Od 1. listopadu 2025 začíná v Česku platit nový zákon o kybernetické bezpečnosti vycházející ze směrnice NIS2. Ovlivní přibližně 10 000 firem a organizací napříč odvětvími, včetně těch, které by to nečekaly. Firmy a organizace budou mít povinnost nahlásit se do 60 dnů od chvíle, kdy splní podmínky pro registraci – u většiny organizací již v den účinnosti zákona. Po obdržení rozhodnutí o registraci má poskytovatel regulované služby 30 dní na doplnění kontaktních údajů a 12 měsíců na zavedení potřebných bezpečnostních opatření. Pro podniky, které se kyberbezpečností dosud nezabývaly, je proto vhodné začít s přípravou už nyní.
Nový zákon přináší povinnost provést samoidentifikaci a ověřit, zda firma spadá do kategorie vyššího (essential) či nižšího (important) režimu povinností. NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) na svém portálu zpřístupnil průvodce a kalkulačku, které firmám pomohou určit, zda se na ně regulace vztahuje.
Pokud organizace zjistí, že podléhá regulaci, musí do 60 dnů od nabytí účinnosti zákona ohlásit poskytování regulované služby prostřednictvím portálu NÚKIB. Od tohoto okamžiku začínají běžet dvě klíčové lhůty 30 dní pro doplnění kontaktních údajů a 12 měsíců pro implementaci potřebných bezpečnostních opatření.
Nový zákon klade důraz na jasné nastavení rolí a odpovědností. Mezi klíčové povinnosti patří:
- Určení odpovědné osoby pro komunikaci s NÚKIB, a v případě vyššího režimu také manažera kybernetické bezpečnosti.
- Analýza rizik a zavedení systému řízení bezpečnosti informací (ISMS).
- Nastavení procesů pro detekci a hlášení kybernetických incidentů - předběžná zpráva do 24 hodin, rozšířené oznámení do 72 hodin a závěrečná zpráva do 1 měsíce.
- Zohlednění bezpečnostní požadavky na dodavatele, pravidelně školit zaměstnance a implementovat technická opatření, jako jsou MFA (vícefaktorová autentizace), segmentace sítí, šifrování a logování.
- Vedení přehledné dokumentace o přijatých krocích.
Seznam a podmínky regulovaných služeb, na které se nový zákon, jsou uvedeny ve vyhlášce o regulovaných službách, jejíž podoba dosud není finální. Za závažná porušení povinností podle nového zákona hrozí vysoké pokuty a pozastavení platnosti certifikace.
