Nový zákon o kybernetické bezpečnosti změní pravidla hry pro 6 000 českých firem

1. listopadu 2025 vstoupí v účinnost nový zákon o kybernetické bezpečnosti, který přinese zásadní změny pro české podnikatelské prostředí. RESPECT upozorňuje firmy na nové povinnosti a související rizika, která mohou významně ovlivnit jejich provoz i finanční stabilitu.

 

Nová legislativa, která do českého práva zapracovává evropskou směrnici NIS2, rozšíří okruh regulovaných subjektů z dosavadních přibližně 300 na více než 6 000 organizací. Zákon bude pokrývat 105 služeb v 18 klíčových odvětvích ekonomiky, včetně energetiky, zdravotnictví, dopravy, digitálních služeb, výroby, financí nebo veřejné správy.

 

„Zatímco dosavadní právní úprava se týkala především úzkého okruhu kritické infrastruktury, nová regulace výrazně rozšiřuje dopad na běžné firmy. Mnoho podnikatelů si ani neuvědomuje, že od listopadu budou spadat pod přísný režim kybernetické bezpečnosti,“ říká expert na pojištění kybernetických rizik Josef Majer.

Odpověď na rostoucí kybernetické hrozby
Evropská unie přijala směrnici NIS2 v prosinci 2022 jako reakci na dramatický nárůst kybernetických útoků, které v posledních letech zasáhly kritickou infrastrukturu napříč členskými státy. Původní směrnice NIS z roku 2016 se ukázala jako nedostatečná v době rychlé digitální transformace a sofistikovanějších kybernetických hrozeb.

 

Nový zákon zavádí pro regulované organizace řadu konkrétních povinností:
•    Bezpečnostní opatření: Firmy musí implementovat technická a organizační opatření k ochraně svých informačních systémů před kybernetickými útoky, včetně pravidelných analýz rizik a testování bezpečnosti.
•    Hlášení incidentů: Některé organizace jsou povinny hlásit kybernetické závažné bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) do 24 hodin od jejich zjištění.
•    Odpovědnost vedení: Zákon přenáší přímou odpovědnost za kybernetickou bezpečnost na vrcholový management. Vedení firmy musí například schvalovat bezpečnostní politiky, zajišťovat dostatečné zdroje a aktivně se podílet na řízení kybernetických rizik.
•    Bezpečnost dodavatelského řetězce: Nově musí firmy vyhodnocovat kybernetická rizika svých dodavatelů a partnerů.

 

Vysoké sankce za nedodržení
Firmy, které nebudou plnit požadavky zákona, čelí výrazným finančním postihům. Sankce mohou dosáhnout až 250 milionů Kč nebo 2 % ročního celosvětového obratu společnosti, podle toho, která částka je vyšší. V extrémních případech může NÚKIB omezit činnost organizace.

 

Harmonogram zavádění:
•    1. listopadu 2025 – nabytí účinnosti zákona
•    Do 31. prosince 2025 – povinnost nahlásit se u NÚKIB (60 dnů od účinnosti)
•    Následujících 12 měsíců – přechodné období na implementaci bezpečnostních opatření
„Mnohé firmy podceňují časovou náročnost přípravy. Identifikace, zda spadají pod regulaci, analýza současného stavu bezpečnosti a implementace potřebných opatření může trvat i několik měsíců. Doporučujeme neztrácet čas a začít jednat okamžitě,“ dodává Josef Majer.

 

RESPECT nabízí podporu:
•    Analýzu kybernetických rizik
•    Návrh odpovídající pojistné ochrany proti kybernetickým hrozbám
•    Poradenství při nastavení procesů pro řízení rizik

„Kybernetická bezpečnost není jen technologická výzva, ale komplexní otázka řízení podnikových rizik. Správně nastavené pojištění může firmám pomoci minimalizovat finanční dopady jak kybernetických útoků, tak případných sankcí za nedodržení legislativy,“ uzavírá Josef Majer.