RK Logo
JUDr. Radek Keller

law office

Back to articles
Co přináší nový zákon o kybernetické bezpečnosti?

Co přináší nový zákon o kybernetické bezpečnosti?

Mgr. Anna Kellerová
Mgr. Anna Kellerová
January 20, 2026

Zákon o kybernetické bezpečnosti od 1. listopadu 2025: Praktický průvodce pro regulované subjekty

Od 1. listopadu 2025 nabývá účinnosti nový zákon o kybernetické bezpečnosti, který představuje zásadní změnu v právní regulaci ochrany digitální infrastruktury v České republice. Jeho obsah ve značné míře vychází ze směrnice Evropské unie NIS2, jejímž cílem je posílit kybernetickou odolnost členských států v reakci na dynamicky rostoucí počet a sofistikovanost kybernetických útoků.

Původní směrnice NIS již neodpovídala současnému vývoji v oblasti kybernetických hrozeb ani míře digitalizace klíčových služeb. Nová právní úprava proto reflektuje aktuální rizika a rozšiřuje okruh regulovaných subjektů, zpřesňuje jejich povinnosti a klade výraznější důraz na aktivní řízení kybernetických rizik na úrovni vedení organizací.

Prováděcí předpisy a role NÚKIB

Pro správné pochopení a praktickou aplikaci zákona je nezbytné zohlednit také související prováděcí právní předpisy. Ty podrobně upravují zejména vymezení regulovaných služeb, rozsah bezpečnostních opatření a režimy povinností.

Přehled aktuálních návrhů a účinných prováděcích předpisů zveřejňuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na svých oficiálních stránkách, kde subjekty naleznou i metodické materiály a praktické návody k plnění zákonných povinností. (https://portal.nukib.gov.cz/pruvodce-novym-zakonem-o-kyberneticke-bezpecnosti/navrhy-provadecich-pravnich-predpisu.)

Rozšíření okruhu regulovaných subjektů a princip samoidentifikace

Jednou z nejvýznamnějších novinek je rozšíření okruhu regulovaných osob a služeb. Zákon zároveň zavádí princip tzv. samoidentifikace, kdy ve většině případů samotné subjekty posuzují, zda poskytují regulovanou službu ve smyslu zákona.

Pokud subjekt dospěje k závěru, že pod regulaci spadá, je povinen tuto skutečnost oznámit NÚKIB, a to ve lhůtě 60 dnů od nabytí účinnosti zákona. Tímto krokem se zásadně mění dosavadní model, kdy byla identifikace regulovaných subjektů primárně v rukou správních orgánů.

Zvýšené nároky na řízení kybernetických rizik

Nový zákon klade výrazný důraz na systematické řízení kybernetické bezpečnosti, dokumentaci přijatých opatření a odpovědnost statutárních orgánů a vrcholového vedení. Subjekty jsou povinny zavádět odpovídající technická a organizační opatření, hlásit kybernetické incidenty a aktivně spolupracovat s orgány veřejné moci při prevenci a řešení hrozeb.

Pro podniky, instituce i orgány veřejné správy tak zákon nepředstavuje pouze rozšíření administrativních povinností, ale především zásadní změnu přístupu k ochraně digitálních aktiv a řízení provozních a reputačních rizik.

Praktický přehled: Co musí subjekty udělat

Nový zákon o kybernetické bezpečnosti ukládá regulovaným subjektům konkrétní kroky, jejichž splnění je klíčové nejen z hlediska zákonné odpovědnosti, ale také z pohledu stability a bezpečnosti jejich provozu.

1. Posouzení dopadu zákona (samoidentifikace)

Prvním krokem je vyhodnocení, zda subjekt poskytuje regulovanou službu. Toto posouzení se provádí zejména na základě vyhlášky o regulovaných službách.

V řadě odvětví je zároveň rozhodující velikost podniku ve smyslu Doporučení Komise 2003/361/ES, které rozlišuje mikropodniky, malé a střední podniky podle počtu zaměstnanců, výše ročního obratu a bilanční sumy roční rozvahy. (Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků)

Pro usnadnění tohoto kroku poskytuje NÚKIB online nástroj – kalkulačku, která pomáhá subjektům orientačně vyhodnotit, zda na ně zákon dopadá. (https://portal.nukib.gov.cz/kalkulacka)

Pokud subjekt dospěje k závěru, že pod regulaci spadá, je povinen tuto skutečnost oznámit NÚKIB do 60 dnů od účinnosti zákona.

2. Sdělení aktuálních kontaktních údajů

Subjekty jsou povinny uvést a průběžně aktualizovat své kontaktní údaje, které slouží k zajištění efektivní komunikace s NÚKIB, zejména v případě řešení kybernetických incidentů a mimořádných situací.

3. Stanovení rozsahu řízení kybernetické bezpečnosti

Dalším krokem je vymezení rozsahu řízení kybernetické bezpečnosti. To zahrnuje zejména mapování služeb, systémů a procesů, které souvisejí s poskytováním regulované služby, a identifikaci klíčových aktiv, jejichž narušení by mohlo mít významný dopad na chod subjektu.

4. Zavádění odpovídajících bezpečnostních opatření

Rozsah povinností se liší podle toho, zda subjekt spadá do režimu vyšších, nebo nižších povinností. Prováděcí vyhlášky stanovují konkrétní technická a organizační opatření, která musí být zavedena, dokumentována a pravidelně vyhodnocována.

5. Hlášení kybernetických bezpečnostních incidentů

Subjekty jsou povinny hlásit kybernetické incidenty NÚKIB. Obsah a lhůty hlášení se odvíjejí od režimu povinností a závažnosti incidentu, zejména podle jeho dopadu na dostupnost, důvěrnost a integritu regulované služby.

6. Informování uživatelů o incidentech a hrozbách

Zákon vyžaduje, aby subjekty měly zavedený interní proces, který jasně stanoví:

  • podle jakých kritérií se posuzuje významná hrozba nebo incident s významným dopadem,
  • v jakých případech a jakým způsobem budou informováni uživatelé nebo další dotčené osoby,
  • kdo je odpovědný za rozhodnutí o samotném informování.

7. Zavádění protiopatření vydaných NÚKIB

Zákon umožňuje státu v mimořádných situacích zasáhnout k ochraně klíčových aktiv prostřednictvím tzv. protiopatření. Právní rámec rozlišuje tři typy těchto opatření, jejichž cílem je minimalizovat dopady závažných kybernetických hrozeb na kritickou infrastrukturu a regulované služby.

Povinnosti poskytovatelů strategicky významných služeb

Subjekty, které jsou zároveň poskytovateli strategicky významné služby, mají nad rámec výše uvedených povinností další závazky. Patří mezi ně zejména zavedení mechanismů prověřování bezpečnosti dodavatelského řetězce a zajištění dostupnosti strategicky významné služby i v krizových scénářích.

Jak Vám můžeme pomoci

Pokud si nejste jisti, zda se na Vás nová právní úprava vztahuje, nebo jak správně nastavit interní procesy a splnit zákonné povinnosti, náš tým Vám poskytne komplexní právní podporu. Pomůžeme Vám s posouzením dopadů zákona, komunikací s NÚKIB, přípravou interních směrnic, nastavením bezpečnostních opatření i postupů pro řešení kybernetických incidentů.

Naším cílem je zajistit, aby byly z Vaší strany splněny všechny požadavky nového zákona o kybernetické bezpečnosti a zároveň došlo k posílení odolnost subjektu vůči stále sofistikovanějším kybernetickým hrozbám.

Zdroj: NÚKIB

Obrázek: ChatGPT

Mgr. Anna Kellerová