Nový zákon o kyberbezpečnosti se může týkat tisíců firem

Prvního listopadu letošního roku vstoupí v účinnost nový zákon o kybernetické bezpečnosti. Do českého právního řádu zavádí mimo jiné změny dané evropskou směrnicí NIS2. Podle Národního úřadu pro kybernetickou bezpečnost (NÚKIB) je hlavním cílem nastavit alespoň základní míru zabezpečení v organizacích, které poskytují služby v ekonomicky, bezpečnostně či společensky významných odvětvích. Nová norma se má dotknout tisíců firem, úřadů a organizací.

V loňském roce evidoval NÚKIB dosud nejvíce kybernetických bezpečnostních incidentů. Jejich závažnost se ovšem v posledních třech letech snižuje. V letošním roce zatím úřad evidoval nejvíce incidentů v září, kdy jich bylo čtyřiadvacet.

Ředitel NÚKIB Lukáš Kintr očekává, že celkový počet incidentů za letošek bude vyšší než vloni. „Ale je to jen predikce v září, uvidíme, jaké budou ty další měsíce,“ sdělil ve druhé polovině září s tím, že podzim vždy přináší větší počet incidentů a pokusů o kybernetické útoky.

Kyberbezpečnost řeší i české firmy. Ty dle zprávy Global Threat Intelligence Report bezpečnostní společnosti Check Point v srpnu průměrně čelily 2180 incidentům týdně, což bylo meziročně o patnáct procent více. Celosvětový průměr je přitom 1994 útoků týdně na jednu firmu. Česko tak podle zprávy patří mezi nejméně bezpečné evropské země.

Zákon o kybernetické bezpečnosti
(pdf, 546 kB)
Stáhnout

Nejen firem se dotkne nový zákon o kybernetické bezpečnosti. Zatímco směrnice NIS stanovila kybernetická bezpečnostní pravidla jen pro některá klíčová odvětví, NIS2 regulaci rozšiřuje i na další sektory. Z toho vyplývá, že nový zákon bude dopadat na výrazně vyšší počet organizací. Zatímco dosavadní norma regulovala jen asi čtyři stovky subjektů, nový zákon se dotkne tisíců společností.

Koho se zákon dotkne?

NÚKIB na svém portálu uvádí, že zákon se vztahuje na poskytovatele regulovaných služeb, kteří působí v regulovaných odvětvích. Jde o klíčová odvětví, jako je třeba energetika, zdravotnictví nebo doprava. Seznam všech regulovaných odvětví lze nalézt ve vyhlášce o regulovaných službách, která taktéž vstoupí v účinnost prvního listopadu.

To, že společnost působí v regulovaném odvětví, ovšem nutně nemusí znamenat, že se na ni bude vztahovat nový zákon. NÚKIB totiž zmiňuje i další podmínku. Tou je, že organizace musí poskytovat regulovanou službu, což je taková, která je uvedena v příloze vyhlášky o regulovaných službách. Nestačí tedy jen působit v daném odvětví. Rozhodující je konkrétní služba, kterou organizace poskytuje.

Jako ilustrační příklad může posloužit třeba silniční doprava, která patří k regulovaným odvětvím. Příloha vyhlášky v tomto případě stanovuje pouze dvě konkrétní služby, na něž se bude nový zákon vztahovat. Tou první je řízení provozu na pozemních komunikacích podle zákona o silničním provozu. Druhou je pak provoz inteligentního dopravního systému podle zákona o pozemních komunikacích. V případě, že organizace poskytuje v odvětví silniční dopravy jinou službu, zákon se na ni v tomto ohledu nevztahuje.

Vyhláška o regulovaných službách
(pdf, 1 MB)
Stáhnout

Existuje navíc ještě další podmínka, která se týká významu poskytovatele regulované služby. Sem se řadí zejména velikost podniku, ale případně i další kritéria, která u jednotlivých služeb stanovuje příloha vyhlášky. NÚKIB navíc upozorňuje, že posouzení naplnění těchto kritérií musí každá organizace provést samostatně. Pomoci s tímto posouzením může kalkulačka dostupná na Portálu NÚKIB. Ta po zadání určitých kritérií, jako je například počet zaměstnanců či roční obrat, pomůže určit třeba velikost podniku.

Nový zákon dopadne i na obce s rozšířenou působností. Ty budou muset ohlásit regulovanou službu, zavést bezpečnostní opatření, hlásit incidenty a provádět protiopatření.

Zákon se naopak standardně nebude vztahovat na fyzické osoby a podniky či organizace, které nesplňují podmínky významnosti, neposkytují regulované služby či nepůsobí v regulovaných odvětvích.

Pravidla upřesňují režimy povinností

Směrnice NIS2 kromě rozšíření regulace na větší množství sektorů zároveň rozděluje služby na základní a významné. Toto rozdělení se v českém řádu projeví tím způsobem, že budou rozlišovány dva režimy povinností.

Vyšší režim povinností bude platit pro velké podniky či organizace s klíčovým dopadem na společnost. Nižší režim oproti tomu dopadne na střední podniky, které sice poskytují důležité služby, avšak nemají zásadní strategický význam.

Jako ilustrační příklad lze opět využít odvětví silniční dopravy. Jak již bylo uvedeno výše, jednou z regulovaných služeb v tomto odvětví je řízení provozu na pozemních komunikacích podle zákona o silničním provozu. Příloha vyhlášky stanovuje, že osoba vykonávající tuto službu je poskytovatelem regulované služby vyšších povinností v případě, že je velkým podnikem, a poskytovatelem v režimu nižších povinností v případě, kdy je středním podnikem. Důležité je ovšem dodat, že ne vždy je rozdělení takto jednoduché a u některých odvětí a služeb mohou být stanoveny i jiné podmínky, než je jen velikost podniku.

Zákon navíc stanoví také strategicky významné služby, což jsou takové, jejichž narušení by mohlo mít závažný dopad na bezpečnost Česka nebo vnitřní pořádek. Ty, kterých se to týká, stanovuje nařízením vláda.

Organizace čeká řada povinností

Pro firmy, na které se nevztahovala dosavadní norma, bude platit celá řada povinností. Jak již bylo uvedeno, organizace musí nejprve zjistit, zda se na ně nová norma vztahuje. Pokud ano, jsou povinny zaregistrovat se prostřednictvím Portálu NÚKIB, na což mají šedesát dnů od účinnosti zákona.

Se zákonem je spojena i řada bezpečnostních opatření, která se liší v závislosti na tom, zda se jedná o firmu či organizaci, pro niž platí vyšší režim povinností, nebo na niž se vztahuje režim nižší. Existují dvě různé vyhlášky, které stanovují požadovaná bezpečnostní opatření, přičemž jedna se týká právě režimu vyšších povinností a druhá režimu nižších. Po doručení rozhodnutí o registraci bude mít poskytovatel regulované služby na zavedení bezpečnostních opatření roční lhůtu.

Poskytovatelé regulovaných služeb budou povinni například hlásit kybernetické bezpečnostní incidenty. Nový zákon rovněž klade mnohem větší důraz na zapojení vrcholného vedení do zvyšování úrovně kyberbezpečnosti v organizaci.

Za nesplnění povinností hrozí vysoké sankce

Za nesplnění jednotlivých povinností hrozí pokuty řádově od desítek tisíc korun až po maximální sankci pro poskytovatele v režimu vyšších povinností, která dosahuje až 250 milionů korun nebo výše až do dvou procent čistého celosvětového ročního obratu. Na základě kontroly může dojít také k uložení takzvaných nápravných opatření.

Možnými sankcemi pro poskytovatele v režimu vyšších povinností jsou také pozastavení platnosti certifikace či dočasný zákaz výkonu funkce člena statutárního orgánu fyzické osobě.

Skutečnost, že se nový zákon bude vztahovat na násobně více organizací, firem a úřadů, by ale podle NÚKIB neměl být hlavním důvodem, proč kybernetickou bezpečnost řešit. „Kybernetická bezpečnost je – nebo by alespoň měla být – v dnešní době již základní otázkou dobrého fungování každé organizace,“ zdůraznil úřad.

Jak na zabezpečení?

Prvním krokem při řešení bezpečnosti je podle NÚKIB zorientování se v organizaci a zodpovězení si otázek, jaké regulované služby společnost vykonává a co všechno je k jejich výkonu potřeba.

Následovat by podle úřadu mělo zjištění aktuálního stavu kybernetické bezpečnosti v rámci organizace. „Spousta organizací již má řadu bezpečnostních opatření zavedených, byť o tom nevede žádný záznam, případně o tom vůbec neví,“ podotkl NÚKIB.

Za stěžejní bezpečnostní opatření s minimálními náklady a maximálním užitkem pak úřad označuje školení zaměstnanců, přičemž přímo NÚKIB poskytuje na svém vzdělávacím portálu kurzy zdarma.

Dalším krokem je pak podle NÚKIB samotné zavádění bezpečnostních opatření. „Zákon a související vyhlášky, jak pro vyšší, tak pro nižší režim, nepředpokládají, že budou v zákonné lhůtě zavedena všechna bezpečnostní opatření,“ zdůraznil úřad s tím, že pokud z objektivních důvodů nebude možno opatření zavést v roce původně určeném pro jeho implementaci, není to při případné kontrole problém, bude-li vše racionálně a objektivně odůvodněno.

„Zejména v organizacích, které doteď kybernetickou bezpečnost vůbec neřešily, je vhodné začít tuto problematiku postupně řešit v následujících měsících. Zároveň je potřeba mít na paměti, že zavádění bezpečnostních opatření je kontinuální proces, který nikdy nekončí,“ upozornil NÚKIB.

Ten zároveň v uplynulých týdnech varoval před některými nabídkami na sociálních sítích. „Chtěl bych všechny, na které nový zákon bude dopadat, upozornit na to, že se objevují velmi lákavé nabídky, které slibují, že za vás vyřeší všechny problémy v kybernetické bezpečnosti. Nevyřeší,“ poznamenal Kintr. Doplnil, že na sociálních sítích NÚKIB eviduje zvýšenou aktivitu od subjektů, které se na trhu s kybernetickou bezpečností doposud vůbec neprofilovaly.

Inzeráty podle něj lákají na kompletní řešení kybernetické bezpečnosti a slibují, že to od subjektu nebude vyžadovat žádnou další aktivitu. „To jsou přesně ty aspekty, které by firmy měly motivovat k vyšší obezřetnosti. V reálném životě to prostě takto nefunguje a při zajišťování kybernetické bezpečnosti je potřeba nezastupitelná aktivita subjektu,“ dodal ředitel NÚKIB.

Výběr redakce

Aktuálně z rubriky Domácí

Počet případů boreliózy roste. Stojí za tím změna hlášení i delší klíšťová sezona

Státní zdravotní ústav (SZÚ) eviduje významný nárůst počtu případů lymské boreliózy. Za první pololetí roku 2026 SZÚ zaznamenal 5320 případů, o čtyři tisíce víc než loni za stejnou dobu. Za nárůstem stojí nový způsob sběru dat a prodlužující se klíšťová sezona. České televizi to sdělila Kateřina Kybicová, vedoucí Národní referenční laboratoře pro lymskou boreliózu. Přidala také varování kvůli podceňované prevenci ve městech, kde jsou klíšťata mnohem více infikovaná než v lesích.
před 1 hhodinou

První z letounů Embraer bude slavnostně předán do výzbroje české armády

Do výzbroje české armády bude ve čtvrtek slavnostně předán první ze dvou transportních letounů Embraer C-390 Millennium. Smlouvu na nákup dvou středních transportních letounů uzavřelo s brazilským výrobcem ministerstvo obrany v říjnu 2024 pod vedením tehdejší ministryně obrany Jany Černochové (ODS). Celková cena zakázky činí 11,3 miliardy korun bez DPH a zahrnuje také doplňkové vybavení umožňující hašení požárů nebo evakuaci zraněných.
před 3 hhodinami

Turek řekl, že by v případě trestního stíhání kvůli nehodě nevyužil imunitu

Poslanec Motoristů Filip Turek by nevyužil poslaneckou imunitu, pokud by policie žádala o jeho vydání k trestnímu stíhání kvůli pondělní autonehodě. Řekl to ve středu Blesku. K okolnostem nehody už se nechce s ohledem na policejní vyšetřování vyjadřovat. Turkův automobil se v pondělí v centru Prahy střetl s nemocničním vozem, jeho řidič je podle mluvčí Fakultní nemocnice Motol a Homolka Martiny Dostálové v pracovní neschopnosti. K jeho zdravotnímu stavu se však nemůže nemocnice vyjadřovat.
včeraAktualizovánopřed 9 hhodinami

Požádal jsem, aby se to už neopakovalo, řekl Okamura ke sporu o peníze pro Ukrajinu

Předseda SPD a sněmovny Tomio Okamura zásadně nesouhlasí s českým příspěvkem na financování zbraní pro Ruskem napadenou Ukrajinu a požádal koaliční partnery, aby se to už neopakovalo. Řekl to v Interview ČT24 moderovaném Jiřím Václavkem s tím, že se o penězích dozvěděl až poté, co odešly. K takovým věcem by podle něj nemělo v koalici docházet a vládní strany by se o krocích, které by mohly být v rozporu s koaliční smlouvou, měly informovat v předstihu.
před 10 hhodinami

VideoPravidla pro nálezy zkamenělin se ve světě liší. V Česku je třeba ty významné hlásit

Vzácnou kostru Tyranosaura Rexe vydražili v New Yorku v přepočtu za rekordní částku miliardu korun. Jde o jeden z nejzachovalejších a největších exemplářů. Prodej znovu rozvířil debaty o tom, zda mají podobné výjimečné nálezy končit v soukromých sbírkách. Pravidla pro nálezy zkamenělin se liší podle země, typu vlastnictví pozemku a vědecké hodnoty nálezu. V Česku záleží na tom, kde a jak vzácnou fosilii člověk objeví. Za významný paleontologický nález, který je ze zákona třeba ohlásit například muzeím, odborníci obvykle považují kosterní pozůstatky. Pokud si laik není jistý, měl by se obrátit na vědecké instituce. V minulosti se v tuzemsku nalezl například čtyři centimetry dlouhý dinosauří zub nebo otisk stopy pravděpodobně menšího dravého dinosaura v lomu u Červeného Kostelce.
před 11 hhodinami

Volkswagen pokračuje v úsporách, zasáhnout by měly i Škoda Auto

Koncern Volkswagen šetří a chystá změny. Dotknout by se podle německých médií mohly i společnosti Škoda Auto. Skončit by podle deníku Bild mohla třeba Fabia. Naopak některé vozy určené pro indický trh by se mohly prodávat i jinde.
před 11 hhodinami

Roste počet exekucí kvůli neplacení výživného. Od ledna se nejedná o trestný čin

Lidé se kvůli neplacení výživného více obracejí na exekutory. Počet řízení, které Exekutorská komora ve spojitosti s alimenty za pět měsíců roku zahájila, stoupl meziročně asi o třicet procent. Zatímco loni exekutoři do konce května řešili 1600 případů vymáhání výživného, letos to bylo za stejnou dobu přes 2100 případů. České televizi to potvrdil mluvčí komory David Šimoník. Podle Asociace neúplných rodin mohou mít vliv na počty exekucí podmínky takzvané superdávky. Od Nového roku platí změna zákona, podle které už neplacení výživného není trestný čin, současná vláda chce ale udělat neplacení znovu trestné.
před 14 hhodinami

Sněmovna schválila obnovení EET

Sněmovna ve středu schválila znovuzavedení elektronické evidence tržeb (EET) od příštího roku. Má být jednodušší a bez tištěných účtenek. Má hlavně narovnat podnikatelské prostředí a ročně má podle odhadu ministerstva financí přinést státu víc než 14 miliard korun. Nyní musí zákon projednat Senát a podepsat prezident.
včeraAktualizovánopřed 14 hhodinami

Evropský pohled

ČT24 každý den vybírá z obsahu publikovaného evropskými veřejnými médii, členy Eurovize.