Nový zákon o kybernetické bezpečnosti: Jak poznat, že jste regulovaným subjektem a co to pro vás znamená?

Od 1. listopadu 2025 je v České republice účinný nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. Přináší povinnosti nejen pro velké energetické či telekomunikační společnosti, ale také pro střední a velké podniky z oboru výroby, zdravotnictví, logistiky nebo IT. Jak poznáte, že se vás ZoKB týká, a co musíte udělat?

Kybernetické útoky neznají hranice a kybernetická bezpečnost není jen technologickou záležitostí jednotlivých firem. Jde o otázku fungování celé společnosti. Právě proto Evropská unie přijala směrnici NIS2, jejímž cílem je nastavit společnou úroveň kybernetické bezpečnosti napříč všemi členskými státy. V České republice se směrnice NIS2 promítla do legislativy v podobě nového zákona o kybernetické bezpečnosti (ZoKB).

Nový zákon ale nepřináší pouze nové požadavky na kybernetickou bezpečnost firem. Jde o zásadní systémovou změnu, která zahrnuje i povinnosti pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), například při sdílení informací o hrozbách mezi státy nebo koordinaci reakcí na závažné incidenty.

Dva režimy povinností

Česká republika se při transpozici směrnice NIS2 rozhodla pro specifický přístup. Místo novelizace starého zákona vznikl zcela nový zákon, doplněný sedmi vyhláškami a dvěma nařízeními vlády. Klíčovým prvkem je rozdělení regulovaných subjektů do dvou režimů:

• Režim vyšších povinností můžeme označit za „zlatý standard“ kybernetické bezpečnosti. Vztahuje se na velké podniky a kritické služby, jejichž výpadek by měl závažné dopady na společnost.
• Režim nižších povinností stanovuje minimální úroveň zabezpečení pro středně velké podniky a méně kritické služby. Požadavky jsou mírnější, ale stále poměrně rozsáhlé.

Důležité je, že pokud firma poskytuje alespoň jednu službu zahrnutou do režimu vyšších povinností, musí i všechny své ostatní regulované služby řešit právě v tomto režimu.

Nový ZoKB existuje vedle dalších regulací, jako je GDPR, DORA nebo AI Act, které se na dotčené organizace vztahují nezávisle a souběžně.

Jsme regulovaným subjektem? Tři kroky k odpovědi

Mnoho organizací si dnes klade otázku, zda na ně nový zákon dopadá. Jeho specifikem přitom je, že organizace musí sama zjistit, zdali se novou regulací musí řídit. Proces samoidentifikace ale není složitý, jen vyžaduje pečlivé posouzení. NÚKIB také pro samoidentifikaci připravil webovou kalkulačku, která vás jednotlivými kroky intuitivně provede a současně poskytne informaci, zdali organizace pravděpodobně spadá do režimu vyšších či nižších povinností.

Kritérium 1: Velikost podniku

ZoKB se primárně vztahuje na střední a velké podniky, tedy organizace s:

• 50 a více zaměstnanci, nebo
• ročním obratem nad 10 milionů eur, nebo
• bilanční sumou roční rozvahy nad 10 milionů eur.

Pozor ovšem na propojené a partnerské podniky. Pokud je firma součástí holdingu, může být i malý podnik klasifikován jako střední nebo velký.

Kritérium 2: Obor činnosti

Druhým krokem je prostudování vyhlášky č. 408/2025 Sb. o regulovaných službách. Je přitom důležité vědět, že regulovaná služba nemusí přímo souviset s hlavní činností organizace. Například výrobní podnik mimo obor regulovaných služeb, který ale současně provozuje vlastní fotovoltaickou elektrárnu s výkonem nad 1 MW, je současně výrobcem elektřiny, a tedy spadá do regulovaného odvětví energetiky. Stejně tak poskytování IT služeb jiným společnostem v rámci holdingové struktury může spadat do kategorie poskytovatelů digitálních služeb.

Kritérium 3: Význam pro chod státu

Existuje ještě třetí varianta, která se týká poskytovatelů služeb významných pro chod státu. Může jít například o výhradní poskytovatele kritické infrastruktury v určité oblasti. NÚKIB takové regulované subjekty určuje přímým oslovením daného subjektu.

Základní povinnosti regulovaných subjektů

Subjekty regulované podle nového ZoKB čeká splnění čtyř základních povinností.

1. Registrace na Portálu NÚKIB

Do 31. prosince 2025 je nutné ohlásit regulované služby na Portálu NÚKIB. Při registraci se zadávají základní údaje o organizaci, kontaktní osoby, velikost podniku, regulované služby a technické informace o regulovaných službách (například rozsah veřejných IP adres a používaná doménová jména).

Po registraci následuje vyrozumění o zápisu do evidence regulovaných subjektů, a pak začíná běžet roční lhůta na zavedení všech bezpečnostních opatření.

2. Zavedení bezpečnostních opatření

Regulované subjekty musí identifikovat svá primární aktiva – tedy informace, služby a procesy, které souvisejí s regulovanou službou – a k nim také podpůrná aktiva, jako jsou IT systémy, infrastruktura, budovy či zaměstnanci.

Pro tato aktiva je nutné zavést bezpečnostní opatření dle příslušné vyhlášky. Ta jsou rozdělena na organizační (politiky, směrnice, procesy, školení zaměstnanců) a technická (zabezpečení sítí, šifrování, zálohování, monitoring).

Dobrým vodítkem je norma ISO 27001, která téměř zcela odpovídá požadavkům vyhlášky ve vyššm režimu povinností. Držitelé certifikace dle ISO 27001 jsou tedy na dobré cestě – ale neznamená to, že automaticky splňují všechny požadavky ZoKB.

3. Hlášení kybernetických incidentů

Součástí povinností regulovaných subjektů je také hlášení kybernetických incidentů. V režimu vyšších povinností se incidenty hlásí přímo NÚKIBu, v režimu nižších povinností Národnímu CERTu.

Prvotní oznámení musí proběhnout do 24 hodin od identifikace významného kybernetického incidentu. Následují průběžné a závěrečné zprávy. Hlášení probíhá přes Portál NÚKIB nebo datovou schránku. Nová je také informační povinnost vůči uživatelům regulované služby.

4. Reakce na protiopatření

NÚKIB má tři nástroje, kterými může na regulované subjekty působit:

• Výstraha – Vydá se v případě neplnění povinností regulovaným subjektem nebo pokud má NÚKIB důvod zveřejnit informaci o jeho incidentu.
• Varování – V případě, kdy NÚKIB zjistí závažné hrozby nebo významné zranitelnosti v rámci odvětví.
• Reaktivní protiopatření – Nejpřísnější forma, kdy NÚKIB přímo nařídí zavést konkrétní protiopatření.

Subjekty regulované podle předchozího zákona o kybernetické bezpečnosti (Zákon č. 181/2014 Sb.) by měly věnovat pozornost, mimo jiné, také § 71 (Přechodná ustanovení) nového ZoKB, aby uvedly svá současná opatření do souladu s novým zákonem.

Bezpečnostní opatření: Od strategie po technologie

Nové vyhlášky o bezpečnostních opatřeních jsou obsáhlé a pokrývají všechny aspekty kybernetické bezpečnosti. Nejde jen o nasazení bezpečnostních řešení (hardwarových či softwarových), ale o komplexní systém řízení bezpečnosti informací.

Organizační opatření zahrnují:

• Strategii a politiku kybernetické bezpečnosti
• Řízení rizik – jejich identifikaci, hodnocení a ošetření
• Řízení aktiv – evidenci a klasifikaci
• Řízení přístupu – role a oprávnění
• Plány kontinuity – pro případ přerušení chodu organizace nebo zotavení po incidentu
• Školení zaměstnanců
• Řízení dodavatelů

Technická opatření pokrývají:

• Zabezpečení sítí – segmentace, firewally, detekce útoků
• Šifrování dat
• Zálohování a obnovu dat
• Monitoring a logování
• Řízení životního cyklu technických aktiv
• Testování – penetrační testy, cvičení krizových scénářů

Rozsah opatření závisí na režimu a typu regulované služby. Současně je nutné zmínit, že nejde o jednorázové nastavení bezpečnostních opatření, ale o kontinuální řízení a vývoj kybernetického zabezpečení organizace.

Nová výzva při řízení dodavatelů

Jedna z největších změn dle nového ZoKB se týká dodavatelského řetězce. Nutná opatření vycházejí z faktu, že útočníci často necílí přímo na velké organizace, ale na jejich dodavatele s nižší úrovní zabezpečení.

Povinností regulovaných subjektů v režimu vyšších povinností je:

• Identifikovat významné dodavatele s vlivem na kybernetickou bezpečnost. Typicky jde o dodavatele IT, poskytovatele cloudových služeb nebo správce infrastruktury.
• Vést jejich evidenci – Základní přehled, kdo co poskytuje a jaký to má vliv na regulované služby.
• Uzavřít bezpečnostní dodatky – Ve smlouvách musí být ošetřena bezpečnostní ustanovení. Co se stane při incidentu? Jaké máte právo na kontrolu?
• Hodnotit rizika – Pravidelně posuzovat rizikovost dodavatelů.
• Kontrolovat a auditovat – Regulované subjekty jsou oprávněny ověřovat, že dodavatelé plní své povinnosti.

V režimu nižších povinností stačí řešit bezpečnostní ustanovení ve smlouvách. Přesto je vhodné mít o klíčových dodavatelích přehled.

Je důležité vědět, že i firmy, které samy nejsou regulovaným subjektem, mohou být významným dodavatelem regulovaných subjektů. V takovém případě po nich odběratelé budou požadovat uzavření bezpečnostního dodatku a samozřejmě také plnění bezpečnostních opatření. To jen dále potvrzuje fakt, že kybernetickou bezpečnost by měla řešit každá firma či organizace, bez ohledu na to, zdali to vyžaduje zákon.