Doba čtení ~5 min.
Nový zákon o kybernetické bezpečnosti a NIS2: Vrcholové řízení nese přímou odpovědnost
Prezident České republiky Petr Pavel v posledních dnech podepsal nový zákon o kybernetické bezpečnosti, který implementuje evropskou směrnici NIS2 (Network and Information Security Directive 2 – směrnice o bezpečnosti sítí a informačních systémů). Tento zákon výrazně mění přístup k řízení kybernetické bezpečnosti v České republice a dotýká se jak státních institucí, tak soukromého sektoru.
Hlavní změny a dopady nové legislativy
- Závazná osobní odpovědnost vrcholového managementu
- Zákon přesouvá odpovědnost za kybernetickou bezpečnost přímo na vrcholové vedení organizací, zejména na členy statutárních orgánů, tedy například členy představenstva, jednatele, členy dozorčí rady či generální ředitele (CEO).
- Odpovědnost je nepřenositelná, nelze ji delegovat na nižší management ani externí dodavatele.
- Rizika za nedodržení povinností mohou mít charakter jak finanční (pokuty až 2 % z obratu nebo stovky mil. Kč), tak osobní (např. zákaz výkonu funkce až na 5 let).
- Rozšíření působnosti zákona
- Zákon se dotkne 6 000 až 10 000 subjektů v celé ČR a to napříč všemi obory, mezi které patří nejen státní organizace, ale i nemocnice, subjekty z oblasti energetiky, dopravy, potravinářství, farmacie, digitální infrastruktury, výzkumné organizace či středně velké a velké podniky.
- Subjekty jsou rozděleny na významné a důležité podle povahy poskytovaných služeb a rozsahu dopadu jejich případného selhání.
- Nové požadavky na řízení bezpečnosti (ISMS)
- Organizace budou muset mít zavedeny komplexní systémy řízení bezpečnosti informací (ISMS – Information Security Management System), jejichž součástí budou:
- Posouzení rizik a zavedení přiměřených opatření k jejich řízení (např. šifrování dat, vícefaktorová autentizace, segmentace sítě).
- Řízení bezpečnosti v dodavatelském řetězci (např. ověřování partnerů, smluvní závazky o bezpečnosti).
- Plán reakce na incidenty (incident response plan) – tedy konkrétní scénáře postupů při napadení nebo ohrožení systému.
- Pravidelné audity, bezpečnostní testy a vedení záznamů o činnostech managementu v oblasti bezpečnosti.
- Organizace budou muset mít zavedeny komplexní systémy řízení bezpečnosti informací (ISMS – Information Security Management System), jejichž součástí budou:
- Kybernetická bezpečnost jako součást strategického řízení
- ISMS nově spadá pod odpovědnost strategického vedení organizace, obdobně jako např. finanční řízení nebo právní compliance.
- Řízení kybernetické bezpečnosti musí být pravidelně projednáváno na úrovni představenstva a zaznamenáváno v dokumentaci. Tyto záznamy mohou být klíčovým důkazem při posuzování odpovědnosti v případě incidentu.
- Termíny a účinnost
- Zákon byl schválen Poslaneckou sněmovnou a po podpisu prezidentem ČR dne 26. června 2025 má být publikován ve Sbírce zákonů v srpnu 2025.
- Účinnost má být od 1. litstopadu 2025, s přechodným obdobím 12 měsíců pro zavedení potřebných opatření.
Praktická doporučení pro organizace
Krok | Popis |
1. Identifikace povinností | Posoudit, zda vaše organizace spadá do působnosti zákona – jako významný nebo důležitý subjekt. |
2. Gap analýza | Provést analýzu stávajícího stavu řízení bezpečnosti a připravit plán implementace systému ISMS. |
3. Vzdělávání a odpovědnost vedení | Seznámit vrcholový management s právními a praktickými dopady nové legislativy. |
4. Procesy a dokumentace | Zajistit, že řízení bezpečnosti je součástí jednání vedení, existuje auditní stopa a plán reakcí. |
5. Technická opatření | Zavést šifrování, vícefaktorovou autentizaci (MFA), logování, pravidelné testování a bezpečnostní monitoring. |
Závěr
Zákon o kybernetické bezpečnosti přestává být tématem oddělení IT – stává se součástí řízení rizik na úrovni top managementu. Kromě ochrany před reálnými hrozbami, jako jsou ransomware útoky, ztráta dat nebo ohrožení provozní infrastruktury, jde i o otázku reputace, právní odpovědnosti a konkurenceschopnosti.
Doporučené a ověřené zdroje
- NÚKIB: Stránky ke směrnici NIS2
Pro více informací či přípravu vlastní organizace na nové povinnosti nás můžete kontaktovat na sales
Budujeme budoucnost IT s Kubernetes – řešení postavená na virtualizaci díky kontejnerizaci s řešeními Kubernetes (K8s)
Nechte se i vy nadchnout řešeními postavenými na téměř dokonalé virtualizaci díky kontejnerizaci s Kubernetes (K8s). Užijte si jednodušší a viditelnější vydávání aplikací spolu s razantním zlepšením spolehlivosti běhu řešení jako celku.