Menu
NIS2

Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Kateřina Dobrá

Kateřina Dobrá
08. 10. 2025

Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

1. listopadu 2025 nabývá účinnosti nový zákon o kybernetické bezpečnosti, který vychází z evropské směrnice NIS2. Povinnosti se nově netýkají jen kritické infrastruktury, ale také digitální infrastruktury, jako jsou datová centra, DNS či cloud, dále veřejné správy nebo třeba poštovních a kurýrních služeb. Celkem se zákon dotýká minimálně 6000 firem a institucí.  

„Po deseti letech máme aktualizovaný základní standard kybernetické bezpečnosti v České republice. To je to nejdůležitější,“ říká Lukáš Kintr, šéf dozorového orgánu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).  

Zákon pojímá kyberbezpečnost nejen jako technický problém, ale jako strategické téma pro celou organizaci. Podcenění obrany totiž může mít dalekosáhlé ekonomické, společenské i politické důsledky. Nová legislativa se proto vztahuje na podstatně širší škálu kritických oblastí než předchozí kyberbezpečnostní zákon.   

V 9 krocích: Jak vyhovět zákonným požadavkům? 

1. Zjistěte, zda pod regulaci spadáte a do jakého režimu 

Zákon vyžaduje: samoidentifikaci. Musíte si sami vyhodnotit, zda jako firma spadáte mezi regulované subjekty a jestli do vyššího („essential entities“), nebo nižšího režimu („important entities“). Kritéria najdete v zákoně a dělí se podle sektoru, velikosti organizace či poskytované služby.  

Zároveň platí, že se regulace může dotýkat jen některých vašich systémů, informačních aktiv nebo dodavatelů. A na každou tuto oblast se navíc může vztahovat jiný režim. I to je potřeba identifikovat. 

Doporučená praxe: vytvořte malý interní tým (IT, právní, compliance), který kritéria projde a porovná je s vašimi službami. Pokud je situace nejasná, vyplatí se konzultace s odborníkem, nebo alespoň využití kalkulačky NÚKIBu

Nový zákon o kybernetické bezpečnosti 

Konečné znění zákona o kybernetické bezpečnosti najdete zde. Aktuální znění vyhlášek týkající se povinností dotčených subjektů v nižším i vyšším režimu si přečtěte zde

2. Zaregistrujte se u NÚKIBu 

Zákon vyžaduje: pokud pod regulaci spadáte, musíte se do konce roku 2025 zaregistrovat na Portálu NÚKIB. Okamžikem registrace vám pak začíná běžet roční lhůta pro zavedení bezpečnostních opatření. 

Doporučená praxe: připravte si proces registrace s předstihem – kdo ji provede, jaké podklady potřebuje a jak se bude ověřovat správnost údajů.  

3. Definujte role a odpovědnosti 

Zákon vyžaduje: současně s registrací určit kontaktní osobu pro NÚKIB. A dále zajistit osobní odpovědnost vedení. U vyššího režimu jsou stanoveny i další povinné funkce (manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, garant aktiva a auditor kybernetické bezpečnosti). 

Doporučená praxe: jednotlivé role nemusejí být nutně samostatné full-time pozice – v menších firmách je mohou zastávat i lidé, kteří mají související kompetence.  

4. Proveďte analýzu rizik a zaveďte ISMS 

Zákon vyžaduje: pravidelně vyhodnocovat rizika, vést evidenci aktiv (tedy mít přehled o systémech, datech a službách, které pro vás mají hodnotu) a přijímat přiměřená opatření v rámci systému řízení kybernetické bezpečnosti (ISMS).  

U vyššího režimu bude vyžadován větší rozsah dokumentace (včetně detailní evidence primárních a podpůrných aktiv, metodiky pro jejich hodnocení, ročního přezkumu účinnosti ISMS, prohlášení o aplikovatelnosti, plánu zvládání rizik nebo pravidelných auditů). 

Doporučená praxe: revizi rizik provádějte jedenkrát ročně a při každé významné změně (migrace do cloudu, akvizice, nové technologie). Zapojte nejen IT, ale i obchodní a provozní útvary – rizika se netýkají jen techniky, ale také reputace, zákaznických vztahů a kontinuity podnikání. 

5. Reagujte a hlaste incidenty 

Zákon vyžaduje: mít procesy pro identifikaci, řešení a hlášení incidentů přes Portál NÚKIB. Hlásit je musíte předběžně do 24 hodin, detailně do 72 hodin, a to v obou režimech. 

Doporučená praxe: pravidelně testujte tzv. incident response plán (cvičení, simulace), určete odpovědné osoby a komunikační kanály, aby nevznikaly zmatky. 

6. Zajistěte bezpečnost dodavatelů 

Zákon vyžaduje: řídit kybernetická rizika v dodavatelském řetězci a smluvních vztazích. U nižšího režimu stačí, aby smlouvy obsahovaly minimální bezpečnostní požadavky, u vyššího je nutné detailnější řízení celého řetězce včetně posouzení rizik dodavatelů. 

Doporučená praxe: prověřujte smlouvy, vyžadujte minimální standardy od partnerů a zaveďte řízení privilegovaných účtů (PAM), aby byly přístupy externistů pod kontrolou. 

7. Nastavte pravidla a proškolte zaměstnance 

Zákon vyžaduje: zavést a udržovat interní politiky kybernetické bezpečnosti a zajistit povědomí zaměstnanců o bezpečnostních zásadách. 

Doporučená praxe: pravidelně aktualizujte směrnice, provažte je s audity a školte zaměstnance formou testů a phishingových simulací. 

8. Zaveďte a ověřujte technická opatření 

Zákon vyžaduje: zavést přiměřená technická opatření, jako je segmentace sítí, antivirová ochrana, logování, vícefaktorová autentizace, pravidelné aktualizace a šifrování komunikace. Subjekty ve vyšším režimu mají navíc povinnost systematického monitoringu nebo penetračního testování. 

Doporučená praxe: neřešte všechno najednou – určete si, které systémy a aplikace jsou pro vás kritické, a tam nejdřív zaveďte silná opatření. Zároveň automatizujte rutinní úkoly, jako je správa aktualizací nebo monitoring logů – snížíte tím chybovost a ušetříte kapacity. 

9. Vedení dokumentace a příprava na kontrolu 

Zákon vyžaduje: vést dokumentaci o přijatých opatřeních (co je zavedeno, co je v procesu, co se plánuje) a umožnit jejich doložení při kontrole NÚKIBem. Zatímco u nižšího režimu budou kontroly namátkové, u vyššího budou důkladnější a častější. Konkrétně bude NÚKIB u vyššího režimu vyžadovat rozsáhlou dokumentaci k ISMS, roční zprávu o přezkumu, plány zvládání rizik, prohlášení o aplikovatelnosti nebo zprávy z auditů a kontrol. 

Doporučená praxe: vytvořte si interní checklist, pravidelně jej aktualizujte a využívejte pro sebehodnocení i přípravu na audit. 

Za nedodržení hrozí pokuty 

Porušení povinností podle zákona může znamenat pokutu až 250 milionů korun nebo 2 % z celosvětového obratu, a to včetně osobní odpovědnosti členů vedení.  

Stáhněte si praktický checklist pro přípravu na kyberzákon

Stáhněte si praktický checklist pro přípravu na kyberzákon

Stáhnout soubor
ZOKB_O2_Checklist.pdf

Nová legislativa jako příležitost 

Nový zákon o kybernetické bezpečnosti není jen další povinnost, ale především příležitost posunout úroveň ochrany celé organizace. Firmy, které se připraví včas, získají: 

  • vyšší odolnost vůči útokům – stabilnější provoz a menší riziko nákladných krizových scénářů, 
  • důvěru zákazníků a partnerů – splnění regulace zvyšuje vaši kredibilitu a otevírá cestu k novým zakázkám, 
  • ochranu pro vedení – jasně nastavené role a odpovědnosti přinášejí jistotu a snižují osobní rizika, 
  • efektivnější řízení IT a dodavatelů – standardizace procesů zlepšuje přehled, kontrolu i dlouhodobou udržitelnost. 

Zákon tak není překážkou, ale pobídkou k investici do vlastní budoucnosti, která posílí stabilitu a konkurenceschopnost vaší organizace. 

Co si z článku odnést?     

  • 1. listopadu 2025 nabývá účinnosti nový zákon o kybernetické bezpečnosti, který dotčeným subjektům zpřísňuje povinnosti i sankce.   
  • Povinnosti se nově týkají nejen kritické infrastruktury, ale i digitální infrastruktury, veřejné správy či dodavatelských řetězců. Celkem jde minimálně o 6000 organizací. 
  • První povinností je zjistit, zda pod zákon spadáte, a případná registrace u NÚKIBu. Následně vám začne běžet roční lhůta na implementaci zákonných požadavků
  • Nesoulad může znamenat pokutu až 250 milionů Kč nebo 2 % z celosvětového obratu i osobní odpovědnost vedení. Ale hlavně vás oslabuje vůči kybernetickým útokům.
Kateřina Dobrá Kateřina Dobrá
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Zobrazit článek
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit článek
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty
Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Zobrazit článek
Quantum-safe: Jak se připravit na nástup kvantových počítačů?
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Zobrazit článek
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby
Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?

Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?

Zobrazit článek
Shadow AI: Tichý pomocník, nebo bezpečnostní riziko?
BYOD ve firmách: Zvyšte svou produktivitu bezpečně

BYOD ve firmách: Zvyšte svou produktivitu bezpečně

Zobrazit článek
BYOD ve firmách: Zvyšte svou produktivitu bezpečně
DORA a CRA: Jak připravit firmu na nové evropské regulace

DORA a CRA: Jak připravit firmu na nové evropské regulace

Zobrazit článek
DORA a CRA: Jak připravit firmu na nové evropské regulace
Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?   

Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?   

Zobrazit článek
Roste zájem o edge computing. Jaké výhody a jaká rizika s sebou přináší?