Nový zákon o kybernetické bezpečnosti a NIS2: Co Vás čeká od listopadu 2025

K 1. listopadu 2025 nabyl účinnosti nový zákon o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2 a dopadá na tisíce subjektů z veřejného i soukromého sektoru. Nejde o pouhou formalitu – nový zákon ukládá konkrétní povinnosti, jejichž nesplnění může vést k vysokým sankcím i přímé odpovědnosti vedení společnosti. Otázkou tedy není, zda se připravit, ale jak rychle a důsledně to zvládnete.

Vysvětlíme vám, co vše se nabytím účinnosti zákona mění a jaké povinnosti zákon spolu s prováděcími předpisy zavádí. Pomůžeme Vám celý proces implementace naplánovat tak, aby proběhl hladce a bez zbytečných komplikací.

Rámcový přehled toho, co nová právní úprava přináší, jsme vám poskytli již v úvodním článku. Pro připomenutí lze shrnout, že nový zákon rozšiřuje okruh regulovaných subjektů, zavádí režim vyšších a nižších povinností, posiluje odpovědnost vrcholného vedení a zakotvuje povinnost hlásit kybernetické incidenty i postupovat podle pokynů NÚKIB při jejich řešení.

Oproti předchozí úpravě dochází ke změnám i v prováděcích předpisech. Místo jediné vyhlášky o kybernetické bezpečnosti nyní existuje několik samostatných vyhlášek, které upravují rámec regulovaných služeb, stanovují bezpečnostní opatření pro vyšší i nižší režim a řeší další klíčové oblasti.

Jako první byla zveřejněna vyhláška č. 334/2025 Sb., která se zaměřuje na technické a procesní požadavky související s využíváním Portálu NÚKIB. Vyhláška stanovuje formát a způsob ohlášení regulované služby, pravidla pro hlášení kybernetických incidentů a technické podmínky pro elektronické úkony podle zákona. Jejím cílem je sjednotit postupy napříč regulovanými subjekty a zajistit spolehlivou, bezpečnou a efektivní výměnu dat.

V polovině října následovalo zveřejnění dalších pěti vyhlášek, které společně s hlavním zákonem nabyly účinnosti 1. listopadu 2025:

• Vyhláška č. 408/2025 Sb. – stanovuje pravidla pro určení, zda je subjekt poskytovatelem regulované služby, a definuje podmínky pro zařazení do vyššího či nižšího režimu. Pro základní orientaci je k dispozici aktualizovaná kalkulačka dostupná na Portálu NÚKIB, která pomáhá předběžně vyhodnotit, zda se Vás regulace týká a v jakém rozsahu. Je však důležité mít na paměti, že tento nástroj slouží pouze jako orientační pomůcka. Jakákoli chyba v samoidentifikaci může mít závažné právní a finanční důsledky, a proto doporučujeme finální posouzení svěřit odborníkům.
• Vyhláška č. 409/2025 Sb. – specifikuje bezpečnostní opatření pro subjekty ve vyšším režimu, které budou podléhat přísnějším požadavkům na řízení rizik, technické zabezpečení a dokumentaci.
• Vyhláška č. 410/2025 Sb. – vymezuje bezpečnostní opatření pro nižší režim, určený pro subjekty s menším dopadem na národní kybernetickou bezpečnost, ale stále povinné zavést základní ochranná opatření.
• Vyhláška č. 411/2025 Sb. – zaměřuje se na bezpečnostní úroveň informačních systémů veřejné správy. Nahrazuje předchozí vyhlášku č. 315/2021 Sb. a reflektuje změny v zákoně o informačních systémech veřejné správy.
• Vyhláška č. 412/2025 Sb. – upravuje bezpečnostní pravidla pro využívání cloudových služeb veřejnou správou. Nahrazuje vyhlášku č. 190/2023 Sb. a zajišťuje základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací.

Legislativní rámec zákona o kybernetické bezpečnosti by měly doplnit také další právní předpisy, u nichž zatím nedošlo k dovršení legislativního procesu:

• Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu – má za cíl zvýšit transparentnost a posílit důvěryhodnost poskytovatelů cloudových služeb pro veřejnou správu.
• Nařízení o strategicky významných službách – vymezí služby, které budou automaticky podléhat prověřování bezpečnosti dodavatelského řetězce.
• Nařízení o nepominutelných funkcích – stanoví kritické části infrastruktury, jejichž výpadek by mohl ohrozit klíčové služby státu, a poslouží jako základ pro identifikaci aktiv, která podléhají bezpečnostnímu prověřování v rámci dodavatelského řetězce.

Nový zákon o kybernetické bezpečnosti není jen o technologiích – je o odpovědném řízení rizik, ochraně dat a prevenci kybernetických incidentů. Každý regulovaný subjekt musí vytvořit funkční systém řízení bezpečnosti informací, který zahrnuje opatření administrativní i technické povahy.

Co to pro Vás znamená v praxi? Obecný postup lze shrnout do několika kroků.

1. Identifikace subjektu – ověřte, zda vaše organizace spadá pod regulaci a v jakém režimu (vyšších či nižších povinností).
2. Ohlášení regulované služby – zajistěte, že statutární orgán nebo pověřený zástupce splní ohlašovací povinnost prostřednictvím Portálu NÚKIB.
3. Analýza stavu zabezpečení – proveďte posouzení rizik a audit kybernetické bezpečnosti dle požadavků vyhlášky.
4. Nastavení vnitřních procesů – definujte politiky pro řízení rizik, kybernetických incidentů, lidských zdrojů a další bezpečnostní postupy.
5. Implementace bezpečnostních opatření – zaveďte technická a organizační opatření v rozsahu odpovídajícím stanovenému režimu.
6. Vzdělávání zaměstnanců – zajistěte odborné školení kyberbezpečnosti pro vrcholné vedení a další osoby s bezpečnostními rolemi.
7. Revize smluvních vztahů – ověřte, zda smlouvy s dodavateli a partnery obsahují požadované bezpečnostní záruky a chrání Vás před riziky třetích stran.
8. Komunikace – nastavte postupy pro informování veřejnosti a partnerů v případě incidentů nebo výzev ze strany NÚKIB.

Zatímco některé požadavky pro Vás mohou představovat běžnou praxi, jiné si vyžádají důkladnější a systematičtější změny. Rozsah těchto změn bude záviset na tom, zda spadnete do režimu vyšších či nižších povinností. Jedno je však jisté – čím dříve začnete s implementací zákonných požadavků, tím lépe ochráníte nejen svou společnost, ale i její vedení.

Pokud jde o termíny zavedení jednotlivých opatření, dobrou zprávou je, že není nutné mít vše připraveno už k 1. listopadu 2025. Zákon počítá s přechodným obdobím, které Vám dává čas na jejich postupnou implementaci. Na druhou stranu je důležité neotálet – toto období trvá pouze jeden rok.

Abychom vám orientaci v nových povinnostech usnadnili, připravili jsme přehled termínů, které by vám neměly uniknout.

1. Ohlášení regulované služby – musí být provedeno do 60 dnů od naplnění kritérií dané služby, ve většině případů tedy do 60 dní od účinnosti zákona, tj. 31. prosince 2025. NÚKIB Vám následně doručí rozhodnutí o registraci, a tímto okamžikem se stanete poskytovatelem regulované služby.
2. Hlášení kontaktních a doplňujících údajů – musí být učiněno prostřednictvím Portálu NÚKIB do 30 dnů od doručení rozhodnutí o registraci, případně můžete uvést kontaktní osoby a další požadované údaje již při prvotním ohlášení regulované služby.
3. Postupné zavádění bezpečnostních opatření – nejpozději do 1 roku od doručení rozhodnutí o registraci musíte zavést bezpečnostní opatření v závislosti na svém režimu povinností.
4. Incident management – nejpozději do jednoho roku od doručení rozhodnutí o registraci musíte zahájit hlášení kybernetických bezpečnostních incidentů. Zatímco samotný fakt, že incident u povinné osoby nastal, není přestupkem, jeho neohlášení ve stanovené lhůtě již ano.

Nová právní úprava zavádí také výrazně přísnější sankce. Již za samotné neohlášení regulované služby hrozí pokuta až do výše 250 milionů Kč nebo 2 % z celosvětového obratu, v závislosti na závažnosti porušení a typu regulovaného subjektu. Vedle těchto sankcí mohou být opakovaně ukládány také pořádkové pokuty a donucovací pokuty, například za nespolupráci při kontrole či nesplnění povinností uložených úřadem.

Zpozornit by mělo i vrcholné vedení společnosti. Pokud konkrétní členové managementu opakovaně nebo závažně poruší zákonné povinnosti, může jim NÚKIB uložit zákaz výkonu funkce až do doby odstranění zjištěných nedostatků.

Nejste si jistí, zda se Vás nové povinnosti týkají, jak správně určit svůj režim nebo co vše musíte smluvně i technicky zajistit? Nechte to na nás. Abychom našim klientům dokázali nabídnout komplexní řešení, spojili jsme se s odborníky na kyberbezpečnost a vytvořili projekt WardenPro, který propojuje právní i technické znalosti v oblasti kyberbezpečnosti. S námi vyřešíte vše na jednom místě – komplexně, efektivně a lidskou řečí.

Provedeme Vás procesem samoidentifikace a registrace, zpracujeme Gap analýzu aktuálního stavu vašeho zabezpečení a navrhneme konkrétní kroky ke splnění všech zákonných požadavků. Zajistíme, že budete mít správně nastavené interní politiky, technická opatření i smluvní vztahy s dodavateli. V případě zájmu se postaráme také o povinná školení kybernetické bezpečnosti, penetrační testování či outsourcing bezpečnostních rolí.

Ačkoli se požadavky NIS2 mohou zpočátku jevit jako komplikace, jejich včasné a promyšlené zavedení může vést k vyšší důvěře klientů a posílení Vaší pozice na trhu. Neváhejte nás kontaktovat – společně najdeme řešení, které bude odpovídat zákonným požadavkům i Vašim potřebám.