Exponenciální nárůst kybernetických incidentů vyvolal potřebu komplexní revize právního rámce v oblasti ochrany informačních systémů a sítí. Reakcí na tyto výzvy se stala směrnice Evropského parlamentu a Rady (EU) 2022/2555, označovaná jako NIS2, která představuje zásadní právní rámec v rámci kybernetické bezpečnosti napříč evropským právním prostorem.
Implementace této směrnice do českého právního řádu prostřednictvím zcela nového zákona o kybernetické bezpečnosti však znamená podstatnou změnu dosavadního regulatorního přístupu. Zatímco stávající zákon č. 181/2014 Sb. se zaměřoval primárně na úzce vymezený okruh subjektů kritické informační infrastruktury, nová legislativní úprava rozšiřuje regulaci na široké spektrum podniků působících v klíčových ekonomických sektorech. Návrh zákona byl dne 17. června 2025 doručen prezidentovi k podepsání. V tomto článku proto představíme nejzásadnější změny, které návrh nového zákona přináší.
Rozšíření povinných subjektů
Zásadní změnou je zavedení konceptu poskytovatelů regulovaných služeb, který nahrazuje dosavadní kategorizaci subjektů kritické informační infrastruktury. Tento nový přístup je založen na kumulativním splnění tří základních kritérií, přičemž subjekt musí
- působit v regulovaném sektoru,
- poskytovat konkrétní regulovanou službu uvedenou ve vyhlášce
- mít požadovanou významnost.
Sektorové kritérium vymezuje odvětví, na která se regulace vztahuje, přičemž toto spektrum zahrnuje tradiční kritické sektory jako energetiku, zdravotnictví, dopravu a telekomunikace, ale rozšiřuje se i na oblasti digitálních služeb, vesmírného průmyslu a dalších strategicky významných odvětví. Regulovaná služba je pak konkrétní druh služby poskytované v daném sektoru, který podléhá regulaci, např. provoz letiště nebo přeprava odpadu. Významnost následně určuje, které subjekty spadají do regulatorního rámce, a to především vzhledem ke své velikosti a jiným kritériím uvedených ve vyhlášce, přičemž subjekt bude při splnění všech podmínek zařazen do režimu vyšších či nižších povinností.
Dalším klíčovým aspektem je přenesení břemene posuzování splnění těchto podmínek na samotné podniky, které budou muset samostatně vyhodnotit, zda budou zařazeny mezi regulované subjekty. Teprve v případě nejasností nebo sporů bude rozhodovat Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v rámci správního řízení.
Odlišné režimy
Dalším prvkem nové legislativy je zavedení dvoustupňové regulace, která rozlišuje mezi režimem vyšších a nižších povinností. Toto rozlišení reflektuje proporcionální přístup k regulaci, kdy intenzita regulatorních požadavků odpovídá riziku a společenskému významu regulovaného subjektu. Základní povinnosti, které jsou společné pro oba režimy, zahrnují registrační a notifikační povinnosti vůči NÚKIB, stanovení rozsahu aplikace bezpečnostních opatření, implementaci adekvátních technických a organizačních opatření a hlášení kybernetických incidentů. Tyto základní požadavky vytváří minimální standard kybernetické bezpečnosti aplikovatelný napříč všemi regulovanými sektory.
Subjekty zařazené do režimu vyšších povinností čelí rozšířeným bezpečnostním požadavkům, mezi které patří např. zvládání kybernetických bezpečnostních událostí a incidentů nebo provádění auditu kybernetické bezpečnosti. Zároveň tyto subjekty čelí potenciálně přísnějším sankcím v podobě dočasného zákazu výkonu funkce člena statutárního orgánu nebo pozastavení certifikace.
Nová bude pro poskytovatele strategicky významných služeb také systematická regulace kybernetické bezpečnosti dodavatelského řetězce, která reflektuje komplexnost současných technologických systémů a provázanost dodavatelských řetězců. Regulované subjekty tak budou povinny provádět kontinuální hodnocení rizik u svých klíčových dodavatelů, udržovat aktuální evidenci dodavatelských vztahů a zajišťovat compliance i na úrovni subdodavatelů.
Legislativa dále umožňuje státu prostřednictvím NÚKIB nebo vlády přijímat restriktivní opatření vůči konkrétním technologiím nebo dodavatelům, pokud jejich využití představuje závažné bezpečnostní riziko. Tato pravomoc představuje významný zásah do smluvní autonomie a může zásadně ovlivnit komerční rozhodnutí soukromých subjektů, což vyvolává otázky ohledně proporcionality a právní jistoty. NÚKIB je dále oprávněn provádět kontroly, ukládat nápravná či dokonce donucující opatření. Potenciální sankce v případně nesplnění zákonem stanovených povinností pak budou záležet na povaze předmětného subjektu, přičemž v režimu vyšších povinností mohou dosáhnout výše až 250 000 000 Kč nebo 2 % čistého celosvětového ročního obratu.
Implementační výzvy
Úspěšná implementace nové legislativy vyžaduje systematický přístup k compliance. Podnik musí v první fázi provést důkladnou analýzu působnosti nových požadavků, a případně registrovat regulovanou službu prostřednictvím Portálu NÚKIB, oznámit požadované kontaktní údaje a vymezit, jakých činností se tato regulace týká. Absence jasného vymezení rozsahu regulace má totiž za následek aplikaci požadavků na celou organizační strukturu, což může vést k neproporcionálnímu regulatornímu břemenu. Následné kroky zahrnují implementaci příslušných bezpečnostních opatření podle odpovídajícího režimu, připravit systém oznamování a evidence incidentů a přizpůsobit relevantní vnitřní dokumentaci. Pro splnění těchto povinností a plnou implementaci bezpečnostních opatření zákon stanoví přechodné období jednoho roku.
Závěr
Nová právní úprava kybernetické bezpečnosti představuje nejen regulatorní výzvu, ale i strategickou příležitost. Úspěch celé iniciativy bude záviset na kvalitě implementace a schopnosti najít rovnováhu mezi bezpečnostními požadavky a praktickými potřebami podniků. Podniky by však neměly vyčkávat a měly by zahájit přípravu na nové požadavky již nyní, a využít tak přechodné období a důkladně se připravit na nové povinnosti v oblasti kybernetické bezpečnosti.
