Nový zákon o kybernetické bezpečnosti: Co přináší a jak postupovat
Od 1. listopadu 2025 vstupuje v účinnost nový zákon o kybernetické bezpečnosti
Nový zákon o kybernetické bezpečnosti: Co přináší a jak postupovat
Od 1. listopadu 2025 vstupuje v účinnost nový zákon o kybernetické bezpečnosti, který zásadně mění dosavadní rámec ochrany digitální infrastruktury v České republice. Tento právní předpis vychází z evropské směrnice NIS2 a jeho cílem je zvýšit odolnost organizací vůči kybernetickým hrozbám. Zákon se dotýká širokého spektra subjektů, a proto je důležité vědět, zda se týká i vaší organizace a jaké kroky je třeba podniknout.
Posouzení, zda jste provozovatelem regulované služby
Prvním krokem je ověření, zda vaše organizace spadá do kategorie tzv. provozovatelů regulovaných služeb. To závisí na několika faktorech. Rozhodující je především oblast, ve které působíte – například energetika, zdravotnictví, výroba nebo digitální služby. Dále je důležité, jaký typ služby poskytujete a zda je uveden ve vyhlášce o regulovaných službách. Posuzuje se také velikost a význam organizace, například podle počtu zaměstnanců nebo výše obratu. Pro usnadnění tohoto kroku je k dispozici nástroj na Portálu NÚKIB, který pomůže s předběžným určením, zda se na vaši organizaci zákon vztahuje a v jakém režimu.
Ohlášení a režim povinností
Pokud se ukáže, že jste provozovatelem regulované služby, je nutné se ohlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Ohlášení probíhá elektronicky prostřednictvím Portálu NÚKIB. Po registraci úřad potvrdí, zda vaše organizace spadá do režimu vyšších nebo nižších povinností. Od okamžiku registrace začíná běžet lhůta jednoho roku, během které je třeba zavést požadavky stanovené příslušnou vyhláškou (separátní pro nižší a vyšší režim).
Co jednotlivé režimy znamenají
Režim nižších povinností je určen pro menší a méně kritické organizace. Obsahuje základní bezpečnostní opatření, která by měla být běžnou součástí provozu každé odpovědné organizace – například řízení přístupů, pravidelné zálohování dat nebo školení zaměstnanců v oblasti bezpečnosti.
Režim vyšších povinností je určen pro organizace, které poskytují klíčové služby nebo mají větší dopad na společnost. V tomto režimu se požaduje implementace pokročilejších opatření, jako je systematické řízení rizik, bezpečnostní monitoring, pravidelné audity nebo prověřování dodavatelského řetězce.
Shrnutí
Nový zákon přináší jasně definovaný rámec pro zajištění kybernetické bezpečnosti. Organizace mají dostatek času na přípravu – od registrace běží roční lhůta pro implementaci požadavků. NÚKIB zároveň poskytuje metodickou podporu, návody a další materiály, které pomohou s orientací v nové legislativě. Cílem není zatížit organizace, ale zvýšit jejich odolnost vůči stále častějším kybernetickým hrozbám.
Zdroj: NUKIB
Pokud se chcete o celé problematice dozvědět víc využijte napříkald některý z námi nabízených kurzů
Manažer kybernetické bezpečnosti (vyšší režim NIS2) - manažer ISMS
