V dnešním digitálním světě je kybernetická bezpečnost klíčová pro ochranu dat, služeb a celkové fungování státu i podniků. Česká republika reaguje na rostoucí hrozby novou legislativou. Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, přináší komplexní úpravu práv a povinností v této oblasti a zapracovává relevantní předpisy Evropské unie. Cílem je posílit obranu proti kybernetickým útokům a zajistit kontinuitu klíčových služeb.
Koho se nový zákon týká?
Zákon se primárně vztahuje na poskytovatele regulovaných služeb. Vaše organizace spadá pod tuto regulaci, pokud splňuje současně tři základní podmínky:
Působíte v regulovaném odvětví: Jde o vybraná klíčová odvětví, která jsou významná pro zabezpečení důležitých společenských nebo ekonomických činností či pro bezpečnost České republiky. Patří sem například energetika, zdravotnictví, doprava, digitální infrastruktura a služby, finanční trh, veřejná správa, ale i výrobní či potravinářský průmysl, věda, výzkum a vzdělávání, poštovní a kurýrní služby či obranný a vesmírný průmysl. Konkrétní seznam odvětví a služeb bude stanoven vyhláškou Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „Úřad“).
Poskytujete regulovanou službu: Nestačí pouze působit v daném odvětví, musíte poskytovat konkrétní službu uvedenou v příloze vyhlášky o regulovaných službách.
Jste dostatečně významní: Splňujete tzv. podmínky významnosti poskytovatele regulované služby. To se posuzuje zejména podle velikosti podniku (ve smyslu doporučení Komise 2003/361/ES, tj. počet zaměstnanců, roční obrat nebo bilanční suma roční rozvahy). Může jít i o další kritéria specifikovaná ve vyhlášce. Organizace si musí splnění těchto kritérií posoudit samostatně.
Výjimku tvoří informační nebo komunikační systémy, které nakládají s utajovanými informacemi – na ty se zákon nevztahuje.
Kromě těchto podmínek může Úřad zahájit řízení, pokud je poskytována služba, jejíž narušení by mohlo mít významný dopad na bezpečnost České republiky, způsobit závažný zásah do života více než 125 000 osob, vyvolat systémová rizika nebo narušit schopnost poskytovat jinou regulovanou službu v režimu vyšších povinností, nebo pokud je poskytovatel subjektem kritické infrastruktury.
Dva režimy povinností: Vyšší a Nižší
Pokud vaše organizace spadá pod regulaci, bude zařazena do jednoho ze dvou režimů povinností: vyššího nebo nižšího. Rozdělení do režimů stanoví Úřad vyhláškou.
Vyšší režim povinností: Vztahuje se zpravidla (nikoli výlučně) na velké podniky nebo organizace, které jsou značně ekonomicky, společensky nebo bezpečnostně významné pro Českou republiku z důvodu své velikosti, počtu uživatelů, geografického rozšíření služby, dopadu na fungování odvětví nebo rizikovosti provozu.
Nižší režim povinností: Vztahuje se zpravidla (nikoli výlučně) na střední podniky, které poskytují důležité služby, ale nemají zásadní strategický význam.
Důležité je, že jedna organizace má vždy pouze jeden režim povinností. Pokud poskytujete více regulovaných služeb a alespoň jedna z nich spadá do vyššího režimu, vztahují se na všechny vaše regulované služby povinnosti vyššího režimu.
Klíčové povinnosti plynoucí z nového zákona
Nový zákon ukládá řadu povinností, které mají zvýšit ochranu vašich služeb a dat před kybernetickými hrozbami. Zde je přehled těch hlavních:
1. Ohlášení regulované služby a hlášení kontaktních a doplňujících údajů: Jste povinni ohlásit vaši regulovanou službu Úřadu nejpozději do 60 dnů ode dne, kdy jste splnili podmínky pro její registraci. Po doručení rozhodnutí o registraci musíte do 30 dnů nahlásit kontaktní a doplňující údaje (např. o vlastnické struktuře, technické údaje služby, geografické rozšíření). Veškerá komunikace s Úřadem probíhá primárně prostřednictvím Portálu Úřadu.
2. Stanovení rozsahu řízení kybernetické bezpečnosti: Musíte určit primární a podpůrná aktiva, která souvisejí s poskytováním regulované služby. Pokud rozsah nestanovíte, předpokládá se, že se regulace vztahuje na celou organizaci. Stanovený rozsah je třeba pravidelně přezkoumávat a aktualizovat.
3. Zavádění bezpečnostních opatření: V rámci stanoveného rozsahu je nutné implementovat organizační a technická bezpečnostní opatření. Rozsah těchto opatření se liší pro vyšší a nižší režim. Začít plnit tuto povinnost musíte nejpozději do 1 roku ode dne doručení rozhodnutí o registraci regulované služby.
- Pro vyšší režim jsou to opatření jako systém řízení bezpečnosti informací, řízení rizik, řízení dodavatelů, fyzická bezpečnost či bezpečnost komunikačních sítí.
- Pro nižší režim jsou opatření jednodušší, zahrnující například systém zajišťování minimální kybernetické bezpečnosti, řízení rizik, bezpečnost lidských zdrojů či řešení incidentů.
- Poskytovatelé regulovaných služeb v odvětví digitální infrastruktury a služeb (např. systém překladu doménových jmen, cloud computing, datová centra, platformy sociálních sítí, řízené bezpečnostní služby) se řídí zvláštními pravidly a prováděcími předpisy Evropské komise.
4. Hlášení kybernetických bezpečnostních incidentů:
- Poskytovatelé ve vyšším režimu hlásí Úřadu všechny kybernetické bezpečnostní incidenty, které se projevily ve stanoveném rozsahu, mají původ v kybernetickém prostoru a nelze u nich vyloučit úmyslné zavinění.
- Poskytovatelé v nižším režimu hlásí Národnímu CERT incidenty se významným dopadem, které splňují stejná kritéria jako u vyššího režimu. Významný dopad je definován jako závažné provozní narušení, finanční ztráty nebo značná újma jiným osobám.
- Hlášení incidentů se provádí bez zbytečného odkladu, nejpozději do 24 hodin po zjištění, primárně prostřednictvím Portálu Úřadu. Následuje pak oznámení do 72 hodin a závěrečná zpráva do 30 dnů po vyřešení incidentu. Start této povinnosti je do 1 roku od doručení rozhodnutí o registraci.
5. Informování uživatelů o incidentech a hrozbách: Můžete informovat uživatele o významných incidentech, pokud to považujete za vhodné. Úřad vám však může tuto povinnost nebo zákaz uložit. Jste také povinni informovat uživatele o významných hrozbách a krocích, které mohou podniknout k minimalizaci dopadu.
6. Provádění protiopatření vydaných Úřadem: Jste povinni reagovat na výstrahy, varování a reaktivní protiopatření vydané Úřadem.
- Výstraha slouží k informování veřejnosti o incidentu nebo porušování povinností.
- Varování upozorňuje na závažné hrozby nebo zranitelnosti.
- Reaktivní protiopatření ukládá konkrétní kroky k řešení hrozícího/probíhajícího incidentu nebo k zabezpečení aktiv.
7. Mechanismus prověřování bezpečnosti dodavatelského řetězce: Tato povinnost se týká pouze poskytovatelů strategicky významných služeb. Strategicky významná služba je regulovaná služba, jejíž narušení by mohlo mít závažný dopad na bezpečnost České republiky nebo vnitřní pořádek. Poskytovatelé musí prověřovat své dodavatele bezpečnostně významných dodávek (tj. plnění směřující do kritické části stanoveného rozsahu). Úřad ve spolupráci se zpravodajskými službami a dalšími orgány shromažďuje a vyhodnocuje informace o dodavatelích a může na základě rozhodnutí vlády stanovit podmínky nebo zakázat využití rizikového dodavatele. Jsou však zavedeny mechanismy ochrany práv poskytovatelů, včetně možnosti připomínkování a zohlednění doby odpisu technologií.
8. Zajištění dostupnosti strategicky významné služby z České republiky: Poskytovatelé strategicky významných služeb musí zajistit dostupnost těchto služeb v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky. To znamená, že i když služba běžně funguje se zahraničními aktivy, v případě problému musí být schopna fungovat výhradně z ČR bez použití aktiv mimo území ČR, a to i ve snížené kvalitě definované poskytovatelem. Tato schopnost musí být pravidelně prověřována a testována.
Orgány dohledu a spolupráce
Hlavním ústředním správním úřadem pro oblast kybernetické bezpečnosti je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Úřad koordinuje, analyzuje, provádí prevenci, testování a výzkum v oblasti kybernetické bezpečnosti. Národní CERT funguje jako kontaktní místo pro poskytovatele v nižším režimu povinností a zajišťuje sdílení informací a metodickou podporu. Komunikace s Úřadem probíhá primárně přes Portál Úřadu, který má zajistit maximální automatizaci a samoobslužnost pro snížení administrativní zátěže.
V případě závažného ohrožení může Úřad vyhlásit stav kybernetického nebezpečí, což mu dává rozšířené pravomoci k řešení situace, například nařídit opatření i pro subjekty mimo regulaci, žádat lidské zdroje nebo zakázat používání ohrožených technických aktiv.
Kontrola a sankce
Úřad vykonává kontrolu plnění povinností a může ukládat nápravná opatření. Za závažná porušení povinností mohou být uloženy vysoké pokuty, a to až do výše 250 000 000 Kč nebo 2 % čistého celosvětového ročního obratu. V režimu vyšších povinností hrozí také specifické sankce, jako je pozastavení platnosti evropského certifikátu kybernetické bezpečnosti nebo dočasný zákaz výkonu funkce člena statutárního orgánu v případě opakovaného nebo závažného porušení. Úřad může rovněž ukládat pořádkové nebo donucovací pokuty pro vymáhání plnění rozhodnutí.
Shrnutí
Nový zákon o kybernetické bezpečnosti představuje zásadní krok k posílení odolnosti České republiky vůči kybernetickým hrozbám. Je klíčové, aby se dotčené organizace s novými povinnostmi seznámily a zahájily přípravy na jejich plnění. Další podrobnosti k implementaci zákona budou upraveny v prováděcích předpisech, tedy v nařízeních vlády a vyhláškách Úřadu. Doporučujeme sledovat aktuální vývoj a v případě nejistot vyhledat odbornou právní pomoc, kterou jsme samozřejmě připraveni Vám i v této oblasti poskytnout.
Co pro vás může udělat advokát?
- Právní audit a analýza rizik
- Příprava interních směrnic a compliance dokumentace
- Školení vedení i zaměstnanců
- Revize a úprava smluv se smluvními partnery
- Právní podpora při prověřování a řízení dodavatelského řetězce
- Právní podpora v krizových situacích a při hlášení incidentů
- Zastupování při kontrolách a auditech
- Obrana ve správním řízení i před soudy
Zdroj:
zákon č. 264/2025 Sb., o kybernetické bezpečnosti
Diskuze k článku ()