Od 1. listopadu 2025 vstupuje v účinnost nový zákon o kybernetické bezpečnosti (dále jen „zákon o KB“), který přináší nové podmínky pro společnosti, které jsou poskytovatelem regulované služby v jedné z 15 významných oblastí (např. oblast výrobního průmyslu, veřejné správy, energetiky, financí, dopravy, poštovních a kurýrních služeb, digitální infrastruktury, odpadového hospodářství, zdravotnictví aj.).
Pokud máte více než 50 zaměstnanců a/nebo obrat nebo rozvahu vyšší než 10 milionů EUR a podnikáte v jednom z významných odvětví je možné, že se Vás zákon o KB bude týkat.
CO PRO VÁS NOVÉ ZMĚNY MOHOU ZNAMENAT
a) registrace u NÚKIBu – do 60 dnů od účinnosti zákona;
b) odpovědnost vedení společnosti – vrcholné vedení je zodpovědné za zajištění kybernetické bezpečnosti;
c) základní organizační opatření – jmenování osoby odpovědné za kyberbezpečnost;
d) školení a povědomí – zaměstnanci i vrcholné vedení musí projít pravidelným školením v oblasti kybernetické bezpečnosti;
e) řízení rizik – provádět základní identifikaci a vyhodnocení rizik spojených s IT systémy a daty;
f) zálohování a obnova dat – provádět pravidelné zálohy a testovat jejich funkčnost;
g) základní technická opatření – používat vícefaktorové ověřování (MFA), bezpečnostní aktualizace, antivirovou ochranu a monitoring;
h) incidenty – mít plán základní reakce na incidenty a povinnost hlásit závažné incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Bezpečnostní opatření je třeba zavést do 1 roku od rozhodnutí o registraci.
SANKCE PŘI NESPLNĚNÍ
a) finanční pokuty (až do milionových částek);
b) možnost odpovědnosti vedení společnosti;
c) reputační dopady a riziko omezení spolupráce s partnery.
JSTE DODAVATELEM POSKYTOVATELE REGULOVANÉ SLUŽBY
Pokud dodáváte své služby společnosti, která poskytuje regulovanou službu, můžete očekávat:
a) zpřísnění smluvních požadavků a častější prověřování ze strany této společnosti;
b) povinnost zavádět bezpečnostní opatření (řízení přístupů, pravidelné aktualizace, hlášení incidentů, záložní systémy, šifrování dat, silná hesla, omezení přístupu osob k datům);
c) doložení souladu prostřednictvím auditů nebo certifikací (např. ISO 27001);
d) odpovědnost i za své subdodavatele;
e) riziko smluvních sankcí či vyloučení z dodávek při nesplnění požadavků.
Primární odpovědnost za dodržení zákona má poskytovatel regulované služby, nicméně jako dodavatel nesete smluvní, obchodní i reputační rizika. V případě strategicky významných služeb (např. telekomunikace, energetika) může NÚKIB prověřovat dodavatelský řetězec a rozhodnout i o zákazu využívání konkrétního dodavatele. Společnost má povinnost bezpečností opatření zavést do 1 roku od registrace u NÚKIBu. V průběhu roku 2026 tedy můžete očekávat, že Vás společnost bude kontaktovat s novými podmínkami spolupráce.
Naše kancelář pro společnosti, na které nové povinnosti dopadnou, připravila přehlednou brožuru shrnující klíčové změny. Brožuru si můžete stáhnout kliknutím na ikonku 📝 níže:
JUDr. Tomáš Havelka, LL.M. 24.10.2025