Pravni prostor
Právní poradna
Novinka
PortálČlánkyČeská implementace směrnice NIS 2: nový zákon o kybernetické bezpečnosti, jeho koncepce a dopady na regulované subjekty

Česká implementace směrnice NIS 2: nový zákon o kybernetické bezpečnosti, jeho koncepce a dopady na regulované subjekty

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 (NIS 2) představuje dosud nejkomplexnější soubor unijních požadavků na zajištění vysoké úrovně kybernetické bezpečnosti v členských státech.

JUDr. Ing. Eva Daniela Cvik, Ph.D. et. Ph.D.
advokátka, vedoucí katedry práva na PEF ČZU
MK
JUDr. Michal Kellner, LL.M.
advokát, odborný asistent na katedře práva PEF ČZU

Česká republika reaguje na transpoziční povinnost novým zákonem o kybernetické bezpečnosti (dále jen „nZKB“), který Poslanecká sněmovna schválila ve třetím čtení dne 25. dubna 2025 a postoupila jej Senátu jako tisk 109.[2] Nástroj má nahradit stávající zákon č. 181/2014 Sb., o kybernetické bezpečnosti a rozšířit okruh povinných subjektů z necelé tisícovky na odhadovaných 6 000 – 9 000 organizací.

Článek si klade za cíl kriticky zhodnotit koncepční i legislativně-technické aspekty české implementace NIS 2[3]. V první části stručně rekapituluje klíčové instituty směrnice (řízení kybernetických rizik, povinnosti vrcholového vedení, sankční rámec) a analyzuje, v jaké míře je nZKB přejímá či rozvíjí. Následně komparuje český přístup s vybranými modely transpozice v Německu a Francii a identifikuje sporná místa – zejména rozsah subjektů veřejné správy, proporcionalitu požadavků na malé a střední podniky či kolize s GDPR[4] a nadcházející regulací DORA[5]. Třetí část se věnuje praktickým dopadům na regulované subjekty: povinné self-assessmenty, úpravy vnitřních předpisů, reporting incidentů a ekonomické náklady compliance.

Na základě zjištění článek formuluje doporučení de lege ferenda adresovaná zákonodárci i Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), kterými je: vydání metodických pokynů podle velikosti subjektů, zavedení daňových pobídek na kybernetické investice a dotažení prováděcích vyhlášek ještě před nabytím účinnosti nZKB. Článek uzavíráme úvahou, zda česká transpozice naplňuje cíl NIS 2 – „stejná rizika, stejná pravidla“ – a jaká témata zůstávají otevřená pro další normotvorné či doktrinální zpracování.

Klíčové instituty směrnice NIS 2 a jejich rozvoj v návrhu nového zákona o kybernetické bezpečnosti (nZKB)

Směrnice NIS 2 představuje nový unijní standard „minimum-rule“ pro kybernetickou bezpečnost. V čl. 21 ukládá všem essential i important entities povinnost postavit řízení kybernetických rizik na formálně schválené politice, průběžné identifikaci a hodnocení rizik, ochraně dodavatelského řetězce, vícefaktorovém ověřování, systematickém zálohování a pravidelném testování odolnosti.[6] 

Směrnice NIS 2 nestanoví jen katalog technických opatření – jejím primárním účelem je „dosáhnout vysoké společné úrovně kybernetické bezpečnosti v Unii a tím zlepšit fungování vnitřního trhu“. Reviduje tak první směrnici NIS[7] z roku 2016, jejíž dopady se ukázaly jako nerovnoměrné: v některých státech se prosadil jen úzký sektorový záběr a orgány dozoru disponovaly omezenými pravomocemi. Digitalizace kritických služeb – od energetiky po zdravotnictví – mezitím exponenciálně zvýšila systémová rizika a ukázala, že lokální incident rychle přerůstá hranice jednotlivého podniku či státu. Pro naplnění cíle proto NIS 2: 

  1. Rozšiřuje osobní působnost na 18 kritických odvětví a vytváří dvě kategorie regulovaných subjektů (essential / important entities ), aby pravidla dopadla také na středně velké podniky se zásadním společenským dopadem.
  2. Harmonizuje minimální bezpečnostní standard – tzv. minimum-rule – a unifikuje dozorové a sankční pravomoci, aby se odstranil „regulační patchwork“, který bránil přeshraničnímu poskytování digitálních služeb.
  3. Posiluje přeshraniční koordinaci prostřednictvím sítě CSIRT a nově založeného orgánu EU-CyCLONe; zavádí trojfázovou notifikační lhůtu (24 h, 72 h, 1 měsíc) pro hlášení incidentů, aby se klíčové informace šířily v reálném čase napříč Unií.
  4. Zavádí silnější enforcement: jednotné horní limity pokut (až 10 mil. € / 2 % obratu) a možnost dočasné diskvalifikace statutárních orgánů vytvářejí reálný odrazující efekt.

Tento rámec převádí český návrh nového zákona o kybernetické bezpečnosti (nZKB) prakticky beze zbytku; v některých bodech jej dokonce rozvíjí. Zavádí například povinný registr ICT aktiv, každoroční nezávislý audit a zpřesňuje osobní odpovědnost manažerů možností jejich diskvalifikace až na tři roky. Díky tomu se česká transpozice blíží spíše modelu „harmonizovaného minima plus“, který má zvýšit vymahatelnost pravidel, aniž by oslabil konkurenční postavení českých podniků na jednotném digitálním trhu.

Český návrh nZKB (§ 17–24) tuto kostru přebírá beze změny, ale dále ji rozvíjí: zavádí povinný registr ICT aktiv, vyžaduje minimálně jednou ročně nezávislý audit souladu a ukládá zpracovat mapu datových toků.[8] Tím se česká úprava dostává nad rámec směrnice, což zvyšuje kontrolovatelnost, avšak i compliance-náklady. Zcela novým prvkem směrnice je osobní odpovědnost vrcholového vedení

Čl. 20 směrnice stanoví, že statutární orgány musí bezpečnostní strategii nejen schválit, ale i aktivně dohlížet na její plnění a absolvovat specializované školení.[9] nZKB (§ 30–32) tento požadavek převádí do českého práva a ještě jej zesiluje: při opakovaném závažném porušení může NÚKIB navrhnout diskvalifikaci člena statutárního orgánu až na tři roky.[10] Tato osobní sankce – v diskusi označovaná za „gold-plating“ – má přispět k reálné vymahatelnosti povinností, protože se neomezuje na pokutu uloženou právnické osobě.

Harmonizačním hřebem NIS 2 je sankční rámec. Pro essential entities směrnice stanoví horní hranici 10 mil. EUR nebo 2 % celosvětového obratu, pro important entities 7 mil. EUR nebo 1,4 % obratu (čl. 34–35). nZKB (§ 59–61) tyto limity převádí kurzově na 250 mil. Kč / 2 % a 100 mil. Kč / 1,4 % – a ponechává tak sankce stejné ekonomické váhy jako ve zbytku EU. Tuto volbu potvrdil gestor zákona při třetím čtení v Poslanecké sněmovně s odkazem na směnný kurz 1 EUR ≈ 25 Kč.[11]

Komparace české transpozice se stavem v Německu a Francii

Zatímco český návrh zákona o kybernetické bezpečnosti (nZKB) už prošel Poslaneckou sněmovnou, Německo i Francie zůstávají ve fázi parlamentních jednání. Přesto lze na základě zveřejněných návrhů – NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (dále NIS2-UmsuCG) a francouzského projet de loi « Résilience » – porovnat tři různé přístupy a vytipovat sporná místa.

  1. Rozsah subjektů veřejné správy: NIS 2 umožňuje zahrnout i orgány státní správy, pokud poskytují digitální služby kritické povahy. Český nZKB pokrývá ministerstva, ústřední správní úřady a kraje, avšak obce do 50 000 obyvatel ponechává mimo režim essential entities[12]. Naproti tomu německý NIS2-UmsuCG začleňuje veškeré federální a zemské úřady a u obcí stanoví pouze prahovou hodnotu 20 000 obyvatel[13]. Francouzský návrh jde opačným směrem: povinnosti dopadají primárně na centrální správu a státní podniky, zatímco samosprávy jsou pod režimem important entities jen tehdy, překročí-li obrat 10 mil. € či 250 zaměstnanců[14]
  2. Proporcionalita vůči malým a středním podnikům: Směrnice obsahuje všeobecnou výjimku pro podniky do 50 zaměstnanců a 10 mil. € obratu, nepatří-li do vysoce rizikového odvětví. Český návrh tento „safe harbour“ beze zbytku přejímá. Německá vláda však navrhla dodatečnou výjimku pro rodinné firmy s tržbami do 2 mil. € v energetice a zemědělství, což vyvolalo kritiku Bundesratu jako možný krok proti duchu NIS 2.[15] Francie zachovává pouze unijní prahové hodnoty, ale kompenzuje je daňovým kreditem na kybernetické audity pro podniky s obratem pod 20 mil. €.[16] Český nZKB nic podobného neobsahuje, což může ztížit financování povinného ročního auditu u menších subjektů.
  3. Kolize s GDPR: Dvojí oznamovací povinnost – 72 hodin podle GDPR a trojfázové hlášení podle NIS 2 – řeší státy rozdílně[17]. Německo navrhuje, aby BSI[18] fungoval jako jednotné kontaktní místo: podnik podá jedno hlášení a BSI jej v případě incidentu s osobními údaji automaticky přepošle Úřadu pro ochranu dat (BfDI[19]), čímž odpadá duplicita. Český nZKB takovou centralizaci nezakládá; podnik tedy musí hlásit zvlášť NÚKIB[20] a ÚOOÚ, což zvyšuje administrativní zátěž a riziko rozdílné kvalifikace události. Francouzský návrh používá model „single-entry portal“ u ANSSI[21], ale data protection authority (CNIL)[22] má možnost doplnit dotazy ex post.
  4. Vztah k regulaci DORA: Pro finanční sektor je lex specialis na úrovni EU nařízení DORA. Německý návrh to řeší přes explicitní výluku: banky a pojišťovny spadají výlučně pod DORA, nikoli NIS 2. Český nZKB sice uvádí DORA v obecném ustanovení, přesto zapisuje velké banky do registru essential entities, což může vyvolat souběh povinností zejména při testování odolnosti. Francie tuto kolizi eliminuje striktním odkazem na čl. 1 odst. 4 NIS 2: finanční instituce podléhají pouze DORA, zatímco jejich „kritičtí ICT poskytovatelé“ zůstávají v režimu NIS 2.⁶

S ohledem na shora uvedené lze shrnout, že český návrh je oproti Německu méně vstřícný k MSP a ponechává dvojí hlášení incidentů, což může být praktickým problémem. Na druhé straně se vyhýbá přílišným výjimkám a drž í sankční rámec přesně v unijních limitech. Německo preferuje centralizované procesy a silnější zapojení veřejné správy, ale riskuje oslabení účinku směrnice skrze sektorové úlevy. Francie volí kompromis: silný důraz na centrální stát, daňovou podporu pro malé firmy a jasné oddělení režimu DORA.

Praktické dopady na regulované subjekty

Bezprostředně po nabytí účinnosti nového zákona o kybernetické bezpečnosti (nZKB) musí každá společnost spadající do kategorie essential či important entity provést povinný self-assessment: do tří měsíců od účinnosti zákona vyplní elektronický dotazník NÚKIB a sama se zařadí do registru regulovaných subjektů.[23] Samo hodnocení zohledňuje počet zaměstnanců, roční obrat a sektorovou příslušnost; pokud by podnik údaje zkreslil, může úřad ex officio zahájit kontrolu a pokutu až do 250 mil. Kč. 

Na základě výsledku self-assessmentu musejí podniky upravit vnitřní předpisy. Prakticky to znamená formální schválení bezpečnostní politiky na úrovni představenstva, zavedení procesu řízení rizikregistru ICT aktiv, každoroční nezávislý audit souladu, který podle § 24 nZKB musí provést akreditovaný auditor, a aktualizaci smluv se zpracovateli tak, aby obsahovaly požadavky NIS 2 na dodavatelský řetězec.[24] Většina organizací bude přejímat vzorové kontrolní seznamy vycházející z ISO 27001 či CIS Controls; menší podniky (blízké prahu 50 zaměstnanců) však často začínají od-nuly a potřebují zřídit alespoň bazální ISMS.

Incident reporting nabude ostřejších kontur: nZKB (§ 41) přebírá trojfázovou lhůtu NIS 2 (24 h / 72 h / 1 m) a současně ponechává 72hodinové hlášení „personal data breach“ podle GDPR ÚOOÚ. České podniky tedy – na rozdíl od německého modelu „one-stop shop“ (BSI → BfDI) – podávají dvě hlášení dvěma regulátorům.[25] Provozní dopad je dvojí: zaprvé je nutné sladit obsah hlášení a zadruhé vyřešit interní eskalační mechanismus, aby časová posloupnost 24 h → 72 h byla realističtěji zvládnutelná (většina českých firem dnes hlásí podle GDPR průměrně až 60 h po detekci). Ekonomicky představuje NIS 2 skokový nárůst compliance-nákladů. Podle studie ENISA NIS Investments 2024 činil medián ročních výdajů na informační bezpečnost v organizacích spadajících pod NIS 2 1,4 mil. €, přičemž průměr dosáhl až 6,7 mil. €. Investice zahrnují hardware, software, interní personál i externí dodavatele. Samotný nezávislý audit nZKB – u subjektu s 250 zaměstnanci – se podle odhadů trhu pohybuje kolem 15 000 €, u větších nemocnic 40 000 € ročně.[26] ENISA současně uvádí, že přímé náklady jednoho závažného incidentu (bez sankcí) se v EU pohybují okolo 250 000 €, s průměrem 365 000 €, takže investice do prevence se podnikům vyplatí dříve než za dva roky.

Jaký tyto skutečnosti přináší praktický závěr

  • Self-assessment a registrace vytváří první kritickou lhůtu; kdo ji zmešká, riskuje vysokou sankci ještě před vlastním kyberincidentem.
  • Úprava vnitřních předpisů vyžaduje zapojení statutárního orgánu, právníků i CISO a měla by být synchronizována s dalšími předpisy (GDPR, DORA).
  • Dvojí hlášení zvyšuje administrativu; podniky by měly zavést jednotnou evidenci incidentů a předpřipravené šablony pro oba regulátory.
  • Rozpočet na compliance se bude u středně velkých subjektů pohybovat ve dvou – až trojnásobku toho, co platily za plnění dle zákona o kybernetické bezpečnosti, nicméně průměrné náklady na jeden incident jsou ještě vyšší; prevence je tudíž ekonomicky racionální.

Doporučení de lege ferenda a otevřené otázky transpozice

Na základě předchozích zjištění navrhujeme tři konkrétní kroky, jež by měly doprovodit přijetí nového zákona o kybernetické bezpečnosti a zvýšit jeho praktickou účinnost, aniž by vytvořily nepřiměřenou zátěž pro podniky.

  1. Metodické pokyny odstupňované podle velikosti subjektůNÚKIB již dnes publikuje obecné podpůrné materiály[27]. Tyto dokumenty však nejsou navázány na velikostní kategorie, které sama směrnice NIS 2 i nZKB používají. Doporučujeme proto vydat tři saday metodik (mikro/SME – střední – velké a kritické subjekty) s modelovými kontrolními seznamy, příklady přiměřených technických opatření a vzorovými smluvními klauzulemi pro dodavatelský řetězec. Tím se sníží riziko, že malé subjekty aplikují stejné postupy jako velké korporace, což by mohlo vést k neúměrným nákladům a formalistickému plnění.
  2. Daňové pobídky ke kyber-investicím: Zkušenost Francie ukazuje[28], že cílený daňový kredit na digitální bezpečnost motivuje zejména malé a střední podniky k rychlému posílení odolnosti. Francouzské PME mohou odečíst až 30 %–50 % způsobilých výdajů.[29] Navrhujeme, aby český zákonodárce zvážil obdobnou odpočitatelnou položku nebo investiční slevu na hardware, software a odborné audity přímo ve zákoně o daních z příjmů. V prognóze Ministerstva průmyslu se očekává, že transpozice rozšíří okruh regulovaných subjektů z necelé tisícovky na více než 6 000, což vytvoří tržní poptávku po kyber-službách, ale zároveň značné vstupní náklady.[30] 
  3. Prováděcí vyhlášky a formuláře před účinností nZKB: Vládní návrh nZKB počítá s 18měsíčním přechodným obdobím, avšak návrhy prováděcích vyhlášek (katalog opatření, rozsah auditu, elektronické formuláře hlášení) zatím existují jen v pracovních verzích[31]. Doporučujeme jejich vyhlášení nejméně dvanáct měsíců před dnem účinnosti zákona, aby regulované subjekty měly dostatek času na úpravu interních procesů a vypsání veřejných zakázek. Předložit kompletní sekundární legislativu až po startu zákona by de facto prodloužilo období právní nejistoty a oslabilo preventivní účinek normy.

Závěr

Analýza ukázala, že český návrh nového zákona o kybernetické bezpečnosti (nZKB) přejímá směrnici NIS 2 v plné materiální šíři a ve dvou klíčových bodech – každoroční audity a možnost diskvalifikace členů statutárních orgánů – ji dokonce zpřísňuje. Tím se legislativa přibližuje modelu harmonizovaného minima plus, jenž slibuje lepší vymahatelnost povinností i vyšší míru kyber-odolnosti. Současně však zvyšuje ekonomické náklady, zejména pro malé a střední podniky, a ponechává dvojkolejnost hlášení incidentů (NÚKIB × ÚOOÚ), která není plně v souladu se zásadou administrativní proporcionality. Česká transpozice tedy naplňuje cíl „stejná rizika – stejná pravidla“ spíše z pohledu úrovně požadavků než z pohledu efektivity jejich praktického naplňování.

Aby nová úprava skutečně posílila kybernetickou bezpečnost a nezůstala formální zátěží, doporučujeme vydat metodické pokyny odstupňované dle velikosti regulovaných subjektů, zavést daňové pobídky na kyber-investice analogické francouzskému modelu CIR/CII a dokončit prováděcí vyhlášky i elektronické formuláře ještě před nabytím účinnosti zákona. Bez těchto tří pilířů hrozí, že se transpoziční ambice rozmělní v provozních nejistotách a finančních překážkách, což by odporovalo duchu směrnice NIS 2 i deklarovanému cíli české vlády zvýšit digitální odolnost státu i ekonomiky.

Máme za to, že právní audit bude pro všechny dotčené subjekty zároveň velmi vhodným postupem pro správné nastavení pravidel a procesů v podnicích tak, aby byly v souladu s novým zákonem o kybernetické bezpečnosti (nZKB). Jak shora uvedeno, to zejm. pro identifikace nových povinností, úpravu vnitřních předpisů, analýzu rizik a nastavení bezpečnostní politiky, pro nastavení procesů hlášení incidentů a synchronizaci s požadavky již zavedených pravidel dle GDPR. Neméně důležité bude ověřit a případně aktualizovat smlouvy se zpracovateli tak, aby obsahovaly požadavky na bezpečnost celého dodavatelského řetězce. Jak je patrné, úkolů a povinností přináší už nyní nová úprava mnoho, a proto bude třeba, aby dotčené subjekty využily časový prostor do účinnosti nových pravidel a vše nezbytné provedly řádně a včas v dostatečném předstihu. Protože, kdo je připraven, není překvapen.

[1] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2)

[2] NÚKIB, „Návrh nového zákona o kybernetické bezpečnosti schválila Poslanecká sněmovna“ (tisková zpráva 28. 4. 2025)

[3] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), Official Journal L 333, 27 December 2022, pp. 80–152. Dostupné v databázi EUR-Lex, CELEX: 32022L2555

[4] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with  regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation – GDPR), Official  Journal L 119, 4 May 2016, pp. 1–88. Dostupné v databázi EUR-Lex, CELEX: 32016R0679.

[5] Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (Digital Operational Resilience Act – DORA), Official Journal L 333, 27 December 2022. Dostupné v databázi EUR-Lex, CELEX: 32022R2554

[6] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2), OJ L 333, 27 Dec 2022, pp. 80–152. Dostupné v EUR-Lexu, CELEX 32022L2555

[7] Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, Official Journal L 194, 19 July 2016, pp. 1–30. Dostupné v databázi EUR-Lex, CELEX: 32016L1148.

[8] Vládní návrh zákona o kybernetické bezpečnosti a o změně některých zákonů (sněmovní tisk 759/0)

[9] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2), OJ L 333, 27 Dec 2022, pp. 80–152. Dostupné v EUR-Lexu, CELEX 32022L2555

[10] Vládní návrh zákona o kybernetické bezpečnosti a o změně některých zákonů (sněmovní tisk 759/0)

[11] Poslanecká sněmovna PČR, 136. schůze, 25. 4. 2025 – třetí čtení tisku 759, vystoupení gestora k výši pokut (stenozáznam, část 164)

[12] NIS2-Umsetzungs – und Cybersicherheitsstärkungsgesetz, BR-Drs. 380/24, § 35 (registr veřejných orgánů); důvodová zpráva,.

[13] Bundesrat, Stellungnahme 27 IX 2024 k NIS2-UmsuCG, bod 1 a) – kritika sektorových výjimek pro rodinné firmy

[14] Projet de loi « Résilience des infrastructures critiques », Sénat, n° 55 (2024-2025), art. 6–8; Exposé des motifs, s. 14–18 (daňový kredit, single-entry portal, výluka DORA)

[15] Bundesrat, Stellungnahme 27 IX 2024 k NIS2-UmsuCG, bod 1 a) – kritika sektorových výjimek pro rodinné firmy

[16] Projet de loi « Résilience des infrastructures critiques », Sénat, n° 55 (2024-2025), art. 6–8; Exposé des motifs, s. 14–18 (daňový kredit, single-entry portal, výluka DORA)

[17] GDPR a NIS 2 sledují různý normativní cíl, a proto definují odlišné okruhy incidentů, adresáty i časové lhůty. V praxi však větší událost často spadá do obou režimů, takže podnik (nebo úřad) musí oznamovat dvakrát. Podle čl. 33 odst. 1 GDPR musí správce „bez zbytečného odkladu a nejpozději do 72 hodin“ nahlásit jakýkoli „personal data breach“ dozorovému úřadu, ledaže je nepravděpodobné, že incident ohrozí práva a svobody fyzických osob. Požadované minimum informací je relativně stručné (povaha úniku, kategorie a počet záznamů, pravděpodobné důsledky a přijatá nápravná opatření) a může být – pokud se všechno nestihne – doplněno postupně „bez zbytečného dalšího prodlení. 

Podle směrnice NIS 2 musí každá essential či important entity oznámit významný bezpečnostní incident v trojfázovém režimu: do 24 hodin tzv. early warning, do 72 hodin podrobné hlášení a do jednoho měsíce závěrečnou zprávu. Tento mechanismus má zajistit včasné sdílení klíčových technických informací napříč Unií a umožnit rychlou koordinační reakci prostřednictvím sítě CSIRT a platformy EU-CyCLONe.

[18] Bundesamt für Sicherheit in der Informationstechnik – Spolkový úřad pro bezpečnost informačních technologií: Národní autorita pro kybernetickou bezpečnost; v návrhu NIS2-UmsuCG má fungovat jako jednotné kontaktní místo – přijímá hlášení podle NIS 2 a v případě úniku osobních údajů je automaticky přeposílá BfDI. 

[19] Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – Spolkový pověřenec pro ochranu dat a svobodu informací: Centrální dozorový orgán pro GDPR v SRN; po přeposlání od BSI vede řízení o porušení ochrany osobních údajů.

[20] Národní úřad pro kybernetickou a informační bezpečnost (ČR) – National Cyber and Information Security Agency: Česká autorita pro NIS 2, provozuje národní CSIRT a přijímá trojfázová hlášení incidentů.

[21] Agence nationale de la sécurité des systèmes d’information (Francie) – Národní agentura pro bezpečnost informačních systémů: Francouzská autorita NIS 2; provozuje single-entry portal, přes který incidenty putují k datovému egulátorovi CNIL.

[22] Commission nationale de l’informatique et des libertés – Komise pro informatiku a svobodu: Nezávislý dozorový orgán pro ochranu osobních údajů (francouzský ekvivalent ÚOOÚ / BfDI)

[23] Vládní návrh nZKB, sněmovní tisk 759/0, samozařazení a registrace, důvodová zpráva, 

[24] Vládní návrh nZKB, sněmovní tisk 759/0, registr ICT aktiv, roční audit a odpovědnost orgánů, důvodová zpráva

[25] NIS2-Umsetzungs – und Cybersicherheitsstärkungsgesetz, BR-Drs. 380/24, 

[26] Deloitte, “NIS2 – a matter for lawyers, IT professionals — or both?” (3/2025) – odhad jednotkových cen auditu. Dostupné: NIS2: a matter for lawyers, IT professionals — or both? | Deloitte

[27] např. Minimální bezpečnostní standard a Průvodce řízením dodavatelů, dostupné: nukib.cznukib.cz

[28] např. rozšíření stávajícího Crédit d’Impôt Recherche i na kybernetické projekty. CIR je dlouhodobý francouzský daňový nástroj, jenž umožňuje podnikům odečíst 30 % (nad 100 mil. € jen 5 %) z uznatelných výdajů na výzkum a vývoj od splatné daně z příjmů. Do uznatelných položek patří mzdy vývojářů a výzkumníků, odpisy laboratorního vybavení, poplatky za smluvní výzkum či některé náklady na prototypy. Nárok vzniká pouze tehdy, když projekt splňuje definici R&D podle Manuálu Frascati (musí jít o “systematickou činnost s prvkem originality a technickou nejistotou”).

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a
evropská unieochrana osobních údajůinternet

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a
Přihlásit seVytvořit nový účet

Související články

Další články