Nový zákon o kybernetické bezpečnosti:

S účinností nového zákona o kybernetické bezpečnosti od 1. listopadu 2025 se pravidla hry zásadně mění. Pro tisíce českých firem a jejich vedení již nejde o doporučení, ale o zákonnou povinnost s hrozbou likvidačních pokut a přímé osobní odpovědnosti managementu. V tomto článku získáte jasný a praktický návod, jak zjistit, zda se zákon týká i vás, jaké konkrétní kroky musíte okamžitě podniknout a jak ochránit nejen svou firmu, ale i sebe.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.

Nová digitální realita: Z oddělení IT do zasedací místnosti

Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.) není pouhou novelou, ale představuje kompletní rekodifikaci českého práva v této oblasti. Tento předpis transponuje evropskou směrnici NIS2 a dramaticky rozšiřuje okruh povinných subjektů. Počet dotčených organizací v České republice se odhaduje na více než 6 000, což je skokový nárůst z původních zhruba 400.

Tato změna znamená, že kybernetická bezpečnost přestává být výhradně technickým tématem IT oddělení a stává se strategickou prioritou, za kterou nese plnou odpovědnost představenstvo a jednatelé. Zákon totiž explicitně cílí na povinnosti vrcholového vedení, čímž končí éra, kdy se management mohl distancovat od následků kybernetických incidentů s odůvodněním, že šlo o selhání techniky.

Digitální odolnost se tak stává stejně zásadní součástí správy a řízení společnosti jako finanční audit.

Týká se to i vás? Klíčové kroky k identifikaci vašich povinností

Zákon je postaven na klíčovém principu samoidentifikace. To znamená, že každá společnost má povinnost aktivně posoudit, zda splňuje zákonná kritéria, a pokud ano, sama se přihlásit prostřednictvím Portálu NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Nečinnost se zde nevyplácí a může být velmi drahá.

Klíčový termín pro ohlášení je 60 dnů od nabytí účinnosti zákona, tedy nejpozději do 30. prosince 2025. Zmeškání této lhůty je považováno za závažný přestupek, za který hrozí pokuta až do výše 250 milionů Kč nebo 2 % z celosvětového obratu společnosti, podle toho, která částka je vyšší.

Jste poskytovatelem regulované služby? Dva klíčové faktory

Abyste zjistili, zda se na vás zákon vztahuje, musíte posoudit dvě kumulativní podmínky stanovené v § 4 zákona:

1. Odvětví: Působíte v některém z regulovaných odvětví. Patří sem nejen tradiční sektory jako energetika, zdravotnictví, doprava, bankovnictví a finanční trh, ale nově také široká škála dalších, včetně výrobního a potravinářského průmyslu, odpadového hospodářství, poštovních služeb nebo digitální infrastruktury.

2. Velikost: Jste střední nebo velký podnik. To znamená, že máte buď 50 a více zaměstnanců, NEBO váš roční obrat či bilanční suma roční rozvahy dosahuje alespoň 10 milionů EUR (přibližně 250 milionů Kč). U některých služeb, například v oblasti digitální infrastruktury, na velikosti nezáleží.

Vyšší, nebo nižší režim? Zásadní rozdíl v rozsahu povinností

Zákon rozděluje povinné subjekty do dvou kategorií s odlišným rozsahem povinností: režim vyšších povinností (pro tzv. základní subjekty) a režim nižších povinností (pro tzv. významné subjekty). Zařazení do konkrétního režimu určuje přísnost bezpečnostních opatření, frekvenci auditů a detaily pro hlášení incidentů.

Pokud vaše společnost poskytuje více služeb, z nichž alespoň jedna spadá do vyššího režimu, vztahují se na vás přísnější pravidla pro všechny vaše regulované aktivity.

Nevíte si s daným tématem rady?

FAQ – Právní tipy k určení vašich povinností

• Co když jsme dodavatelem pro firmu, která spadá pod regulaci?
  I když přímo nespadáte pod zákon, vaši klienti ano. Budou po vás smluvně vyžadovat zavedení srovnatelných bezpečnostních opatření, aby ochránili svůj dodavatelský řetězec. Ignorace NIS2 vás může stát klíčové zakázky. Potřebujete revidovat smlouvy s odběrateli? Spojte se s námi na office@arws.cz. 
• Jak se posuzuje velikost firmy v rámci holdingu?
  Velikost se posuzuje s ohledem na partnerské a propojené podniky. Malá dceřiná společnost tak může být kvůli své mateřské společnosti posuzována jako velký podnik, a tím spadnout pod regulaci. Správné posouzení je klíčové pro zamezení sankcí. Pro komplexní posouzení vaší korporátní struktury nám napište na office@arws.cz. 

Požadavky na zabezpečení dodavatelského řetězce vytvářejí dominový efekt. Regulované firmy, aby ochránily sebe a své vedení před odpovědností, budou nuceny smluvně přenášet požadavky NIS2 na své dodavatele. Tím vzniká obrovský trh "stínově regulovaných" firem, které sice nemají přímou zákonnou povinnost, ale pro udržení klíčových obchodních vztahů musí standardy NIS2 fakticky splnit. Pro tyto firmy se soulad stává nikoli právní, ale komerční nutností.

Nová éra odpovědnosti: Co zákon požaduje přímo od vedení společnosti

Nejzásadnější změnou pro vedoucí pracovníky je zavedení přímé a osobní odpovědnosti. Nový zákon explicitně ukládá povinnosti „vrcholovému vedení“ (tedy statutárním orgánům).

Mezi vaše přímé povinnosti patří schvalování politik kybernetické bezpečnosti, dohled nad jejich implementací a zajištění dostatečných finančních, technických i lidských zdrojů pro jejich naplnění. Zanedbání těchto povinností je porušením péče řádného hospodáře.

Povinné školení pro management: Zákon vyžaduje, abyste rozuměli rizikům

Zákon výslovně požaduje, aby členové vrcholového vedení absolvovali pravidelná školení v oblasti kybernetické bezpečnosti. Cílem není udělat z vás IT experty, ale poskytnout vám znalosti potřebné k tomu, abyste dokázali klást správné otázky, vyhodnocovat rizika a činit informovaná strategická rozhodnutí.

Pečlivě vedené záznamy o těchto školeních budou klíčovým důkazem, že jste svou povinnost nezanedbali.

Osobní rizika pro management a jak je ARROWS řeší

Rizika a sankce	Jak pomáhá ARROWS
Dočasný zákaz výkonu funkce až na 3 roky za závažná nebo opakovaná pochybení.	Odborná školení pro vedení včetně certifikátu, která prokazatelně plní zákonnou povinnost a demonstrují péči řádného hospodáře. Potřebujete proškolit vedení? Napište na office@arws.cz.
Osobní odpovědnost za škodu – vymáhání pokut a nákladů z osobního majetku jednatele v případě porušení péče řádného hospodáře.	Příprava dokumentace, která ochrání před pokutami a sankcemi, jako jsou zápisy z jednání, schválené politiky a alokace rozpočtu. Zajistěte si právní ochranu – kontaktujte nás na office@arws.cz.
Správní delikt a pokuta za neschválení nebo nedohlížení na opatření řízení rizik v oblasti kybernetické bezpečnosti.	Právní stanoviska a konzultace, které vedení poskytnou jasný návod, jaká rozhodnutí přijmout a jak je správně dokumentovat. Chcete si být jisti svými kroky? Poraďte se s námi na office@arws.cz.
Reputační poškození spojené s osobním selháním, které může ukončit manažerskou kariéru.	Příprava krizové komunikační strategie a právní podpora při jednání s regulátory a veřejností. Řešíte prevenci reputačních rizik? Spojte se s námi na office@arws.cz.

Deset pilířů vaší digitální odolnosti: Klíčová bezpečnostní opatření v praxi

Splnění požadavků zákona nespočívá v nákupu jednoho „NIS2 certifikovaného“ produktu – takové produkty ani neexistují. Jde o zavedení komplexního a funkčního systému řízení bezpečnosti informací (ISMS). Ten musí zahrnovat řadu provázaných technických a organizačních opatření.

Mezi klíčová opatření patří: analýza a řízení rizik, plány pro zvládání incidentů, zajištění kontinuity činností (včetně zálohování a plánů obnovy), zabezpečení dodavatelského řetězce, bezpečnost lidských zdrojů (pravidelná školení zaměstnanců) a řízení přístupu, včetně povinného vícefaktorového ověřování (MFA).

Středobod všeho: Řízení rizik a bezpečnost dodavatelů

Dvě oblasti si zaslouží zvláštní pozornost. První je řízení rizik, které se jako červená nit vine celou regulací. Nejde o jednorázovou analýzu, ale o nepřetržitý proces identifikace, hodnocení a zmírňování hrozeb. Druhou je zabezpečení dodavatelského řetězce. Firmy musí aktivně prověřovat své dodavatele a smluvně je zavazovat k dodržování bezpečnostních standardů.

Incident způsobený nedostatečně zabezpečeným dodavatelem a slabou smlouvou může vést k obrovským škodám, které nebudete schopni vymoci.

V ARROWS se specializujeme na revize a přípravu smluv s IT dodavateli, které reflektují požadavky nového zákona a chrání vás před riziky třetích stran. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

FAQ – Právní tipy k bezpečnostním opatřením

• Musíme zavést všechna opatření hned 1. listopadu 2025?
  Ne. Po obdržení rozhodnutí o registraci od NÚKIB běží roční přechodné období na implementaci bezpečnostních opatření a zahájení hlášení incidentů. Čas na přípravu je tedy omezený a je třeba začít okamžitě. Potřebujete sestavit implementační plán? Kontaktujte nás na office@arws.cz. 
• Jaký je vztah mezi opatřeními podle NIS2 a GDPR?
  NIS2 a GDPR se doplňují, ale neslučují. NIS2 chrání sítě a systémy jako celek, zatímco GDPR se zaměřuje na ochranu osobních údajů. Velký kybernetický incident často poruší obě regulace, což znamená povinnost hlásit incident dvěma různým úřadům (NÚKIB a ÚOOÚ) a riziko dvojích pokut. Naši právníci jsou připraveni vám pomoci s koordinací plnění povinností – napište na office@arws.cz. 

Když dojde k nejhoršímu: Nová pravidla pro hlášení kybernetických incidentů

Po uplynutí ročního přechodného období začíná platit povinnost hlásit kybernetické bezpečnostní incidenty NÚKIBu prostřednictvím jeho portálu, a to ve velmi přísných lhůtách. Proces je vícefázový:

1. Prvotní hlášení do 24 hodin od zjištění incidentu.
2. Detailní oznámení do 72 hodin, které obsahuje prvotní posouzení dopadu a tzv. indikátory kompromitace.
3. Závěrečná zpráva do 1 měsíce od oznámení, která poskytuje podrobnou analýzu incidentu, jeho příčin a přijatých nápravných opatření.

Co se hlásí? Rozdíl mezi vyšším a nižším režimem

Povinnost hlášení se liší podle vašeho režimu:

• Režim vyšších povinností: Hlásí se všechny incidenty, u kterých nelze vyloučit úmyslné zavinění. NÚKIB následně sám posoudí, zda je incident považován za „významný“.
• Režim nižších povinností: Hlásí se pouze incidenty s významným dopadem, které splňují specifická kritéria stanovená prováděcí vyhláškou a u nichž nelze vyloučit úmyslné zavinění.

Provozní a finanční rizika pro firmu a jak je ARROWS řeší

Rizika a sankce	Jak pomáhá ARROWS
Pokuta až 250 mil. Kč nebo 2 % z celosvětového obratu za nesplnění povinností.	Zastupování u správních orgánů (NÚKIB) při kontrole a v řízení o uložení sankce. Potřebujete právní pomoc při kontrole? Kontaktujte nás na office@arws.cz.
Přerušení provozu a ztráta tržeb v důsledku útoku (např. ransomware).	Právní podpora při vymáhání škody po dodavatelích nebo jiných vinících a poradenství při uplatňování nároků z pojistných smluv. Chcete vědět, jaké jsou vaše právní možnosti? Napište na office@arws.cz.
Ztráta důvěry klientů a poškození reputace kvůli úniku dat nebo neschopnosti obnovit služby.	Příprava interních směrnic a plánů reakce na incidenty, které minimalizují chaos a umožňují rychlou a profesionální reakci. Potřebujete připravit krizový plán? Spojte se s námi na office@arws.cz.
Náklady na obnovu systémů, forenzní analýzu a právní spory s poškozenými klienty.	Komplexní právní management krize, od koordinace s technickými experty po řešení smluvních a mimosmluvních nároků. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Nevíte si s daným tématem rady?

Mezinárodní kontext: Jak ARROWS řeší 

Ačkoliv směrnice NIS2 stanovuje jednotný rámec pro celou EU, její převedení do národních zákonů se v jednotlivých členských státech liší. Společnost působící například v České republice, Německu a Francii tak čelí složité skládačce různých regulatorních nuancí. 

Například zatímco Německo navrhuje zřídit jednotné kontaktní místo pro hlášení incidentů (pro NIS2 i GDPR), český zákon vyžaduje dvojí hlášení, což zvyšuje administrativní zátěž a riziko pochybení.

ARROWS International: Vaše lokální expertiza v globálním měřítku

Řešením této komplexity je síť ARROWS International. Díky naší deset let budované síti řešíme denně případy s mezinárodním prvkem a dokážeme zajistit soulad s lokálními implementacemi NIS2 napříč Evropou. Našim klientům tak poskytujeme jediný kontaktní bod pro řešení problémů ve více jurisdikcích, čímž šetříme jejich čas, snižujeme složitost a zajišťujeme konzistentní ochranu jejich podnikání.

Působí vaše společnost ve více státech EU? Potřebujete zajistit soulad s NIS2 napříč hranicemi? Spojte se s námi na office@arws.cz a získejte právní řešení na míru.

Závěr: Od povinnosti k příležitosti – jak vám ARROWS pomůže proměnit NIS2 ve výhodu

Nový zákon o kybernetické bezpečnosti přináší novou éru odpovědnosti pro vedení firem, kritické termíny a hrozbu bezprecedentních sankcí. Chápeme, že tyto změny mohou působit jako zátěž. Správně uchopená implementace však není jen nákladem, ale strategickou investicí do odolnosti, důvěryhodnosti a v konečném důsledku i konkurenční výhody. Společnost, která prokazatelně plní požadavky NIS2, je pro své partnery a zákazníky důvěryhodnější.

V ARROWS máme bohaté zkušenosti s poskytováním právních služeb pro více než 150 akciových společností a 250 společností s ručením omezeným. Zakládáme si na rychlosti a vysoké kvalitě. Jsme ale více než jen právníci. Jsme vaším strategickým partnerem v byznysu. V ARROWS si ceníme podnikatelských nápadů a aktivně propojujeme naše klienty, pokud vidíme zajímavé obchodní či investiční synergie.

Implementace nového zákona o kybernetické bezpečnosti je komplexní a neodkladný úkol. Náš tým expertů je připraven vás celým procesem provést, ochránit vaši firmu i vás osobně a pomoci vám přeměnit tuto povinnost v příležitost. Neváhejte se obrátit na naši kancelář – office@arws.cz.

FAQ – Nejčastější právní dotazy k novému zákonu o kybernetické bezpečnosti

1. Jaké jsou nejdůležitější termíny, které si musím pohlídat?

Zákon nabývá účinnosti 1. listopadu 2025. Nejdůležitější termíny jsou: do 30. prosince 2025 provést samoidentifikaci a ohlásit se NÚKIBu. Po obdržení rozhodnutí o registraci máte 1 rok na zavedení všech bezpečnostních opatření a zahájení hlášení incidentů. Pokud řešíte harmonogram implementace, kontaktujte nás na office@arws.cz. 

2. Může pojištění D&O (pojištění odpovědnosti členů orgánů) pokrýt pokuty nebo škody plynoucí z NIS2?

Standardní D&O pojistky mohou mít výluky pro pokuty regulačních orgánů. Některé specializované pojistné produkty však mohou krýt i regulatorní pokuty a náklady na obhajobu. Je nezbytné provést revizi vašich stávajících pojistných smluv a případně je rozšířit. S revizí pojistných smluv vám můžeme pomoci. Napište nám na office@arws.cz. 

3. Jaké konkrétní bezpečnostní role musí být ve firmě nově zřízeny?

Zákon a jeho prováděcí vyhlášky definují několik klíčových rolí, jako je manažer kybernetické bezpečnosti nebo architekt kybernetické bezpečnosti. V menších organizacích nebo v nižším režimu může jedna osoba zastávat více rolí, pokud splňuje kvalifikační požadavky. Správné nastavení a obsazení těchto rolí je klíčové. Pro právní poradenství při definování rolí a odpovědností se obraťte na office@arws.cz. 

4. Jak zákon řeší bezpečnost cloudových služeb?

Poskytovatelé cloudových služeb patří mezi regulované subjekty. Pokud využíváte jejich služby, musíte v rámci řízení dodavatelského řetězce zajistit, že i oni plní požadavky zákona, a toto smluvně ošetřit. Odpovědnost vůči NÚKIB zůstává vždy na vás. Pomůžeme vám s revizí smluv s cloudovými providery. Kontaktujte nás na office@arws.cz. 

5. Co je to "mechanismus prověřování bezpečnosti dodavatelského řetězce" a koho se týká?

Jde o specifický proces pro strategicky významné služby (určené nařízením vlády), typicky v režimu vyšších povinností. NÚKIB může prověřovat dodavatele do kritických částí systémů a v případě bezpečnostního rizika vydat zákaz jejich použití. Jde o ochranu národní bezpečnosti. Pokud si nejste jisti, zda se vás tento mechanismus týká, napište nám na office@arws.cz. 

6. Musíme mít všechnu dokumentaci v češtině?

Pro účely kontroly ze strany NÚKIB musí být klíčová dokumentace (politiky, analýzy rizik, záznamy o incidentech) srozumitelná a na vyžádání dostupná v českém jazyce. Pro mezinárodní týmy je běžné vést dokumentaci dvojjazyčně. S přípravou dvojjazyčné dokumentace máme zkušenosti. Spojte se s námi na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.