Domů

Intern

Global

Kontakt

cz|de|en

50 zemí → 116 poboček → 6 000 spolupracovníků |

Celosvětově

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Webové stránky Rödl & Partner používají technické soubory cookie a technologii sledování (tracking) bez použití souborů cookie pro účely vedení anonymních statistik o návštěvnosti. Tyto technologie nám umožňují vylepšovat naše webové stránky a kvalitu uživatelského prostředí. Máte právo odmítnout používání těchto technologií pro statistické účely. Více informací naleznete ZDE.

Nový zákon o kybernetické bezpečnosti vstoupil v účinnost

Se začátkem listopadu 2025 nabyl dlouho očekávané účinnosti nový zákon o kybernetické bezpečnosti společně s doprovodnými předpisy, který do českého právního řádu transponuje evropskou směrnici NIS2. Co přináší a na co je potřeba se připravit?

Jaroslav Kuba, Lucie Šímová, Rödl & Partner Praha

Nejzásadnější novinkou nové úpravy kybernetické bezpečnosti je podstatné rozšíření okruhu subjektů, na něž povinnosti nově dopadají. Zatímco dosud mezi ně patřily zejména vybrané subjekty kritické infrastruktury a veřejné organizace, nově půjde o přibližně šest tisíc subjektů napříč různými ekonomickými sektory, označovaných jako poskytovatelé regulovaných služeb.

Nová éra kybernetické regulace: transpozice směrnice NIS2 je zde

Prvním krokem tedy je vyhodnotit, zda na základě zákonem stanovených kritérií takovou organizací jste. Kritéria jsou trojího druhu – zda působíte v regulovaném odvětví (jedná se o vybraná klíčová odvětví, jako je energetika, zdravotnictví, doprava nebo digitální služby a podobně), pokud ano, zda skutečně poskytujete službu, která je regulovaná, a je-li i tato odpověď kladná, zda vaše organizace splňuje takzvané podmínky významnosti poskytovatele regulované služby (zejména velikost podniku). Konkrétní kritéria stanoví vyhlášky k zákonu, přičemž při jejich splnění můžete spadat do vyššího, či nižšího režimu povinností. Poskytovatelé v obou režimech musí každopádně již nyní ohlásit své regulované služby Národnímu úřadu pro kybernetickou bezpečnost (NÚKIB).

Dále je potřeba se začít připravovat na dosažení souladu s požadavky regulace, ke kterému musí dojít do 12 měsíců. Pro tento účel je vhodné začít stanovením priorit – je vhodné pamatovat, že kyberbezpečnost není pouze otázkou plnění zákonných povinností, ale především prevencí rizik, které mohou mít zásadní dopady v případě kyberútoku či jiného bezpečnostního incidentu.

Odpovědnost vedení a řízení rizik

Jedním z nejzásadnějších nových prvků zákona je přímá odpovědnost vrcholového vedení organizace za zajištění kybernetické bezpečnosti. Management bude muset schvalovat bezpečnostní politiky, ale také doložit svou kvalifikaci a povědomí o kybernetických rizicích. Úprava vyžaduje, aby za kyberbezpečnost byl zodpovědný konkrétní člen vedení.

Organizace jsou povinny implementovat řadu technických a organizačních opatření, která zahrnují mimo jiné:

posouzení rizik a pravidelnou revizi bezpečnostních opatření
zabezpečení dodavatelských řetězců
opatření pro prevenci a reakci na incidenty
politiky pro bezpečnost informačních systémů, řízení přístupu a šifrování dat
mechanismy pro oznamování a řešení kybernetických incidentů

Je tedy třeba zdůraznit, že se nejedná pouze o „technickou“ otázku IT oddělení, ale komplexní strategickou a právní odpovědnost na kontinuální bázi. Organizace by měly mít zavedený vnitřní systém řízení kybernetické bezpečnosti, pravidelně jej auditovat a dokumentovat veškeré realizované kroky. Za porušení povinností hrozí výrazné sankce, a to až do výše 250 milionů korun, nebo 2 procent čistého celosvětového ročního obratu.

Rádi vám poskytneme komplexní poradenství nejen ve vztahu ke kybernetické bezpečnosti, ale i ve všech ostatních oblastech digitálního světa.