- Publikováno dne
- • Bez kategorie
Nový zákon o kybernetické bezpečnosti podepsán
- Autor
-
-
- Uživatel
- Noxurion
- Příspěvky tohoto autora
- Příspěvky tohoto autora
-
Prezident 26. června 2025 podepsal nový zákon o kybernetické bezpečnosti, který vstoupí v účinnost 1. listopadu 2025. Jde o zásadní krok, jímž Česká republika reaguje na rostoucí hrozby v digitálním prostoru a zároveň implementuje evropskou směrnici NIS2.
Rozšíření povinností a nová pravidla
Na rozdíl od dosavadní úpravy se nová legislativa vztahuje na podstatně širší okruh subjektů, a to nejen na klíčovou infrastrukturu, ale také na tisíce organizací v oblasti zdravotnictví, dopravy, energetiky, IT, financí nebo farmacie. Dopady tak pocítí i organizace, které dosud neměly s kybernetickými předpisy žádnou zkušenost.
Nový zákon zavádí konkrétní povinnosti včetně:
- ohlášení regulované služby do 60 dnů od účinnosti zákona,
- registrace poskytovatelů služeb,
- hlášení kontaktních údajů do 30 dnů po registraci,
- povinnosti hlásit bezpečnostní incidenty,
- zavedení bezpečnostních opatření do jednoho roku.
Za porušení těchto pravidel hrozí vysoké sankce
Na co by se měly organizace připravit
Zákon stanovuje roční přechodné období pro zavedení bezpečnostních opatření. Vzhledem k rozsahu požadavků však bude nutné začít se připravovat co nejdříve. Nejde jen o jednorázové splnění povinností. Zákon je postaven na principech dlouhodobého řízení kybernetických rizik a budování bezpečnostní kultury v organizacích.
Ověření dopadu zákona
Organizace by si měly ověřit, zda na ně zákon dopadá, a v jakém rozsahu. Postupovat mohou podle těchto kroků:
- Určit velikost podniku dle MSP kategorizace – využít můžete naši MSP kalkulačku.
- Zda organizace poskytují regulovanou službu a do jaké kategorie režimu (nižšího nebo vyššího) spadají, je možné ověřit zde: NÚKIB kalkulačka.
Vymezení rozsahu a analýza rizik
V předstihu je vhodné definovat, jaká část organizace skutečně podléhá regulaci, a registrovat pouze tu, která je nezbytně nutná. To v budoucnu může ušetřit čas strávený administrativou i náklady na implementaci bezpečnostních opatření. Zároveň je vhodné provést základní analýzu kybernetických rizik a zhodnotit úroveň zabezpečení, k čemuž je možné si nechat zpracovat analýzu souladu se zákonem.
Příprava bezpečnostní strategie a interních kapacit
Organizace by si měla připravit rámcový plán zavádění opatření, zmapovat technické a personální kapacity a naplánovat potřebné investice.
Příprava na registraci a komunikaci s NÚKIBem
Je třeba shromáždit informace o regulované službě, určit odpovědnou osobu a připravit se na formální proces registrace včetně následného hlášení kontaktních údajů.
Časová osa zavedení zákona
Zákon počítá s přechodným obdobím, které má organizacím umožnit odpovědnou přípravu. Klíčové milníky jsou:
- "1. listopadu 2025" – očekávaná účinnost zákona
- do 60 dnů – povinnost ohlásit regulovanou službu
- do 30 dnů po registraci – povinnost nahlásit kontaktní údaje
- během následujícího roku – zavedení bezpečnostních opatření
- po uplynutí lhůty – plná povinnost hlásit incidenty a řídit rizika
Čas na přípravu je právě teď
Organizace, které budou novou regulací dotčeny, mají jedinečnou příležitost využít časové rezervy do listopadu 2025 k systematické přípravě. Tento prostor umožňuje projít celým procesem s rozvahou a bez zbytečného stresu a tlaku. Včasný začátek výrazně usnadní splnění všech zákonných povinností ve stanovených lhůtách.