Nový zákon o kybernetické bezpečnosti
Co musí firmy a jejich vedení udělat už nyní
S účinností nového zákona o kybernetické bezpečnosti od 1. listopadu 2025 se pravidla hry zásadně mění. Pro tisíce českých firem a jejich vedení již nejde o doporučení, ale o zákonnou povinnost s hrozbou likvidačních pokut a přímé osobní odpovědnosti managementu. V tomto článku získáte jasný a praktický návod, jak zjistit, zda se zákon týká i vás, jaké konkrétní kroky musíte okamžitě podniknout a jak ochránit nejen svou firmu, ale i sebe.

Nová digitální realita: Z oddělení IT do zasedací místnosti
Tato změna znamená, že kybernetická bezpečnost přestává být výhradně technickým tématem IT oddělení a stává se strategickou prioritou, za kterou nese plnou odpovědnost představenstvo a jednatelé. Zákon totiž explicitně cílí na povinnosti vrcholového vedení, čímž končí éra, kdy se management mohl distancovat od následků kybernetických incidentů s odůvodněním, že šlo o selhání techniky.
Digitální odolnost se tak stává stejně zásadní součástí správy a řízení společnosti jako finanční audit.
Týká se to i vás? Klíčové kroky k identifikaci vašich povinností
Zákon je postaven na klíčovém principu samoidentifikace. To znamená, že každá společnost má povinnost aktivně posoudit, zda splňuje zákonná kritéria, a pokud ano, sama se přihlásit prostřednictvím Portálu NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Nečinnost se zde nevyplácí a může být velmi drahá.
Klíčový termín pro ohlášení je 60 dnů od nabytí účinnosti zákona, tedy nejpozději do 30. prosince 2025. Zmeškání této lhůty je považováno za závažný přestupek, za který hrozí pokuta až do výše 250 milionů Kč nebo 2 % z celosvětového obratu společnosti, podle toho, která částka je vyšší.
Jste poskytovatelem regulované služby? Dva klíčové faktory
Abyste zjistili, zda se na vás zákon vztahuje, musíte posoudit dvě kumulativní podmínky stanovené v § 4 zákona:
1. Odvětví: Působíte v některém z regulovaných odvětví. Patří sem nejen tradiční sektory jako energetika, zdravotnictví, doprava, bankovnictví a finanční trh, ale nově také široká škála dalších, včetně výrobního a potravinářského průmyslu, odpadového hospodářství, poštovních služeb nebo digitální infrastruktury.
2. Velikost: Jste střední nebo velký podnik. To znamená, že máte buď 50 a více zaměstnanců, NEBO váš roční obrat či bilanční suma roční rozvahy dosahuje alespoň 10 milionů EUR (přibližně 250 milionů Kč). U některých služeb, například v oblasti digitální infrastruktury, na velikosti nezáleží.
Vyšší, nebo nižší režim? Zásadní rozdíl v rozsahu povinností
Zákon rozděluje povinné subjekty do dvou kategorií s odlišným rozsahem povinností: režim vyšších povinností (pro tzv. základní subjekty) a režim nižších povinností (pro tzv. významné subjekty). Zařazení do konkrétního režimu určuje přísnost bezpečnostních opatření, frekvenci auditů a detaily pro hlášení incidentů.
Pokud vaše společnost poskytuje více služeb, z nichž alespoň jedna spadá do vyššího režimu, vztahují se na vás přísnější pravidla pro všechny vaše regulované aktivity.
Požadavky na zabezpečení dodavatelského řetězce vytvářejí dominový efekt. Regulované firmy, aby ochránily sebe a své vedení před odpovědností, budou nuceny smluvně přenášet požadavky NIS2 na své dodavatele. Tím vzniká obrovský trh "stínově regulovaných" firem, které sice nemají přímou zákonnou povinnost, ale pro udržení klíčových obchodních vztahů musí standardy NIS2 fakticky splnit. Pro tyto firmy se soulad stává nikoli právní, ale komerční nutností.
Nová éra odpovědnosti: Co zákon požaduje přímo od vedení společnosti
Nejzásadnější změnou pro vedoucí pracovníky je zavedení přímé a osobní odpovědnosti. Nový zákon explicitně ukládá povinnosti „vrcholovému vedení“ (tedy statutárním orgánům).
Mezi vaše přímé povinnosti patří schvalování politik kybernetické bezpečnosti, dohled nad jejich implementací a zajištění dostatečných finančních, technických i lidských zdrojů pro jejich naplnění. Zanedbání těchto povinností je porušením péče řádného hospodáře.
Povinné školení pro management: Zákon vyžaduje, abyste rozuměli rizikům
Zákon výslovně požaduje, aby členové vrcholového vedení absolvovali pravidelná školení v oblasti kybernetické bezpečnosti. Cílem není udělat z vás IT experty, ale poskytnout vám znalosti potřebné k tomu, abyste dokázali klást správné otázky, vyhodnocovat rizika a činit informovaná strategická rozhodnutí.
Pečlivě vedené záznamy o těchto školeních budou klíčovým důkazem, že jste svou povinnost nezanedbali.
Osobní rizika pro management a jak je ARROWS řeší
|
Rizika a sankce |
Jak pomáhá ARROWS |
|
Dočasný zákaz výkonu funkce až na 3 roky za závažná nebo opakovaná pochybení. |
Odborná školení pro vedení včetně certifikátu, která prokazatelně plní zákonnou povinnost a demonstrují péči řádného hospodáře. Potřebujete proškolit vedení? Napište na konzultace@arws.cz. |
|
Osobní odpovědnost za škodu – vymáhání pokut a nákladů z osobního majetku jednatele v případě porušení péče řádného hospodáře. |
Příprava dokumentace, která ochrání před pokutami a sankcemi, jako jsou zápisy z jednání, schválené politiky a alokace rozpočtu. Zajistěte si právní ochranu – kontaktujte nás na konzultace@arws.cz. |
|
Správní delikt a pokuta za neschválení nebo nedohlížení na opatření řízení rizik v oblasti kybernetické bezpečnosti. |
Právní stanoviska a konzultace, které vedení poskytnou jasný návod, jaká rozhodnutí přijmout a jak je správně dokumentovat. Chcete si být jisti svými kroky? Poraďte se s námi na konzultace@arws.cz. |
|
Reputační poškození spojené s osobním selháním, které může ukončit manažerskou kariéru. |
Příprava krizové komunikační strategie a právní podpora při jednání s regulátory a veřejností. Řešíte prevenci reputačních rizik? Spojte se s námi na konzultace@arws.cz. |
Deset pilířů vaší digitální odolnosti: Klíčová bezpečnostní opatření v praxi
Splnění požadavků zákona nespočívá v nákupu jednoho „NIS2 certifikovaného“ produktu – takové produkty ani neexistují. Jde o zavedení komplexního a funkčního systému řízení bezpečnosti informací (ISMS). Ten musí zahrnovat řadu provázaných technických a organizačních opatření.
Mezi klíčová opatření patří: analýza a řízení rizik, plány pro zvládání incidentů, zajištění kontinuity činností (včetně zálohování a plánů obnovy), zabezpečení dodavatelského řetězce, bezpečnost lidských zdrojů (pravidelná školení zaměstnanců) a řízení přístupu, včetně povinného vícefaktorového ověřování (MFA).
Středobod všeho: Řízení rizik a bezpečnost dodavatelů
Dvě oblasti si zaslouží zvláštní pozornost. První je řízení rizik, které se jako červená nit vine celou regulací. Nejde o jednorázovou analýzu, ale o nepřetržitý proces identifikace, hodnocení a zmírňování hrozeb. Druhou je zabezpečení dodavatelského řetězce. Firmy musí aktivně prověřovat své dodavatele a smluvně je zavazovat k dodržování bezpečnostních standardů.
Incident způsobený nedostatečně zabezpečeným dodavatelem a slabou smlouvou může vést k obrovským škodám, které nebudete schopni vymoci.
V ARROWS se specializujeme na revize a přípravu smluv s IT dodavateli, které reflektují požadavky nového zákona a chrání vás před riziky třetích stran. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz.
Když dojde k nejhoršímu: Nová pravidla pro hlášení kybernetických incidentů
Po uplynutí ročního přechodného období začíná platit povinnost hlásit kybernetické bezpečnostní incidenty NÚKIBu prostřednictvím jeho portálu, a to ve velmi přísných lhůtách. Proces je vícefázový:
- Prvotní hlášení do 24 hodin od zjištění incidentu.
- Detailní oznámení do 72 hodin, které obsahuje prvotní posouzení dopadu a tzv. indikátory kompromitace.
- Závěrečná zpráva do 1 měsíce od oznámení, která poskytuje podrobnou analýzu incidentu, jeho příčin a přijatých nápravných opatření.
Co se hlásí? Rozdíl mezi vyšším a nižším režimem
Povinnost hlášení se liší podle vašeho režimu:
- Režim vyšších povinností: Hlásí se všechny incidenty, u kterých nelze vyloučit úmyslné zavinění. NÚKIB následně sám posoudí, zda je incident považován za „významný“.
- Režim nižších povinností: Hlásí se pouze incidenty s významným dopadem, které splňují specifická kritéria stanovená prováděcí vyhláškou a u nichž nelze vyloučit úmyslné zavinění.
Provozní a finanční rizika pro firmu a jak je ARROWS řeší
|
Rizika a sankce |
Jak pomáhá ARROWS |
|
Pokuta až 250 mil. Kč nebo 2 % z celosvětového obratu za nesplnění povinností. |
Zastupování u správních orgánů (NÚKIB) při kontrole a v řízení o uložení sankce. Potřebujete právní pomoc při kontrole? Kontaktujte nás na konzultace@arws.cz. |
|
Přerušení provozu a ztráta tržeb v důsledku útoku (např. ransomware). |
Právní podpora při vymáhání škody po dodavatelích nebo jiných vinících a poradenství při uplatňování nároků z pojistných smluv. Chcete vědět, jaké jsou vaše právní možnosti? Napište na konzultace@arws.cz. |
|
Ztráta důvěry klientů a poškození reputace kvůli úniku dat nebo neschopnosti obnovit služby. |
Příprava interních směrnic a plánů reakce na incidenty, které minimalizují chaos a umožňují rychlou a profesionální reakci. Potřebujete připravit krizový plán? Spojte se s námi na konzultace@arws.cz. |
|
Náklady na obnovu systémů, forenzní analýzu a právní spory s poškozenými klienty. |
Komplexní právní management krize, od koordinace s technickými experty po řešení smluvních a mimosmluvních nároků. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz. |
Mezinárodní kontext: Jak ARROWS řeší
Ačkoliv směrnice NIS2 stanovuje jednotný rámec pro celou EU, její převedení do národních zákonů se v jednotlivých členských státech liší. Společnost působící například v České republice, Německu a Francii tak čelí složité skládačce různých regulatorních nuancí.
Například zatímco Německo navrhuje zřídit jednotné kontaktní místo pro hlášení incidentů (pro NIS2 i GDPR), český zákon vyžaduje dvojí hlášení, což zvyšuje administrativní zátěž a riziko pochybení.
ARROWS International: Vaše lokální expertiza v globálním měřítku
Řešením této komplexity je síť ARROWS International. Díky naší deset let budované síti řešíme denně případy s mezinárodním prvkem a dokážeme zajistit soulad s lokálními implementacemi NIS2 napříč Evropou. Našim klientům tak poskytujeme jediný kontaktní bod pro řešení problémů ve více jurisdikcích, čímž šetříme jejich čas, snižujeme složitost a zajišťujeme konzistentní ochranu jejich podnikání.
Působí vaše společnost ve více státech EU? Potřebujete zajistit soulad s NIS2 napříč hranicemi? Spojte se s námi na konzultace@arws.cz a získejte právní řešení na míru.
Závěr: Od povinnosti k příležitosti – jak vám ARROWS pomůže proměnit NIS2 ve výhodu
Nový zákon o kybernetické bezpečnosti přináší novou éru odpovědnosti pro vedení firem, kritické termíny a hrozbu bezprecedentních sankcí. Chápeme, že tyto změny mohou působit jako zátěž. Správně uchopená implementace však není jen nákladem, ale strategickou investicí do odolnosti, důvěryhodnosti a v konečném důsledku i konkurenční výhody. Společnost, která prokazatelně plní požadavky NIS2, je pro své partnery a zákazníky důvěryhodnější.
V ARROWS máme bohaté zkušenosti s poskytováním právních služeb pro více než 150 akciových společností a 250 společností s ručením omezeným. Zakládáme si na rychlosti a vysoké kvalitě. Jsme ale více než jen právníci. Jsme vaším strategickým partnerem v byznysu. V ARROWS si ceníme podnikatelských nápadů a aktivně propojujeme naše klienty, pokud vidíme zajímavé obchodní či investiční synergie.
Implementace nového zákona o kybernetické bezpečnosti je komplexní a neodkladný úkol. Náš tým expertů je připraven vás celým procesem provést, ochránit vaši firmu i vás osobně a pomoci vám přeměnit tuto povinnost v příležitost. Neváhejte se obrátit na naši kancelář – konzultace@arws.cz.
Autor článku:
Čtěte také:
- IT A SOFTWAROVÉ PRÁVO, KYBERBEZPEČNOST
- IMPLEMENTACE UMĚLÉ INTELIGENCE (AI)
- GDPR
- AI v herním studiu check-list smluv, licencí, dat a odpovědnosti
- Jak se připravit na správní řízení u ČNB: Právní a dokumentační minimum
- Licenční podmínky pro AI modely a data sety: Kdo vlastní výsledky a jak je lze využít?
- Hybridní války: Propojení dronů, kyberútoků a dezinformací
- Úspěšná právní prověrka odhalila skrytá rizika
- Komplexní due diligence jako základ úspěšné transakce
- Mgr. Petr Hanzel, LL.M.
Upozornění:
Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2025. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.
