Domů

Intern

Global

Kontakt

cz|de|en

50 zemí → 116 poboček → 6 000 spolupracovníků |

Celosvětově

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Webové stránky RÖDL používají technické soubory cookie a technologii sledování (tracking) bez použití souborů cookie pro účely vedení anonymních statistik o návštěvnosti. Tyto technologie nám umožňují vylepšovat naše webové stránky a kvalitu uživatelského prostředí. Máte právo odmítnout používání těchto technologií pro statistické účely. Více informací naleznete ZDE.

Nový zákon o kybernetické bezpečnosti vstoupil v účinnost

Se začátkem listopadu 2025 nabyl dlouho očekávané účinnosti nový zákon o kybernetické bezpečnosti společně s doprovodnými předpisy, který do českého právního řádu transponuje evropskou směrnici NIS2. Co přináší a na co je potřeba se připravit?

Jaroslav Kuba, Lucie Šímová, Rödl Praha

Nejzásadnější novinkou nové úpravy kybernetické bezpečnosti je podstatné rozšíření okruhu subjektů, na něž povinnosti nově dopadají. Zatímco dosud mezi ně patřily zejména vybrané subjekty kritické infrastruktury a veřejné organizace, nově půjde o přibližně šest tisíc subjektů napříč různými ekonomickými sektory, označovaných jako poskytovatelé regulovaných služeb.

Nová éra kybernetické regulace: transpozice směrnice NIS2 je zde

Prvním krokem tedy je vyhodnotit, zda na základě zákonem stanovených kritérií takovou organizací jste. Kritéria jsou trojího druhu – zda působíte v regulovaném odvětví (jedná se o vybraná klíčová odvětví, jako je energetika, zdravotnictví, doprava nebo digitální služby a podobně), pokud ano, zda skutečně poskytujete službu, která je regulovaná, a je-li i tato odpověď kladná, zda vaše organizace splňuje takzvané podmínky významnosti poskytovatele regulované služby (zejména velikost podniku). Konkrétní kritéria stanoví vyhlášky k zákonu, přičemž při jejich splnění můžete spadat do vyššího, či nižšího režimu povinností. Poskytovatelé v obou režimech musí každopádně již nyní ohlásit své regulované služby Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB).

Dále je potřeba se začít připravovat na dosažení souladu s požadavky regulace, ke kterému musí dojít do 12 měsíců. Pro tento účel je vhodné začít stanovením priorit – je vhodné pamatovat, že kyberbezpečnost není pouze otázkou plnění zákonných povinností, ale především prevencí rizik, které mohou mít zásadní dopady v případě kyberútoku či jiného bezpečnostního incidentu.

Odpovědnost vedení a řízení rizik

Jedním z nejzásadnějších nových prvků zákona je přímá odpovědnost vrcholového vedení organizace za zajištění kybernetické bezpečnosti. Management bude muset schvalovat bezpečnostní politiky, ale také doložit svou kvalifikaci a povědomí o kybernetických rizicích. Úprava vyžaduje, aby za kyberbezpečnost byl zodpovědný konkrétní člen vedení.

Organizace jsou povinny implementovat řadu technických a organizačních opatření, která zahrnují mimo jiné:

posouzení rizik a pravidelnou revizi bezpečnostních opatření
zabezpečení dodavatelských řetězců
opatření pro prevenci a reakci na incidenty
politiky pro bezpečnost informačních systémů, řízení přístupu a šifrování dat
mechanismy pro oznamování a řešení kybernetických incidentů

Je tedy třeba zdůraznit, že se nejedná pouze o „technickou“ otázku IT oddělení, ale komplexní strategickou a právní odpovědnost na kontinuální bázi. Organizace by měly mít zavedený vnitřní systém řízení kybernetické bezpečnosti, pravidelně jej auditovat a dokumentovat veškeré realizované kroky. Za porušení povinností hrozí výrazné sankce, a to až do výše 250 milionů korun, nebo 2 procent čistého celosvětového ročního obratu.

Rádi vám poskytneme komplexní poradenství nejen ve vztahu ke kybernetické bezpečnosti, ale i ve všech ostatních oblastech digitálního světa.