Hlavní strana -> Časopis IT Systems -> Rok 2026 -> IT Systems 1-2/2026 -> Nový zákon o kybernetické bezpečnosti v otázkách a odpovědích
IT SYSTEMS 1-2/2026 , IT Security , IT právo

Nový zákon o kybernetické bezpečnosti v otázkách a odpovědích

Kateřina Hůtová

Nový zákon o kybernetické bezpečnosti je už pár měsíců účinný a organizace měly ke konci minulého roku ohlásit své regulované služby. Pokud také řešíte, co přesně zákon vyžaduje a jak jednotlivé povinnosti uchopit v běžném provozu, v článku odpovídáme na časté otázky, které vám pomohou se v požadavcích zákona zorientovat a výrazně usnadnit první kroky.


Co nový zákon o kybernetické bezpečnosti řeší a koho se týká?

Zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) je účinný od listopadu 2025 a týká se poskytovatelů regulovaných služeb, kterým ale tentokrát nikdo nedal předem vědět, že pod zákon spadají. Organizace si to měly vyhodnotit samy a na základě toho ohlásit regulované služby do konce minulého roku. 
Zákon vychází z evropské směrnice NIS2 a pracuje se dvěma režimy povinností. Ty určují, jak rozsáhlá opatření má organizace zavádět podle významu služby a možných dopadů incidentu. Nové požadavky se týkají například řízení rizik, bezpečnostních rolí, hlášení incidentů, práce s dodavateli nebo pravidelného školení zaměstnanců.

Nestihli jsme ohlásit regulované služby do konce roku 2025. Co teď?

Teď máte ideálně čas to dohnat. Je určitě lepší služby ohlásit později než situaci ignorovat a čekat, že „to nějak vyšumí“. Obzvlášť pokud víte nebo máte podezření, že regulovanou službu poskytujete. Pokud si nejste jistí, zda vaše služby skutečně spadají mezi regulované podle vyhlášky o regulovaných službách, i tak je bezpečnější je ohlásit. Když pak zjistíte, že něco nesedí, údaje můžete dodatečně upravit a případné odhlášení je otázkou několika minut.
Úřad vnímá aktivní snahu plnit zákonné povinnosti lépe než pasivitu. Ohlášení (i to dodatečné) navíc vysílá jasný signál i směrem k zákazníkům a partnerům, že kybernetickou bezpečnost berete vážně a řešíte ji odpovědně.

Jak postupovat dál po ohlášení regulované služby?

Začněte tím, že si ujasníte, kde dnes reálně stojíte. Porovnejte současný stav organizace s tím, co byste měli plnit podle zákona. Jinými slovy si projděte, co už vám funguje a kde máte mezery. Podívejte se na interní dokumentaci, nastavené procesy a mluvte se zaměstnanci, kteří s nimi denně pracují. Často právě díky nim narazíte na reálné slabiny, ne jen ty „papírové“. 
Na základě toho si pak sestavte akční plán. Ten by vám měl jasně říct, co je potřeba řešit hned, co může chvíli počkat, a zároveň dát rámec pro čas, kapacity a rozpočet. Díky tomu se neztratíte v detailech, a naopak získáte jasnou představu o tom, kde začít.
Nejdřív zjistěte slabiny, pak plánujte, jak je zacelit.

Jaké sankce hrozí za nesplnění povinností? 

Zákon počítá s poměrně vysokými pokutami, a to až do výše bud 170 milionů (nižší režim), 250 milionů korun (vyšší režim) nebo určitá % z celkového obratu. Sankce se netýkají jen chybějících bezpečnostních opatření, ale i situací, kdy organizace neohlásí regulované služby nebo neohlásí kybernetický incident.
Odpovědnost se navíc netýká jen organizace jako celku. Přímou odpovědnost nese i vrcholový management. V krajním případě může být člen statutárního orgánu nebo vedoucí odštěpného závodu (v rámci vyššího režimu) dočasně omezen ve výkonu své funkce, a to min. na šest měsíců, dokud se zjištěné nedostatky neodstraní. K tomu se mohou přidat pořádkové pokuty nebo další opatření s přímým dopadem na chod organizace.

Máme rok na přípravu a implementaci opatření. Dá se to vůbec stihnout?

Zákon o kybernetické bezpečnosti počítá lhůty od okamžiku, kdy vám dorazí rozhodnutí o registraci regulované služby. Od tohoto dne běží roční lhůta na postupné zavádění bezpečnostních opatření, ale také na to, abyste byli schopni hlásit kybernetické bezpečnostní incidenty. Neznamená to ale, že všechno musíte mít hotové přesně do jednoho roku. V praxi se očekává, že organizace po dvanácti měsících má plán, ví, co řeší jako první a proč, a je schopná doložit, že na bezpečnostních opatřeních systematicky pracuje.
I když se to může zdát jako dlouhá doba, nenechávejte to na poslední chvíli. Spoustu času spotřebujete na přípravu – výběr technologií, dostupnost dodavatelů, interní rozhodování nebo školení zaměstnanců. Začít včas vám umožní rozložit práci a rozpočet v čase a vyhnout se situaci, kdy se klíčové věci dohánějí na poslední chvíli.

Pomůže nám ISO 27001 splnit požadavky zákona? 

Norma ISO 27001 je dobrý výchozí bod. Pokud máte systém dobře zavedený a používáte ho v praxi, pokrývá velkou část požadavků zákona o kybernetické bezpečnosti (nižší režim pokrývá víceméně celý). Samo o sobě ale ISO 27001 zákonné povinnosti nenahrazuje. Některé oblasti je potřeba řešit navíc, typicky například hlášení kybernetických incidentů. Nejrozumnější postup je proto porovnat váš stávající systém s požadavky zákona a zaměřit se zejména na ty části, které vám chybí nebo je potřeba je upravit.
ISO 27001 je výborný základ, ale k úplnému splnění požadavků nového zákona nestačí.

Na co si nechat rezervu při plánování rozpočtu?

Největší náklady obvykle nejsou v technologiích, ale v lidech a čase. Počítejte s kapacitami interních týmů, pravidelnými audity, úpravami smluv s dodavateli a se školením zaměstnanců.  Důležitá je i rezerva na „rok poté“. Implementace totiž nekončí nákupem nástrojů. Skutečně hotovo je až tehdy, kdy nastavený systém a procesy skutečně fungují a lidé je umí správně používat.

Jak nastavit přiměřenost opatření pro ne/kritické procesy?

Základem je vědět, co je pro vaši organizaci opravdu důležité. Nejprve si pojmenujte klíčová aktiva a procesy a zvažte, jaký by měl jejich výpadek nebo narušení reálný dopad. Ne všechny systémy a týmy vyžadují stejnou úroveň ochrany. Zaměřte se tedy primárně na to, co je skutečně kritické pro chod organizace. Menší týmy nebo nepodstatné procesy stačí chránit základními bezpečnostními standardy. Naopak u klíčových systémů nasadíte všechna opatření potřebná k jejich bezpečnému fungování. Přiměřenost není o slevování z bezpečnosti, ale o tom chránit správně věci správným způsobem.

Bude manažer kybernetické bezpečnosti další „ajťák“ v IT týmu?

Kyberbezpečnost není jen technická disciplína. Role manažera kybernetické bezpečnosti je především manažerská. Mělo by jít proto o člověka s technicko-organizačním (a nejlépe i trochu právním) přehledem, který dokáže bezpečnostní témata prosadit, vysvětlit jejich dopady a otevřeně a srozumitelně o nich mluvit s vedením. Zejména pak efektivně předávat informace o rizicích, navrhovat potřebná opatření a zajišťovat, že vedení skutečně učiní potřebná rozhodnutí.
U role manažera kybernetické bezpečnosti je klíčové, aby rozuměl rizikům v kontextu konkrétní organizace, chápal její priority a pohlídal, aby přijatá opatření opravdu fungovala v běžném provozu, nejen v dokumentaci.

Máme starší systémy. Musíme je hned vyměnit za nové? 

Starší systémy, typicky výrobní technologie nebo starší servery, možná nebudou hned splňovat všechny nové požadavky. Neznamená to ale, že je musíte okamžitě měnit. Důležité je nastavit taková bezpečnostní opatření, která dávají u daného systému smysl – například omezit přístup jen na nutné osoby a zajistit, aby komunikovaly pouze s nezbytnými systémy. Zároveň je rozumné počítat s postupnou modernizací, hlavně u systémů, které jsou pro chod organizace klíčové. Když si včas připravíte plán, rozpočet a harmonogram, vyhnete se situaci, kdy by výměna nebo odstávka ohrozila výrobu nebo provoz organizace.

Kdo se bude muset povinně školit v kyberbezpečnosti?

Z pohledu zákona nepůjde jen o IT role. Povinnost školení se vztahuje na všechny, kdo pracují s firemními systémy nebo daty – od běžných uživatelů počítačů a mobilů až po vrcholového vedení. Rozsah školení se potom odvíjí od režimu povinností. V nižším režimu stačí základní školení a průběžná osvěta. Ve vyšším režimu musíte cíleně vzdělávat technické specialisty, administrátory a odpovědné osoby a pravidelně ověřovat jejich znalosti. Forma může být různá, důležité ale je, aby lidé rozuměli rizikům spojeným s používáním firemních systémů a dat, věděli, jak jim předcházet, a uměli správně reagovat.
Kyberbezpečnost se nevyhnutelně dotýká každého, kdo pracuje s firemními daty.

Proč poneseme odpovědnost za dodavatele a jak se chránit?

Zákon o kybernetické bezpečnosti je v tomhle docela nekompromisní: i když vám část činností zajišťuje dodavatel, odpovědnost zůstává na vaší straně. Jako poskytovatel regulované služby musíte mít činnosti dodavatelů pod kontrolou. Pokud ji nemáte, případné pochybení se posuzuje jako selhání vaší organizace, ne dodavatele.
Tomu by měly odpovídat i smlouvy. Vyplatí se předem prověřit dodavatele po byznysové i technické stránce, jasně stanovit pravidla pro subdodavatele, práci s daty a odpovědnosti obou stran (ještě před podpisem smlouvy).
Ve vyšším režimu zákon počítá i s pravidelnou kontrolou klíčových dodavatelů, zda skutečně plní bezpečnostní požadavky. V nižším režimu stačí ve smlouvě s dodavatelem jasně definovat jeho odpovědnost za zavedení a kontrolu bezpečnostních opatření. Myslete také na riziko závislosti na jednom dodavateli, abyste měli v případě problému náhradní řešení.
 
Kateřina Hůtová
Autorka článku je spoluzakladatelkou konzultační společnosti Cybrela, kde zároveň působí jako manažerka kybernetické bezpečnosti.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Co byste měli očekávat od svého dodavatele síťových řešení?

Výběr správného dodavatele síťových komponent může zásadně ovlivnit úspěch vašich projektů, stejně jako celkový provoz a spolehlivost vaší síťové infrastruktury.