Dnem 1. listopadu 2025 vstupuje v účinnost nový Zákon o kybernetické bezpečnosti č. 264/2025 Sb., který má zásadně změnit náš přístup k ochraně digitální infrastruktury v České republice. Spolu s ním byla vydána také sada 7 prováděcích vyhlášek a 2 nařízení vlády, která podrobně rozpracovávají požadavky na organizace, státní instituce a firmy.
Zákon rámuje svým obsahem prostředí našich každodenních aktivit, které potřebujeme k běžnému fungování v zaměstnání i soukromí. A současně reaguje na zásadní růst kybernetických hrozeb, jejich vzestup a míra ohrožení reflektuje naši závislost na online technologiích.
V následujícím textu se podíváme na to, co nový zákon přináší, jaká je jeho struktura, a především jak jej často vnímají různé skupiny, které se s ním v praxi potkají – od majitelů firem a managementu, přes IT experty a bezpečnostní specialisty, až po běžné zaměstnance.
Struktura nZKB v kostce
Samotný zákon č. 264/2025 Sb. stanovuje základní povinnosti a kategorizaci regulovaných subjektů. Určuje, kdo musí zavést systém řízení kybernetické bezpečnosti, jaká opatření je třeba přijmout a jakým způsobem se má postupovat při řešení incidentů.
Na něj navazuje sedm vyhlášek, které detailně rozpracovávají technické a procesní požadavky.
Patří sem například:
- povinnosti v oblasti hlášení incidentů,
- pravidla pro bezpečnostní opatření a audity,
- požadavky na detekční a monitorovací mechanismy,
- standardy pro práci s dodavateli,
- povinnosti při certifikaci vybraných služeb.
Důležitou roli hrají také dvě nařízení vlády, která:
- vymezují konkrétní odvětví a kategorie regulovaných subjektů (např. energetika, zdravotnictví, bankovnictví, veřejná správa),
- určují výši sankcí za nesplnění povinností.
Tento právní rámec dohromady tvoří ucelený ekosystém, který má zajistit, že klíčové části české ekonomiky a státní správy budou odolnější vůči kybernetickým útokům.
Koho se zákon týká a jaké jsou dopady?
1. Majitelé a management
Pro vedení firem je nový zákon především otázkou odpovědnosti a investic. Zákon zdůrazňuje osobní odpovědnost managementu – pokud organizace nesplní své povinnosti, může být sankcionována nejen firma, ale i její statutární orgány.
Z pohledu majitelů a manažerů jde o zásadní změnu v uvažování: kybernetická bezpečnost už není „technický problém IT oddělení“, ale strategická oblast řízení rizik. Investice do bezpečnosti musí být plánovány stejně jako investice do výroby, marketingu či lidských zdrojů. Zákon by tak měl posouvat téma bezpečnosti z kanceláří IT oddělení do vyšších pater managementu, představenstev a dozorčích rad.
2. IT oddělení a technici
Pro IT týmy znamená nový zákon výrazný nárůst povinností. Nestačí už pouze nasazení tradičních prvků ochrany, jako jsou firewally nebo antiviry. Zákon požaduje také aktivní přístup k implementaci technických opatření, mj.:
- monitorování síťového provozu,
- detekci hrozeb v reálném čase,
- nastavení procesů pro rychlou reakci na incidenty,
- povinné logování a uchovávání záznamů,
- forenzní analýzy po útocích.
Pro IT odborníky to znamená nutnost rozšířit své schopnosti o práci s nástroji typu SIEM, EDR, NDR a úzkou spolupráci s bezpečnostními týmy. Významně roste také potřeba školení a specializace.
3. Bezpečnostní specialisté (CISO, risk manažeři)
Pro specialisty na kybernetickou bezpečnost představuje nový zákon hlavně compliance povinnosti. Musejí zajistit:
- vedení dokumentace o bezpečnostních opatřeních,
- pravidelné testování a audity,
- reportování regulatorním orgánům (např. NÚKIB),
- řízení rizik a vazby na dodavatelský řetězec,
- zavedení krizových plánů a cvičení.
Role CISO a manažerů bezpečnosti se i zde vyvíjí: jejich role se posouvá od technického ke strategickému a obchodně orientovanému zaměření. Bezpečnostní manažeři se tak stávají klíčovým spojovacím článkem mezi IT oddělením a vedením společnosti. Na nich leží odpovědnost za to, že technické opatření budou přetavena do srozumitelných zpráv pro management a že organizace bude schopna prokázat soulad při kontrole či auditu.
4. Běžní (non-IT) zaměstnanci
Možná nejméně očekávanou, ale velmi důležitou skupinou jsou běžní zaměstnanci. Zákon se jich dotýká nepřímo – prostřednictvím povinných školení, směrnic a procesů.
Od zaměstnanců se očekává, že:
- budou umět rozpoznat phishing a jiné podvody,
- budou dodržovat pravidla pro správu hesel a používání firemních zařízení,
- budou vědět, jak a komu hlásit incident.
Statistiky dlouhodobě ukazují, že lidský faktor je nejslabším článkem bezpečnosti. Proto zákon podporuje systematické a průběžné vzdělávání všech zaměstnanců – od administrativních pracovníků až po vedoucí oddělení.
5. Významní dodavatelé (tzv. nepřímý dopad)
Zvláštní pozornost zasluhuje skupina firem, které nejsou přímo regulovány novým zákonem, ale jsou jeho nepřímými adresáty – významní dodavatelé regulovaných subjektů.
V praxi to znamená, že pokud firma dodává služby či technologie např. do banky, nemocnice, energetické společnosti nebo státní instituce, musí být schopna doložit svůj stav kybernetické bezpečnosti. Regulovaní zákazníci totiž musí dokazovat, že jejich dodavatelský řetězec je bezpečný.
Pro dodavatele to znamená povinnost:
- poskytovat zákazníkům informace o svých bezpečnostních opatřeních,
- souhlasit se smluvními doložkami umožňujícími audit,
- plnit bezpečnostní požadavky uvedené ve SLA,
- v některých případech prokazovat standardy bezpečnostních certifikací (např. ISO/IEC 27001, SOC 2, apod.).
Tento „nepřímý dopad“ se dotýká mnoha tisíc firem v ČR – od velkých technologických hráčů po menší dodavatele IT služeb. Pro mnohé z nich bude nová legislativa znamenat nutnost zásadních změn v procesech a investice do bezpečnosti.
Klíčové povinnosti organizací
Zákon a vyhlášky vyžadují zavedení řady opatření. Mezi ty hlavní patří:
- Identifikace a klasifikace aktiv – vědět, co chráníme.
- Zavedení ISMS, tj. systému řízení bezpečnosti informací.
- Technická opatření – řízení přístupu, zálohování, monitoring, detekce incidentů.
- Organizační opatření – školení, krizové plány, řízení dodavatelů.
- Hlášení incidentů – povinná komunikace s NÚKIB a dalšími autoritami.
- Dokazování souladu – povinnost mít dokumentaci a prokazatelné záznamy o opatřeních.
Sankce a odpovědnost
Nový zákon zavádí také přísnější systém sankcí. Výše pokut se odvíjí od velikosti organizace a závažnosti porušení, ale může dosáhnout i desítek milionů korun.
Zásadní je, že zákon posiluje odpovědnost managementu. Pokud nebude prokázáno, že vedení zajistilo přiměřená opatření, může nést následky nejen firma, ale i statutární orgány. Tento tlak má motivovat vedení firem k tomu, aby kybernetickou bezpečnost brala jako součást strategického řízení.
Praktická doporučení
Jak by měly organizace postupovat?
1. Zjistěme, zda spadáme do regulace – přímo jako regulovaný subjekt, nebo nepřímo jako významný dodavatel.
2. Nastavme governance – určeme odpovědné osoby, role a reporting.
3. Vypracujme směrnice a politiky v souladu s vyhláškami.
4. Posilme monitoring a detekční schopnosti – bez toho nelze reagovat na incidenty.
5. Řešme vztahy s dodavateli – smluvní doložky, SLA, právo na audit.
6. Školme zaměstnance a zvyšujme povědomí.
Nový Zákon o kybernetické bezpečnosti je jedním z nejvýznamnějších legislativních kroků – a to nejen v oblasti digitální odolnosti České republiky – za poslední dekádu. Přináší vyšší nároky na firmy a instituce, ale zároveň otevírá cestu k větší důvěře zákazníků i obchodních partnerů.
Každá skupina – management, IT, bezpečnostní specialisté, běžní zaměstnanci i dodavatelé – vnímá dopady zákona jinak. Společným jmenovatelem je však nutnost posílit spolupráci a budovat bezpečnost jako integrovanou součást fungování organizace.
Zákon tedy nevnímejme jen jako shluk povinností a sankcí. Je především o změně kultury: o tom, že kybernetická bezpečnost je dnes stejně nezbytná jako účetnictví, marketing, právní služby nebo fyzická ochrana budov. A současně platí, že aktivním uchopením zákonných požadavků pěstujeme úroveň společné odpovědnosti ochrany nás, našich kolegů, obchodních partnerů a zákazníků.
