Nový zákon o kybernetické bezpečnosti: Na co se připravit?

Dne 26. 6. 2025 podepsal prezident České republiky nový zákon o kybernetické bezpečnosti, který bude následně uveřejněn ve Sbírce zákonů, přičemž se předpokládá, že by se tak mělo stát v srpnu tohoto roku. Dnem uveřejnění ve Sbírce zákonů začne běžet dvouměsíční lhůta, po jejímž uplynutí nabude zákon účinnosti. Co to pro vás znamená?

Zákon je transpozicí směrnice NIS 2 a významně rozšiřuje okruh regulovaných služeb a jejich poskytovatelů a zpřísňuje požadavky na zajištění kybernetické bezpečnosti.

Podpis prezidentem: 26. 6. 2025
Předpokládané uveřejnění: srpen 2025
Očekávané nabytí účinnosti: 1. listopadu 2025

Koho se zákon týká

Zákon dopadá především na střední a velké podniky poskytující některou z regulovaných služeb. Mezi ty patří například poskytovatelé cloud computingu, datových center, digitální poskytovatelé jako provozovatelé online tržišť či vyhledávačů, ale také subjekty z tradičních odvětví jako energetika, doprava, zdravotnictví či bankovnictví.

Bez ohledu na velikost se zákon vztahuje také na poskytovatele základních služeb jako jsou veřejné elektronické komunikace či služby vytvářející důvěru. Malé a mikro podniky jsou z působnosti zákona většinou vyňaty, pokud neposkytují některou ze zvláště kritických služeb.

Bezpečnostní opatření

Bezpečnostní opatření se liší v návaznosti na režim, do kterého poskytovatel regulované služby spadá. Je tedy nutné, aby subjekty správně uvedly registrační údaje v rámci plnění ohlašovací povinnosti.

Bezpečnostní opatření se dělí na opatření organizační a technická.
Poskytovatelům strategicky významné služby navíc zákon stanoví zvláštní povinnosti v souvislosti s prověřováním bezpečnosti dodavatelského řetězce.

S nabytím účinnosti zákona se pojí zejména následující povinnosti

Registrace (do 60 dnů od účinnosti)

Poskytovatelé služeb, které splňují podmínky pro registraci, jsou povinni do 60 dnů ode dne účinnosti zákona, případně do 60 dnů ode dne, kdy došlo ke splnění podmínek, ohlásit NÚKIB tyto služby. Národní úřad pro kybernetickou a informační bezpečnost následně vydá rozhodnutí o registraci regulované služby.

Hlášení údajů (do 30 dnů od registrace)

Nejpozději do 30 dnů ode dne doručení rozhodnutí o registraci regulované služby jsou poskytovatelé regulované služby povinni hlásit NÚKIB údaje definované zákonem.

Mezi ně patří:

• kontaktní údaje

• informace o jejich vlastnické struktuře

• technické údaje týkající se regulované služby

• informace o jejím geografickém rozšíření

Povinnost evidence a správy kybernetických aktiv

Poskytovatelé regulované služby jsou povinni stanovit rozsah řízení kybernetické bezpečnosti, tedy zejména:

• určit aktiva

• vést jejich evidenci

• stanovený rozsah pravidelně přezkoumávat a aktualizovat

Implementace bezpečnostních opatření (roční lhůta)

Poskytovatelé regulované služby mají povinnost zavést a provádět ve lhůtě 1 roku ode dne doručení rozhodnutí NÚKIB o registraci regulované služby bezpečnostní opatření pro každou regulovanou službu dle režimu, do nějž spadají – po uplynutí této lhůty může NÚKIB zahájit vymáhání povinností spojených se zaváděním a prováděním bezpečnostních opatření.

Povinnost hlášení kybernetických incidentů (do 24 hodin)

Nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby musí poskytovatelé regulované služby začít plnit povinnost hlásit definované kybernetické bezpečnostní incidenty, a to bez zbytečného odkladu, nejpozději do 24 hodin po jejich zjištění.

Zajištění dostupnosti služeb z území ČR (roční lhůta)

Poskytovatelé strategicky významné služby jsou povinni zajišťovat její dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky. A to nejpozději do 1 roku ode dne, kdy se z regulované služby stala strategicky významná služba.

Pravidelný dvouletý audit dostupnosti služeb

Poskytovatelé strategicky významné služby jsou povinni prověřovat zajištění jejího poskytování v nezbytném rozsahu z území České republiky nejméně jednou za 2 roky a o tomto prověření vyhotovit záznam, a to nejpozději do 1 roku ode dne, kdy se z regulované služby stala strategicky významná služba.

Poskytovatelé regulované služby budou dále zejména povinni poskytovat NÚKIB, případně jinému orgánu požadovanou součinnost, hlásit změny regulované služby, a to do 60 dnů ode dne, kdy ke změně došlo, plnit povinnosti uložené opatřeními či protiopatřeními, či v definovaných případech plnit stanovené povinnosti v souvislosti s prověřováním bezpečnosti dodavatelského řetězce.

Sankce za nedodržení povinností

Zákon rovněž definuje přestupky, kterých se může dopustit jak poskytovatel regulované služby (dle režimů povinností), tak i další osoby, kterými se rozumí například subjekt, který nesplnil povinnost ohlásit službu NÚKIB.

Za přestupky hrozí vysoké sankce, a to pokuty až do výše 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu podniku.

NÚKIB bude rovněž oprávněn uložit dočasný zákaz výkonu funkce člena statutárního orgánu tomu členovi statutárního orgánu poskytovatele regulované služby v režimu vyšších povinností, který v přímé souvislosti s uložením povinnosti odstranit nedostatky zjištěné ze strany NÚKIB opakovaně nebo závažně porušil své povinnosti při výkonu funkce, v důsledku čehož bylo zmařeno řádné splnění rozhodnutí Úřadu, a to až do doby odstranění zjištěných nedostatků, nejméně po dobu 6 měsíců.

Pozornost nové úpravě by měly věnovat nejen subjekty, které splňují podmínky pro registraci regulovaných služeb, ale také jejich smluvní partneři, neboť je pravděpodobné, že i na ně zprostředkovaně povinnosti vyplývající se zákona dopadnou.

Doporučujeme všem dotčeným subjektům začít s přípravou na novou regulaci co nejdříve.