Přeskočit na obsah

Navigace webu

Kybernetická bezpečnost dle NIS2

KYBERNETICKÁ BEZPEČNOST DLE NIS2 PRO ČESKÉ SPOLEČNOSTI

od 1.listopadu 2025

V České republice začne od 01.11.2025 platit nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2 do českého právního systému. České společnosti tak budou muset vyhodnotit, zda a jakým způsobem se jejich tento nový zákon týká a případně zavést nová opatření k ochraně digitálního kybernetického prostoru, který se jí týká.

Společnosti, kterých se bude nový zákon týkat, budou mít povinnost samoidentifikace do 60 dnů od účinnosti zákona a 1 rok od registrace u NÚKIB na zavedení účinných opatření.

Koho se zákon týká?

Zákon se vztahuje na společnosti, které splní tyto dvě kritéria:

  1. STANOVENÝ DRUH REGULOVANÉ SLUŽBY
    • Společnost musí poskytovat alespoň jednu regulovanou službu uvedenou v přílohách směrnice NIS2 (viz níže).
  2. DOPADOVÉ KRITÉRIUM
    • V rámci regulované oblasti musí společnost splňovat daná tzv. dopadová kritéria (organizace je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK), případně je tento podnik důležitým dodavatelem služeb pro organizaci spadající do NIS2)

Posouzení naplnění těchto kritérií musí každá společnost provést samostatně. Pokud chcete zjistit, zda vaše společnost splňuje výše uvedené podmínky a bude regulovaná dle nového kybernetického zákona, můžete využít veřejné kalkulačky zveřejněné Národním úřadem pro kybernetickou bezpečnost, která je dostupná zde: https://portal.nukib.gov.cz/kalkulacka.

O jaké regulované služby se jedná?

Regulovaná služba
Veřejná správa
Energetika (v odvětví elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
Výrobní průmysl
Potravinářský průmysl
Chemický průmysl
Vodní hospodářství
Odpadové hospodářství
Doprava (v odvětví letecká, drážní, vodní, silniční)
Zdravotnictví
Věda, výzkum a vzdělávání
Poštovní a kurýrní služby
Vojenský průmysl
Vesmírný průmysl
Digitální infrastruktura a služby
Finanční trh

Jaké mám povinnosti?

Společnosti, kterých se bude nový zákon týkat, budou mít povinnost tzv. samoidentifikace do 60 dnů od účinnosti tohoto zákona, tedy budou muset vyhodnotit, v jakém rozsahu na ně kybernetická bezpečnost dopadá (nižší nebo vyšší povinnosti) a jaké mají práva a povinnosti. Pokud společnost poskytuje více regulovaných služeb spadajících do různých režimů, přičemž alespoň jedna z nich patří do vyššího režimu, vztahují se na všechny poskytované regulované služby povinnosti vyššího režimu. Jedna společnost má vždy pouze jeden režim povinností.

Pokud se na vás bude nová právní úprava vztahovat, pak se stanete tzv. regulovaným subjektem a budete mít povinnost se ohlásit u Národního úřadu pro kybernetickou bezpečnost prostřednictvím internetového Portálu NÚKIB. NÚKIB vám pak doručí rozhodnutí o registraci vaší regulované služby.

Do 1 roku od registrace budete mít povinnost zavést účinná bezpečnostní opatření.

Jaká bezpečnostní opatření bude nutné zavést?

Zákon definuje dvě úrovně povinností: nižší a vyšší. Vyšší povinnosti zahrnují všechny požadavky jako nižší, ale přidávají dodatečná organizační a technická opatření.

A) Koho se týkají nižší povinnosti?

  • Menší a střední podniky: Týká se menších organizací a podniků, které neposkytují kriticky důležité služby.
  • Služby s nižší kritičností: Organizace poskytující služby, které nejsou strategicky důležité.
  • Mírnější bezpečnostní požadavky: Požadavky na bezpečnost jsou méně přísné než u organizací s vyššími povinnostmi.
  • Méně časté audity: Audity a kontroly probíhají méně často a nejsou tak detailní.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.

Jaká organizační opatření budou muset tyto společnosti zavést?

  • Zajišťování kybernetické bezpečnosti (přehled bezpečnostních opatření, zodpovědnost, bezpečnostní politika, bezpečnostní dokumentace, relevantní smlouvy s dodavateli)
  • Bezpečnost lidských zdrojů (směrnice, školení kybernetické bezpečnosti uživatelů)
  • Řízení přístupu (jedinečná identifikace, pravidla hesel, omezení administrátorských a privilegovaných přístupů)
  • Řešení kybernetických bezpečnostních incidentů (oznamování a vyhodnocování)
  • Řízení kontinuity (postup obnovy primárních aktiv, odpovědnosti, zálohování)
  • Řízení identit a jejich oprávnění (správa identit, MFA)
  • Bezpečnost komunikačních sítí (segmentace, zajištění perimetru, používání VPN)
  • Detekce a zaznamenávání kybernetických bezpečnostních událostí
  • Aplikační bezpečnost (patch management, test zranitelnosti)

Jaká technická opatření budou muset tyto společnosti zavést?

  • Bezpečnost komunikačních sítí
  • Řízení komunikace
  • Zajištění důvěrnosti a integrity pomocí kryptografických algoritmů
  • Využití nástroje pro ochranu integrity sítě
  • Správa a ověřování identit
  • Řízení přístupových oprávnění
  • Zaznamenávání událostí
  • Zajišťování dostupnosti regulované služby

B) Koho se týkají vyšší povinnosti?

  • Kritická infrastruktura: Týká se organizací, které provozují kritickou infrastrukturu (např. energetika, vodohospodářství, zdravotnictví, doprava).
  • Strategické služby: Zahrnuje organizace poskytující strategické služby, jako jsou telekomunikace, finanční služby, zdravotnické systémy atd.
  • Přísné požadavky: Vyžadují implementaci přísnějších bezpečnostních opatření a pravidelné hodnocení rizik.
  • Hloubkové audity: Organizace podléhají pravidelným a hloubkovým auditům a kontrolám ze strany státních orgánů.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 24 hodin.

Jaká organizační opatření budou muset tyto společnosti zavést?

  • Systém řízení bezpečnosti informací (cíle, řízení rizik, bezpečnostní politika, vyhodnocení účinnosti systému řízení bezpečnosti informací, zpráva o přezkoumání, řízení změn)
  • Bezpečnostní role
    • Manažer kybernetické bezpečnosti
    • Architekt kybernetické bezpečnosti
    • Auditor kybernetické bezpečnosti
  • Řízení bezpečnostní politiky a bezpečnostní dokumentace
  • Řízení dodavatelů
  • Řízení změn
  • Akvizice, vývoj a údržba
  • Audit kybernetické bezpečnosti

Jaká technická opatření budou muset tyto společnosti zavést?

  • Řízení privilegovaných účtů
  • Nasazení SIEM systému
  • Pravidelný test zranitelnosti
  • Penetrační testování

Jak byste měli postupovat po 01.11.2025

  1. Vyhodnotit, zda se Vaší společnosti týká nová právní úprava zákona o kybernetické bezpečnosti a v jakém rozsahu (nižší nebo vyšší režim povinností).
  • Pokud ano, zaregistrovat se prostřednictvím platformy Portál NÚKIB u Národního úřadu pro kybernetickou bezpečnost.
    • Zavést bezpečnostní opatření, která zajistí odpovídající úroveň kybernetické bezpečnosti systémů a dat, hlásit kybernetické incidenty a dodržovat základní pravidla kybernetické bezpečnosti.
    • Zohledňovat kybernetickou bezpečnost i u dodavatelů a zavést případně minimální smluvní a bezpečnostní požadavky.

Kdo zodpovídá za splnění povinností dle nového zákona o kybernetické bezpečnosti?

Za řízení kybernetické bezpečnosti bude plně odpovědné vedení společnosti (!) Nejedná se tedy jen o IT záležitost, ale stává se součástí strategické priority společnosti. Vedení společnosti bude mít povinnost zvyšovat povědomí zaměstnanců o kybernetických hrozbách a správných bezpečnostních postupech.

Pokud byste měli zájem, rádi Vám s přípravou všech dokumentů a opatření poradíme.

JUDr. Kateřina Valdecká, advokátka

Hartmanová & Steininger, advokáti

Právní stav tohoto dokumentu je platný ke dni 30. 7. 2025.