Od 1. listopadu 2025 vstupuje v platnost novela zákona o kybernetické bezpečnosti, která fundamentálně mění pravidla hry. Dosavadních 300 regulovaných subjektů naroste na 6 000 firem, sankce vyskočí až na čtvrt miliardy korun a vrcholové vedení ponese osobní odpovědnost. Termíny jsou nekompromisní: 60 dní na registraci, rok na plnou implementaci. Zjistěte, co konkrétně vás čeká, které povinnosti musíte splnit a jak se vyhnout bolestivým pokutám.
Česká republika přestává být digitálním eldorádem s benevolentní regulací. Senát schválil 11. června 2025 legislativu, která začíná platit 1. listopadu 2025 a staví tisíce firem před zásadní otázku: jsme připravení?
Co je zákono kybernetické bezpečnosti a proč teď všichni mluví o novele
Zákon o kybernetické bezpečnosti (č. 181/2014 Sb.) definuje pravidla ochrany informačních systémů a sítí před kybernetickými hrozbami. Dosud se týkal především kritické infrastruktury a několika set subjektů. Novela schválená v červnu 2025 ale rozšiřuje regulaci na přibližně 6 000 organizací napříč 18 odvětvími – od energetiky a dopravy přes zdravotnictví až po online tržiště nebo potravinářský průmysl.
Legislativa implementuje evropskou směrnici NIS2 s více než ročním zpožděním. Účinnost se stanovila na 1. listopadu 2025. A přidává brutální sankční mechanismy: pokuty až 250 milionů korun nebo 2 % celosvětového obratu plus osobní odpovědnost vedení, kterému hrozí zákaz výkonu funkce.
Co obsahuje novela a jaké hlavní povinnosti ukládá firmám
Novela není kosmetickou úpravou – organizace čeká implementace komplexního systému řízení bezpečnosti informačních systémů (ISMS).
- Organizační povinnosti zahrnují pravidelnou analýzu rizik, bezpečnostní politiky, školení zaměstnanců a řízení přístupových práv. Vrcholové vedení nese přímou odpovědnost a aktivně se podílí na strategických rozhodnutích.
- Technická opatření představují nejnákladnější část. Firmy musí zavést pokročilé monitorovací systémy pro vyhodnocování bezpečnostních událostí, ochranu koncových stanic (EDR), vícefaktorovou autentizaci a šifrování dat. Subjekty s vyššími povinnostmi čelí navíc pravidelným penetračním testům.
- Hlášení incidentů patří k nejvýznamnějším změnám. Organizace s vyššími povinnostmi musí incidenty hlásit přímo NÚKIB do 24 hodin, ostatní mají lhůtu 72 hodin. Logy je nutné uchovávat 12–18 měsíců. Bezpečnostní role (manažer kybernetické bezpečnosti, architekt, auditor) jsou povinné pro vybrané subjekty a musí splňovat přísné kvalifikační požadavky.
Tip: Pokročilé monitorovací systémy pro analýzu bezpečnostních událostí a soulad s legislativou najdete na totalservice.cz.
Na koho se zákon o kybernetické bezpečnosti vztahuje
Regulace dopadá na střední a velké podniky – tedy organizace s více než 50 zaměstnanci nebo ročním obratem nad 10 milionů eur (cca 250 milionů Kč). Zásadní je ale kombinace velikosti a odvětví působení.
Novela rozšiřuje okruh ze 7 na 18 regulovaných odvětví: energetika, doprava (železniční, letecká, vodní, silniční), bankovnictví, zdravotnictví, vodní hospodářství, digitální infrastruktura a veřejná správa spadají do režimu vyšších povinností. Do režimu nižších povinností patří poštovní služby, odpadové hospodářství, chemický a potravinářský průmysl, výrobci kritických produktů, poskytovatelé digitálních služeb (online tržiště, vyhledávače, sociální sítě) a vesmírný průmysl.
Pozor na dodavatelské řetězce – pokud dodáváte klíčové služby regulovaným subjektům (IT správa, cloudové služby, bezpečnostní řešení), regulace dopadne i na vás bez ohledu na velikost. NÚKIB dokonce získává pravomoc zakázat využívání rizikových dodavatelů.
Termíny implementace a jak začít co nejdřív
Harmonogram je nemilosrdný. Po nabytí účinnosti zákona 1. listopadu 2025 běží lhůta 60 dní na samoidentifikaci a registraci u NÚKIB. Na plnou implementaci všech bezpečnostních opatření mají firmy 12 měsíců od účinnosti.
Tip: Přečtěte si návod, jak ohlásit regulovanou službu.
První krok: proveďte analýzu, zda spadáte pod regulaci a v jakém režimu. NÚKIB připravuje online nástroj pro rychlé ověření. Následuje gap analýza současného stavu – zmapujte, co vám chybí oproti požadavkům zákona, a identifikujte priority.
Firmy s certifikací ISO 27001 startují s významným náskokem – již implementují řadu požadovaných opatření. Ostatní společnosti by měly:
- začít bezpečnostními politikami (nízkonákladové řešení),
- zajistit školení klíčových osob
- a vytvořit plán pro řešení incidentů.
Dokumentujte vše od začátku – ušetříte čas při pozdějších auditech.
Kritický nedostatek specialistů komplikuje situaci. Řešením je využití externích dodavatelů, sdílení zdrojů v rámci skupiny nebo investice do vzdělávání stávajících zaměstnanců. Průměrná doba implementace se pohybuje mezi 6–12 měsíci, takže váhat moc nelze.
Začněte jednat, než bude pozdě
Novela zákona o kybernetické bezpečnosti není hrozbou, ale příležitostí posílit digitální odolnost vaší organizace. Čas ale běží rychleji, než si myslíte – už za necelý rok budete muset prokázat legislativní soulad, jinak riskujete sankce, které mohou zcela paralyzovat váš byznys.
Zdroj obrázku: virojt / stock.adobe.com
