je odhadován na listopad 2025. Účinnosti prováděcích vyhlášek je přitom klíčová pro fungování zákona.

Jak se na účinnosti nového zákona připravit?

Nový zákon o kybernetické bezpečnosti předpokládá jako první krok, že si každý subjekt provede tzv. sebeurčení (sebeidentifikaci), v rámci které posoudí, zda na něj nová pravidla dopadají a následně se včas přihlásí u NÚKIB.

Jestliže sebeidentifikací určíte, že spadáte do okruhu povinných subjektů, bude nutné se registrovat u NÚKIB do 60 dnů od účinnosti zákona, tj. do 31. 12. 2025. V případě nedodržení této lhůty hrozí vysoká pokuta až 250.000.000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu.

Doručením rozhodnutím o registraci se rozbíhají lhůty pro nahlášení kontaktních údajů a přechodná lhůta 1 roku pro započetí s plněním povinnosti zavádět a provádět bezpečnostní opatření.

Obsah obrázku text, snímek obrazovky, řada/pruh, Písmo Obsah generovaný pomocí AI může být nesprávný.

Koho se nová pravidla týkají?

Okruh povinných subjektů je určen dvěma základními předpoklady. Splňuje-li subjekt oba předpoklady, je třeba se nové úpravě podřídit.

  1. Poskytování regulované služby

Regulaci podléhají subjekty působící v některém z 22 regulovaných odvětví:

Obsah obrázku text, snímek obrazovky, Písmo, design Obsah generovaný pomocí AI může být nesprávný.

Prováděcí předpisy[2] dále v rámci odvětví specifikují konkrétní regulované služby, na které se nový zákon vztahuje. Pouze poskytovatelé regulovaných služeb jsou povinny se řídit novým zákonem o kybernetické bezpečnosti. Pro ilustraci uvádíme např. vymezení služeb v odvětví Energetika – Teplárenství:

 Obsah obrázku text, snímek obrazovky, Písmo, číslo Obsah generovaný pomocí AI může být nesprávný.

  1. Kritérium významnosti

Ze subjektů poskytující regulované služby byly vybrány jen subjekty určité významnosti. Regulovány jsou proto jen střední a velké podniky, tzn. že společnost musí disponovat určitým počtem zaměstnanců a obratem nebo bilanční sumou roční rozvahy.

Kategorie podniku

Počet zaměstnanců (RJP)

Roční obrat

Bilanční suma roční rozvahy

Velký podnik

>250

>50 mil. EUR
(nad ~1,2 mld. Kč)

nebo
>43 mil. EUR
(nad ~1 mld. Kč)

Střední podnik

50-250

10-50 mil. EUR
(mezi ~250 mil.-1,2 mld. Kč)

nebo
10-43 mil. EUR
 (mezi ~250 mil.-1 mld. Kč)

Malý podnik

<50

<10 mil. EUR

nebo
Textové pole: nebo<10 mil. EUR

Do výpočtu velikosti podniku zásadně vstupují také data propojených a partnerských osob.

Pro orientační sebeurčení lze využít kalkulačku NÚKIB dostupnou zde.

V jakém rozsahu se na Vás nový zákon vztahuje?

Nový zákon o kybernetické rozlišuje dva stupně povinností – vyšší a nižší režim povinností.

Nižší stupeň povinností zahrnuje mírnější povinnosti než vyšší. Konkrétní kritéria pro zařazení do nižšího či vyššího stupně stanovuje vyhláška o regulovaných službách, jejíž konečné znění stále není známé. Nejčastějším kritériem bude velikost podniku – nižší pro střední podniky a vyšší pro velké podniky. Nalezneme však i jiná kritéria jako např. celkový instalovaný elektrický výkon výrobny elektřiny v případě regulované služby výroba elektřiny.

Obsah obrázku text, snímek obrazovky, Písmo, číslo Obsah generovaný pomocí AI může být nesprávný.

Jaké povinnosti nový zákon stanoví?

Rozsah povinností se liší v závislosti na režimu povinností (vyšší či nižší). Obecně jde o souhrn organizačních a technických povinností, které musí každý subjekt zavést.

Organizační opatření vyšších povinností

Organizační a technická opatření nižších povinností

1) systém řízení bezpečnosti informací

1)  systém zajišťování minimální kybernetické bezpečnosti

2) požadavky na vrcholné vedení

2) požadavky na vrcholného vedení

3) stanovení bezpečnostních rolí

5) bezpečnost lidských zdrojů

4) řízení bezpečnostní politiky a bezpečnostní dokumentace

6) řízení kontinuity činností

5) řízení aktiv

7) řízení přístupu

6) řízení rizik

8) řízení identit a jejich oprávnění

7) řízení dodavatelů

9) detekce a zaznamenávání kybernetických bezpečnostních událostí

8) bezpečnost lidských zdrojů

10) řešení kybernetických bezpečnostních incidentů

9) řízení změn

11) bezpečnost komunikačních sítí

10) akvizice, vývoj a údržba

12) aplikační bezpečnost

11) řízení přístupu

13) kryptografické algoritmy

12) zvládání kybernetických bezpečnostních událostí a incidentů

13) řízení kontinuity činností

14)  provádění auditu kybernetické bezpečnosti

Technická opatření vyšších povinností

1) fyzická bezpečnost

2) bezpečnost komunikačních sítí

3) správa a ověřování identit

4) řízení přístupových práv a oprávnění

5) detekce kybernetických bezpečnostních událostí

6) zaznamenávání událostí

7) vyhodnocování kybernetických bezpečnostních událostí

8) aplikační bezpečnost

9) kryptografické algoritmy

10) zajišťování dostupnosti regulované služby

11) zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv

Pokud potřebujete pomoci se sebeidentifikací nebo s implementací povinností, jsme Vám rádi k dispozici spolu s našimi odbornými partnery v oblasti kybernetické bezpečnosti.

Více se o novém zákonu o kybernetické bezpečnosti dozvíte na našem webináři konaném dne 9. 9. 2025 od 10:00 hod. Registrovat se na něj můžete již nyní na tomto ODKAZU.

 

[1] Viz https://www.datarun.cz/na-koho-dopadne-zakon-o-kyberneticke-bezpecnosti.

[2] Návrh vyhlášky dostupný zde: https://odok.gov.cz/portal/veklep/material/KORNDGQGJKME/.

Kontaktujte nás

Jiří Dyčka

Advokát

+420 226 207 507
jiri.dycka@urbanhejduk.cz

Jakub Jirovec

Partner a advokát

+420 226 207 507
jakub.jirovec@urbanhejduk.cz