Zákon o kybernetické bezpečnosti: co se mění pro firmy

Kybernetická Bezpečnost Zákon

Nový zákon o kybernetické bezpečnosti v ČR

Česká republika se v posledních letech ocitla před zásadní výzvou, která se týká ochrany digitální infrastruktury státu i soukromého sektoru. Nový zákon o kybernetické bezpečnosti představuje jeden z nejvýznamnějších legislativních kroků, které naše země v oblasti digitální ochrany podnikla. Tento zákon navazuje na původní zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a přináší celou řadu zásadních změn, které reagují na aktuální hrozby a zároveň implementují evropskou směrnici NIS2 do českého právního řádu.

Celý proces přípravy nové legislativy byl dlouhý a náročný. Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, hrál v tomto procesu klíčovou roli, přičemž odborníci z tohoto úřadu spolupracovali s představiteli soukromého sektoru, akademické obce i mezinárodními partnery. Výsledkem je komplexní právní rámec, který by měl České republice umožnit lépe čelit rostoucím kybernetickým hrozbám, jež v posledních letech dramaticky narůstají jak co do počtu, tak co do sofistikovanosti.

Jednou z klíčových změn, které nový zákon přináší, je výrazné rozšíření okruhu subjektů, na které se povinnosti v oblasti kybernetické bezpečnosti vztahují. Zatímco původní zákon se zaměřoval především na provozovatele základních služeb a poskytovatele digitálních služeb v relativně úzkém vymezení, nová legislativa zahrnuje podstatně širší spektrum organizací. Do regulačního rámce nově vstupují subjekty ze zdravotnictví, dopravy, energetiky, vodního hospodářství, bankovnictví, digitální infrastruktury a celé řady dalších odvětví. Odhaduje se, že počet povinných subjektů se oproti předchozí úpravě několikanásobně zvýší, přičemž někteří experti hovoří o tisících nových organizací, které budou muset splňovat zákonem stanovené požadavky.

Nový zákon rovněž přináší přísnější požadavky na hlášení kybernetických incidentů. Organizace budou povinny oznamovat závažné bezpečnostní události v mnohem kratších lhůtách než doposud, přičemž systém hlášení byl navržen tak, aby umožňoval rychlou reakci ze strany státních orgánů a zároveň poskytoval relevantní informace pro ochranu dalších potenciálně ohrožených subjektů. Tato povinnost se týká nejen samotných incidentů, ale i tzv. hrozeb, tedy situací, kdy existuje reálné riziko narušení bezpečnosti, i když k němu ještě nedošlo.

Důležitou součástí nové legislativy je také zavedení přísnějšího systému sankcí za porušení povinností stanovených zákonem. Pokuty, které mohou být organizacím uloženy v případě nedodržení bezpečnostních opatření nebo povinností hlášení, jsou výrazně vyšší než v předchozí úpravě. Zákon tak reflektuje evropský přístup, který vychází z přesvědčení, že pouze dostatečně odrazující sankce mohou přimět organizace k tomu, aby kybernetickou bezpečnost braly skutečně vážně a investovaly do ní odpovídající prostředky.

Zákon také nově upravuje odpovědnost vrcholového managementu organizací za stav kybernetické bezpečnosti. Vedoucí pracovníci již nemohou přenášet veškerou odpovědnost na technické oddělení nebo externího dodavatele bezpečnostních služeb. Jsou povinni aktivně se podílet na řízení kybernetických rizik, schvalovat bezpečnostní politiky a zajistit, aby organizace disponovala dostatečnými zdroji pro plnění zákonných povinností. Tato změna je považována za zásadní, protože kybernetická bezpečnost přestává být vnímána jako čistě technická záležitost a stává se otázkou strategického řízení.

Implementace nového zákona představuje pro mnoho organizací značnou výzvu, a to jak z hlediska finančního, tak z hlediska personálního. Nedostatek kvalifikovaných odborníků v oblasti kybernetické bezpečnosti je v České republice dlouhodobým problémem, a nové povinnosti tento problém ještě prohlubují. NÚKIB proto připravuje různé podpůrné materiály, metodiky a školení, která mají organizacím pomoci s orientací v nových požadavcích a jejich praktickým naplňováním.

Zákon rovněž posiluje pravomoci NÚKIB při provádění kontrol a auditů, přičemž úřad dostává k dispozici širší škálu nástrojů pro vymáhání dodržování stanovených povinností. Celkově lze říci, že nový zákon o kybernetické bezpečnosti představuje zásadní posun v přístupu České republiky k ochraně digitálního prostoru, a jeho důsledná implementace bude klíčová pro zajištění bezpečnosti naší digitální společnosti v nadcházejících letech.

Transpozice evropské směrnice NIS2 do legislativy

Česká republika se v posledních letech ocitla před zásadní výzvou, která se týká přizpůsobení národní legislativy požadavkům Evropské unie v oblasti kybernetické bezpečnosti. Transpozice směrnice NIS2 do českého právního řádu představuje jeden z nejvýznamnějších legislativních kroků v oblasti ochrany digitální infrastruktury za poslední dekádu. Tento proces není pouhou formalitou, ale zásadní proměnou toho, jak stát, firmy i veřejné instituce přistupují k otázkám bezpečnosti v kyberprostoru.

Směrnice NIS2, tedy Network and Information Security Directive 2, nahrazuje původní směrnici NIS z roku 2016 a přináší výrazně přísnější požadavky na celou řadu subjektů. Zatímco původní právní rámec pokrýval relativně úzký okruh provozovatelů základních služeb, nová směrnice rozšiřuje svůj dosah na podstatně větší počet odvětví a organizací. To znamená, že povinnosti v oblasti kybernetické bezpečnosti se nově dotýkají i subjektů, které se dosud mohly cítit mimo záběr regulace.

kybernetická bezpečnost zákon

V českém prostředí je klíčovým nástrojem pro implementaci těchto evropských požadavků zákon o kybernetické bezpečnosti, jehož aktualizace a novelizace jsou nezbytné pro to, aby Česká republika splnila své závazky vůči Evropské unii. Národní úřad pro kybernetickou a informační bezpečnost, známý pod zkratkou NÚKIB, hraje v celém procesu transpozice ústřední roli. Je to právě tento úřad, který připravuje věcné podklady, konzultuje změny se zainteresovanými stranami a dohlíží na to, aby výsledná podoba zákona odpovídala jak požadavkům směrnice, tak specifickým potřebám českého prostředí.

Jednou z nejdiskutovanějších otázek při transpozici bylo nastavení rozsahu povinných subjektů. NIS2 zavádí dělení na takzvané základní subjekty a důležité subjekty, přičemž každá z těchto kategorií podléhá odlišnému režimu dohledu a sankcí. Základní subjekty, mezi které patří například provozovatelé kritické infrastruktury, energetické společnosti, poskytovatelé zdravotní péče nebo telekomunikační operátoři, čelí přísnějšímu dohledu a vyšším pokutám v případě nedodržení povinností. Důležité subjekty mají povinnosti srovnatelné, avšak dohled nad nimi probíhá reaktivně, tedy zpravidla až v reakci na konkrétní incident nebo podnět.

Zákon o kybernetické bezpečnosti v nové podobě rovněž klade důraz na povinnost hlásit kybernetické bezpečnostní incidenty v přesně stanovených lhůtách. Organizace jsou povinny informovat příslušné orgány o závažných incidentech do 24 hodin od jejich zjištění, přičemž podrobnější zpráva musí následovat do 72 hodin. Tato lhůta je v praxi velmi náročná, zejména pro menší subjekty, které nemají vybudované dedikované bezpečnostní týmy.

Dalším zásadním prvkem, který transpozice NIS2 přináší do českého právního rámce, je odpovědnost vedení organizací za stav kybernetické bezpečnosti. Manažeři a členové statutárních orgánů již nemohou přenášet veškerou odpovědnost na IT oddělení nebo externí dodavatele. Zákon nově vyžaduje, aby vrcholové vedení aktivně schvalovalo bezpečnostní politiky, absolvovalo příslušná školení a bylo schopno prokázat, že kybernetická bezpečnost je součástí strategického řízení organizace.

Proces transpozice nebyl bez komplikací. Česká republika, stejně jako řada dalších členských států, čelila výzvě stihnout implementaci ve stanovených termínech. Původní termín pro transpozici směrnice NIS2 byl stanoven na říjen 2024, přičemž příprava nového zákona o kybernetické bezpečnosti probíhala v podmínkách značného časového tlaku. Připomínkové řízení odhalilo řadu sporných bodů, zejména co se týče rozsahu povinností pro malé a střední podniky, které se nově ocitají v záběru regulace.

Zákon o kybernetické bezpečnosti po transpozici NIS2 také výrazně posiluje pravomoci NÚKIB jako dozorového orgánu. Úřad získává širší možnosti provádět kontroly, vyžadovat nápravná opatření a ukládat sankce, které mohou v případě základních subjektů dosáhnout až desítek milionů korun nebo procentního podílu z celkového obratu organizace. Tato sankční politika je záměrně nastavena tak, aby motivovala organizace k proaktivnímu přístupu k bezpečnosti, nikoli k pouhému plnění minimálních zákonných požadavků.

Celý legislativní proces transpozice NIS2 tak představuje zásadní milník v budování odolné digitální společnosti v České republice, přičemž zákon o kybernetické bezpečnosti se stává páteřním právním nástrojem, který definuje pravidla hry pro všechny aktéry v digitálním prostoru na mnoho let dopředu.

Povinnosti firem a organizací podle zákona

Zákon o kybernetické bezpečnosti ukládá firmám a organizacím celou řadu povinností, jejichž splnění není dobrovolné, ale představuje závaznou právní normu. Každá organizace, která spadá do kategorie povinných subjektů, musí přijmout konkrétní opatření technického i organizačního charakteru, přičemž jejich rozsah a hloubka závisí na tom, do jaké kategorie daný subjekt patří. Základním předpokladem pro splnění zákonných požadavků je provedení důkladné analýzy rizik, která identifikuje potenciální hrozby, zranitelnosti a dopady případných kybernetických incidentů na provoz organizace.

Srovnání klíčových aspektů Zákona o kybernetické bezpečnosti v ČR
Parametr Zákon č. 181/2014 Sb. (původní) Zákon č. 205/2017 Sb. (novela) NIS2 Směrnice EU (2022/2555)
Rok přijetí / platnosti 2014 2017 2022
Gestor / správce NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) NÚKIB Evropská komise / ENISA
Počet povinných subjektů (ČR) cca 300 subjektů cca 400 subjektů odhadováno přes 6 000 subjektů v ČR
Maximální sankce za porušení 100 000 Kč 10 000 000 Kč 10 000 000 EUR nebo 2 % celosvětového obratu
Povinnost hlásit kybernetické incidenty Ano – do 24 hodin Ano – do 24 hodin Ano – do 24 hodin (první hlášení), do 72 hodin (podrobné)
Kategorie regulovaných sektorů 5 sektorů (energetika, doprava, zdravotnictví, vodní hospodářství, digitální infrastruktura) 7 sektorů (přidány bankovnictví a finanční trhy) 18 sektorů (rozšíření o poštovní služby, vesmír, veřejnou správu aj.)
Zavedení bezpečnostních opatření Povinné pro kritickou infrastrukturu Povinné pro kritickou i významnou infrastrukturu Povinné pro základní i důležité subjekty
Penetrační testování Doporučeno Povinné pro vybrané subjekty Povinné pro všechny regulované subjekty
Certifikace kybernetické bezpečnosti Nepovinná Nepovinná Povinná pro vybrané produkty a služby (EUCC schéma)
Implementace do českého práva Plně implementováno Plně implementováno Termín implementace: 17. října 2024
Odpovědnost managementu Nepřímá Nepřímá Přímá osobní odpovědnost vedoucích pracovníků
Mezinárodní spolupráce Bilaterální dohody Bilaterální dohody + EU CSIRT síť Povinná spolupráce v rámci EU CyCLONe sítě

Firmy zařazené mezi povinné subjekty musí v první řadě zavést a udržovat systém řízení bezpečnosti informací, který odpovídá platným standardům. Tento systém musí být zdokumentován, pravidelně přezkoumáván a aktualizován v závislosti na vývoji hrozeb i změnách v prostředí organizace. Nestačí tedy jednorázové zavedení bezpečnostních opatření – zákon vyžaduje kontinuální přístup k řízení kybernetické bezpečnosti. Organizace musí průběžně sledovat stav svých systémů, vyhodnocovat nové hrozby a přizpůsobovat svá opatření aktuálním podmínkám.

kybernetická bezpečnost zákon

Jednou z klíčových povinností je hlášení kybernetických bezpečnostních incidentů příslušnému orgánu, jímž je v České republice Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Pokud dojde k incidentu, který má nebo může mít závažný dopad na bezpečnost informačních systémů, je organizace povinna jej nahlásit ve stanovených lhůtách. Tato povinnost platí bez ohledu na to, zda byl incident způsoben externím útočníkem, nebo interním selháním. Nedodržení oznamovací povinnosti může mít pro organizaci vážné právní a finanční důsledky.

Zákon dále vyžaduje, aby organizace zajistily odpovídající fyzickou i logickou ochranu svých informačních systémů. To zahrnuje například řízení přístupových práv, šifrování citlivých dat, ochranu před malwarem, pravidelné zálohování a testování obnovy dat po havárii. Organizace jsou také povinny provádět pravidelné bezpečnostní audity a penetrační testy, které prověří odolnost jejich systémů vůči reálným útokům. Výsledky těchto testů musí být řádně zdokumentovány a případné nedostatky neprodleně odstraněny.

Velký důraz klade zákon rovněž na vzdělávání a osvětu zaměstnanců. Lidský faktor totiž zůstává jednou z nejčastějších příčin kybernetických incidentů, a proto musí firmy zajistit, aby jejich pracovníci byli pravidelně školeni v oblasti bezpečného chování v digitálním prostředí. Tato školení nesmí být pouze formální záležitostí – musí skutečně přispívat ke zvýšení bezpečnostního povědomí v celé organizaci.

Součástí zákonných povinností je také zajištění bezpečnosti dodavatelského řetězce. Organizace nesmí přehlížet rizika plynoucí z využívání externích dodavatelů a partnerů, kteří mají přístup k jejich systémům nebo zpracovávají jejich data. Zákon proto ukládá povinnost smluvně ošetřit bezpečnostní požadavky vůči třetím stranám a pravidelně kontrolovat jejich plnění. Pokud dodavatel nesplňuje stanovené bezpečnostní standardy, musí organizace přijmout nápravná opatření nebo zvážit změnu dodavatele.

Povinné subjekty musí také vypracovat a udržovat aktuální plány pro zvládání kybernetických bezpečnostních incidentů a krizového řízení. Tyto plány musí jasně definovat role a odpovědnosti jednotlivých pracovníků, postupy pro detekci a reakci na incidenty a způsoby komunikace v krizových situacích. Klíčové je, aby tyto plány nebyly pouze papírovým dokumentem, ale aby byly pravidelně procvičovány formou simulovaných cvičení. Jen tak lze zajistit, že v případě skutečného incidentu bude organizace schopna reagovat rychle a efektivně.

kybernetická bezpečnost zákon

Zákon o kybernetické bezpečnosti přináší firmám nezanedbatelné administrativní i finanční nároky, avšak jeho smyslem je vytvořit odolnější digitální prostředí, které chrání nejen samotné organizace, ale i jejich zákazníky, partnery a v konečném důsledku celou společnost.

Rozšíření počtu povinných subjektů v Česku

Jednou z nejvýznamnějších změn, které přináší nový zákon o kybernetické bezpečnosti, je výrazné rozšíření okruhu subjektů, které budou mít povinnost plnit požadavky stanovené tímto zákonem. Dosud platná právní úprava se vztahovala na relativně úzký okruh organizací, zejména na provozovatele kritické informační infrastruktury a poskytovatele základních služeb. Nová legislativa však tento přístup zásadně mění a přináší mnohem širší záběr, který bude mít dopad na tisíce firem a institucí po celé České republice.

Odhaduje se, že zatímco dosavadní zákon pokrýval přibližně čtyři sta subjektů, nová právní úprava by měla svými požadavky zasáhnout až šest tisíc organizací z různých odvětví. Tento dramatický nárůst je přímým důsledkem implementace evropské směrnice NIS2, která si klade za cíl sjednotit a posílit kybernetickou bezpečnost napříč celou Evropskou unií. Česká republika tak není v tomto ohledu výjimkou, ale naopak součástí širšího evropského úsilí o zvýšení odolnosti digitální infrastruktury.

Mezi nově povinné subjekty budou nově patřit organizace z celé řady sektorů, které dosud nemusely věnovat kybernetické bezpečnosti takovou pozornost. Týká se to například poskytovatelů poštovních a kurýrních služeb, zpracovatelů odpadů, výrobců potravin, chemického průmyslu nebo subjektů působících v oblasti výzkumu a vývoje. Vedle těchto nových oblastí dochází také k rozšíření povinností v sektorech, které již pod předchozí regulaci spadaly, ale jejichž pokrytí nebylo dostatečně komplexní.

Zákon zavádí systém rozdělení povinných subjektů do dvou základních kategorií, přičemž každá z nich nese odlišnou míru povinností a odpovědnosti. První kategorii tvoří takzvané základní subjekty, které jsou považovány za klíčové pro fungování společnosti a ekonomiky. Na tyto organizace jsou kladeny přísnější požadavky a podléhají intenzivnějšímu dohledu ze strany Národního úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIB. Druhou kategorii pak představují důležité subjekty, na které se sice vztahují mírnější povinnosti, ale i ty musí splňovat celou řadu bezpečnostních opatření.

Kritériem pro zařazení do příslušné kategorie je zejména velikost organizace a její role v daném odvětví. Obecně platí, že střední a velké podniky působící v regulovaných sektorech budou automaticky považovány za povinné subjekty. Menší organizace mohou být do systému zahrnuty tehdy, pokud jejich činnost má zásadní dopad na veřejný pořádek, bezpečnost nebo zdraví obyvatelstva.

Pro mnoho firem bude splnění nových požadavků představovat značnou organizační i finanční výzvu. Budou muset zavést komplexní systémy řízení kybernetické bezpečnosti, provádět pravidelná hodnocení rizik, zajistit školení zaměstnanců a v neposlední řadě také hlásit závažné kybernetické incidenty příslušným orgánům. Lhůty pro splnění těchto povinností jsou přitom poměrně krátké, což na mnohé organizace klade značný tlak.

NÚKIB v této souvislosti opakovaně zdůrazňuje, že cílem zákona není organizace trestat, ale pomoci jim zvýšit jejich odolnost vůči kybernetickým hrozbám, které jsou v dnešním digitalizovaném světě stále sofistikovanější a nebezpečnější. Přesto sankce za neplnění povinností mohou dosahovat velmi vysokých částek, což je signál, že stát bere kybernetickou bezpečnost skutečně vážně.

Sankce za nedodržení kybernetických bezpečnostních pravidel

Zákon o kybernetické bezpečnosti, který v České republice upravuje povinnosti subjektů v oblasti ochrany informačních systémů a sítí, přináší s sebou také jasně definovaný systém sankcí pro ty, kteří jeho ustanovení nedodržují. Nejde přitom o symbolická opatření – pokuty a jiné postihy mohou dosahovat velmi vysokých částek a v krajních případech mohou ohrozit samotnou existenci podnikatelského subjektu. Zákonodárce tímto způsobem dává jasně najevo, že kybernetická bezpečnost není pouhou formalitou, nýbrž závaznou právní povinností, jejíž porušení má reálné důsledky.

Základním orgánem, který dohlíží na dodržování zákona o kybernetické bezpečnosti, je Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Tento úřad má pravomoc provádět kontroly, vyžadovat nápravná opatření a ukládat sankce. Pokud subjekt poruší povinnosti stanovené zákonem, může NÚKIB zahájit správní řízení, jehož výsledkem může být uložení pokuty nebo jiného opatření. Důležité je, že NÚKIB přistupuje ke každému případu individuálně a bere v úvahu závažnost porušení, míru zavinění a také to, zda subjekt přijal alespoň nějaká opatření k nápravě.

kybernetická bezpečnost zákon

Výše sankcí se odvíjí od toho, o jaký typ subjektu se jedná a jak závažné porušení bylo spácháno. Pro provozovatele základních služeb a poskytovatele digitálních služeb zákon stanovuje pokuty, které mohou dosáhnout až desítek milionů korun. Tato čísla nejsou náhodná – vycházejí z evropské směrnice NIS a jejích nástupnických předpisů, které harmonizují přístup k sankcím napříč členskými státy Evropské unie. Česká republika tak musela přizpůsobit svůj právní řád evropským standardům a zajistit, aby sankce byly dostatečně odrazující.

Mezi nejčastější porušení, která vedou k uložení sankce, patří nepřijetí přiměřených technických a organizačních opatření na ochranu informačních systémů, neohlášení kybernetického bezpečnostního incidentu ve stanovené lhůtě nebo nesplnění povinnosti provést bezpečnostní audit. Každé z těchto pochybení může být posouzeno samostatně, přičemž v případě souběhu více porušení se celková výše sankce může znásobovat. Zákon přitom výslovně pamatuje na situace, kdy subjekt opakovaně neplní své povinnosti – v takovém případě může být pokuta výrazně vyšší než při prvním pochybení.

Zvláštní pozornost si zaslouží otázka odpovědnosti statutárních orgánů. Zákon o kybernetické bezpečnosti totiž neomezuje odpovědnost pouze na samotnou právnickou osobu, ale za určitých podmínek může být postižena i fyzická osoba, která stojí v čele organizace. To je zásadní posun oproti dřívější praxi, kdy se manažeři mohli za kybernetická selhání schovat za korporátní strukturu. Dnes jsou vedoucí pracovníci přímo motivováni k tomu, aby kybernetické bezpečnosti věnovali náležitou pozornost, protože riziko osobní odpovědnosti je zcela reálné.

Sankce ovšem nejsou jediným nástrojem, který zákon nabízí. NÚKIB může uložit také tzv. nápravné opatření, které subjektu přikazuje provést konkrétní kroky k odstranění zjištěných nedostatků. Pokud subjekt toto opatření nesplní ve stanovené lhůtě, může být uložena další pokuta nebo může dojít k eskalaci celého případu. V extrémních situacích může úřad přistoupit i k opatřením, která omezují provoz dotčeného systému nebo služby, což může mít pro podnik katastrofální ekonomické dopady.

Implementace směrnice NIS2 do českého právního řádu přinesla rozšíření okruhu povinných subjektů a zároveň zpřísnění sankcí. Nově jsou do systému regulace zahrnuty i subjekty, které dříve nebyly považovány za kriticky důležité, ale jejichž výpadek by mohl mít závažné dopady na fungování společnosti nebo ekonomiky. Pro tyto subjekty platí stejný sankční režim jako pro ostatní povinné osoby, přičemž přechodné období pro splnění nových povinností je časově omezeno.

Praxe ukazuje, že největším problémem není nedostatek vůle ze strany podniků, ale spíše nedostatečné povědomí o tom, co zákon vlastně vyžaduje. Mnoho organizací se domnívá, že jejich bezpečnostní opatření jsou dostatečná, aniž by si uvědomovaly, že zákon stanovuje konkrétní minimální standardy, které musí být splněny bez ohledu na to, jak subjektivně hodnotí vlastní připravenost. Právě tato mezera ve znalostech bývá nejčastějším důvodem, proč se organizace ocitají v hledáčku kontrolních orgánů. Investice do odborného poradenství a pravidelných bezpečnostních auditů se proto v dlouhodobém horizontu vždy vyplatí více než případné pokuty a náklady spojené se správním řízením.

Role Národního úřadu pro kybernetickou bezpečnost

Národní úřad pro kybernetickou bezpečnost, zkráceně NÚKIB, představuje klíčovou instituci v celém systému ochrany českého kyberprostoru. Jeho postavení vychází přímo ze zákona o kybernetické bezpečnosti, který mu svěřuje celou řadu pravomocí a povinností, jež jsou nezbytné pro zajištění funkčního a odolného digitálního prostředí v České republice. Zákon o kybernetické bezpečnosti definuje NÚKIB jako ústřední správní orgán pro kybernetickou bezpečnost, což v praxi znamená, že právě tento úřad nese odpovědnost za koordinaci všech relevantních aktivit na národní úrovni.

Jednou z nejdůležitějších rolí, kterou NÚKIB v rámci tohoto zákona zastává, je dohled nad dodržováním povinností stanovených pro správce a provozovatele informačních a komunikačních systémů. Jde zejména o subjekty, které zákon označuje jako provozovatele základních služeb a poskytovatele digitálních služeb. Tito aktéři mají ze zákona povinnost implementovat bezpečnostní opatření, hlásit kybernetické bezpečnostní incidenty a spolupracovat s NÚKIB při řešení případných hrozeb. Úřad má přitom pravomoc provádět kontroly a v případě zjištěných nedostatků ukládat nápravná opatření nebo sankce.

Zákon rovněž NÚKIB pověřuje vydáváním reaktivních a ochranných opatření, která mohou být v případě závažné kybernetické hrozby závazná pro všechny dotčené subjekty. Tato opatření mohou mít podobu konkrétních technických požadavků, omezení používání určitých technologií nebo příkazů k okamžitému řešení zjištěných zranitelností. Jde o nástroj, který úřadu umožňuje rychle reagovat na aktuální situaci v kyberprostoru a minimalizovat potenciální škody na kritické infrastruktuře státu.

Neméně důležitou součástí role NÚKIB je jeho funkce v oblasti národního a mezinárodního sdílení informací o kybernetických hrozbách. Úřad spolupracuje s partnerskými organizacemi v rámci Evropské unie, zejména s agenturou ENISA, a je součástí sítě CSIRT týmů napříč Evropou. Tato spolupráce je přitom zakotvena přímo v zákoně a umožňuje efektivní výměnu informací o aktuálních útocích, zranitelnostech a taktikách útočníků.

kybernetická bezpečnost zákon

NÚKIB také hraje zásadní roli v oblasti osvěty a vzdělávání. Zákon mu ukládá povinnost podporovat rozvoj kybernetické bezpečnosti v celé společnosti, a to nejen v rámci státní správy, ale i v soukromém sektoru a mezi běžnými uživateli internetu. Pravidelně vydávané metodické pokyny, doporučení a varování jsou součástí tohoto úsilí a pomáhají subjektům lépe porozumět tomu, jak se účinně bránit kybernetickým útokům.

Zákon o kybernetické bezpečnosti také NÚKIB zmocňuje k tomu, aby vydával bezpečnostní certifikace a akreditace pro produkty a služby používané v kritické infrastruktuře. Tento certifikační systém je klíčovým nástrojem pro zajištění toho, aby technologie nasazované ve strategicky důležitých systémech splňovaly požadované bezpečnostní standardy. Bez takové certifikace nemohou být určité produkty v citlivých oblastech státní správy nebo kritické infrastruktury vůbec použity.

V neposlední řadě je třeba zmínit, že NÚKIB plní funkci národního kontaktního místa pro hlášení kybernetických incidentů. Povinné hlášení incidentů je jedním ze základních pilířů zákona o kybernetické bezpečnosti a NÚKIB je orgánem, který tato hlášení přijímá, vyhodnocuje a koordinuje odpověď na ně. Díky tomu má úřad ucelený přehled o stavu kybernetické bezpečnosti v České republice a může efektivně přidělovat zdroje tam, kde jsou nejvíce potřeba.

Hlášení kybernetických incidentů státním orgánům

Povinnost hlásit kybernetické incidenty příslušným státním orgánům představuje jeden z klíčových pilířů, na nichž stojí celý systém kybernetické bezpečnosti v České republice. Zákon o kybernetické bezpečnosti, který vstoupil v platnost a postupně prošel několika novelizacemi, jasně vymezuje, kdo, co a jakým způsobem musí hlásit, přičemž tato povinnost se nevztahuje pouze na velké korporace nebo státní instituce, ale dotýká se širokého spektra subjektů, které provozují kritickou informační infrastrukturu nebo poskytují služby označené jako důležité pro fungování společnosti.

Základním orgánem, jemuž se kybernetické incidenty hlásí, je Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Tento úřad plní roli centrálního koordinátora a zároveň národního CERT, tedy týmu pro reakci na počítačové bezpečnostní incidenty. Právě NÚKIB vydává metodické pokyny, stanovuje formuláře a postupy, které musí povinné subjekty dodržovat při hlášení, a zároveň poskytuje součinnost při řešení závažnějších incidentů, které by mohly mít dopad na celostátní úrovni nebo zasáhnout více odvětví najednou.

Zákon o kybernetické bezpečnosti rozlišuje různé kategorie incidentů, přičemž každá kategorie s sebou nese odlišné povinnosti z hlediska lhůt a rozsahu hlášení. Kybernetický incident, který má nebo může mít závažný dopad na bezpečnost sítí a informačních systémů, musí být nahlášen bez zbytečného odkladu, přičemž zákon hovoří o konkrétních hodinových lhůtách, které se liší podle toho, zda jde o incident dotýkající se základních služeb nebo jiných kategorií systémů. Tento přístup vychází z logiky, že čím závažnější incident, tím rychlejší musí být reakce a informování příslušných orgánů, neboť prodlení může mít kaskádové efekty na další subjekty nebo celá odvětví.

Povinné subjekty jsou ze zákona rozděleny do několika skupin. Provozovatelé základních služeb, mezi něž patří například energetické společnosti, poskytovatelé zdravotní péče, finanční instituce nebo subjekty z oblasti dopravní infrastruktury, mají nejpřísnější povinnosti. Poskytovatelé digitálních služeb, jako jsou cloudové platformy, internetová tržiště nebo vyhledávače, pak podléhají poněkud odlišnému režimu, který zohledňuje jejich specifickou povahu a přeshraniční charakter jejich činnosti. Tato diferenciace není náhodná a odráží různou míru rizika a potenciálního dopadu, který může mít selhání bezpečnosti v daném sektoru.

Samotný proces hlášení není pouze administrativní formalitou, jak by se na první pohled mohlo zdát. Za hlášením stojí reálná snaha o vytvoření uceleného obrazu kybernetických hrozeb na národní úrovni. Každý nahlášený incident přispívá do databáze, z níž NÚKIB čerpá při analýzách trendů, identifikaci nových typů útoků a při vydávání varování pro ostatní subjekty. Jinými slovy, hlášení incidentů není jen zákonnou povinností, ale také aktem solidarity v rámci celého ekosystému kybernetické bezpečnosti, protože informace o jednom útoku může zachránit desítky dalších organizací před stejným nebo podobným útokem.

Zákon rovněž pamatuje na situace, kdy incident přesahuje hranice České republiky nebo kdy je nutná koordinace s evropskými partnery. V rámci Evropské unie platí směrnice NIS2, která harmonizuje přístupy členských států k hlášení kybernetických incidentů a stanovuje minimální standardy, jež musí splňovat národní legislativa. Česká republika tuto směrnici implementovala a zákon o kybernetické bezpečnosti byl upraven tak, aby odpovídal evropským požadavkům, včetně povinnosti hlásit závažné incidenty nejen národním orgánům, ale v určitých případech také přímo Evropské agentuře pro kybernetickou bezpečnost ENISA nebo jiným relevantním evropským strukturám.

kybernetická bezpečnost zákon

Sankce za nesplnění povinnosti hlásit kybernetické incidenty nejsou zanedbatelné. Zákon o kybernetické bezpečnosti umožňuje NÚKIB uložit pokuty, které mohou dosahovat výše několika milionů korun, přičemž výše sankce závisí na závažnosti pochybení, na tom, zda šlo o opakované porušení, a také na míře spolupráce daného subjektu s úřadem. Praxe ukazuje, že úřad přistupuje k sankcím jako k nástroji poslední instance a preferuje nejprve metodickou pomoc a upozornění, avšak v případech závažného nebo opakovaného porušování zákona nezůstává u pouhých doporučení.

Důležitou součástí celého systému je také ochrana subjektů, které incidenty hlásí, před neoprávněným zveřejněním citlivých informací. Zákon zakotvuje povinnost mlčenlivosti pro zaměstnance NÚKIB a stanovuje pravidla pro nakládání s informacemi získanými v rámci hlášení incidentů, čímž se snaží odstranit jeden z hlavních důvodů, proč organizace hlášení odkládají nebo se mu zcela vyhýbají — totiž obavu z reputačního poškození nebo zneužití informací. Tento aspekt je zásadní pro budování důvěry mezi regulátorem a regulovanými subjekty, bez níž celý systém hlášení ztrácí svůj smysl a efektivitu.

Bezpečnostní opatření pro kritickou infrastrukturu státu

Ochrana kritické infrastruktury státu představuje jeden z nejzásadnějších pilířů moderní bezpečnostní politiky každé vyspělé země. V České republice je tato oblast upravena především zákonem o kybernetické bezpečnosti, který prošel v posledních letech výraznými změnami a aktualizacemi reagujícími na stále se vyvíjející hrozby v digitálním prostoru. Zákon o kybernetické bezpečnosti stanovuje povinnosti pro správce a provozovatele kritické infrastruktury, přičemž definuje konkrétní technická a organizační opatření, která musí být zavedena a průběžně udržována.

Kritická infrastruktura státu zahrnuje celou řadu odvětví, od energetiky přes vodohospodářství až po finanční sektor a zdravotnictví. Každé z těchto odvětví čelí specifickým kybernetickým hrozbám, které se liší svou povahou, intenzitou i potenciálními dopady na fungování společnosti. Narušení provozu elektrárny nebo nemocničního systému může mít přímý dopad na životy tisíců lidí, a právě proto zákon o kybernetické bezpečnosti přistupuje k těmto sektorům s maximální přísností a důsledností.

Mezi základní bezpečnostní opatření, která zákon ukládá provozovatelům kritické infrastruktury, patří zavedení systému řízení bezpečnosti informací. Tento systém musí být pravidelně auditován a aktualizován v souladu s aktuálním stavem hrozeb. Provozovatelé jsou povinni provádět pravidelná hodnocení rizik, na jejichž základě přijímají adekvátní technická a organizační opatření. Nestačí tedy pouze jednorázové zavedení bezpečnostních prvků — zákon vyžaduje kontinuální proces zlepšování a přizpůsobování se novým výzvám.

Zákon o kybernetické bezpečnosti rovněž zavazuje dotčené subjekty k hlášení kybernetických bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Tato povinnost má zásadní význam pro celkovou situační povědomost státu o aktuálních hrozbách. Bez včasného a přesného hlášení incidentů by nebylo možné koordinovat efektivní reakci na rozsáhlé kybernetické útoky, které mohou zasáhnout více subjektů současně. Praxe ukazuje, že útočníci velmi často cílí na více organizací najednou, přičemž využívají podobné zranitelnosti nebo koordinují své aktivity s cílem maximalizovat škody.

Technická opatření předepsaná zákonem zahrnují mimo jiné povinnost šifrovat citlivé komunikace, segmentovat sítě tak, aby případný útočník nemohl volně procházet celou infrastrukturou, a zavést systémy pro detekci a prevenci průniků. Zvláštní důraz je kladen na ochranu průmyslových řídicích systémů, které jsou typické pro energetiku, vodohospodářství nebo dopravu. Tyto systémy byly historicky navrhované bez ohledu na kybernetickou bezpečnost, protože fungovaly jako izolované ostrovy bez připojení k vnějším sítím. Dnes jsou však stále více integrovány do podnikových sítí a v mnoha případech i do internetu, což dramaticky rozšiřuje plochu potenciálního útoku.

Organizační opatření jsou neméně důležitá než ta technická. Zákon o kybernetické bezpečnosti vyžaduje, aby provozovatelé kritické infrastruktury měli jasně definované role a odpovědnosti v oblasti kybernetické bezpečnosti. Každá organizace musí mít jmenovaného manažera kybernetické bezpečnosti, který nese odpovědnost za implementaci a dodržování bezpečnostních politik. Tento manažer musí mít dostatečné pravomoci i zdroje k tomu, aby mohl svou funkci plnit efektivně, a musí být pravidelně informován o aktuálním stavu bezpečnosti organizace.

Vzdělávání a zvyšování povědomí zaměstnanců tvoří další klíčovou součást bezpečnostních opatření. Lidský faktor zůstává i přes veškerý technologický pokrok jedním z nejslabších článků kybernetické bezpečnosti. Phishingové útoky, sociální inženýrství a nedbalost zaměstnanců jsou zodpovědné za značnou část úspěšných průniků do systémů kritické infrastruktury. Zákon proto nepřímo nutí organizace investovat do pravidelných školení a simulovaných cvičení, při nichž zaměstnanci procházejí scénáři kybernetických útoků a učí se správně reagovat.

kybernetická bezpečnost zákon

Zákon o kybernetické bezpečnosti také zakotvuje požadavky na kontinuitu provozu a obnovu po havárii. Provozovatelé kritické infrastruktury musí mít připraveny plány, které umožní obnovit klíčové funkce v přijatelném čase i po závažném kybernetickém incidentu. Tyto plány musí být pravidelně testovány prostřednictvím cvičení, aby bylo jisté, že skutečně fungují, a ne pouze existují na papíře jako formální splnění zákonné povinnosti. Praxe bohužel ukazuje, že mnoho organizací má sice formálně zpracované plány obnovy, ale nikdy je v praxi netestovalo, což může mít v případě skutečné krize fatální následky.

Sankce za nedodržování povinností stanovených zákonem o kybernetické bezpečnosti jsou citelné a mají sloužit jako dostatečný motivační faktor pro organizace, které by jinak mohly bezpečnostní investice odkládat nebo podceňovat. NÚKIB má pravomoc provádět kontroly a ukládat pokuty subjektům, které neplní své zákonné povinnosti. Celkově vzato, zákon o kybernetické bezpečnosti vytváří komplexní rámec, který při důsledném dodržování výrazně zvyšuje odolnost kritické infrastruktury státu vůči kybernetickým hrozbám současnosti i budoucnosti.

Zákon o kybernetické bezpečnosti není jen souborem paragrafů a technických norem – je to živý dokument, který odráží naši kolektivní odpovědnost vůči digitálnímu prostoru, jenž dnes prostupuje každým aspektem našeho života. Bez důsledného dodržování jeho ustanovení se vystavujeme rizikům, která mohou ohrozit nejen jednotlivce, ale i kritickou infrastrukturu celého státu. Teprve tehdy, když pochopíme, že kybernetická bezpečnost je věcí veřejného zájmu a nikoli pouhým technickým problémem, začneme tento zákon skutečně naplňovat jeho duchem.

Radovan Šimánek

Dodavatelský řetězec a jeho bezpečnostní požadavky

Bezpečnost dodavatelského řetězce představuje jeden z klíčových pilířů, na nichž stojí celý systém kybernetické ochrany moderních organizací. Zákon o kybernetické bezpečnosti, který v České republice prošel v posledních letech zásadními změnami a jehož aktualizovaná podoba reflektuje evropskou směrnici NIS2, klade na tuto oblast mimořádný důraz. Není to náhoda – právě skrze dodavatele a jejich produkty či služby pronikají do systémů organizací některé z nejzávažnějších kybernetických hrozeb současnosti.

Zákon o kybernetické bezpečnosti explicitně stanovuje povinnost regulovaných subjektů hodnotit bezpečnostní rizika spojená s jejich dodavatelským řetězcem. To znamená, že nestačí pouze zabezpečit vlastní infrastrukturu a systémy – organizace musí aktivně zkoumat, jakým způsobem jejich dodavatelé nakládají s daty, jak přistupují k bezpečnostním aktualizacím a jaké záruky jsou schopni poskytnout v oblasti ochrany informací. Tento požadavek se dotýká jak poskytovatelů cloudových služeb, tak dodavatelů hardwaru, softwarových řešení i externích servisních techniků, kteří mají přístup do citlivých systémů.

V praxi to znamená, že organizace spadající pod zákon musí zavést systematický proces prověřování svých obchodních partnerů. Nestačí jednorázové hodnocení při uzavření smlouvy – bezpečnostní posouzení musí být průběžné a reagovat na měnící se hrozby i na změny v samotné struktuře dodavatele. Pokud například dodavatel změní vlastnickou strukturu, přesune zpracování dat do jiné jurisdikce nebo utrpí bezpečnostní incident, musí odběratelská organizace být schopna tuto skutečnost zaznamenat a adekvátně na ni reagovat.

Zákon rovněž ukládá povinnost smluvně zakotvit bezpečnostní požadavky do vztahů s dodavateli. Smlouvy musí obsahovat jasná ustanovení o tom, jak bude dodavatel přistupovat k incidentům, jaké bezpečnostní standardy bude dodržovat a jakým způsobem bude organizaci informovat o případných zranitelnostech nebo narušeních bezpečnosti. Tato smluvní ujednání nejsou pouhou formalitou – v případě incidentu mohou být rozhodující pro určení odpovědnosti a pro rychlost reakce na vzniklou situaci.

Zvláštní pozornost věnuje zákon takzvaným vysoce rizikovým dodavatelům. Jde o subjekty, u nichž existuje zvýšená pravděpodobnost, že by mohly být využity k narušení bezpečnosti – ať už z důvodu svého geografického původu, vlastnické struktury nebo historicky zaznamenaného chování. Regulované organizace jsou povinny takové dodavatele identifikovat a přijmout opatření, která minimalizují riziko plynoucí z jejich zapojení do dodavatelského řetězce. V krajním případě může příslušný orgán, jímž je Národní úřad pro kybernetickou a informační bezpečnost, doporučit nebo přímo nařídit vyloučení konkrétního dodavatele z určitých oblastí infrastruktury.

Implementace těchto požadavků není jednoduchá ani levná. Mnoho organizací naráželo a stále naráží na praktické překážky – dodavatelé, zejména ti menší, nejsou vždy ochotni nebo schopni poskytnout potřebnou úroveň transparentnosti. Zákon nicméně přenáší odpovědnost za výběr a kontrolu dodavatelů jednoznačně na stranu odběratele, a proto nelze nedostatečnou součinnost dodavatele považovat za omluvu při případném selhání bezpečnosti.

kybernetická bezpečnost zákon

Důležitou součástí celého systému je také pravidelný audit dodavatelského řetězce. Organizace by měly minimálně jednou ročně provádět komplexní přezkum všech klíčových dodavatelů a vyhodnocovat, zda stále splňují stanovené bezpečnostní požadavky. Součástí tohoto přezkumu by mělo být i testování scénářů, při nichž by klíčový dodavatel přestal fungovat nebo byl kompromitován – tedy takzvaná analýza dopadů na kontinuitu provozu.

Zákon o kybernetické bezpečnosti tak v oblasti dodavatelského řetězce přináší zásadní posun od reaktivního přístupu k proaktivnímu řízení rizik. Organizace již nemohou čekat, až se problém projeví – musí aktivně mapovat svou závislost na externích subjektech, průběžně vyhodnocovat s tím spojená rizika a přijímat preventivní opatření. Tento přístup sice zvyšuje administrativní a finanční zátěž, zároveň však výrazně snižuje pravděpodobnost, že se organizace stane obětí útoku vedeného právě přes zranitelnosti v dodavatelském řetězci.

Termíny implementace a přechodná období zákona

Zákon o kybernetické bezpečnosti přináší celou řadu povinností, které musí dotčené subjekty splnit v přesně stanovených termínech. Přechodná období jsou přitom navržena tak, aby organizacím poskytla dostatečný čas na přípravu, avšak zároveň zajistila, že implementace proběhne bez zbytečných průtahů. Pochopení těchto termínů je pro každou organizaci klíčové, protože jejich nedodržení může mít závažné právní i finanční důsledky.

Zákon nabývá účinnosti postupně, přičemž různé skupiny povinných subjektů mají odlišné lhůty pro splnění jednotlivých požadavků. Základní rámec zákona vstoupil v platnost bezprostředně po jeho vyhlášení ve Sbírce zákonů, nicméně konkrétní povinnosti týkající se bezpečnostních opatření, hlášení incidentů nebo zavádění technických standardů jsou rozloženy do delšího časového horizontu. Tato etapovitost implementace není náhodná — vychází z realistického posouzení toho, jak náročné je pro organizace zavést komplexní systém řízení kybernetické bezpečnosti.

Pro subjekty, které zákon označuje jako základní nebo důležité subjekty, platí povinnost nejprve se registrovat u Národního úřadu pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Tato registrace musí proběhnout v zákonem stanovené lhůtě od okamžiku, kdy se organizace dozví nebo by měla vědět, že splňuje kritéria pro zařazení do příslušné kategorie. Teprve po registraci začínají běžet další lhůty spojené s plněním konkrétních bezpečnostních povinností.

Jedním z nejdůležitějších přechodných období je lhůta pro zavedení bezpečnostních opatření, která v závislosti na kategorii subjektu činí zpravidla jeden až dva roky od okamžiku registrace. Tato lhůta sice na první pohled vypadá dostatečně, ale praxe ukazuje, že organizace, které s přípravami otálejí, se dostávají do časového tlaku velmi rychle. Zavedení systému řízení bezpečnosti informací, provedení analýzy rizik, nastavení procesů pro zvládání incidentů a zajištění odpovídající technické infrastruktury jsou úkoly, které nelze zvládnout ze dne na den.

Zákon rovněž pamatuje na situace, kdy organizace teprve v průběhu přechodného období zjistí, že spadá do působnosti zákona. V takovém případě se lhůty počítají od okamžiku, kdy tato skutečnost nastala nebo kdy ji organizace zjistila. Neznalost zákona přitom nikoho neomlouvá, a proto je důrazně doporučováno, aby organizace průběžně sledovaly, zda nesplňují kritéria pro zařazení mezi regulované subjekty.

Pokud jde o povinnosti v oblasti hlášení kybernetických incidentů, ty nabývají účinnosti zpravidla dříve než povinnosti spojené se zavedením komplexních bezpečnostních opatření. Organizace jsou povinny hlásit závažné incidenty NÚKIB bez zbytečného odkladu, přičemž zákon stanoví konkrétní časové lhůty pro podání prvotního hlášení i pro následné zprávy o průběhu řešení incidentu. Tato povinnost platí i v přechodném období, což mnohé organizace překvapuje — předpokládají totiž, že dokud nesplní všechny bezpečnostní požadavky, nevztahují se na ně ani povinnosti hlásit incidenty.

Přechodná ustanovení zákona také řeší otázku, jak naložit s organizacemi, které byly regulovány již podle předchozí právní úpravy. Pro tyto subjekty platí zvláštní pravidla, která zohledňují skutečnost, že část povinností již plní, a stanovují jim zkrácené nebo modifikované lhůty pro přizpůsobení se novým požadavkům. Přechod na nový právní rámec tak pro ně nepředstavuje začátek od nuly, ale spíše aktualizaci a rozšíření stávajících bezpečnostních procesů.

Je třeba zdůraznit, že nedodržení zákonem stanovených termínů může vést k uložení správní sankce ze strany NÚKIB, přičemž výše pokut může být pro větší organizace velmi citelná. Zákon přitom nezohledňuje jako polehčující okolnost to, že organizace o svých povinnostech nevěděla nebo že implementace bezpečnostních opatření trvala déle, než bylo plánováno. Z tohoto důvodu je nezbytné, aby organizace přistupovaly k plnění zákonných povinností proaktivně a s dostatečným předstihem.

kybernetická bezpečnost zákon

Dopady zákona na malé a střední podniky

Přijetí zákona o kybernetické bezpečnosti přináší pro malé a střední podniky celou řadu výzev, se kterými se budou muset v nadcházejících měsících a letech vypořádat. Zatímco velké korporace disponují vlastními IT odděleními, specializovanými bezpečnostními týmy a dostatečnými finančními rezervami, situace menších firem je podstatně složitější. Zákon o kybernetické bezpečnosti totiž nestanovuje povinnosti pouze pro velké hráče na trhu, ale dotýká se i celé řady středních a v některých případech i malých podniků, zejména těch, které působí v odvětvích považovaných za kritickou infrastrukturu nebo poskytují služby pro veřejný sektor.

Jedním z největších problémů, na který upozorňují zástupci podnikatelské sféry, jsou náklady spojené s implementací požadovaných bezpečnostních opatření. Podniky jsou povinny zavést celou řadu technických a organizačních opatření, která zahrnují pravidelné bezpečnostní audity, zavedení systémů pro detekci a reakci na incidenty, šifrování dat nebo zajištění bezpečnosti dodavatelského řetězce. Pro firmu s deseti zaměstnanci a omezeným rozpočtem může být splnění těchto požadavků existenčně náročné. Odborníci odhadují, že počáteční investice do kybernetické bezpečnosti může v závislosti na velikosti firmy a odvětví dosáhnout stovek tisíc až několika milionů korun, přičemž k tomu je nutné připočítat i průběžné provozní náklady.

Dalším problémem je nedostatek kvalifikovaných odborníků na trhu práce. Kybernetická bezpečnost je oblast, kde poptávka po specialistech dlouhodobě převyšuje nabídku, a malé firmy prostě nemohou konkurovat platovým podmínkám, které nabízejí velké technologické společnosti nebo bankovní instituce. Mnoho středních podniků se proto rozhoduje pro outsourcing bezpečnostních služeb, což sice může být ekonomicky výhodnější, ale přináší s sebou vlastní rizika a komplikace, zejména pokud jde o sdílení citlivých firemních dat s externími poskytovateli.

Zákon také přináší povinnost hlásit kybernetické incidenty příslušným orgánům, konkrétně Národnímu úřadu pro kybernetickou a informační bezpečnost. Tato povinnost, ačkoliv je z hlediska celkové bezpečnosti státu naprosto opodstatněná, vytváří pro menší firmy administrativní zátěž, na kterou nejsou připraveny. Mnoho podnikatelů přiznává, že nemají jasnou představu o tom, co přesně se za kybernetický incident považuje, jaké jsou lhůty pro jeho nahlášení a jaké informace musí hlášení obsahovat. Tato nejistota vede k tomu, že firmy raději incidenty nehlásí vůbec, čímž se vystavují riziku sankcí.

Sankce za nedodržení zákona jsou přitom poměrně přísné a mohou dosáhnout výše až desítek milionů korun, případně procentuálního podílu z celkového obratu společnosti. Pro malý podnik může taková pokuta znamenat faktický konec podnikání. Je proto pochopitelné, že téma kybernetické bezpečnosti vzbuzuje v komunitě malých a středních podnikatelů značné obavy a nervozitu.

Odborníci a zástupci podnikatelských svazů proto dlouhodobě volají po tom, aby stát poskytl menším firmám větší podporu při plnění zákonných požadavků. Hovoří se o možnosti zavedení dotačních programů, které by pomohly pokrýt alespoň část nákladů na implementaci bezpečnostních opatření, nebo o vytvoření specializovaných poradenských center, kde by podnikatelé mohli získat bezplatné nebo dotované konzultace. Česká republika by se v tomto ohledu mohla inspirovat přístupy některých jiných členských států Evropské unie, které podobné podpůrné mechanismy již zavedly a které se osvědčily jako efektivní nástroj pro zvýšení celkové úrovně kybernetické bezpečnosti v ekonomice.

Nelze přitom přehlédnout ani pozitivní stránku věci. Firmy, které zákonné požadavky splní a skutečně investují do kybernetické bezpečnosti, získají konkurenční výhodu na trhu, větší důvěru ze strany zákazníků a obchodních partnerů a v neposlední řadě také lepší ochranu před stále sofistikovanějšími kybernetickými útoky, jejichž počet v posledních letech dramaticky roste. Kybernetická bezpečnost by tedy neměla být vnímána pouze jako regulatorní zátěž, ale jako strategická investice do budoucnosti firmy.

Budoucí vývoj kybernetické legislativy v Evropě

Evropská unie v posledních letech výrazně zintenzivnila své úsilí v oblasti kybernetické bezpečnosti a tento trend rozhodně nebude v dohledné době zpomalovat. Naopak, s rostoucí digitalizací společnosti, s rozšiřováním internetu věcí a s čím dál sofistikovanějšími kybernetickými útoky ze strany státních i nestátních aktérů se legislativní rámec bude muset neustále přizpůsobovat novým výzvám. Zákon o kybernetické bezpečnosti, který v České republice vychází z evropských direktiv a nařízení, bude v nadcházejících letech procházet dalšími úpravami a rozšířeními, která reflektují dynamicky se měnící prostředí digitálních hrozeb.

Jedním z klíčových milníků, který již nyní formuje budoucí podobu kybernetické legislativy v Evropě, je směrnice NIS2, jež nahradila původní směrnici NIS z roku 2016. Tato nová direktiva výrazně rozšiřuje okruh subjektů, které musí splňovat přísné bezpečnostní požadavky, a zároveň zpřísňuje sankce za jejich nedodržení. Členské státy Evropské unie byly povinny transponovat NIS2 do svého národního právního řádu do října 2024, přičemž Česká republika v tomto procesu aktivně pracuje na aktualizaci svého zákona o kybernetické bezpečnosti tak, aby odpovídal novým evropským standardům. Implementace NIS2 přináší zásadní změny nejen pro velké korporace, ale také pro střední podniky působící v kritických odvětvích, jako jsou energetika, doprava, zdravotnictví či finanční sektor.

kybernetická bezpečnost zákon

Vedle NIS2 se evropský legislativní prostor obohacuje o další regulatorní nástroje. Akt o kybernetické odolnosti, anglicky Cyber Resilience Act, představuje průlomový krok směrem k zajištění bezpečnosti digitálních produktů a zařízení již od fáze jejich návrhu a vývoje. Tento akt ukládá výrobcům a distributorům hardwaru i softwaru povinnost zajistit, aby jejich produkty splňovaly přísné kybernetické standardy po celou dobu jejich životního cyklu. Jde o zásadní posun od dosavadní praxe, kdy bezpečnost byla často řešena až dodatečně, jako reakce na odhalené zranitelnosti.

Nelze opomenout ani Akt o kybernetické bezpečnosti, Cybersecurity Act, který posílil roli agentury ENISA a zavedl evropský rámec pro certifikaci kybernetické bezpečnosti produktů, služeb a procesů. Tento certifikační systém postupně vytváří jednotný evropský trh v oblasti kybernetické bezpečnosti, kde mohou organizace důvěřovat produktům nesoucím evropský certifikát bezpečnosti. Budoucí vývoj tohoto systému bude zahrnovat rozšíření certifikačních schémat na nové kategorie produktů, včetně systémů umělé inteligence a cloudových služeb.

Umělá inteligence přitom sama o sobě představuje jeden z největších legislativních výzev nadcházejícího desetiletí. Evropský zákon o umělé inteligenci, AI Act, bude mít přímé dopady na oblast kybernetické bezpečnosti, neboť systémy umělé inteligence jsou stále více využívány jak pro obranu před kybernetickými hrozbami, tak bohužel i pro jejich realizaci. Regulace těchto systémů bude vyžadovat úzkou koordinaci mezi kybernetickou legislativou a předpisy upravujícími umělou inteligenci, přičemž tato koordinace bude jednou z největších výzev pro evropské zákonodárce v příštích letech.

Důležitým aspektem budoucího vývoje je rovněž otázka mezinárodní spolupráce. Kybernetické hrozby nepřekračují pouze hranice organizací, ale překračují i státní hranice, a proto efektivní kybernetická legislativa musí být budována na základě mezinárodní koordinace a sdílení informací o hrozbách. Evropská unie v tomto směru posiluje svou spolupráci s partnery, jako jsou Spojené státy americké, Velká Británie nebo Japonsko, a zároveň pracuje na vytvoření globálních standardů kybernetické bezpečnosti prostřednictvím mezinárodních organizací.

Pro Českou republiku bude klíčové, aby Národní úřad pro kybernetickou a informační bezpečnost, NÚKIB, disponoval dostatečnými kapacitami a pravomocemi k tomu, aby mohl efektivně implementovat a vymáhat stále komplexnější kybernetickou legislativu. Zákon o kybernetické bezpečnosti bude muset být průběžně aktualizován tak, aby odrážel nejen evropské požadavky, ale také specifické bezpečnostní potřeby České republiky jako středoevropského státu s vlastní kritickou infrastrukturou a specifickými geopolitickými výzvami. Budoucnost kybernetické legislativy v Evropě tak bude utvářena průsečíkem technologického vývoje, geopolitické reality a politické vůle chránit digitální suverenitu kontinentu.

Publikováno: 13. 07. 2026

Kategorie: IT bezpečnost