Digitální hrozby nutí tisíce firem k radikální změně. Od 1. listopadu 2025 platí v Česku nový zákon o kybernetické bezpečnosti, který poprvé dopadne na široké spektrum podniků včetně dodavatelských řetězců. Firmy musí samy identifikovat své povinnosti a zavést přísná bezpečnostní pravidla. Čeká je dohled Národního úřadu pro kybernetickou a informační bezpečnost. A experti varují: I když úřad kontroly zpravidla ohlásí, čas na zavedení pravidel do praxe se drasticky krátí.

Nový zákon o kybernetické bezpečnosti je přímou implementací evropské Směrnice NIS2 (Network and Information Security 2). Ta reaguje na rostoucí sofistikovanost kybernetických útoků v celé Evropské unii. Jejím hlavním cílem je zvýšit úroveň digitální odolnosti v členských státech a sjednotit minimální bezpečnostní standardy. Směrnice výrazně rozšiřuje okruh regulovaných subjektů z několika desítek až na tisíce firem napříč klíčovými sektory (energetika, doprava, zdravotnictví, IT služby, dodavatelé).

Klíčovou roli v dohledu má Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Experti se shodují: firmy musí neprodleně zahájit samoidentifikaci a plnění povinností. Přestože úřad kontroly většinou ohlásí, zákon dává firmám na plné zavedení opatření jen rok od jejich registrace. Za nesplnění nápravných opatření pak hrozí likvidační postihy.

Jak se připravit? Analýza rizik je startovní čára

Podle expertů z advokátních kanceláří je nejefektivnější přípravou na novou regulaci systematický postup, protože prováděcí vyhlášky jsou na rozdíl od jiných regulací (jako GDPR) velmi konkrétní a firmy mohou podle nich přesně postupovat. Jako první krok doporučuje Lenka Soukupová z NÚKIB i Tomáš Ščerba z globální právní společnosti DLA Piper provést audit nebo GAP analýzu. Cílem této analýzy je zmapovat aktuální stav kybernetické bezpečnosti a zjistit rozdíly oproti požadavkům nové legislativy.

Přípravný proces, který firmy musí aktivně řídit:

Mohlo by vás zajímat

Robert Fico
  1. Stanovte rozsah a mapujte aktiva: Jiří Hradský ze Sedláková Legal zdůrazňuje, že firmy musí nejprve zmapovat svá klíčová aktiva. Musí provést stanovení rozsahu a jasně určit primární a podpůrná aktiva, která souvisejí s regulovanou službou.
  2. Analyzujte rizika: Následuje provedení důkladné analýzy rizik nad stanoveným rozsahem.
  3. Jmenujte odpovědné role a připravte dokumentaci: Firmy musí formálně jmenovat klíčové role (například manažera kybernetické bezpečnosti) a okamžitě připravit řídící dokumentaci –⁠ zejména prohlášení o aplikovatelnosti a interní bezpečnostní politiky.
  4. Revidujte smlouvy s dodavateli: Tomáš Ščerba upozorňuje, že firmy musí provést právní audit smluv s dodavateli IT služeb. Je naprosto klíčové dodatkovat kontrakty tak, aby jasně stanovovaly požadavky na bezpečnost, odpovědnost a procesy reakce na incidenty.
právník konference
Právník z advokátní kanceláře Sedláková Legal Jiří Hradský na konferenci Ekonomického deníku a České justice Právo a digitalizace. Foto: Radek Čepelák

Klíčová je lhůta: Po registraci regulované služby u NÚKIB firmy spouštějí roční odpočet na plnou implementaci všech opatření podle příslušné vyhlášky. Lenka Soukupová varuje, že organizace, která v oblasti kybernetické bezpečnosti dosud neudělala nic, už ani při kontrole ohlášené měsíc dopředu nedokáže nic zásadního napravit.

Kontroly budou dlouho předem hlášené, ale detailní

Expertní shoda panuje v tom, že kontroly NÚKIB budou z drtivé většiny předem ohlášené a budou vyžadovat vysokou součinnost. Neplánované kontroly budou spíš výjimkou, například při podezření na závažný incident. Termín i rozsah kontroly si NÚKIB s kontrolovanou organizací zpravidla dohodne předem, což potvrzuje i Jiří Hradský, protože k ověření technických požadavků potřebuje úřad součinnost personálu.

Kontrolu provádí tým expertů NÚKIB. Lenka Soukupová popisuje, že kontroloři provedou primárně rozhovory s odpovědnými osobami, vyžádají si ukázky (například práce s nástroji) a zkontrolují veškerou písemnou dokumentaci (firemní politiky, analýzy rizik, smlouvy).

Jiří Hradský podotýká, že půjde o faktickou kontrolu na místě, protože mnoho technických požadavků vyžaduje ověření přímo v provozu. Kontrolní tým ověřuje plnění povinností pomocí vlastních checklistů (kontrolních seznamů). Po ukončení kontroly vyhotoví úřad protokol, ke kterému kontrolovaná organizace může předložit námitky.

Příležitost ke zlepšení, ne k trestu

Všichni oslovení experti se shodují, že firmy by měly změnit tradiční negativní vnímání kontroly. Lenka Soukupová z NÚKIB zdůrazňuje, že úřad chce především pomáhat: „My doporučujeme tento mindset změnit a využít kontrolu ve svůj prospěch, jako možnost zjistit, kde jsou možné nedostatky. V případě neshody se zákonem úřad ve většině případů uloží nápravné opatření včetně termínu jeho plnění.“

K přestupkovému řízení a následné pokutě dojde pouze v případě, že firma nesplní uložené nápravné opatření v daném termínu. Tomáš Ščerba proto doporučuje, aby firmy pro účely obranné dokumentace (defense file) pečlivě zaznamenaly veškeré činnosti. Tím prokážou postup s péčí řádného hospodáře a sníží riziko sankcí.