Kybernetická Bezpečnost & Růst
Publikováno dne
Legislativa

Nový zákon o kybernetické bezpečnosti vstoupil v účinnost

Autor

Nový zákon o kybernetické bezpečnosti přináší zásadní změny

Dne 1. 11. 2025 vstoupil v účinnost Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nahrazuje dosavadní právní úpravu a implementuje požadavky směrnice Směrnice (EU) 2022/2555 (NIS2) do právního řádu České republiky.

Tento krok znamená zásadní posílení požadavků na kybernetickou bezpečnost nejen ve veřejném sektoru, ale také u mnoha organizací soukromého sektoru.

Klíčové změny v zákoně o kybernetické bezpečnosti

  • Vyšší odpovědnost vedení: Vrcholové vedení organizace ponese odpovědnost za fungování systému řízení bezpečnosti informací (např. výkon bezpečnostních rolí, rozhodování o bezpečnostních opatřeních).
  • Řízení rizik a aktiv: Organizace budou muset znát svá aktiva, rizika a zavést adekvátní opatření.
  • Hlášení incidentů: Incidenty bude nutné hlásit v určených lhůtách NÚKIBu.
  • Režimy povinností: Subjekty budou zařazeny do režimu nižší nebo vyšší úrovně povinností.
  • Sankce za nesoulad: Hrozí vysoké pokuty i zákaz činnosti členů vedení.

Praktický postup implementace požadavků zákona

1) Ověření působnosti zákona na organizaci

  • Nejprve je nutné určit velikost podniku dle MSP kategorizace (např. pomocí MSP kalkulačky, která pokrývá veškeré možné výjimky).
  • Pro ověření regulované služby lze využít kalkulačku NÚKIB.

2) Stanovení rozsahu Systému řízení bezpečnosti informací (SŘBI) podle §12 nZoKB

  • Definovat, kterých informačních a komunikačních systémů se SŘBI týká.
  • Zahrnout inventarizaci a hodnocení aktiv (technických, informačních, personálních, procesních).
  • Vymezit hranice odpovědností a vazby na externí subjekty.

3) Určení bezpečnostní role

  • Určit pověřenou osobu a zajistit jasnou odpovědnost vedení organizace za kybernetickou bezpečnost.

4) Registrace (do 31. 12. 2025)

  • Provést registraci regulovaných systémů a subjektu dle nZoKB.
  • Doložit údaje o spravovaných systémech a kontaktních osobách.

5) GAP analýza

  • Porovnat současný stav s požadavky nZoKB, vyhlášek a bezpečnostních standardů.
  • Identifikovat chybějící procesy, role, dokumentaci a technická opatření.
  • Vytvořit plán nápravných kroků a priorit.

6) Analýza rizik

  • Vyhodnotit hrozby, zranitelnosti a dopady na aktiva definovaná v SŘBI.
  • Posoudit pravděpodobnost a existující opatření.
  • Stanovit riziková kritéria a akceptovatelnou úroveň rizika.

7) Implementace bezpečnostních opatření

  • Zavádět technická, organizační a administrativní opatření dle priorit.
  • Aktualizovat dokumentaci SŘBI, procesy a interní pravidla.
  • Zavést školení zaměstnanců, průběžný monitoring a vyhodnocování účinnosti bezpečnostních opatření.
  • Zajistit dokumentaci, politiky, procesy a řízení dodavatelů, zejména u subjektů spadající pod vyšší režim povinností.
  • Nastavit proces detekce, evidence, hlášení a vyhodnocování incidentů.
  • Sledovat prováděcí předpisy, vyhlášky a metodiky – část již byla publikována.
  • Pokud je zaveden ISO/IEC 27001 nebo jiný systém, ověřit pokrytí nových požadavků zákona.

Závěr

Nový zákon o kybernetické bezpečnosti přináší nové povinnosti pro organizace a přistupuje ke kybernetické bezpečnosti, a to nejen formálně, ale také strategicky.

Vzhledem k časové náročnosti implementace je vhodné zahájit přípravu co nejdříve.

Včasná příprava pomůže vyhnout se zbytečným nákladům, zajistí soulad s novým právním rámcem a zároveň posílí schopnost organizace obstát v době rostoucích kybernetických hrozeb přicházejících z celého světa.

Související příspěvky