Nový zákon o kybernetické bezpečnosti: co čeká firmy

Nový zákon o kybernetické bezpečnosti v ČR

Česká republika se v posledních letech ocitla před zásadní výzvou, která se týká ochrany digitálního prostoru a kritické infrastruktury státu. Nový zákon o kybernetické bezpečnosti představuje jeden z nejvýznamnějších legislativních počinů posledního desetiletí, a to nejen z pohledu technologického rozvoje, ale také z hlediska národní bezpečnosti a ochrany dat občanů i firem.

Původní zákon č. 181/2014 Sb. o kybernetické bezpečnosti sloužil jako základní pilíř ochrany digitálního prostoru České republiky po dobu téměř deseti let. Nicméně dynamický vývoj kybernetických hrozeb, nárůst sofistikovaných útoků na státní instituce a soukromý sektor a především přijetí evropské směrnice NIS2 ze strany Evropské unie si vynutily zásadní revizi celého legislativního rámce. Nová legislativa tak reaguje na realitu, která se od roku 2014 dramaticky proměnila.

Směrnice NIS2, tedy směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii, přinesla povinnost členských států implementovat nová pravidla do svého právního řádu. Česká republika se rozhodla tuto příležitost využít nejen k prostému přepisu evropských požadavků do národního práva, ale k vytvoření komplexního a moderního zákona, který bude schopen reagovat na aktuální i budoucí hrozby.

Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, sehrál při přípravě nového zákona klíčovou roli. Právě tento úřad je gestorem kybernetické bezpečnosti v České republice a jeho odborníci se podíleli na vypracování věcného záměru i samotného legislativního textu. NÚKIB opakovaně zdůrazňoval, že nová legislativa musí být dostatečně flexibilní, aby reagovala na rychle se měnící prostředí kybernetických hrozeb, a zároveň dostatečně konkrétní, aby firmám a institucím poskytla jasný návod, jak postupovat.

Jednou z klíčových změn, které nový zákon přináší, je výrazné rozšíření okruhu subjektů, na něž se povinnosti v oblasti kybernetické bezpečnosti vztahují. Zatímco původní zákon pokrýval relativně úzký okruh provozovatelů kritické informační infrastruktury a základních služeb, nová legislativa zahrnuje podstatně větší počet firem a organizací. Nově se povinnosti vztahují na střední a velké podniky v celé řadě odvětví, od energetiky přes zdravotnictví až po digitální infrastrukturu a veřejnou správu.

Regulované subjekty jsou nově rozděleny do dvou kategorií, přičemž každá z nich podléhá odlišnému rozsahu povinností. Takzvané vyšší regulované subjekty čelí přísnějším požadavkům, zahrnujícím mimo jiné povinnost zavést systém řízení bezpečnosti informací, provádět pravidelné bezpečnostní audity, hlásit kybernetické incidenty ve stanovených lhůtách a zajistit bezpečnost dodavatelského řetězce. Nižší regulované subjekty mají povinnosti poněkud méně rozsáhlé, nicméně i pro ně platí základní standardy, které dříve nebyly zákonem vyžadovány.

Hlášení kybernetických incidentů patří mezi oblasti, kde nový zákon přináší nejzásadnější zpřísnění. Organizace jsou nově povinny hlásit závažné kybernetické incidenty ve velmi krátkých lhůtách — v řádu hodin od jejich detekce. Tento požadavek klade vysoké nároky na interní procesy firem a vyžaduje, aby měly funkční systémy detekce a reakce na incidenty. Praxe ukazuje, že mnoho organizací na tuto povinnost dosud nebylo připraveno, a nový zákon je tak nutí k zásadním investicím do kybernetické bezpečnosti.

Sankce za nedodržení povinností stanovených zákonem jsou rovněž výrazně přísnější než v předchozí právní úpravě. Pokuty mohou dosáhnout až desítek milionů korun, přičemž zákon pamatuje i na osobní odpovědnost vedoucích pracovníků regulovaných subjektů. Toto ustanovení je považováno za jeden z nejdůležitějších nástrojů, jak přimět management firem k tomu, aby kybernetickou bezpečnost bral jako strategickou prioritu, a nikoli jen jako technický problém IT oddělení.

Bezpečnost dodavatelského řetězce je dalším tématem, které nový zákon výrazně akcentuje. Organizace jsou povinny prověřovat bezpečnostní úroveň svých dodavatelů a partnerů, kteří mají přístup k jejich systémům nebo zpracovávají citlivá data. Tato povinnost vychází z poznatku, že mnoho kybernetických útoků se uskutečnilo právě prostřednictvím kompromitovaných dodavatelů, jak ukázaly například globálně sledované případy útoků na dodavatelské řetězce v posledních letech.

Celkově lze říci, že nový zákon o kybernetické bezpečnosti představuje zásadní posun v přístupu České republiky k ochraně digitálního prostoru. Jeho implementace bude náročná jak pro regulované subjekty, tak pro samotný NÚKIB, který musí zajistit dostatečné kapacity pro dohled nad podstatně větším počtem povinných osob. Přesto je tento krok nezbytný, protože kybernetické hrozby se neustále vyvíjejí a jejich dopady na ekonomiku, bezpečnost státu i každodenní život občanů jsou stále závažnější.

Implementace evropské směrnice NIS2 do legislativy

Evropská směrnice NIS2 představuje zásadní milník v oblasti kybernetické bezpečnosti na úrovni celé Evropské unie a její implementace do národní legislativy přináší řadu podstatných změn, které se dotýkají širokého spektra subjektů napříč různými odvětvími. Česká republika přistoupila k tomuto procesu s vědomím, že stávající právní rámec je třeba výrazně posílit a rozšířit tak, aby odpovídal aktuálním hrozbám digitálního prostředí. Nový zákon o kybernetické bezpečnosti, který nahrazuje dosavadní zákon č. 181/2014 Sb., představuje komplexní legislativní nástroj reflektující požadavky směrnice NIS2 a přizpůsobuje je specifickým podmínkám českého právního prostředí.

Samotný proces implementace nebyl jednoduchý a vyžadoval rozsáhlé konzultace mezi Národním úřadem pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, a celou řadou dotčených subjektů ze soukromého i veřejného sektoru. Diskuse se vedly o rozsahu povinností, výši sankcí, ale také o způsobu, jakým budou jednotlivé organizace klasifikovány do kategorií základních a důležitých subjektů. Právě tato kategorizace je jedním z klíčových prvků nové legislativy, neboť od ní se odvíjí míra povinností, které musí daný subjekt plnit. Zatímco základní subjekty podléhají přísnějšímu dohledu a rozsáhlejším požadavkům, důležité subjekty mají povinnosti o něco méně přísné, avšak stále velmi relevantní z pohledu zajištění kybernetické odolnosti.

Nový zákon o kybernetické bezpečnosti výrazně rozšiřuje okruh povinných subjektů oproti předchozí právní úpravě. Zatímco původní zákon se vztahoval na relativně úzkou skupinu provozovatelů kritické informační infrastruktury a poskytovatelů digitálních služeb, nová legislativa zasahuje do mnohem širšího spektra odvětví, včetně zdravotnictví, dopravy, energetiky, bankovnictví, potravinářského průmyslu, výroby a správy odpadních vod. Toto rozšíření reflektuje skutečnost, že moderní kybernetické hrozby nemíří pouze na tradiční cíle, ale zasahují celou společnost a ekonomiku jako celek.

Zákon o kybernetické bezpečnosti ve své nové podobě rovněž přináší zpřísněné požadavky na hlášení kybernetických incidentů. Organizace jsou povinny oznamovat závažné bezpečnostní incidenty v přesně stanovených lhůtách, přičemž první oznámení musí proběhnout do 24 hodin od okamžiku, kdy byl incident zjištěn, a následně je třeba podat podrobnější zprávu do 72 hodin. Tato povinnost má zajistit, aby příslušné orgány mohly rychle reagovat a v případě potřeby koordinovat opatření na národní i nadnárodní úrovni.

Nedílnou součástí implementace NIS2 je také zavedení povinného řízení rizik v oblasti kybernetické bezpečnosti. Povinné subjekty musí zavést a udržovat systém řízení bezpečnosti informací, provádět pravidelná hodnocení rizik a implementovat technická i organizační opatření přiměřená identifikovaným hrozbám. Zákon přitom nestanoví konkrétní technická řešení, ale spíše principy a cíle, čímž umožňuje organizacím flexibilně reagovat na rychle se vyvíjející technologické prostředí.

Sankční mechanismus zavedený novým zákonem o kybernetické bezpečnosti je výrazně přísnější než v předchozí úpravě. Maximální výše pokut pro základní subjekty může dosáhnout až 250 milionů korun nebo 2 % celkového ročního obratu, přičemž se uplatní ta vyšší hodnota. Pro důležité subjekty jsou sankce o něco nižší, avšak stále dostatečně motivující k tomu, aby organizace nepodceňovaly plnění svých povinností. Tento přístup je zcela v souladu s filozofií směrnice NIS2, která klade důraz na efektivní vymáhání povinností a odrazení od nedbalosti v oblasti kybernetické bezpečnosti.

Implementace NIS2 rovněž přináší nové požadavky na bezpečnost dodavatelského řetězce. Organizace musí nyní věnovat zvýšenou pozornost kybernetické bezpečnosti svých dodavatelů a partnerů, neboť slabé místo v dodavatelském řetězci může ohrozit bezpečnost celého systému. Tato povinnost vychází z praxe, kdy řada závažných kybernetických útoků byla vedena právě přes méně chráněné subdodavatele a partnery. Zákon tak vytváří tlak na celý ekosystém dodavatelů a odběratelů, aby společně zvyšovali úroveň kybernetické ochrany.

Celý legislativní proces implementace NIS2 byl doprovázen intenzivní osvětovou kampaní ze strany NÚKIB, který vydával metodické pokyny, pořádal semináře a konzultace a snažil se organizacím usnadnit orientaci v nových požadavcích. Přechod na nový právní rámec kybernetické bezpečnosti není pouze formální záležitostí, ale vyžaduje skutečnou kulturní změnu v přístupu organizací k ochraně svých digitálních aktiv a infrastruktury. Česká republika tak prostřednictvím nového zákona o kybernetické bezpečnosti vstupuje do nové éry, v níž je kybernetická odolnost považována za základní předpoklad fungování moderní společnosti a ekonomiky.

Povinnosti firem a organizací podle zákona

Zákon o kybernetické bezpečnosti ukládá firmám a organizacím celou řadu povinností, které musí splnit, aby byly v souladu s platnou legislativou. Tyto povinnosti se týkají zejména subjektů, které provozují kritickou informační infrastrukturu, významné informační systémy nebo jsou poskytovateli základních a digitálních služeb. Každá organizace, která spadá do působnosti tohoto zákona, musí nejprve provést důkladnou analýzu rizik, na jejímž základě pak přijme odpovídající bezpečnostní opatření technického i organizačního charakteru.

Jednou z klíčových povinností je zavedení systému řízení bezpečnosti informací, který musí odpovídat požadavkům stanoveným vyhláškou o kybernetické bezpečnosti. Organizace jsou povinny zavést a udržovat bezpečnostní politiku, která jasně vymezuje odpovědnosti jednotlivých pracovníků, procesy pro správu přístupových práv, pravidla pro ochranu dat a postupy pro zvládání kybernetických incidentů. Bez takové politiky nelze považovat systém řízení bezpečnosti za funkční a zákon v tomto ohledu nestanoví žádné výjimky.

Velmi důležitou oblastí je povinnost hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Organizace musí hlásit incidenty, které mají nebo mohou mít závažný dopad na bezpečnost poskytovaných služeb nebo na fungování informačních systémů. Zákon přitom stanoví konkrétní lhůty, ve kterých musí být hlášení podáno, a organizace nesmí tuto povinnost podceňovat. Prodlení nebo zatajení incidentu může mít pro firmu vážné právní a finanční důsledky.

Dalším důležitým aspektem je povinnost provádět pravidelné bezpečnostní audity a hodnocení. Organizace musí průběžně ověřovat, zda přijatá opatření skutečně fungují a zda odpovídají aktuálnímu stavu hrozeb. Kybernetické prostředí se neustále mění a to, co bylo bezpečné před rokem, nemusí být bezpečné dnes. Proto zákon vyžaduje, aby firmy svůj přístup k bezpečnosti pravidelně přehodnocovaly a aktualizovaly.

Zákon také klade velký důraz na vzdělávání a osvětu zaměstnanců. Organizace jsou povinny zajistit, aby jejich pracovníci měli dostatečné povědomí o kybernetických hrozbách a věděli, jak se chovat v případě podezřelé situace. Lidský faktor je totiž v oblasti kybernetické bezpečnosti jedním z nejzranitelnějších míst a mnoho úspěšných útoků začíná právě zneužitím neznalosti nebo nepozornosti zaměstnance.

Organizace musí také zajistit fyzickou bezpečnost svých systémů a infrastruktury. To zahrnuje ochranu serveroven, řízení přístupu do prostor, kde jsou umístěny klíčové technologické prvky, a také zajištění kontinuity provozu v případě výpadku nebo havárie. Zákon v tomto ohledu nepřipouští situaci, kdy by organizace spoléhala pouze na softwarová řešení a zanedbávala fyzickou stránku ochrany.

Součástí povinností je rovněž správa dodavatelského řetězce. Firmy musí dbát na to, aby jejich dodavatelé a partneři splňovali odpovídající bezpečnostní standardy, protože útočníci velmi často využívají slabých míst v dodavatelském řetězci k proniknutí do cílové organizace. Zákon proto vyžaduje, aby organizace prověřovaly své dodavatele a smluvně zajišťovaly dodržování bezpečnostních požadavků.

Za nesplnění povinností stanovených zákonem hrozí organizacím citelné sankce. NÚKIB má pravomoc ukládat pokuty, které mohou v závažných případech dosáhnout velmi vysokých částek. Kromě finančních sankcí může mít nedodržení zákona také reputační dopady, které mohou být pro firmu v dlouhodobém horizontu ještě škodlivější než samotná pokuta. Zákon o kybernetické bezpečnosti tedy není jen formální administrativní povinností, ale skutečným nástrojem, který má chránit jak samotné organizace, tak celou společnost před rostoucími kybernetickými hrozbami.

Rozšíření okruhu povinných subjektů a institucí

Nový zákon o kybernetické bezpečnosti přináší zásadní změnu v tom, na koho se jeho povinnosti vlastně vztahují. Dosavadní právní úprava pokrývala relativně úzký okruh subjektů, přičemž mnohé organizace, které provozují kriticky důležité systémy nebo služby, stály zcela mimo zákonnou regulaci. To se s přijetím nové legislativy, která vychází z evropské směrnice NIS2, radikálně mění. Okruh povinných subjektů se rozšiřuje na několikanásobek oproti předchozímu stavu, a to jak z hlediska počtu dotčených organizací, tak z hlediska sektorového záběru.

Zákon nově rozlišuje mezi dvěma základními kategoriemi povinných subjektů, a sice mezi takzvanými základními subjekty a důležitými subjekty. Toto dělení není pouze formální, neboť od něj se odvíjí intenzita povinností, rozsah dohledu ze strany Národního úřadu pro kybernetickou a informační bezpečnost a také výše sankcí, které mohou být v případě porušení zákona uloženy. Základní subjekty podléhají přísnějšímu režimu a aktivnějšímu dohledu, zatímco důležité subjekty mají povinnosti sice rozsáhlé, avšak o něco méně přísné. Oba typy subjektů však musejí splňovat celou řadu technických a organizačních opatření, která zákon a navazující prováděcí předpisy stanovují.

Do okruhu povinných subjektů nově vstupují organizace z odvětví, která dříve pod zákon vůbec nespadala. Jedná se například o poskytovatele poštovních a kurýrních služeb, výrobce potravin a jejich distributory, zpracovatele odpadů, výrobce chemických látek nebo subjekty působící v oblasti výzkumu a vývoje. Vedle těchto nových sektorů dochází také k rozšíření v rámci sektorů, které byly regulovány již dříve, jako je energetika, doprava, zdravotnictví nebo bankovnictví. V praxi to znamená, že tisíce organizací, které dosud nemusely věnovat kybernetické bezpečnosti systematickou pozornost z pohledu zákonné povinnosti, se náhle ocitají v regulovaném prostředí.

Velmi důležitým aspektem je způsob, jakým zákon určuje, zda konkrétní subjekt pod jeho působnost spadá. Základním kritériem je velikost organizace měřená počtem zaměstnanců a výší ročního obratu nebo bilanční sumy. Zákon se zpravidla vztahuje na střední a velké podniky, tedy na organizace s více než padesáti zaměstnanci nebo s ročním obratem přesahujícím deset milionů eur. Existují však výjimky, kdy zákon dopadá i na menší subjekty, pokud jsou jejich služby nebo infrastruktura považovány za kriticky důležité bez ohledu na jejich velikost. Takovým příkladem mohou být poskytovatelé služeb elektronických komunikací nebo správci kritické infrastruktury.

Rozšíření okruhu povinných subjektů se dotýká také veřejného sektoru, a to velmi výrazně. Orgány veřejné moci, státní instituce, krajské a obecní úřady, ale i příspěvkové organizace a další veřejnoprávní subjekty musejí nově posoudit, zda a v jakém rozsahu na ně zákon dopadá. Veřejný sektor přitom dlouhodobě zaostával za soukromým sektorem v oblasti investic do kybernetické bezpečnosti, a proto lze očekávat, že implementace nových povinností bude pro řadu těchto institucí výraznou výzvou jak po stránce finanční, tak po stránce personální a organizační.

Zákon rovněž pamatuje na takzvané dodavatelské řetězce. I subjekt, který sám o sobě nesplňuje kritéria pro zařazení mezi povinné subjekty, může být nepřímo dotčen tím, že jeho odběratelé nebo partneři povinné subjekty jsou a budou po něm vyžadovat splnění určitých bezpečnostních standardů jako podmínku spolupráce. Kybernetická bezpečnost se tak stává tématem relevantním prakticky pro celé podnikatelské prostředí, nikoli pouze pro ty, kdo jsou přímo zákonem regulováni.

Celkový dopad rozšíření okruhu povinných subjektů bude obrovský. Odhaduje se, že v České republice bude nový zákon přímo dopadat na několik tisíc organizací, přičemž dosavadní zákon se vztahoval na řádově stovky subjektů. Tato změna si vyžádá značné úsilí jak ze strany samotných organizací, které budou muset projít procesem sebeidentifikace a registrace u NÚKIB, tak ze strany regulátora, který bude muset zvládnout výrazně větší agendu spojenou s dohledem, metodickým vedením a případným sankčním řízením.

Sankce za nedodržení bezpečnostních požadavků

Zákon o kybernetické bezpečnosti přináší jasně definovaný systém sankcí, který dopadá na všechny subjekty, jež nesplní povinnosti stanovené tímto právním předpisem. Jde o oblast, která se v praxi ukazuje jako mimořádně citlivá, protože mnohé organizace dosud nepovažovaly kybernetickou bezpečnost za prioritu, a to i přesto, že rizika spojená s kybernetickými útoky v posledních letech dramaticky vzrostla. Zákon proto nastavuje sankční mechanismus tak, aby byl dostatečně odstrašující a zároveň spravedlivý.

Správní delikty a výše pokut jsou jedním z nejdůležitějších nástrojů, které zákon o kybernetické bezpečnosti využívá k vynucování dodržování stanovených povinností. Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, disponuje pravomocí uložit pokutu až do výše desítek milionů korun, přičemž konkrétní výše závisí na závažnosti porušení, míře zavinění, rozsahu způsobené škody a také na tom, zda byl subjekt v minulosti za podobné prohřešky již sankcionován. Zákon přitom rozlišuje mezi různými kategoriemi povinných subjektů, protože ne každý provozovatel kritické infrastruktury čelí stejným hrozbám ani nenese stejnou míru odpovědnosti.

V praxi to znamená, že pokud například provozovatel základní služby opomene zavést odpovídající technická a organizační opatření, může mu být uložena pokuta v řádu milionů korun. Podobně tvrdě zákon postihuje situace, kdy povinný subjekt neplní hlášení bezpečnostních incidentů včas nebo vůbec. Povinnost hlásit kybernetické incidenty je přitom jednou ze základních a nejčastěji porušovaných povinností, protože organizace se mnohdy obávají reputačních dopadů a raději incidenty tají, než aby je transparentně nahlásily příslušnému orgánu.

Zákon však nestanoví sankce pouze v podobě finančních pokut. Součástí sankčního systému jsou také nápravná opatření, která může NÚKIB nařídit povinným subjektům. Tato opatření mohou zahrnovat například povinnost zavést konkrétní bezpečnostní mechanismy v určité lhůtě, provést bezpečnostní audit nebo přijmout personální změny v oblasti řízení kybernetické bezpečnosti. Pokud povinný subjekt ani po uložení nápravného opatření nesplní své povinnosti, může to vést k dalším sankcím, které jsou ještě přísnější než ty původní.

Důležitým aspektem je také skutečnost, že zákon o kybernetické bezpečnosti zavádí odpovědnost nejen organizací jako celku, ale v určitých případech i odpovědnost konkrétních fyzických osob, zejména těch, které zastávají vedoucí pozice a jsou za kybernetickou bezpečnost přímo odpovědné. To je zásadní posun oproti předchozímu stavu, kdy se odpovědnost za selhání v oblasti kybernetické bezpečnosti jen velmi obtížně přičítala konkrétním osobám.

Novela zákona, která reaguje na evropskou směrnici NIS2, tento sankční rámec ještě zpřísňuje a rozšiřuje okruh povinných subjektů. Maximální výše pokut se zvyšuje na desítky milionů eur, přičemž pro velké podniky může pokuta dosáhnout až dvou procent z celkového celosvětového ročního obratu, pokud je tato částka vyšší než pevně stanovená maximální pokuta. Toto pravidlo je převzato z evropské legislativy a jeho cílem je zajistit, aby sankce byly efektivní i vůči velkým nadnárodním korporacím, pro které by fixní pokuta v řádu milionů korun neměla žádný odstrašující účinek.

Při ukládání sankcí musí NÚKIB vždy přihlédnout k celé řadě okolností. Zohledňuje se zejména to, zda subjekt jednal úmyslně nebo z nedbalosti, jaký byl skutečný dopad porušení povinnosti na bezpečnost sítí a informačních systémů, zda subjekt spolupracoval s úřadem při šetření incidentu a zda přijal dobrovolná opatření k nápravě situace. Tyto polehčující okolnosti mohou výrazně snížit výslednou výši pokuty, a proto se vyplatí s NÚKIB aktivně komunikovat a prokazovat dobrou vůli k nápravě.

Praxe ukazuje, že organizace, které kybernetickou bezpečnost systematicky zanedbávají, se dříve nebo později dostanou do hledáčku kontrolních orgánů. Investice do kybernetické bezpečnosti je proto z ekonomického hlediska vždy výhodnější než riziko vysoké pokuty, ztráty důvěry zákazníků a partnerů nebo narušení kontinuity provozu v důsledku kybernetického útoku. Zákon o kybernetické bezpečnosti tak svým sankčním mechanismem nepřímo motivuje organizace k tomu, aby přistupovaly k ochraně svých systémů odpovědně a proaktivně, nikoliv pouze reaktivně po té, co dojde k bezpečnostnímu incidentu.

V digitálním světě, kde každý bit dat může být zbraní i štítem zároveň, není zákon o kybernetické bezpečnosti pouhou právní normou – je to pevnost postavená ze slov, jejíž zdi musíme neustále posilovat, neboť útočníci nikdy nespí a jejich metody se vyvíjejí rychleji, než dokážeme psát paragrafy.

Radovan Šimánek

Role Národního úřadu pro kybernetickou bezpečnost

Národní úřad pro kybernetickou bezpečnost, zkráceně NÚKIB, představuje klíčovou instituci v celém systému ochrany kybernetického prostoru České republiky. Jeho postavení a pravomoci jsou pevně zakotveny v zákoně o kybernetické bezpečnosti, který prošel v posledních letech zásadními změnami, jež reflektují neustále se vyvíjející hrozby v digitálním světě. NÚKIB vystupuje jako ústřední správní orgán pro oblast kybernetické bezpečnosti, přičemž jeho kompetence sahají od regulace a dohledu až po přímou koordinaci reakcí na kybernetické incidenty, které mohou ohrozit fungování kritické infrastruktury státu.

Srovnání zákonů o kybernetické bezpečnosti: Česká republika vs. EU

Parametr	Zákon č. 181/2014 Sb. (ČR – původní)	Zákon č. 205/2017 Sb. (ČR – novela)	Směrnice NIS (EU 2016/1148)	Směrnice NIS2 (EU 2022/2555)
Rok přijetí	2014	2017	2016	2022
Platnost od	1. ledna 2015	1. srpna 2017	8. srpna 2016	16. ledna 2023
Gestor / Orgán	NÚKIB (dříve NBÚ)	NÚKIB	ENISA	ENISA
Počet povinných subjektů (přibližně)	cca 300 subjektů	cca 400 subjektů	tisíce subjektů v EU	více než 160 000 subjektů v EU
Maximální sankce	100 000 Kč	10 000 000 Kč	stanovuje každý stát EU	10 000 000 EUR nebo 2 % obratu
Povinnost hlášení incidentů	Ano – do 24 hodin	Ano – do 24 hodin	Ano – bez zbytečného odkladu	Ano – do 24 hodin (první hlášení)
Kategorie povinných subjektů	Kritická infrastruktura, IS veřejné správy	Kritická infrastruktura, IS veřejné správy, poskytovatelé digitálních služeb	Provozovatelé základních služeb, poskytovatelé digitálních služeb	Základní a důležité subjekty (rozšířené sektory)
Bezpečnostní opatření	Organizační a technická opatření	Organizační, technická a fyzická opatření	Přiměřená technická a organizační opatření	Komplexní opatření včetně řízení dodavatelského řetězce
Zahrnutí dodavatelského řetězce	Ne	Částečně	Ne	Ano – povinně
Certifikace kybernetické bezpečnosti	Doporučená	Doporučená	Dobrovolná	Povinná pro vybrané produkty a služby
Transpozice do českého práva	Národní zákon	Národní zákon (transpozice NIS)	Povinná transpozice do 9. 5. 2018	Povinná transpozice do 17. 10. 2024
Kontrolní orgán v ČR	NBÚ / CERT.CZ	NÚKIB / GovCERT.CZ	Národní orgán dle státu	NÚKIB (pro ČR)

Zákon o kybernetické bezpečnosti svěřuje NÚKIB řadu konkrétních úkolů, bez jejichž plnění by celý systém ochrany kybernetického prostoru nemohl efektivně fungovat. Úřad vydává závazné vyhlášky a opatření, která stanovují minimální bezpečnostní standardy pro subjekty spadající do jeho regulatorní působnosti. Tato působnost se vztahuje na provozovatele základních služeb, poskytovatele digitálních služeb a správce informačních systémů kritické informační infrastruktury. Každý z těchto subjektů má povinnost implementovat bezpečnostní opatření v rozsahu, který NÚKIB definuje prostřednictvím prováděcích předpisů k zákonu.

Jednou z nejdůležitějších rolí, kterou zákon NÚKIB přiznává, je koordinace a řízení reakcí na kybernetické bezpečnostní incidenty. V praxi to znamená, že pokud dojde k útoku na systémy spadající pod regulaci zákona, povinné osoby musí tento incident neprodleně hlásit právě NÚKIB. Úřad pak vyhodnocuje závažnost situace, koordinuje součinnost s dalšími orgány státní správy a v případě potřeby vydává reaktivní opatření, která mají za cíl minimalizovat škody a zabránit šíření hrozby. Tato koordinační role nabývá na zvláštním významu zejména v situacích, kdy jsou útokem zasaženy systémy více subjektů najednou nebo kdy hrozba přesahuje hranice jediného odvětví.

NÚKIB rovněž plní funkci národního CERT, tedy Centra pro řešení kybernetických incidentů, které spolupracuje s obdobnými institucemi v zahraničí. Tato mezinárodní dimenze je pro efektivní ochranu kybernetického prostoru naprosto zásadní, protože kybernetické hrozby ze své podstaty nepodléhají geografickým omezením a útočníci velmi často operují přes hranice více států. Díky členství v evropských a mezinárodních sítích CERT může NÚKIB sdílet informace o hrozbách, varovat ostatní státy před identifikovanými riziky a naopak přijímat varování, která pomáhají chránit české subjekty.

Zákon o kybernetické bezpečnosti rovněž NÚKIB zmocňuje k provádění kontrol a auditů u povinných subjektů. Tyto kontroly slouží k ověření, zda organizace skutečně plní povinnosti, které jim zákon ukládá, a zda implementovaná bezpečnostní opatření odpovídají stanoveným požadavkům. V případě zjištění nedostatků může NÚKIB uložit nápravná opatření nebo zahájit správní řízení vedoucí k uložení sankce. Výše pokut stanovených zákonem je nastavena tak, aby měla dostatečný odstrašující účinek a motivovala subjekty k důslednému dodržování bezpečnostních standardů.

Důležitou součástí práce NÚKIB je také osvětová a vzdělávací činnost. Úřad pravidelně vydává metodické pokyny, doporučení a bezpečnostní varování, která pomáhají organizacím i jednotlivcům lépe se orientovat v problematice kybernetické bezpečnosti. Tato preventivní složka činnosti NÚKIB je stejně důležitá jako jeho regulatorní a kontrolní funkce, protože nejlepší ochranou před kybernetickými hrozbami je předcházení incidentům, nikoli pouze jejich řešení poté, co k nim dojde.

S příchodem nové evropské směrnice NIS2 a jejím promítnutím do českého právního řádu se role NÚKIB dále rozšiřuje. Okruh subjektů, které podléhají regulaci, se výrazně rozrůstá a zahrnuje nově i mnoho středních podniků v klíčových odvětvích. NÚKIB se tak stává ještě důležitějším hráčem v celém ekosystému kybernetické bezpečnosti a jeho kapacity musí odpovídat nárokům, které na něj nová legislativa klade.

Hlášení kybernetických incidentů státním orgánům

Povinnost hlásit kybernetické incidenty příslušným státním orgánům představuje jeden z klíčových pilířů, na nichž stojí celý systém kybernetické bezpečnosti v České republice. Zákon o kybernetické bezpečnosti, konkrétně zákon č. 181/2014 Sb., jasně vymezuje okruh povinných osob, které musejí bez zbytečného odkladu informovat Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, o každém závažném kybernetickém incidentu, jenž zasáhl jejich informační nebo komunikační systémy. Tato povinnost se nevztahuje na všechny subjekty plošně, ale dopadá zejména na správce a provozovatele kritické informační infrastruktury, na poskytovatele základních služeb a na správce významných informačních systémů.

Hlášení incidentu není pouhá formalita. Jde o zákonnou povinnost, jejíž nesplnění může mít pro dotčený subjekt vážné právní důsledky v podobě správní sankce. Zákon přitom rozlišuje mezi různými typy incidentů podle jejich závažnosti a dopadu, přičemž ne každá anomálie v síťovém provozu automaticky zakládá povinnost hlásit incident. Povinnost nastupuje tehdy, když incident dosáhne určité míry závažnosti, která je blíže specifikována ve vyhlášce NÚKIB. Tato vyhláška stanovuje kritéria pro posouzení závažnosti, jako je rozsah narušení dostupnosti, integrity nebo důvěrnosti dat, délka výpadku či potenciální dopad na poskytování základních služeb veřejnosti.

Samotný proces hlášení probíhá prostřednictvím systému, který NÚKIB provozuje a spravuje. Povinný subjekt musí incident nahlásit co nejdříve po jeho zjištění, přičemž zákon hovoří o bezodkladném hlášení, které v praxi znamená, že první oznámení by mělo proběhnout v řádu hodin od okamžiku, kdy byl incident identifikován. Následně je subjekt povinen dodat podrobnější zprávu s technickými detaily, popisem průběhu incidentu, přijatými opatřeními a odhadem škod. Tato dvoustupňová struktura hlášení umožňuje NÚKIB rychle reagovat na aktuální hrozby a zároveň shromažďovat detailní informace potřebné pro analýzu a případnou koordinaci pomoci.

Zákon o kybernetické bezpečnosti také pamatuje na situace, kdy incident přesahuje hranice jednoho subjektu a má potenciál se šířit nebo ovlivňovat další části kritické infrastruktury. V takovém případě NÚKIB přebírá koordinační roli a může vydávat reaktivní opatření, která jsou pro dotčené subjekty závazná. Tato opatření mohou zahrnovat například příkaz k odpojení kompromitovaného systému od sítě, povinnost zavést specifická technická opatření nebo naopak povinnost zachovat stav systému pro účely forenzní analýzy.

Důležitou součástí celého mechanismu je také zpětná vazba ze strany státu vůči hlásícím subjektům. NÚKIB je povinen poskytnout subjektu, který incident nahlásil, relevantní informace a případně technickou asistenci při zvládání incidentu a obnově postižených systémů. Tento přístup reflektuje základní filozofii zákona, která nespočívá pouze v ukládání povinností, ale také v budování partnerského vztahu mezi státem a soukromým sektorem v oblasti kybernetické bezpečnosti.

Novela zákona o kybernetické bezpečnosti, která reaguje na evropskou směrnici NIS2, přináší v oblasti hlášení incidentů řadu podstatných změn. Rozšiřuje se okruh povinných subjektů, zpřísňují se lhůty pro hlášení a zavádějí se přísnější sankce za nesplnění hlásící povinnosti. Nově bude platit, že subjekty budou muset podat tzv. včasné varování do 24 hodin od zjištění incidentu, následné hlášení do 72 hodin a závěrečnou zprávu do jednoho měsíce. Tento harmonogram je výrazně přísnější než dosavadní praxe a klade na povinné subjekty značné nároky z hlediska interních procesů a kapacit.

Praxe ukazuje, že mnohé organizace stále podceňují důležitost správně nastaveného interního procesu pro identifikaci a hlášení kybernetických incidentů. Bez jasně definovaných interních postupů, odpovědností a komunikačních kanálů je prakticky nemožné splnit zákonné lhůty pro hlášení. Proto je nezbytné, aby povinné subjekty věnovaly dostatečnou pozornost přípravě plánů reakce na incidenty, pravidelně testovaly tyto plány prostřednictvím simulovaných cvičení a zajistily, že jejich zaměstnanci jsou řádně proškoleni v rozpoznávání a hlášení bezpečnostních událostí. Zákon o kybernetické bezpečnosti tak nepřímo motivuje organizace k budování vyspělé bezpečnostní kultury, která je v dnešním prostředí plném sofistikovaných kybernetických hrozeb naprosto nezbytná.

Bezpečnostní opatření a technické standardy

Zákon o kybernetické bezpečnosti klade na povinné subjekty celou řadu konkrétních požadavků, které se týkají nejen organizačních opatření, ale především technické stránky ochrany informačních systémů a sítí. Tato oblast je přitom jednou z nejnáročnějších, protože technické prostředí se neustále mění, hrozby se vyvíjejí a to, co bylo před třemi lety považováno za dostatečné zabezpečení, dnes nemusí obstát ani při základním bezpečnostním auditu.

Technické standardy, na které zákon o kybernetické bezpečnosti odkazuje, vycházejí především z mezinárodních norem řady ISO/IEC 27000, ale také z doporučení evropské agentury ENISA a z prováděcích předpisů vydaných Národním úřadem pro kybernetickou a informační bezpečnost, tedy NÚKIB. Právě NÚKIB hraje v celém systému klíčovou roli, protože vydává vyhlášky a metodické pokyny, které konkretizují obecné zákonné požadavky do podoby, s níž mohou organizace skutečně pracovat. Bez těchto prováděcích předpisů by zákon zůstával do značné míry abstraktní konstrukcí.

Mezi základní technická bezpečnostní opatření, která zákon vyžaduje, patří zavedení systémů pro detekci a prevenci průniků, tedy takzvaných IDS a IPS systémů. Tyto nástroje monitorují síťový provoz v reálném čase a jsou schopny identifikovat podezřelé chování, které by mohlo naznačovat probíhající kybernetický útok nebo neoprávněný přístup do systému. Samotná detekce však nestačí – zákon předpokládá, že organizace budou mít nastaveny i procesy pro reakci na bezpečnostní incidenty, včetně jasně definovaných eskalačních postupů.

Dalším zásadním požadavkem je zajištění integrity a důvěrnosti přenášených dat. To v praxi znamená povinnost šifrovat komunikaci, a to nejen při přenosu dat mezi vzdálenými lokalitami, ale i v rámci interní sítě organizace. Moderní přístupy k síťové bezpečnosti, jako je model nulové důvěry neboli Zero Trust Architecture, se stávají stále více relevantními i v kontextu plnění zákonných požadavků. Organizace, které tento přístup implementují, jsou zpravidla schopny prokázat soulad se zákonem snáze než ty, které spoléhají na tradiční perimetrové zabezpečení.

Správa přístupových práv a identit představuje další pilíř technických bezpečnostních opatření. Zákon vyžaduje, aby organizace uplatňovaly princip nejmenšího oprávnění, tedy aby každý uživatel měl přístup pouze k těm systémům a datům, která nezbytně potřebuje pro výkon své práce. Vícefaktorová autentizace se přitom stala de facto standardem, bez jehož zavedení je obtížné prokázat dostatečnou úroveň zabezpečení. Správa privilegovaných přístupů, označovaná jako PAM, je pak specifickou oblastí, která si zasluhuje zvláštní pozornost, protože kompromitace privilegovaného účtu může mít katastrofální následky pro celou organizaci.

Zákon o kybernetické bezpečnosti rovněž ukládá povinnost provádět pravidelné bezpečnostní testy a hodnocení zranitelností. Penetrační testy, které simulují reálné kybernetické útoky, by měly být prováděny minimálně jednou ročně, v případě kritické infrastruktury pak ještě častěji. Výsledky těchto testů musí být dokumentovány a zjištěné nedostatky musí být odstraněny v přiměřené lhůtě. Organizace, které tuto povinnost podceňují, se vystavují nejen riziku skutečného útoku, ale i sankcím ze strany regulátora.

Zálohování dat a zajištění kontinuity provozu jsou neoddělitelnou součástí technických bezpečnostních opatření podle zákona. Zálohy musí být ukládány způsobem, který zajišťuje jejich dostupnost i v případě, že primární systémy jsou zasaženy ransomwarem nebo jiným destruktivním útokem. Pravidlo 3-2-1, tedy tři kopie dat na dvou různých médiích, přičemž jedna záloha je uložena mimo hlavní lokalitu, je v tomto kontextu minimálním standardem. Organizace spravující kritické systémy by měly uvažovat o ještě robustnějších zálohovacích strategiích.

Technické standardy se dotýkají také oblasti správy bezpečnostních záplat a aktualizací softwaru. Provozování systémů se známými neopravenými zranitelnostmi je jedním z nejčastějších pochybení, která bezpečnostní auditoři při kontrolách odhalují. Zákon sice nestanovuje konkrétní lhůty pro aplikaci záplat, ale prováděcí předpisy a metodické pokyny NÚKIB doporučují, aby kritické záplaty byly aplikovány do 72 hodin od jejich vydání, u méně závažných zranitelností pak do 30 dnů. Tato doporučení se v praxi stávají fakticky závaznými, protože jejich nedodržení je při kontrolách hodnoceno jako porušení zákona.

Dopad zákona na malé a střední podniky

Přijetí nového zákona o kybernetické bezpečnosti přináší pro malé a střední podniky celou řadu výzev, které nelze podceňovat. Zatímco velké korporace disponují dostatečnými finančními i personálními zdroji na to, aby se s novými požadavky vyrovnaly poměrně rychle, pro menší firmy může implementace příslušných opatření představovat skutečnou zátěž. Zákon o kybernetické bezpečnosti totiž ukládá povinnosti, které se v různé míře dotýkají i subjektů, jež doposud nepovažovaly kybernetickou bezpečnost za svou prioritu.

Jedním z nejcitlivějších témat je finanční náročnost celého procesu. Malý podnik s deseti zaměstnanci prostě nemůže vyčlenit stejný rozpočet na bezpečnostní infrastrukturu jako nadnárodní společnost. Přesto zákon vyžaduje zavedení určitých minimálních standardů, které se týkají například řízení přístupu k datům, ochrany před malwarem, pravidelného zálohování nebo hlášení bezpečnostních incidentů. Odborníci odhadují, že prvotní náklady na uvedení firmy do souladu s požadavky zákona se mohou pohybovat v řádu desítek tisíc korun, v závislosti na stávající úrovni zabezpečení a velikosti podniku.

Dalším problémem je nedostatek kvalifikovaných odborníků na trhu práce. Kybernetická bezpečnost je obor, kde poptávka dlouhodobě převyšuje nabídku. Malé firmy tak čelí situaci, kdy si nemohou dovolit zaměstnat vlastního specialistu na IT bezpečnost, a jsou nuceny spoléhat na externí dodavatele nebo konzultanty. To sice může být funkční řešení, ale přináší s sebou rizika v podobě závislosti na třetí straně a potenciálně vyšších průběžných nákladů. Zákon o kybernetické bezpečnosti v tomto ohledu nijak nerozlišuje mezi firmou s pěti zaměstnanci a firmou se stovkou lidí, pokud obě spadají do kategorie regulovaných subjektů.

Velmi důležitou otázkou zůstává, které podniky zákon vlastně reguluje. Ne každá malá firma automaticky podléhá všem povinnostem. Zákon rozlišuje různé kategorie subjektů podle jejich důležitosti pro fungování společnosti a ekonomiky. Firmy, které poskytují kritické služby nebo jsou součástí dodavatelského řetězce pro státní instituce, podléhají přísnějším požadavkům. Právě tato provázanost s veřejným sektorem může překvapit mnoho malých podnikatelů, kteří si neuvědomují, že jejich firma může být považována za součást kritické infrastruktury nebo za důležitého dodavatele.

Zákon rovněž zavádí povinnost hlásit kybernetické incidenty příslušným orgánům, konkrétně Národnímu úřadu pro kybernetickou a informační bezpečnost. Pro malé firmy to znamená nejen technické zajištění schopnosti takové incidenty detekovat, ale také administrativní zátěž spojenou s jejich dokumentací a nahlašováním. Mnohé malé podniky dosud neměly zavedeny žádné formální procesy pro správu bezpečnostních událostí, a zavedení takových procesů vyžaduje čas, peníze i odborné znalosti.

Nelze přitom opomenout ani psychologický rozměr celé věci. Řada majitelů malých firem vnímá kybernetickou bezpečnost jako téma, které se jich přímo netýká, protože se domnívají, že hackeři se zaměřují výhradně na velké korporace nebo státní instituce. Tato představa je ovšem mylná a zákon o kybernetické bezpečnosti ji svým způsobem nepřímo koriguje. Statistiky ukazují, že malé a střední podniky jsou terčem kybernetických útoků stále častěji, právě proto, že útočníci počítají s jejich nižší úrovní zabezpečení.

Stát si je vědom těchto výzev a snaží se podnikatelům nabídnout určitou podporu v podobě metodických materiálů, osvětových kampaní a konzultačních služeb ze strany NÚKIB. Přesto je zřejmé, že samotná existence těchto zdrojů nestačí. Malé a střední podniky potřebují konkrétní, prakticky použitelné návody přizpůsobené jejich velikosti a možnostem, nikoli obecné dokumenty psané jazykem určeným pro velké organizace. Teprve tehdy bude možné říci, že zákon o kybernetické bezpečnosti skutečně plní svůj účel a přispívá ke zvýšení odolnosti celé české ekonomiky vůči kybernetickým hrozbám.

Kritická infrastruktura pod přísnější ochranou

Nový zákon o kybernetické bezpečnosti přináší zásadní změny v oblasti ochrany kritické infrastruktury, přičemž klade mnohem větší důraz na preventivní opatření a systematický přístup k řízení kybernetických rizik. Česká republika tímto krokem reaguje na stále sofistikovanější hrozby, které v posledních letech cílí na klíčové sektory hospodářství a státní správy. Kritická infrastruktura zahrnuje systémy a služby, jejichž narušení by mohlo mít závažné dopady na bezpečnost státu, ekonomiku nebo životy obyvatel, a právě proto si zaslouží zvláštní pozornost zákonodárců i bezpečnostních složek.

Zákon o kybernetické bezpečnosti ve svém aktualizovaném znění rozšiřuje okruh subjektů, které jsou povinny plnit přísné bezpečnostní požadavky. Nově se povinnosti vztahují nejen na velké organizace, ale i na středně velké podniky působící v citlivých odvětvích, jako jsou energetika, doprava, zdravotnictví, bankovnictví nebo vodní hospodářství. Provozovatelé kritické infrastruktury jsou povinni zavést a udržovat systém řízení bezpečnosti informací, pravidelně provádět bezpečnostní audity a hlásit závažné kybernetické incidenty příslušným orgánům, zejména Národnímu úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIB.

Jednou z klíčových novinek je zavedení přísnějšího režimu pro takzvané základní služby, bez nichž by moderní společnost nemohla fungovat. Provozovatelé těchto služeb musí nově prokazovat, že jejich bezpečnostní opatření odpovídají aktuálnímu stavu techniky a že jsou schopni čelit nejen současným, ale i budoucím hrozbám. To v praxi znamená povinnost pravidelně aktualizovat bezpečnostní politiky, školit zaměstnance a investovat do moderních technologií ochrany. Zákon přitom neklade pouze formální požadavky na papírovou dokumentaci, ale vyžaduje skutečnou a prokazatelnou odolnost systémů.

Důležitou součástí nové legislativy je také posílení odpovědnosti managementu organizací. Vedení firem a institucí provozujících kritickou infrastrukturu nesmí kybernetickou bezpečnost delegovat pouze na technické oddělení, ale musí ji aktivně řídit na strategické úrovni. Zákon výslovně stanovuje, že členové statutárních orgánů jsou povinni absolvovat základní školení v oblasti kybernetické bezpečnosti a musí být schopni informovaně rozhodovat o bezpečnostních investicích a strategiích. Tato změna odráží celoevropský trend, kdy se kybernetická bezpečnost stává záležitostí celé organizace, nikoli pouze IT specialistů.

Zákon rovněž zpřísňuje požadavky na dodavatelský řetězec. Organizace provozující kritickou infrastrukturu musí pečlivě prověřovat své dodavatele a partnery, protože útok vedený skrze méně chráněný článek dodavatelského řetězce může mít katastrofální následky pro celý systém. Tato problematika se dostala do popředí zájmu po sérii mezinárodních incidentů, při nichž hackeři využili zranitelnosti u subdodavatelů k průniku do systémů klíčových organizací. Nová legislativa proto ukládá povinnost smluvně zajistit odpovídající úroveň kybernetické bezpečnosti u všech strategicky důležitých dodavatelů.

Sankce za nedodržení povinností stanovených zákonem o kybernetické bezpečnosti jsou výrazně přísnější než v předchozí právní úpravě. Pokuty mohou dosahovat desítek milionů korun, přičemž výše sankce se odvíjí od závažnosti porušení, míry zavinění a velikosti dotčené organizace. NÚKIB má navíc nově pravomoc nařídit okamžitá nápravná opatření v případě, že zjistí závažné nedostatky v zabezpečení systémů kritické infrastruktury. Tato pravomoc umožňuje rychle reagovat na akutní bezpečnostní hrozby, aniž by bylo nutné čekat na výsledek zdlouhavého správního řízení.

Zákon také zavádí povinnost vytvářet a pravidelně testovat plány kontinuity provozu a obnovy po kybernetickém útoku. Organizace musí být schopny prokázat, že v případě závažného incidentu dokáží obnovit klíčové funkce v předem stanovených časových lhůtách. Cvičení simulující kybernetické útoky se tak stávají povinnou součástí bezpečnostní přípravy, nikoli dobrovolnou aktivitou. Tento požadavek vychází z poznatku, že samotná prevence nestačí a organizace musí být připraveny i na scénář, kdy útočníkům se přes veškerá opatření podaří způsobit škodu.

Celkově lze říci, že nový zákon o kybernetické bezpečnosti představuje zásadní posun směrem k systematičtější a důslednější ochraně kritické infrastruktury. Česká republika se tímto přibližuje standardům platným v nejpokročilejších zemích Evropské unie a reaguje na reálné bezpečnostní výzvy, které přináší stále propojenější digitální svět. Implementace nových povinností sice přinese organizacím zvýšené náklady a administrativní zátěž, avšak z dlouhodobého hlediska je investice do kybernetické bezpečnosti kritické infrastruktury nezbytnou podmínkou stability a bezpečnosti celé společnosti.

Termíny pro splnění zákonných povinností firem

Nový zákon o kybernetické bezpečnosti přináší pro firmy celou řadu povinností, které je nutné splnit v přesně stanovených termínech. Pochopení těchto lhůt je klíčové, protože jejich nedodržení může mít pro organizace závažné právní i finanční důsledky. Zákon, který transponuje evropskou směrnici NIS2 do českého právního řádu, vstoupil v platnost a firmy by měly věnovat maximální pozornost tomu, co se od nich v jednotlivých fázích očekává.

Prvním zásadním krokem, který musí dotčené subjekty podstoupit, je registrace u Národního úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIB. Tato registrace není dobrovolná – jde o zákonnou povinnost, která se týká všech regulovaných subjektů spadajících do působnosti zákona. Organizace mají na splnění této povinnosti stanovenou lhůtu, přičemž je nezbytné, aby si každá firma nejprve ověřila, zda vůbec do kategorie regulovaných subjektů patří. Zákon rozlišuje mezi základními a důležitými subjekty, přičemž každá kategorie nese odlišnou míru povinností a odpovědnosti.

Po úspěšné registraci nastupuje povinnost zavést bezpečnostní opatření odpovídající míře rizika, které daný subjekt představuje nebo jemuž čelí. Tato opatření zahrnují technické, organizační i personální aspekty kybernetické bezpečnosti. Firmy musí vypracovat bezpečnostní politiky, nastavit procesy pro řízení incidentů, zavést pravidelné hodnocení rizik a zajistit odpovídající školení zaměstnanců. Lhůty pro implementaci těchto opatření jsou rozděleny do několika fází, přičemž základní subjekty mají obecně přísnější požadavky a kratší termíny než subjekty důležité.

Jednou z nejdůležitějších povinností je hlášení kybernetických bezpečnostních incidentů. Zákon stanovuje přísné časové limity pro oznamování závažných incidentů NÚKIB. Organizace jsou povinny podat předběžné hlášení do 24 hodin od okamžiku, kdy se o incidentu dozví, a následně dodat podrobnou zprávu do 72 hodin. Tato lhůta je absolutní a její nedodržení může vést k uložení sankcí. Finální zpráva o incidentu musí být pak doručena do jednoho měsíce od jeho vyřešení.

Zákon rovněž ukládá povinnost pravidelně provádět audity kybernetické bezpečnosti. Tyto audity musí být realizovány certifikovanými subjekty a jejich výsledky musí být zdokumentovány a uchovávány po stanovenou dobu. Frekvence auditů se liší v závislosti na kategorii subjektu, přičemž základní subjekty jsou povinny provádět audity v kratších intervalech.

Důležitým aspektem, na který firmy často zapomínají, je povinnost zajistit bezpečnost dodavatelského řetězce. Zákon výslovně požaduje, aby regulované subjekty hodnotily bezpečnostní rizika spojená s jejich dodavateli a partnery. Tato povinnost nabývá účinnosti postupně, nicméně firmy by neměly odkládat zahájení příslušných procesů na poslední chvíli.

Sankce za nedodržení zákonných povinností jsou velmi citelné. Základní subjekty mohou čelit pokutám až do výše 250 milionů korun nebo 2 % celkového ročního obratu, podle toho, která částka je vyšší. Pro důležité subjekty jsou maximální sankce nižší, ale stále velmi výrazné. Vedle finančních sankcí může NÚKIB uložit i nápravná opatření, která mohou zahrnovat například dočasný zákaz výkonu určitých činností.

Firmy by si měly uvědomit, že příprava na splnění všech zákonných povinností vyžaduje čas a zdroje, které nelze zajistit ze dne na den. Doporučuje se zahájit interní analýzu co nejdříve, identifikovat mezery v současném stavu kybernetické bezpečnosti a sestavit realistický plán pro jejich odstranění. Spolupráce s odborníky na kybernetickou bezpečnost a právními poradci specializujícími se na tuto oblast může být v tomto procesu neocenitelná. Zákon o kybernetické bezpečnosti není pouze formální administrativní zátěží – je to příležitost pro firmy skutečně posílit svou odolnost vůči rostoucím kybernetickým hrozbám.

Budoucnost kybernetické bezpečnosti v digitální éře

Kybernetická bezpečnost se stala jedním z nejdůležitějších témat současné doby, a to nejen pro velké korporace a státní instituce, ale také pro každého jednotlivce, který se pohybuje v digitálním prostoru. Zákon o kybernetické bezpečnosti představuje základní legislativní rámec, který v České republice definuje pravidla, povinnosti a odpovědnosti v oblasti ochrany digitální infrastruktury. Tento zákon prošel v posledních letech výraznými změnami a jeho aktualizace reflektují stále se měnící hrozby, se kterými se moderní společnost potýká.

Digitální éra přináší s sebou obrovské možnosti, ale zároveň i nebývalá rizika. Kybernetické útoky jsou stále sofistikovanější, útočníci využívají umělou inteligenci, automatizované nástroje a sociální inženýrství k tomu, aby pronikli do systémů, které by měly být chráněny. Budoucnost kybernetické bezpečnosti proto nespočívá pouze v reaktivním přístupu, ale především v proaktivní ochraně a neustálém vzdělávání odborníků i veřejnosti. Zákon o kybernetické bezpečnosti v tomto kontextu hraje klíčovou roli, protože stanovuje minimální standardy, které musí organizace splňovat, a zároveň vytváří prostředí, v němž je sdílení informací o hrozbách nejen možné, ale přímo vyžadované.

Je důležité si uvědomit, že kybernetická bezpečnost není pouze technický problém, ale především problém organizační, lidský a právní. Sebelepší technologické řešení selže, pokud zaměstnanci nejsou proškoleni, pokud management nepovažuje bezpečnost za prioritu nebo pokud chybí jasně definované postupy pro případ incidentu. Zákon o kybernetické bezpečnosti se snaží tyto mezery zaplnit tím, že ukládá povinnosti nejen technického, ale i organizačního charakteru. Organizace musí mít vypracované bezpečnostní politiky, musí provádět pravidelné audity a musí být schopny reagovat na bezpečnostní incidenty v předem stanovených lhůtách.

Jedním z klíčových aspektů budoucího vývoje je harmonizace české legislativy s evropskými předpisy. Směrnice NIS2, která nahradila původní směrnici NIS, přinesla výrazné rozšíření okruhu subjektů, na které se povinnosti v oblasti kybernetické bezpečnosti vztahují. Česká republika musela tuto směrnici implementovat do svého právního řádu, což vedlo k rozsáhlým úpravám zákona o kybernetické bezpečnosti. Nová pravidla se dotýkají nejen tradičních sektorů, jako jsou energetika, doprava nebo zdravotnictví, ale také digitálních služeb, veřejné správy a celé řady dalších oblastí, které dříve pod regulaci nespadaly.

Rozšíření působnosti zákona přináší s sebou i výzvy pro menší organizace, které dosud nemusely věnovat kybernetické bezpečnosti systematickou pozornost. Pro tyto subjekty může být splnění nových požadavků finančně i personálně náročné. Stát proto hraje důležitou roli nejen jako regulátor, ale také jako poskytovatel metodické podpory a osvěty. Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, vydává metodické pokyny, pořádá školení a poskytuje konzultace, aby pomohl organizacím zorientovat se v komplexním prostředí kybernetické legislativy.

Budoucnost kybernetické bezpečnosti v digitální éře bude také silně ovlivněna rozvojem nových technologií. Kvantové počítače představují potenciální hrozbu pro současné šifrovací algoritmy, a proto se již dnes pracuje na tzv. post-kvantové kryptografii, která by měla být odolná vůči útokům ze strany kvantových systémů. Zákon o kybernetické bezpečnosti bude muset reagovat na tyto technologické změny a přizpůsobovat se novým realitám, aby zůstal relevantním nástrojem ochrany digitálního prostoru. Legislativa musí být dostatečně flexibilní, aby dokázala absorbovat technologický pokrok bez toho, aby se stala brzdou inovací.

Dalším zásadním tématem je bezpečnost internetu věcí a průmyslových řídicích systémů. S rostoucím počtem zařízení připojených k internetu roste i plocha potenciálního útoku. Chytré domácnosti, průmyslové automaty, zdravotnické přístroje nebo dopravní infrastruktura — to vše jsou systémy, jejichž kompromitace může mít fatální důsledky. Zákon o kybernetické bezpečnosti proto musí pamatovat i na tato specifická prostředí a stanovovat pro ně odpovídající bezpečnostní požadavky.

Nelze opomenout ani lidský faktor, který zůstává nejslabším článkem v celém řetězci kybernetické bezpečnosti. Phishingové útoky, sociální inženýrství a zneužití přihlašovacích údajů jsou stále nejčastějšími příčinami bezpečnostních incidentů. Vzdělávání a zvyšování povědomí o kybernetických hrozbách musí být součástí komplexní strategie, kterou zákon o kybernetické bezpečnosti podporuje a v určitých oblastech přímo nařizuje. Pouze kombinací technických opatření, organizačních procesů a vzdělaných uživatelů lze dosáhnout skutečně robustní ochrany digitální infrastruktury, která bude schopna čelit výzvám budoucnosti.