NIS2 po česku: nový zákon o kybernetické bezpečnosti v praxi

Zákon o kybernetické bezpečnosti byl vyhlášen ve Sbírce zákonů dne 4. 8. 2025 a nabývá účinnosti 1. 11. 2025 (zákon konstruuje účinnost jako „první den třetího kalendářního měsíce následujícího po vyhlášení“). Tímto předpisem Česká republika transponuje směrnici NIS2 a zároveň ruší dosavadní zákon č. 181/2014 Sb. o kybernetické bezpečnosti. Tedy se nejedná o dílčí novelu zákona o kybernetické bezpečnosti, ale o plnohodnotnou rekodifikaci oblasti kybernetické bezpečnosti v podobě nového zákona. 

Věcně ZKB upravuje práva a povinnosti osob a působnost orgánů veřejné moci v oblasti zajišťování kybernetické bezpečnosti. Ústředním dozorovým a metodickým orgánem je Národní úřad pro kybernetickou a informační bezpečnost /NÚKIB/. Jedná se o ústřední správní úřad České republiky, který zajišťuje státní dozor a koordinaci v oblasti kybernetické bezpečnosti, vydává metodiku a prováděcí předpisy, přijímá či vyhodnocuje hlášení incidentů dle zákona o kybernetické bezpečnosti. Pro subjekty v režimu nižších povinností zákon výslovně vymezuje roli Národního Computer Emergency Response Team /CERT/ - je dle ZKB samostatně definovaný národní tým, který předchází kybernetickým incidentům, detekuje je, vyhodnocuje a koordinuje jejich řešení. Je kontaktním místem pro poskytovatele v režimu nižších povinností, přijímá jejich incidentní hlášení, poskytuje metodickou podporu. Publikuje varování a doporučení, sdílí indikátory kompromitace, pomáhá s obnovou provozu a podílí se na koordinovaném zveřejňování zranitelností. V evropské právní terminologii se častěji používá výraz CSIRT („Computer Security Incident Response Team“); v praxi se oba pojmy používají téměř synonymně. V ČR je běžně zmiňován Národní CERT (pro širokou veřejnost a soukromý sektor) a GovCERT.CZ (pro orgány veřejné moci) – oba úzce spolupracují s NÚKIB a s evropskou sítí CSIRT týmů. CSIRT („Computer Security Incident Response Team“) je odborný tým určený k prevenci, detekci a řešení kybernetických incidentů. Zajišťuje průběžné monitorování hrozeb, přijímá a třídí hlášení, koordinuje technická i organizační opatření při incidentu, vydává varování a doporučení a podílí se na koordinovaném zveřejňování zranitelností. Může fungovat na úrovni jedné organizace (interní CSIRT), pro celý sektor (sektorový CSIRT) nebo na národní úrovni (národní CSIRT zapojený do evropské CSIRTs Network podle směrnice NIS2). V praxi se pojem CSIRT často používá zaměnitelně s označením CERT; význam je obdobný, důležitý je spíše rozsah působnosti a kompetencí daného týmu.

Osobní a věcná působnost a sebeidentifikace regulovaných služeb

Kdo a co spadá pod ZKB?

ZKB se vztahuje na osoby usazené v ČR; dále i na ty, kdo na území ČR zajišťují sítě nebo poskytují služby elektronických komunikací, a to bez ohledu na místo jejich usazení (§ 1 odst. 2, ZKB). Regulovanou službou je služba, o níž NÚKIB vydal rozhodnutí o registraci (§ 6 odst. 2). Je nezbytné zohlednit i vztah k odvětvovým předpisům EU: stanoví-li zvláštní předpis srovnatelné povinnosti (například nařízení DORA pro ICT odolnost ve finančním sektoru nebo pravidla vycházející ze směrnice CER k odolnosti kritických subjektů), příslušné části ZKB se neuplatní (§ 70). Posouzení lex specialis je vhodné provést již v rámci úvodní sebeidentifikace, aby se předešlo duplicitám v implementaci a reportingu.

Registrace nastupuje, jsou-li splněny podmínky § 4, ZKB:

1. Jde o službu významnou pro důležité společenské/ekonomické činnosti nebo bezpečnost ČR v jednom z výslovně uvedených odvětví (mj. veřejná správa, energetika, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda/výzkum/vzdělávání atd.); a současně,
2. poskytovatel je středním nebo velkým podnikem ve smyslu doporučení Komise 2003/361/ES, nebo je významný pro uvedené činnosti či bezpečnost ČR (typicky výjimečné či systémové postavení). 

Mimo tento „základní okruh“ § 5 vyjmenovává zvláštní důvody registrace (např. jediný poskytovatel služby v ČR, hrozba závažného dopadu na bezpečnost státu, přeshraniční systémová rizika, vazba na kritickou infrastrukturu). Tyto případy Úřad zahajuje jen z moci úřední a rozhodnutí může být prvním úkonem v řízení. 

Kdy tedy vzniká povinnost k registraci?

Základní podmínky registrace jsou naplněny, pokud (i) jde o službu významnou pro důležité společenské/ekonomické činnosti či bezpečnost v ČR v některém z výslovně vyjmenovaných odvětví (mj. veřejná správa, energetika, doprava, digitální infrastruktura a služby, finanční trh, zdravotnictví, věda/výzkum/vzdělávání atd.) a (ii) poskytovatel je středním či velkým podnikem, popř. je významný pro uvedené činnosti nebo bezpečnost státu (§ 4 odst. 1 ZKB); detailní seznam služeb a kritéria významnosti stanoví vyhláška NÚKIB (§ 4 odst. 2 ZKB). Mimo tento „základní okruh“ existují zvláštní situace, kdy registrace vyplývá ze specifického významu služby či poskytovatele (např. jediný poskytovatel v ČR, hrozba závažného dopadu na bezpečnost ČR, systémová rizika, vazba na jinou regulovanou službu ve vyšším režimu, kritická infrastruktura) – viz výčet v § 5 písm. a) – d) ZKB.

Ohlášení a registrace

Kdo splní podmínky dle § 4 ZKB, musí službu NÚKIB ohlásit do 60 dnů ode dne, kdy ke splnění došlo; formát a způsob ohlášení stanoví vyhláška Úřadu (§ 6 odst. 1, ZKB). Úřad rozhodne o registraci, jsou-li splněny podmínky dle § 4 nebo § 5 ZKB. Řízení o registraci podle § 5, ZKP lze zahájit pouze z moci úřední a rozhodnutí může být prvním úkonem v řízení (§ 6 odst. 2–4, ZKB). Po doručení rozhodnutí o registraci poskytovatel do 30 dnů nahlásí kontaktní a doplňující údaje a jejich změny (mimo referenční) následně do 14 dnů (§ 11 odst. 1–2, ZKB). Detailní parametry řady povinností ZKB svěřuje prováděcím předpisům NÚKIB. Jde zejména o vyhlášku k § 4 odst. 2, ZKB, která vymezí seznam regulovaných služeb a stanoví podmínky jejich významnosti; o vyhlášku k § 6 odst. 1, ZKB, jež určí formát, strukturu a technický způsob podání ohlášení a registračních údajů; o tzv. vyhlášku o bezpečnostních opatřeních podle § 13 odst. 3, ZKB, která konkretizuje obsah, úroveň a postup zavádění opatření; a o vyhlášku k § 16 odst. 5, ZKB, která stanoví strukturu a obligatorní náležitosti hlášení o incidentech včetně lhůt a komunikačních kanálů. Interní směrnice i smluvní dokumentaci proto koncipujte tak, aby na tyto prováděcí standardy výslovně odkazovaly a obsahovaly pružný mechanismus aktualizace (např. klauzuli o automatické konformitě s aktuálním zněním vyhlášek NÚKIB).

Velikost podniku

Velikost podniku je v ZKB základním filtrem pro obecný registrační režim. Podle § 4 odst. 1 písm. b) se vychází z definice MSP dle doporučení Komise 2003/361/ES: střední podnik má méně než 250 zaměstnanců a roční obrat do 50 mil. EUR nebo bilanční sumu do 43 mil. EUR; podnik, který tyto limity překročí, je velký. Splní-li poskytovatel regulované služby sektorová kritéria podle § 4 odst. 1 písm. a) a současně je středním či velkým podnikem ve smyslu uvedené definice, spadá do obecného registračního režimu. Mikropodnik nebo malý podnik do něj spadne jen tehdy, pokud je „významný pro uvedené činnosti nebo pro bezpečnost České republiky“ (in fine § 4 odst. 1 písm. b)), případně z důvodů zvláštního významu podle § 5. Zákon přitom v § 7 výslovně upřesňuje, jak tuto velikost posuzovat v české praxi. Předně stanoví, které veřejnoprávní subjekty se pro účely ZKB za „podnik“ nepovažují (typicky organizační složky státu, územní samosprávné celky či Česká národní banka), takže velikostní práh se u nich neposuzuje jako u obchodních korporací. Dále upravuje, jak se přihlíží k partnerským a propojeným osobám ve skupinách, aby nedocházelo k mechanickému sčítání tam, kde jsou technická aktiva pro poskytování posuzované služby fakticky oddělena; smyslem je zachytit reálnou provozní kapacitu, nikoli pouze účetní propojení. A konečně, pro subjekty působící ve vědě, výzkumu a vzdělávání, které samy nejsou podnikem, se postup podle doporučení MSP použije obdobně, aby bylo možné určit, zda splňují velikostní práh dle § 4 odst. 1 písm. b). Praktický závěr je jednoduchý: u korporací proveďte výpočet velikosti podle metodiky MSP a zohledněte zvláštnosti § 7; jste-li menší subjekt, vždy ještě ověřte „významnost“ dle § 4 odst. 1 písm. b) in fine nebo zvláštní důvody registrace podle § 5.[1]

Rozdělení do režimů a oznamování změn

Poskytovatelé regulovaných služeb jsou v režimu vyšších povinností, pokud jsou vzhledem k velikosti, dopadu nebo rizikovosti „značně“ významní; ostatní jsou v režimu nižších povinností. Konkrétní rozdělení podle typů služeb stanoví vyhláška NÚKIB (§ 8 odst. 1–2 ZKB). Je-li služba registrována z důvodů zvláštního významu podle § 5, spadá poskytovatel přímo do režimu vyšších povinností (§ 8 odst. 3 ZKB). Změny regulované služby, které mohou vést ke změně režimu, musí poskytovatel ohlásit do 60 dnů; přechod z nižšího do vyššího režimu „restartuje“ roční lhůty pro zahájení plnění povinností (§ 9 odst. 1–2 ZKB). 

Na co myslet v praxi (sebeidentifikace)

Doporučit lze postup „od služby k důkazům“: (i) identifikovat poskytované činnosti proti sektorům a typům dle očekávané vyhlášky (§ 4 odst. 2), (ii) prověřit znaky zvláštní významnosti (§ 5), (iii) připravit včas ohlášení (§ 6), (iv) po registraci nahlásit kontaktní/doplňující údaje (§ 11) a (v) souběžně vymezit stanovený rozsah aktiv a zahájit práce na bezpečnostních opatřeních tak, aby se stihly roční starty povinností – zavádění a provádění opatření (§ 13 odst. 2 a 4 ZKB) a ohlašování incidentů (§ 15 odst. 4 ve vazbě na postup dle § 16 ZKB). Hlášení kybernetických bezpečnostních incidentů se podává přes Portál NÚKIB; při jeho nedostupnosti zákon určuje náhradní kanály a rozlišuje adresáta dle režimu (NÚKIB vs. Národní CERT) (§ 16 odst. 4 ZKB).

Co z toho plyne pro praxi (stručný checklist):

1. Zmapujte služby vs. odvětví (§ 4 odst. 1 písm. a)) a posuďte MSP/velikost dle metodiky a § 7 ZKB.
2. Prověřte zvláštní důvody (§ 5, ZKB) – jediný poskytovatel, systémová rizika, vazba na kritickou infrastrukturu apod.
3. Připravte ohlášení do 60 dnů (§ 6 odst. 1, ZKB) a uložte si prokazatelné podklady k naplnění podmínek.
4. Po registraci do 30 dnů nahlaste kontaktní a doplňující údaje (§ 11, ZKB) a vymezte stanovený rozsah (§ 12, ZKB).
5. Začněte implementaci opatření a nastavte procesy incidentního hlášení, abyste do 1 roku od registrace splnili start § 13(4) a § 15(4), ZKB.
6. Nastavte vnitřní SLA pro 24h hlášení (§ 16, ZKB) a připravte fallback postup při výpadku Portálu Úřadu.
7. Režimově si ujasněte adresáta hlášení (Úřad vs. Národní CERT) a interně to uveďte v playboocích.

Co dál?

Po doručení rozhodnutí o registraci je prvním krokem vymezení tzv. stanoveného rozsahu, tedy souboru aktiv souvisejících s poskytováním regulované služby; poskytovatel identifikuje primární a podpůrná aktiva, vede o nich evidenci a pravidelně ji aktualizuje, přičemž do dokončení posouzení platí domněnka, že dosud neposouzená aktiva do rozsahu náleží (§ 12, ZKB). Na tuto mapu aktiv bezprostředně navazuje povinnost zavádět a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti příslušné služby; zákon pro začátek plnění této povinnosti stanoví roční lhůtu ode dne doručení rozhodnutí o registraci (§ 13 odst. 2 a 4, § 14, ZKB). Současně je nutné do 30 dnů nahlásit kontaktní a doplňující údaje a průběžně hlásit jejich změny do 14 dnů (§ 11ZKB). V praxi je účelné, aby statutární orgán určil odpovědnou osobu za komunikaci s Úřadem, schválil interní směrnici pro řízení kybernetické bezpečnosti a incidentů a zadal revizi smluvních vzorů vůči klíčovým dodavatelům, protože požadavky na řízení dodavatelů a součinnost při incidentech jsou integrální součástí zákonných povinností (§ 13 odst. 5 ZKB). Povinnost ohlašovat kybernetické bezpečnostní incidenty začíná nejpozději se začátkem plnění bezpečnostních opatření, tedy do jednoho roku ode dne doručení rozhodnutí o registraci (§ 15 odst. 4, ZKB). Poskytovatelé v režimu vyšších povinností hlásí incidenty NÚKIB, poskytovatelé v režimu nižších povinností Národnímu CERT. Základní proces zahrnuje prvotní oznámení bez zbytečného odkladu, nejpozději do 24 hodin od zjištění, následné doplňování informací v zákonem a prováděcí vyhláškou stanovených lhůtách a závěrečnou zprávu po vyřešení. U vyššího režimu NÚKIB do 24 hodin sděluje, zda má incident významný dopad na kybernetický prostor státu (§ 16). Prakticky je nutné předem nastavit interní eskalační schéma s garantovanou 24hodinovou dostupností, zajistit schopnost exportovat požadované logy a záznamy a smluvně ukotvit součinnost dodavatelů při detekci, hlášení a zvládání incidentů (§ 13 odst. 5, ZKB).

Dodavatelé a strategicky významné služby

Pokud jsou bezpečnostní opatření zajišťována prostřednictvím dodavatelů, musí poskytovatel jejich výběr a smluvní úpravu přizpůsobit zákonným požadavkům, včetně auditovatelnosti plnění, povinnosti hlásit bezpečnostní události a poskytnout nezbytné podklady při incidentu (§ 13 odst. 5, ZKB). V případě hrozícího nebo probíhajícího incidentu se závažným dopadem může NÚKIB uložit dodavateli povinnost předat provozní informace a data nezbytná ke zvládnutí situace. U strategicky významných služeb může NÚKIB opatřením obecné povahy omezit či vyloučit využití určitého dodavatele v kritické části stanoveného rozsahu; s tím se pojí evidenční a ohlašovací povinnosti o bezpečnostně významných dodávkách a právo vypovědět závazek, není-li plnění s takovým opatřením slučitelné (§ 29 až § 32 ZKB). Z toho plyne doporučení mít v klíčových kontraktech tzv. regulatory change a security termination klauzule, detailní úpravu přístupu k logům a incidentním datům a jasně definované reakční lhůty.

Jaké hrozí sankce a jaká je osobní odpovědnost?

ZKB zpřesňuje správní delikty a pracuje s výraznými horními hranicemi: u vybraných porušení až do 250.000.000, - Kč nebo do 2 % čistého celosvětového ročního obratu. U dalších skutkových podstat se pohybují limity níže (např. 175.000.000, - Kč nebo 1,4 % obratu, případně 100/50/35 milionů Kč podle závažnosti) a zákon umožňuje také pořádkové a donucovací pokuty k vymožení konkrétní povinnosti (§ 59 až § 63, ZKB). U zvlášť závažných situací zákon počítá i s dočasným zákazem výkonu funkce člena statutárního orgánu při maření nápravy. Pro řízení rizik vedení to znamená zohlednit ZKB ve vnitřních kontrolních mechanismech a pojistných krytích.

Závěr, aneb minimum pro první rok!

Pro subjekty, které byly regulovány podle zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti, platí plynulý přechod: povinnosti v rozsahu ZKB plní ode dne jeho účinnosti, způsob hlášení incidentů se na ně použije ode dne doručení rozhodnutí o registraci a nové lhůty pro zavedení opatření běží podle ZKB. Doporučuji proto rozvrhnout první rok tak, aby bezprostředně po doručení rozhodnutí následovalo vymezení stanoveného rozsahu (§ 12, ZKB), okamžité nastavení hlášení incidentů a do 12 měsíců formální zahájení plnění opatření dle § 13 a § 14, ZKB.

Pro poskytovatele regulované služby je klíčové v následujícím pořadí vymezit stanovený rozsah (§ 12, ZKB), nastavit a nejpozději do jednoho roku spustit plnění bezpečnostních opatření (§ 13 a § 14 ZKB), s tím souběžně zavést proces incidentního hlášení včetně 24hodinové připravenosti a adresace podle režimu (§ 15 a § 16 ZKB) a upravit smluvní vztahy s dodavateli tak, aby odpovídaly zákonným požadavkům a zvládly mimořádné zásahy NÚKIB (§ 13 odst. 5, § 24, § 29 až § 32, ZKB). Tím se vytvoří auditovatelný základ, který jednak snižuje riziko sankcí, jednak umožní pružně reagovat na metodiku a prováděcí vyhlášky NÚKIB, které doplní technickoorganizační detail. 

---

Použité zdroje:

• Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, ve znění platných právních předpisů. 
• Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2). Dostupné: https://eur-lex.europa.eu/eli/dir/2022/2555/oj. 
• Evropská komise: Generální ředitelství pro vnitřní trh, průmysl, podnikání a malé a střední podniky, Uživatelská příručka k definici malého a středního podniku, Úřad pro publikace, 2020. Dostupné: https://op.europa.eu/en/publication-detail/-/publication/756d9260-ee54-11ea-991b-01aa75ed71a1/language-en. 
• NÚKIB – oficiální informace k implementaci NIS2 a k novému ZKB, včetně Portálu Úřadu pro elektronická podání (metodické materiály a průvodce k registraci, hlášení údajů a incidentů). Dostupné: https://nukib.gov.cz/. 
• CSIRT.CZ (Národní CSIRT ČR – provoz národního CERT/CSIRT). Dostupné: https://csirt.cz/cs/o-nas/.