In der Tschechischen Republik tritt am 1. November 2025 ein neues Gesetz zur Cybersicherheit in Kraft, mit dem die europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in nationales Recht umgesetzt wird. Tschechische Unternehmen sind daher gehalten zu prüfen, ob sie in den persönlichen und sachlichen Anwendungsbereich des Gesetzes fallen und welche konkreten rechtlichen Verpflichtungen sich hieraus für sie ergeben. Gegebenenfalls sind angemessene organisatorische und technische Maßnahmen zur Gewährleistung der Cybersicherheit der von ihnen betriebenen Informations- und Kommunikationssysteme zu implementieren.
Unternehmen, die dem Anwendungsbereich des Gesetzes unterliegen, sind verpflichtet, sich innerhalb von 60 Tagen nach dessen Inkrafttreten selbst zu identifizieren und zu registrieren. Darüber hinaus haben sie spätestens innerhalb eines Jahres nach der Registrierung bei der Nationalen Behörde für Cybersicherheit und Informationssicherheit (NUKIB) wirksame Maßnahmen zur Erfüllung der gesetzlichen Cybersicherheitsanforderungen umzusetzen.
Welche Unternehmen fallen unter das Gesetz?
Das Gesetz findet Anwendung auf Unternehmen, die kumulativ die nachfolgenden Voraussetzungen erfüllen:
1. Tätigkeitsbezogenes Kriterium (Segment)
Das unternehmen erbringt mindestens einen der in den Anhängen I oder II der NIS-2-Richtlinie genannten regulierten Dienste.
2. Auswirkungskriterium
Innerhalb des regulierten Tätigkeitsbereichs erfüllt das Unternehmen die sogenannten Auswirkungskriterien. Dies ist insbesondere der Fall, wenn das Unternehmen
- als mittleres oder großes Unternehmen einzustufen ist, d.h. mindestens 50 Beschäftigte hat oder einen Jahresumsatz bzw. eine Bilanzsumme von mindestens 10 Mio. EUR (ca. 250 Mio. CZK) erreicht, oder
- Als wesentlicher Dienstleister für ein Unternehmen tätig ist, das seinerseits dem Anwendungsbereich der NIS-2-Regelungen unterliegt.
Die Prüfung, ob diese Voraussetzungen erfüllt sind, obliegt dem jeweiligen Unternehmen selbst. Zur Unterstützung dieser Selbstbewertung stellt die Nationale Behörde für Cybersicherheit und Informationssicherheit (NUKIB) einen öffentlich zugänglichen Online-Rechner zur Verfügung, der unter folgendem Link abrufbar ist: https://portal.nukib.gov.cz/kalkulacka
Welche Dienstleistungen unterliegen der Regulierung?
| Regulierter Dienst |
| Öffentliche Verwaltung |
| Energie – Elektrizität, Erdöl und Erdölprodukte, Gasversorgung, Fernwärme, Wasserstoff |
| Verarbeitendes Gewerbe |
| Lebensmittelindustrie |
| Chemische Industrie |
| Wasserwirtschaft |
| Abfallwirtschaft |
| Luft-, Schienen-, Wasser- und Straßenverkehr |
| Gesundheitswesen |
| Wissenschaft, Forschung und Bildung |
| Post- und Kurierdienste |
| Militärindustrie |
| Raumfahrt |
| Digitale Infrastruktur und Dienstleistungen |
| Finanzmarkt |
Welche Pflichten treffen betroffene Unternehmen?
Unternehmen, die in den Anwendungsbereich des neuen Cybersicherheitsgesetzes fallen, sind verpflichtet, sich innerhalb von 60 Tagen nach dessen Inkrafttreten selbst zu identifizieren. Im Rahmen dieser Selbstidentifikation haben sie zu bewerten, ob und in welchem Umfang sie den gesetzlichen Cybersicherheitsanforderungen unterliegen, insbesondere ob für sie die Regelung mit niedrigeren oder höheren Anforderungen gilt, sowie welche konkreten Rechte und Pflichten sich hieraus ergeben. Erbringt ein Unternehmen mehrere regulierte Dienste, die unterschiedlichen Regelungsstufen unterliegen, so finden auf sämtliche von ihm erbrachten regulierten Dienste die Anforderungen der jeweils höchsten Regelungsstufe Anwendung. Ein Unternehmen unterliegt dabei stets nur einer einheitlichen Regelung.
Unternehmen, die als regulierte Unternehmen einzustufen sind, haben sich über das Internetportal der Nationalen Behörde für Cybersicherheit und Informationssicherheit (NÚKIB) zu registrieren. Die NÚKIB bestätigt die Registrierung durch eine entsprechende Entscheidung über die Eintragung der regulierten Dienstleistung.
Spätestens innerhalb eines Jahres nach der Registrierung sind die gesetzlich vorgeschriebenen wirksamen technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen.
Welche Sicherheitsmaßnahmen sind einzuführen?
Das Gesetz unterscheidet zwischen zwei Stufen von Sicherheitsverpflichtungen: einer niedrigeren und einer höheren Stufe. Unternehmen, die der höheren Stufe unterliegen, müssen sämtliche Anforderungen der niedrigeren Stufe erfüllen und darüber hinaus zusätzliche organisatorische und technische Sicherheitsmaßnahmen implementieren.
A) Geltungsbereich der niedrigeren Verpflichtungen
- kleine und mittlere Unternehmen: betrifft Organisationen, die keine kritischen oder strategisch wesentlichen Dienste erbringen.
- weniger kritische Dienste: Unternehmen, deren angebotene Dienste nicht als strategisch bedeutend für die digitale Infrastruktur gelten.
- reduzierte Sicherheitsanforderungen: die Anforderungen an organisatorische und technische Maßnahmen sind im Vergleich zur höheren Stufe weniger streng
- seltener durchgeführte Audits: Prüfungen und Kontrollen erfolgen in größeren zeitlichen Abständen und sind weniger detailliert.
- Meldung von Cybervorfällen: Verpflichtung zur Meldung von Sicherheitsvorfällen innerhalb von 72 Stunden nach bekanntwerden.
Welche organisatorischen Maßnahmen sind umzusetzen?
- Gewährleistung der Cybersicherheit (Übersicht über Sicherheitsmaßnahmen, Verantwortlichkeiten, Sicherheitsrichtlinien, Sicherheitsdokumentation, relevante Verträge mit Lieferanten)
- Sicherheit der Humanressourcen (Richtlinien, Schulungen zur Cybersicherheit für Benutzer)
- Zugriffsverwaltung (eindeutige Identifizierung, Passwortregeln, Einschränkung von Administrator- und privilegierten Zugriffen)
- Lösung von Cybersicherheitsvorfällen (Meldung und Bewertung)
- Kontinuitätsmanagement (Verfahren zur Wiederherstellung primärer Vermögenswerte, Verantwortlichkeiten, Datensicherung)
- Identitäts- und Berechtigungsmanagement (Identitätsverwaltung, MFA)
- Sicherheit von Kommunikationsnetzen (Segmentierung, Perimeterschutz, VPN-Nutzung)
- Erkennung und Aufzeichnung von Cybersicherheitsvorfällen
- Anwendungssicherheit (Patch-Management, Schwachstellentests)
Welche technischen Maßnahmen sind umzusetzen?
- Sicherheit von Kommunikationsnetzen
- Kommunikationsmanagement
- Gewährleistung der Vertraulichkeit und Integrität durch kryptografische Algorithmen
- Einsatz von Tools zum Schutz der Netzwerksicherheit
- Identitätsverwaltung und -prüfung
- Verwaltung von Zugriffsberechtigungen
- Protokollierung von Ereignissen
- Sicherstellung der Verfügbarkeit regulierter Dienste
B) Geltungsbereich der strengeren Verpflichtungen
- kritische Infrastrukturen betreiben: Dazu zählen Organisationen in Bereichen wie Energieversorgung, Wasserwirtschaft, Gesundheitswesen oder Verkehr.
- strategische Dienste erbringen: Dazu gehören unter anderem Telekommunikation, Finanzdienstleistungen und Teile des Gesundheitssystems.
- strengere Sicherheitsanforderungen erfüllen müssen: Unternehmen müssen umfassendere technische und organisatorische Maßnahmen implementieren sowie regelmäßige Risikobewertungen durchführen.
- regelmäßigen und vertieften Audits unterliegen: Die Unternehmen werden durch staatliche Stellen regelmäßig überprüft, einschließlich detaillierter Kontrollen.
- Cybervorfälle innerhalb von 24 Stunden melden: Es besteht eine Pflicht zur unverzüglichen Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
Welche organisatorischen Maßnahmen sind umzusetzen?
- Informationssicherheits-Managementsystem (Ziele, Risikomanagement, Sicherheitspolitik, Bewertung der Wirksamkeit des Informationssicherheits-Managementsystems, Überprüfungsbericht, Änderungsmanagement)
- Sicherheitsrollen
- Cybersicherheitsmanager
- Cybersicherheitsarchitekt
- Cyber-Sicherheitsprüfer
- Verwaltung der Sicherheitsrichtlinien und Sicherheitsdokumentation
- Lieferantenmanagement
- Änderungsmanagement
- Akquisition, Entwicklung und Wartung
- Cyber-Sicherheitsaudit
Welche technischen Maßnahmen sind umzusetzen?
- Verwaltung privilegierter Konten
- Einsatz eines SIEM-Systems
- Regelmäßige Schwachstellenprüfung
- Penetrationstests
Wie gehen Sie nach dem 1. November 2025 vor?
- Beurteilen Sie, ob ihr Unternehmen den Regelungen des Gesetzes unterliegt und ob die niedrigeren oder höheren Verpflichtungen gelten.
- Bei Betroffenheit, müssen Sie sich über das Portal Portal NÚKIB bei der Nationalen Behörde für Cybersicherheit registrieren.
- Implementieren Sie angemessene technische und organisatorische Maßnahmen, um ein angemessenes Sicherheitsniveau für ihre Systeme und Daten sicherzustellen.
- Stellen Sie die Meldung von Cybervorfällen sicher und halten Sie die grundlegenden regeln der Cybersicherheit ein.
- Prüfen Sie die Cybersicherheit auch bei Lieferanten und Partner. Führen Sie gegebenenfalls Mindestanforderungen für vertrage und Sicherheitsstandards ein, um Risiken in der Lieferkette zu minimieren.
Wer ist für die Erfüllung der Pflichten verantwortlich?
Die Verantwortung für die Umsetzung der Pflichten aus dem neuen Cybersicherheitsgesetz liegt vollständig bei der Unternehmensleitung. Cybersicherheit ist somit keine rein technische Angelegenheit, sondern gehört zu den strategischen Prioritäten des Unternehmens.
Die Unternehmensleitung muss das Cyberbewusstsein der Mitarbeitenden fördern, Sicherheitsverfahren umsetzen und die Einhaltung gesetzlicher Anforderungen sicherstellen.
Bei Interesse unterstützen wir Sie gerne bei der Vorbereitung aller erforderlichen Dokumente und der Umsetzung der notwendigen Maßnahmen.