Ve čtvrtek 26. června 2025 podepsal prezident ČR dlouho očekávaný nový zákon o kybernetické bezpečnosti (dále jen „NZKB“). Formální zveřejnění NZKB ve Sbírce zákonů by mělo proběhnout během srpna, přičemž lze předpokládat, že norma nabude účinnosti počátkem listopadu 2025.
NZKB transponuje do českého právního řádu požadavky evropské směrnice NIS2 (Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii), jejímž účelem je rozšířit dosavadní okruh regulovaných odvětví a služeb.
Účinností NZKB se budou povinnosti v oblasti kyberbezpečnosti nově vztahovat na tisíce subjektů, které doposud stály mimo regulatorní perimetr. Stejně jako každá nová právní úprava bude i NZKB klást nové požadavky a tím vytvářet zvýšenou odpovědnost pro manažery dotčených společností.
Úvod
Nová právní regulace kyberbezpečnosti navazuje na nařízení DORA (nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru), které začalo být přímo aplikovatelné od 17. ledna 2025. Zmíněné nařízení ovšem pokrývá kybernetickou bezpečnost a provozní odolnost specificky pro finanční sektor. Členské státy měly směrnici NIS2 transponovat do 17. října 2024, NZKB tedy přichází zhruba s ročním zpožděním.
Návrh zákona a související vyhlášky vznikly pod taktovkou Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“).[1] NÚKIB při přípravě NZKB vycházel vedle samotné směrnice NIS2 také z původního zákona o kybernetické bezpečnosti (zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů) a z praktických zkušeností a řešení reálných incidentů ze své letité praxe. NÚKIB současně působí jako obecný dozorový orgán pro kyberbezpečnost a bude ji nadále vykonávat i v režimu NZKB.[2]
Kybernetická bezpečnost a NIS2
Směrnice NIS2 představuje nový minimální unijní standard (tzv. „minimum-rule“) pro kybernetickou bezpečnost v členských státech EU, jedná se tedy o minimální harmonizaci, kdy si členské státy mohou stanovit přísnější pravidla, ale nikoliv mírnější než ta v harmonizované normě. NIS2 nahrazuje původní sektorově užší směrnici NIS z roku 2016 (Network and Information Security Directive) a podstatně rozšiřuje osobní působnost regulace: pravidla se nově budou vztahovat na osmnáct odvětví.
Vedle původních odvětví dle NIS (energetiky, zdravotnictví, dopravy, vodohospodářství, digitální infrastruktury, poskytovatelů řízených ICT služeb, infrastruktury finančních trhů a bankovnictví) se přidávají například veřejná správa, potravinářství, vesmír, poštovní služby, chemický průmysl či řízené IT služby. Z digitálních služeb dopadne NIS2 například na poskytovatele softwarových služeb, provozovatele cloudových úložišť a datacenter, na online platformy včetně e-tržišť a rovněž na firmy, které nabízejí řízené IT či bezpečnostní služby.
Aby byla zaručena přiměřenost požadavků, směrnice zavádí dvě kategorie regulovaných subjektů:
- „essential entities“ jsou organizace, které plní klíčovou roli pro fungování společnosti a hospodářství, a
- „important entities“ zahrnují středně velké podniky, jejichž výpadek by rovněž mohl mít významný dopad.
Všechny regulované subjekty (essential i important) musejí mít formálně schválenou a pravidelně aktualizovanou politiku kybernetické bezpečnosti, která pokrývá řízení rizik, bezpečnost dodavatelského řetězce, vícefaktorové ověřování a řízení přístupů, systematické zálohování/obnovu dat a procesy reakce na incidenty a další. NIS2 současně značně posiluje dozorové mechanismy. Dozorové orgány mohou v režimu NIS2 uložit vysoké pokuty.
Pro vrcholové vedení organizací je klíčovou novinkou i to, že členové statutárních orgánů mohou být v krajním případě dočasně zbaveni možnosti vykonávat svou funkci.
Česká právní úprava je v tomto ohledu poměrně detailní a přísná. NZKB zavádí nástroj dočasného zákazu výkonu funkce člena statutárního orgánu u poskytovatelů regulovaných služeb v režimu vyšších povinností (tzv. essential entities). NÚKIB může tento zákaz uložit, jestliže člen orgánu opakovaně nebo závažně poruší své povinnosti při naplňování protiopatření NÚKIB, a tím znemožní řádné odstranění zjištěných nedostatků. Sankce trvá nejméně šest měsíců a končí teprve poté, co jsou pochybení prokazatelně napravena. Toto opatření se vztahuje výhradně na soukromoprávní funkce, nikoli na veřejné mandáty obsazované volbou či jmenováním. Pokud je statutárním členem právnická osoba, zákaz dopadá i na fyzickou osobu, která ji při výkonu funkce zastupuje. Rozhodnutí o zákazu i o jeho zrušení se bezodkladně zapisují do obchodního rejstříku a zároveň se zveřejňují na webu NÚKIB, čímž získávají veřejnou povahu a reputační dopad. Odvolání (rozklad) proti tomuto rozhodnutí nemá odkladný účinek, takže sankce nabývá účinnosti okamžitě.
Kybernetická bezpečnost již tedy nebude starostí jen IT oddělení. Členové řídících orgánů jsou povinni absolvovat odborná školení, aby získali potřebné znalosti k porozumění rizikům a jejich efektivnímu řízení. Kombinace finančních a osobních sankcí má značně motivovat management regulovaných subjektů, aby kybernetickou bezpečnost vnímal jako otázku strategického řízení, nikoli jen technickou záležitost.
Podstatné rozšíření regulovaných sektorů
NZKB tedy formuluje minimální povinnou úroveň kybernetického zabezpečení v organizacích působících v hospodářsky, společensky či bezpečnostně významných odvětvích splňujících stanovená kritéria. Vzhledem k tomu, že směrnice NIS2 rozšiřuje seznam regulovaných odvětví a služeb, dopadne nový zákon na výrazně širší okruh subjektů, odhadem v řádech několika tisíců nově regulovaných subjektů v rámci ČR (cca 5 000 – 6 000 subjektů).
Některé sektory jsou v NZKB na rozdíl od NIS2 vymezeny mírně odlišně, či byly doplněny o další oblasti, aby regulace lépe korespondovala s lokálními potřebami a již existující legislativou.
Co musejí regulované subjekty dle NZKB splnit?
Jakmile organizace spadne do působnosti zákona a je považována za regulovaný subjekt, čeká ji několik základních povinností v rozsahu vyššího (essential entity) či nižšího (important entity) režimu dohledu.
Jedná se ve stručnosti o následující postup:
- Ohlášení služby – formální registrace služby, kterou organizace poskytuje – každá společnost zařazená do kategorie essential či important entity musí provést povinný self-assesment a do tří měsíců od účinnosti NZKB vyplnit elektronický dotazník NÚKIB (do budoucna do 60 dní od naplnění znaků regulovaného subjektu), kterým se organizace sama zapíše do registru regulovaných subjektů. Posouzení vychází z počtu zaměstnanců, výše ročního obratu a sektorového zařazení. Pokud podnik uvede zkreslené údaje, může NÚKIB z moci úřední zahájit kontrolu a uložit pokutu až 250 mil. Kč;
- Úprava vnitřních předpisů – po dokončení self-assesmentu (pokud se samozřejmě jedná o regulovaný subjekt) musí organizace aktualizovat interní předpisy: formálně schválit bezpečnostní politiku, zavést proces řízení rizik a registr ICT aktiv, zajistit každoroční audit souladu provedený akreditovaným auditorem a doplnit dodavatelské smlouvy o požadavky NIS2 na bezpečnost řetězce – konkrétní kritéria výběru a bezpečnostní požadavky musí být nově zakotveny ve smlouvách s dodavateli;
- Nahlášení kontaktních osob – předání údajů o pracovnících odpovědných za kybernetickou bezpečnost;
- Postupné zavádění bezpečnostních opatření – technická i organizační opatření dle vyhlášek pro příslušný režim například ve formě kontroly přístupů a nutné silné autentizace, kryptografie a šifrování apod., kyberhygiena a pravidelná školení a další;
- Hlášení incidentů – povinnost oznamovat kybernetické bezpečnostní incidenty v předepsaných lhůtách, zde vznikne v praxi často dvojí povinnost hlásit incident v případě incidentů podléhajících rovněž GDPR, je tedy třeba sladit vnitřní předpisy i v tomto ohledu;
- Plnění protiopatření NÚKIB – realizace závazných pokynů NÚKIB v roli dozorového orgánu při závažných hrozbách, protiopatření jsou ve formě výstrahy, varování a následně retroaktivního opatření, které organizace musí splnit. Při nedodržování povinností může být z rozhodnutí NÚKIB pozastavena certifikace regulovaného subjektu, či jak již bylo zmíněno, stanoven dočasný zákaz výkonu funkce statutárního orgánu pro vedení organizace;
- Sankce – NZKB stanovuje sankce za nesplnění výše indikovaných povinností až do výše 250.000.000,- Kč nebo 2 % z čistého celosvětového obratu pro essential entities a 175.000.000,- Kč nebo 1,4 % z čistého celosvětového obratu pro important entities, přičemž pokuta se vždy počítá z částky, která je vyšší.
Závěr
Nová česká právní úprava kyberbezpečnosti ve formě NZKB sice teprve vstupuje do života, ale přípravy jsou určitě na místě. Self-assesment a registrace stanovují první klíčový termín, přičemž jeho nedodržení může vaši organizaci vystavit vysokým pokutám ještě před jakýmkoli kybernetickým incidentem. Nová právní úprava současně zásadně posouvá těžiště odpovědnosti přímo na nejvyšší úroveň řízení. Tím, že klade jasné povinnosti a sankční mechanismy právě na management, vytváří silný motivační tlak k aktivnímu řízení kybernetické bezpečnosti, nikoliv pouze po formální stránce, ale jako strategickou prioritu.
Regulační rámec si neklade za cíl organizace trestat, nýbrž je připravit na reálné kybernetické hrozby v době raketového technologického rozvoje. Důsledná implementace požadovaných opatření nepřináší jen formální splnění právních povinností, ale především výrazně zvyšuje odolnost vůči útokům, posiluje důvěru zákazníků i obchodních partnerů.
V případě jakýchkoli dotazů k tématu právní regulace kyberbezpečnosti či dalším oblastem EU regulace a compliance jsme Vám v PEYTON legal k dispozici.
[1] Více informací naleznete na dedikované stránce NÚKIB: https://portal.nukib.gov.cz/pruvodce-novym-zakonem-o-kyberneticke-bezpecnosti.
[2] V rámci působnosti nařízení DORA bude s ohledem na finanční sektor vykonávat dohled Česká národní banka.
Mgr. Martin Heinzel, partner – heinzel@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
17. 7. 2025