Nový kybernetický zákon se dotkne nejméně 7000 firem

Od 1. listopadu 2025 v Česku platí nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.), který převádí evropskou směrnici NIS2 do praxe. Smysl je jednoduchý: zvýšit „minimální standard“ zabezpečení u organizací, jejichž služby jsou důležité pro chod státu, ekonomiku nebo každodenní život – a zároveň omezit riziko, že se útočník dostane ke kritickým systémům přes slabě chráněného dodavatele.

Firmy nemusí být experty na kybernetickou bezpečnost, ale musí být schopné prokázat, že své digitální služby chrání, monitorují a zvládnou krizovou situaci.
Nejčastější cestou je proto profesionální externí bezpečnostní služba, která splní technické i provozní požadavky zákona za přijatelný a předvídatelný měsíční náklad.

Zákon stojí na jednoduché logice: odvětví + typ služby + velikost firmy (a někdy i „významnost“). V praxi tak půjde nejen o „kritickou infrastrukturu“, ale o širší okruh firem a institucí.

1) Organizace v regulovaných odvětvích
Zákon vyjmenovává odvětví, kde mohou vznikat tzv. regulované služby – např. veřejná správa, energetika, výroba, potravinářství, chemie, voda, odpady, doprava, digitální infrastruktura a služby, finance, zdravotnictví, věda/výzkum/vzdělávání, poštovní a kurýrní služby, obranný a vesmírný průmysl.

2) Střední a velké podniky (typicky)
Základní pravidlo říká: pokud firma poskytuje relevantní službu v uvedeném odvětví, regulace míří především na střední a velké podniky (podle definice EU pro velikost podniku).

3) Výjimky: i menší firma může spadnout do regulace
Zákon zároveň pamatuje na situace, kdy i menší nebo specifická organizace může být natolik klíčová, že regulovaná bude – například když je jediným poskytovatelem určité služby, nebo by výpadek mohl mít závažný dopad na bezpečnost, pořádek, zdraví, případně velké systémové dopady.

Z pohledu praxe jsou klíčové dvě časové osy:

1) Ohlášení regulované služby: 60 dní
Jakmile organizace splní podmínky pro registraci regulované služby, musí tuto službu ohlásit NÚKIB do 60 dnů (zákon to váže na okamžik splnění podmínek, ne obecně na „datum účinnosti“).

2) Zavedení bezpečnostních opatření: do 1 roku od registrace
Po doručení rozhodnutí o registraci běží lhůta, do kdy musí poskytovatel začít plnit povinnost zavádět a provádět bezpečnostní opatření – zákon uvádí nejpozději do 1 roku od doručení rozhodnutí o registraci.

Co je důležité: nejde jen o „IT nákup“. Zákon popisuje i organizační požadavky – mimo jiné systém řízení bezpečnosti, řízení rizik, řízení dodavatelů, kontinuitu činností nebo incident management.

Zjednodušeně: většiny běžných malých webů a drobných podnikatelů se to přímo netýká, pokud nejsou v „regulované službě“ a nejsou výše popsaným způsobem významní.

I když se organizace do regulace nevejde, tlak se často přenese přes dodavatelské řetězce: regulované firmy budou chtít mít smluvně i technicky ošetřené dodavatele (hosting, vývoj, správa webu, cloud, monitoring, bezpečnostní služby). Tím se „NIS2 standard“ může nepřímo propsat i do B2B zakázek.

Pro většinu firem je nejefektivnější cestou externí kybernetická ochrana webu a digitálních služeb, která kombinuje technickou ochranu a provozní dohled. Typicky jde o cloudovou bezpečnostní službu, která pokrývá zejména veřejně dostupné systémy (weby, portály, e-shopy, API).

Taková služba by měla zahrnovat zejména:

Důležité je, že taková služba nepokrývá jen techniku, ale pomáhá firmě splnit i zákonnou povinnost mít přehled, důkazy a procesy pro případ kontroly nebo hlášení incidentu.

Zdroje odkud lze čerpat více informací i konkrétní služby:

https://wedos.eu/cs/?ap=Zyf892

https://cyberdev.cz/

https://www.cybersecurity-help.cz/

https://www.cra.cz/cra-kyberneticka-bezpecnost