Blog
Směrnice NIS2 a nový Zákon o kybernetické bezpečnosti: Co potřebujete vědět?

Vše nasvědčuje tomu, že 1. 7. 2025 vstoupí v platnost nový zákon o kybernetické bezpečnosti přijatý v návaznosti na evropskou směrnici NIS2. Cílem nové legislativy je podstatné zvýšení kybernetické odolnosti soukromých i veřejných subjektů. Předpokládá se, že nové povinnosti dopadnou na cca 6 000 subjektů. Zavedeny budou také vysoké sankce - pokuty až do milionů nebo v procentech z obratu, pozastavení platnosti certifikace nebo dočasný zákaz výkonu funkce člena statutárního orgánu. Ačkoliv zákon dosud nenabyl účinnosti, je důležité se na změny včas připravit.
Dopadne na Vás nový zákon?
Pokud odpovíte kladně na obě následující otázky, je velice pravděpodobné, že na Vás regulace dopadne:
- Poskytujete regulovanou službu? Dle připravované vyhlášky 60 služeb v 18 odvětvích, a to například v oblasti energetiky, dopravy, zdravotnictví, digitální infrastruktury a služeb, veřejné správy, poštovních a kurýrních služeb nebo výrobního průmyslu.
- Jste jejím významným poskytovatelem? Dle připravované vyhlášky jsou podmínkami významnosti například velikost podniku, objem poskytovaných služeb, skutečnost, že jste držiteli určitých licencí, nebo počet zákazníků, kteří jsou na Vašich službách závislí.
Pokud si nejste jistí, vyzkoušejte praktickou kalkulačku, kterou pro lepší přehled umístil na své webové stránky Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Kdo nejspíše bude regulovaným subjektem?
- Veřejná správa a výkon veřejné moci: kraje a obce s rozšířenou působností
- Poskytovatelé online tržišť: včetně těch působících v oblasti cestovního ruchu (např. online cestovní agentury, rezervační platformy)
- Poskytovatelé řízených (IT) služeb a poskytovatelé služeb datových center
- Zdravotnictví: subjekty poskytující zdravotní péči nebo zabývající se výrobou léčivých látek či zdravotnických prostředků
- Výrobní průmysl: subjekty zabývající se výrobou spadající do klasifikace ekonomických činností CZ-NACE (např. výroba motorových vozidel)
Koho se zákon pravděpodobně vůbec netýká?
- Mikro a malé podniky: dle klasifikace obsažené v doporučení Komise EU
- Školy (s výjimkou vysokých škol)
Režim nižších a vyšších povinností
Regulované subjekty nově spadnou do jednoho ze dvou režimů:
- režim vyšších povinností pro subjekty základní (essential)
- režim nižších povinností pro subjekty významné (important)
Podrobnosti budou upřesněny ve finálním znění zákona a provádějících vyhláškách.
Klíčové povinnosti dle nového zákona
Regulované subjekty v obou režimech budou mít následující povinnosti:
- Registrace: ohlášení regulované služby prostřednictvím elektronického formuláře v Portálu NÚKIB.
- Aktualizace údajů: Poskytnutí a průběžná aktualizace kontaktních a dalších údajů přes Portál NÚKIB.
- Stanovení rozsahu a zavedení systému řízení kybernetické bezpečnosti prostřednictvím bezpečnostních opatření podle příslušných vyhlášek
- Hlášení kybernetických bezpečnostních incidentů
- Informování klientů: Povinnost informovat uživatele o závažných kybernetických incidentech, které je mohou ovlivnit.
- Provádění protiopatření: Povinnost přijmout protiopatření, která stanoví NÚKIB v reakci na aktuální hrozby.
V rámci systému řízení kybernetické bezpečnosti zákon předpokládá přímou odpovědnost organizace a jejího managementu, nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů, zavedení minimálního standardu bezpečnostních opatření včetně bezpečnosti dodavatelského řetězce, vytvoření týmu, který bude schvalovat opatření v oblasti kybernetické bezpečnosti a dohlížet na jejich dodržování nebo povinnost primárně uchovávat data na území České republiky.
Pro zavedení systému řízení kybernetické bezpečnosti a hlášení kybernetických bezpečnostních incidentů poskytuje zákon regulovaným subjektům přechodnou lhůtu 1 roku od doručení rozhodnutí o registraci.
Zakázané technologie a produkty
S novým zákonem bude mít NÚKIB velmi pravděpodobně pravomoc regulovaným subjektům možnost využívání některých rizikových dodavatelů omezit či dokonce zakázat. To by se však mělo týkat jen poskytovatelů strategicky významných služeb. Činnost NÚKIB proto budou regulované subjekty muset bedlivě sledovat a pro jistotu stavět svou IT infrastrukturu na důvěryhodných a bezpečných technologiích a produktech.
Doporučené kroky
- Sebeurčení: Vyzkoušejte si kalkulačku NÚKIB a udělejte si představu, zda na Vás nový zákon o kybernetické bezpečnosti dopadne.
- Konzultace: Vyhledejte pomoc IT specialistů a odborníků na kybernetickou bezpečnost, kteří Vaši organizaci připraví k plnění všech povinností podle nového zákona.
- Revize aktiv a dodavatelského řetězce: Posuďte svá aktiva a kybernetickou bezpečnost klíčových dodavatelů, zejména těch, kteří poskytují IT služby nebo zpracovávají citlivá data.
- Průběžné sledování změn: Sledujte aktuality na webu NÚKIB.
- Nenaleťte! Buďte opatrní, pokud Vám někdo bude nabízet, že zajistí pro Vaši organizaci kompletní služby k naplnění zákonných požadavků nového zákona o kybernetické bezpečnosti. Není to totiž jednorázová záležitost, ale naopak mnoho různých kontinuálních procesů, které musí být zavedeny a udržovány s Vaším osobním zapojením.
- Nebojte se! NÚKIB dlouhodobě razí přístup, že regulovaným subjektům spíše poskytuje podporu k naplnění zákonných povinností, než aby je sankcionoval.
S čím Vám můžeme pomoci
Orientace v novém zákoně o kybernetické bezpečnosti může být náročná. Naše advokátní kancelář Vám může poskytnout právní poradenství a pomoci Vám například s:
- Určením, zda se na Vás nový zákon vztahuje
- Interpretací požadavků zákona nebo provádějících vyhlášek
- Vypracováním a implementací některých interních politik a postupů
- Revizí smluv s dodavateli z hlediska kybernetické bezpečnosti
- Asistencí nebo zastoupením v případě kybernetického bezpečnostního incidentu nebo kontroly ze strany NÚKIB
Neváhejte nás kontaktovat a prodiskutovat Vaše konkrétní potřeby a způsob, jak se na nové požadavky připravit.
Další články:

Co evropské společnosti potřebují vědět o americkém zákoně o transparentnosti korpora...
V případě, že uvažujete o rozšíření svého podnikání do Spojených států, nebo jste na americký trh již vstoupili, možná na vás dopadá zákon o transparentnosti společností (tzv. CTA), který vstoupil v platnost 1. ledna 2024. CTA pož... → pokračovat
Jasper Brinkman
Jasper Brinkman
„Po ničivém požáru hotelu v Praze nás zastupovala advokátní kancelář Holubová advokáti pod vedením advokátky Kláry Dvořákové. Mezi poškozenými bylo hodně členů naší početné rodiny. Advokátka se skvěle orientovala ve složitých mezinárodních zákonech o pojištění i odškodnění a hájila naše práva.
Rád bych ocenil velké úsilí, které musela kancelář vynaložit, aby za mimořádně obtížných okolností dovedla náš případ k úspěšnému odškodnění.
“
Stewards, paní Eva
Stewards, paní Eva
„Návštěva u dcery v Londýně obrátila paní Evě život vzhůru nohama. Na přechod vkročila podle svých slov na zelenou, ale srazilo ji auto. Následovala dlouhá léčba. Ač je paní Eva velmi statečná, zlomeniny v oblasti pánve, s tím spojená omezení a bolestivost jí patrně zůstanou až do konce života. K tomu se přidává pravidelná bolest hlavy a poruchy soustředění.
Paní Eva se na nás obrátila prostřednictvím organizace, která jí přechodně pomáhala zvládat těžkou životní situaci. V té době byla bez prostředků, pouze na doplatcích do životního minima. Pomoct jsme jí mohli díky tomu, že se specializujeme na náhradu škody a zároveň máme kontakty na prověřené kolegy v zahraničí.
Na tomto případu jsme spolupracovali s britskou advokátní kanceláří Stewarts. Advokátky Klára Dvořáková a Rebecca Huxford pomohly paní Evě s dokumentací celého případu, s vysvětlením jejích možností i s tím, jaké jsou rozdíly mezi českým a britským systémem úhrady zdravotní péče nebo sociálních dávek.
V řádu pár měsíců se díky profesionální spolupráci mezi oběmi kancelářemi podařilo dosáhnout nabídky odškodnění od pojišťovny ve výši zhruba sedmi milionů korun. Toto vyrovnání klientka přijala, protože nechtěla věc podávat k soudu v Británii.
Klientce jsme následně pomohli i se souvisejícími daňovými otázkami, přičemž jsme oslovili poradenskou daňovou kancelář auditone, která zajistila i podání daňového přiznání, neboť náhrada ušlého příjmu podléhá dani, na rozdíl od většiny náhrad za újmu na zdraví.
Podle slov paní Evy pro ni zatím nikdo tolik neudělal.
To, že jsme mohli pomoct paní Evě, dává naší práci smysl a přináší nám velkou radost a jsme velmi rádi, že i díky našemu dlouholetému aktivnímu působení v mezinárodní profesní organizaci PEOPIL můžeme na takových případech spolupracovat.
“