mini akademie
pro začínající podnikatele
Obsah
Co je zákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti stanovuje pravidla pro ochranu informačních systémů a dat a určuje, jak mají organizace zabezpečit své služby proti kybernetickým hrozbám. Počet kyberútoků totiž v posledních letech stoupá, přitom spousta organizací uchovává své nejcennější procesy a údaje právě v digitální podobě.
Nový zákon zavádí do českého právního řádu pravidla směrnice Network and Information System Directive 2 (NIS2), kterou vydala Evropská unie. Navazuje na předchozí právní úpravu z roku 2014, ale pravidla výrazně zpřísňuje.
Cílem nové regulace je hlavně to, aby se posílila celoevropská úroveň takzvané cyber security a digitální prostor byl lépe chráněný. Zákon začne platit 1. listopadu 2025, od tohoto data se podle něj musí firmy řídit.
Tip: Přečtěte si také o evropském nařízení AI Act, které vstoupilo v platnost v únoru, 2025. Jde o historicky první regulaci AI, která nastavuje pravidla pro využívání umělé inteligence na území Evropské unie. Má za cíl chránit zdraví, bezpečnost i základní práva lidí.
Na koho se zákon vztahuje
Dosud platil zákon o kybernetické bezpečnosti vycházející ze směrnice NIS, který stanovoval bezpečnostní pravidla pro odvětví, jako je energetika, doprava či bankovnictví a pojišťovnictví. Řešilo ho jen asi 300 organizací. Nový zákon rozšiřuje regulaci i na další sektory, které jsou klíčové pro fungování společnosti a hospodářství. Mezi nově regulované oblasti patří:
- veřejná správa a orgány státní moci,
- zdravotnictví (nemocnice, laboratoře, kliniky),
- potravinářství (velcí výrobci a distributoři potravin, farmaceutický průmysl),
- digitální infrastruktura (poskytovatelé cloudových služeb nebo datových center),
- vodohospodářství a odpadové hospodářství (provozovatelé čistíren odpadních vod či firmy zajišťující svoz odpadu),
- veřejná doprava a logistika (železnice, městská hromadná doprava, letecké společnosti, logistické firmy)
- poštovní a kurýrní služby,
- věda, výzkum a vzdělávání (univerzity, výzkumné ústavy, technologická centra)
- výrobní, obranný, chemický a vesmírný průmysl (zbrojovky, chemické závody, automobilky).
Jestli se vás nový zákon týká, záleží hlavně na dvou kritériích: velikosti podniku a typu poskytované služby.
Velikost se určuje podle počtu zaměstnanců, výše ročního obratu a bilanční sumy roční rozvahy. Platí přitom, že pokud firma zaměstnává alespoň 50 zaměstnanců nebo má roční obrat či bilanční sumu roční rozvahy přesahující 10 milionů eur, nová regulace se jí týká.
|
Kategorie podniku |
Počet zaměstnanců (RJP) |
Roční obrat |
Bilanční suma roční rozvahy |
|
Velký podnik |
< 250 |
< 50 mil. eur |
< 43 mil. eur |
|
Střední podnik |
50–250 |
10–50 mil. eur |
10–43 mil. eur |
|
Malý podnik |
< 50 |
< 10 mil. eur |
<10 mil. eur |
Poznámka: RJP je roční pracovní jednotka, tedy přepočtený počet zaměstnanců na plné úvazky za celý rok. Prakticky platí, že pokud má firma dva lidi na poloviční úvazek, dohromady to je 1 RJP.
K naplnění podmínky dané kategorie stačí, aby firma splnila alespoň jedno kritérium – jako velký podnik se tedy bere i firma, která má 300 zaměstnanců, i když její roční obrat nedosáhne 50 milionů eur a bilanční suma roční rozvahy zůstane pod 43 miliony eur.
Zákon se ale vztahuje také na organizace, které poskytují alespoň jednu z takzvaných regulovaných služeb v některém z výše vypsaných odvětví – bez ohledu na velikost podniku. Detailní podmínky stanovuje příslušná vyhláška.
Tip: Pokud si nejste jistí, jestli má vaše firma nově nějaké povinnosti a jaké, zadejte údaje do kalkulačky od Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Systém vyhodnotí, zda se zákon vztahuje právě na vaši organizaci a které povinnosti se vás týkají.
Co je nižší a vyšší režim povinností
Návrh zákona a vyhláška o regulovaných službách rozlišují služby základní a významné, což se v českém právním řádu promítá do dvou režimů povinností – vyššího a nižšího. Typ režimu pak určuje organizaci, jaký rozsah povinností se jí týká. Tento model vychází z principu tzv. dvourychlostní kybernetické bezpečnosti a má usnadnit menším a středním organizacím splnění požadovaných opatření.
Obecně platí, že organizace ve vyšším režimu musí plnit přísnější požadavky, zatímco podniky v nižším režimu čelí méně náročným pravidlům. Do vyššího režimu spadají zpravidla velké podniky, střední firmy se většinou řadí k nižšímu režimu.
Nejvýraznější rozdíl mezi režimy je u rozsahu preventivních bezpečnostních opatření, která zvyšují odolnost organizace vůči kybernetickým hrozbám a snižují pravděpodobnost vzniku kybernetického incidentu.
Jaké jsou požadavky na organizaci
Všechny organizace, kterých se nový zákon o kybernetické bezpečnosti týká, musí splnit několik základních povinností. Konkrétní provedení nebo jejich rozsah se může lišit podle toho, zda firma spadá do vyššího nebo nižšího režimu. Mezi hlavní povinnosti patří:
1. Ohlášení regulované služby
Každá organizace, která poskytuje regulovanou službu, ji musí ohlásit přes Portál NÚKIB do 60 dnů od okamžiku, kdy služba splňuje podmínky pro registraci. Seznam regulovaných služeb pro konkrétní odvětví najdete ve vyhlášce o regulovaných službách.
2. Nahlášení kontaktních údajů
Po registraci musí organizace do 30 dnů doplnit aktuální kontaktní a další důležité údaje, přes Portál NÚKIB. Tím zajistí, že úřad má správné informace pro případné oznámení nebo komunikaci.
3. Stanovení rozsahu řízení kybernetické bezpečnosti
Organizace si musí vymezit, na která svá aktiva se budou vztahovat pravidla kybernetické bezpečnosti. Pokud to neudělá, zákon se automaticky vztahuje na celou firmu a všechna její aktiva.
4. Zavádění bezpečnostních opatření
V rámci stanoveného rozsahu musí organizace začít zavádět bezpečnostní opatření podle toho, zda spadá do vyššího nebo nižšího režimu. Mezi taková opatření patří třeba šifrování citlivých dat, pravidelné aktualizace systémů, zavedení antivirové ochrany nebo školení zaměstnanců o kybernetické bezpečnosti. Konkrétní pravidla jsou popsána v příslušných vyhláškách. Zavádění opatření musí začít do jednoho roku od registrace.
Tip: K jednoduchým opatřením patří i změna způsobu odesílání faktur – víte, že lze fakturovat bezpečně pomocí odkazu místo přílohy e‑mailu? Posílání faktury odkazem omezuje riziko napadení e‑mailu a umožní vám sledovat, kdy si zákazník fakturu otevřel.
5. Hlášení kybernetických incidentů
Každá organizace musí hlásit bezpečnostní incidenty příslušnému orgánu. Povinnost začíná do jednoho roku od registrace služby. Organizace ve vyšším režimu hlásí incidenty přímo NÚKIB, organizace v nižším režimu hlásí Národnímu CERT.
6. Provádění protiopatření vydaných NÚKIB
Organizace musí okamžitě reagovat na výstrahy, varování nebo opatření, které vydá NÚKIB. Většinou je třeba své kroky také nahlásit úřadu přes Portál NÚKIB, pokud nemá jiné pokyny.
Kdy a jak příchod nové regulace řešit
Od chvíle, kdy splňujete všechny podmínky, které NIS2 stanovuje, máte 60 dní na to, abyste se registrovali na Portále NÚKIB. Následně nahlašte své kontaktní údaje. Úřad vyhodnotí, jaký rozsah povinností se vás týká – tedy jestli spadáte do vyššího, nebo nižšího režimu.
Následně vám běží roční lhůta na zavedení bezpečnostních opatření. Neznamená to ale, že veškeré povinnosti plníte ihned od účinnosti zákona a do roka musíte mít vše hotovo – jde o postupné zavádění změn.
Podle NÚKIB je ideální začít se zabezpečováním těmito 3 kroky:
První krok: Zorientujte se v organizaci
Ujasněte si, jaké regulované služby poskytujete a jaké prostředky k tomu potřebujete. Nový zákon tento krok označuje jako „stanovení rozsahu řízení kybernetické bezpečnosti“. Uvědomte si, že vedení společnosti od této chvíle zodpovídá za kybernetickou bezpečnost, strategické začlenění ochrany dat do chodu společnosti i za zvyšování povědomí zaměstnanců o kybernetických hrozbách a správných bezpečnostních postupech.
Druhý krok: Zjistěte si aktuální stav u vás ve firmě
Mnoho organizací už má řadu bezpečnostních opatření zavedených, i když si to možná neuvědomuje. Mezi taková opatření se počítá třeba i zamčená serverovna, zálohování, automatické aktualizace nebo antivirový program.
Třetí krok: Zavádějte opatření
Na základě předchozích určíte, v jakém rozsahu je potřeba kyberbezpečnostní opatření zavádět. Tím také předejdete zavádění opatření, která nejsou potřeba, nebo zbytečným změnám toho, co už funguje. Vytvořte si plán zavádění bezpečnostních opatření s ohledem na dostupné finanční a personální kapacity.
- Pokud spadáte do nižšího režimu, postačí jedna osoba, která bude zodpovědná za řízení kybernetické bezpečnosti.
- Firmy ve vyšším režimu často jmenují manažera kybernetické bezpečnosti, ale také architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti.
Jaké jsou sankce
Dodržování nových pravidel bude kontrolovat NÚKIB, ale i dozorové orgány jednotlivých odvětví. Například u finančních institucí bude kontrolorem Česká národní banka.
Pokud povinnosti nedodržíte, podle nové legislativy vám hrozí pokuta až 250 milionů korun nebo 2 % z čistého celosvětového ročního obratu firmy. Kromě toho mohou kontrolní orgány nařídit i nefinanční postihy, například:
- pozastavení certifikací,
- omezení činnosti
- nebo dokonce zásahy do výkonu řídících funkcí vrcholného managementu.
Související články
Elektronická komunikace se zaměstnancem: novinky, které přinesla flexinovela
Změna kategorizace účetních jednotek a navýšení limitů pro audit