Od listopadu 2025 platí v České republice nový zákon o kybernetické bezpečnosti, který radikálně mění pravidla hry pro tisíce firem. Pokud vedete střední nebo velkou společnost v energetice, zdravotnictví, IT sektoru, dopravě nebo na magistrátu, máte před sebou desítky nových povinností. A nejde jen o papírování – hrozí vám pokuta až 10 milionů korun nebo dvě procenta z ročního obratu.

Původní zákon z roku 2014 se týkal asi tisícovky subjektů. Nová regulace zasáhne 6 až 9 tisíc organizací. Pokud máte víc než 50 zaměstnanců a poskytujete regulovanou službu, pravděpodobně mezi ně patříte. Do konce prosince 2025 se musíte ohlásit na Portálu NÚKIB a během roku zavést všechna bezpečnostní opatření.

Shrnutí pro ty, kteří nemají čas číst celý článek

  • Zákon vstoupil v účinnost 1. listopadu 2025 a nahrazuje původní zákon z roku 2014 – implementuje evropskou směrnici NIS2 do českého práva.
  • Dotkne se zejména středních a velkých firem v energetice, zdravotnictví, dopravě, IT, bankovnictví, veřejné správě a dalších kritických odvětvích.
  • Do 31. prosince 2025 musíte ohlásit regulovanou službu na Portálu NÚKIB, pak máte 30 dní na nahlášení kontaktní osoby a rok na zavedení všech opatření.
  • Nové povinnosti zahrnují řízení rizik, hlášení incidentů do 24 hodin, školení zaměstnanců, kontrolu dodavatelů a přímou odpovědnost vedení. Rozsah závisí na tom, jestli spadáte do vyššího nebo nižšího režimu.
  • Za nedodržení hrozí pokuta až 10 milionů korun nebo 2 % obratu, v extrémních případech až tříleté pozastavení výkonu funkce pro členy vedení – penetrační testy a Red Team operace pomohou ověřit, že máte systémy skutečně v pořádku.

Mohlo by vás zajímat: Případová studie RedTeam operace

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti

Co je směrnice NIS2 a proč vznikla

Směrnice NIS2 je evropská legislativa, která definuje pravidla kybernetické bezpečnosti pro celou Evropskou unii. Jde o aktualizaci původní směrnice NIS z roku 2016, která už nestačila na současné kybernetické hrozby.

Za těch osm let se svět kyberbezpečnosti dramaticky proměnil. Ransomwarové útoky se staly běžnou součástí zpravodajství, hackeři používají stále sofistikovanější metody a digitalizace pronikla do všech koutů ekonomiky. Původní směrnice NIS se týkala hlavně velkých hráčů v energetice, bankovnictví nebo dopravě. Útočníkům je ale jedno, jestli napadají kritickou infrastrukturu nebo menšího dodavatele – pokud najdou slabé místo v dodavatelském řetězci, využijí ho.

Proto Evropská unie v prosinci 2022 schválila směrnici NIS2, která rozšiřuje ochranu na mnohem širší okruh subjektů a zpřísňuje požadavky. Směrnice nabyla účinnosti v lednu 2023 a členské státy měly do 17. října 2024 čas ji převést do své národní legislativy.

Česká republika se s transpozicí opozdila, zákon č. 264/2025 Sb., o kybernetické bezpečnosti, byl schválen až v červnu 2025 a účinnosti nabyl 1. listopadu 2025. NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) se rozhodl nejít cestou novelizace, ale vytvořit úplně nový zákon, který kompletně nahrazuje předchozí úpravu z roku 2014.

TIP: Balíkovna podvody a jak nepřijít o peníze

Kdo spadá pod NIS2 a zákon o kybernetické bezpečnosti

Rozhodující jsou dvě kritéria: odvětví, ve kterém působíte, a velikost vaší organizace. Zákon rozlišuje mezi subjekty s režimem vyšších povinností (dřív „základní subjekty“) a režimem nižších povinností (dřív „důležité subjekty“).

Odvětví, na která dopadá regulace

Zákon se vztahuje na více než 18 odvětví a přes 105 služeb. 

Režim vyšších povinností se týká zejména:

  • veřejné správy (ministerstva, kraje, obce s rozšířenou působností),
  • energetiky (elektřina, plyn, ropa, vodík, dálkové vytápění),
  • dopravy (letecká, železniční, vodní, silniční),
  • bankovnictví a infrastruktury finančních trhů,
  • zdravotnictví a výroby farmaceutických prostředků,
  • pitné vody a odpadní vody,
  • digitální infrastruktury (výměnné uzly internetu, DNS služby, registry domén, poskytovatelé cloudových služeb a datových center),
  • poskytovatelů řízených ICT služeb,
  • kosmické infrastruktury.

Režim nižších povinností zahrnuje:

  • poštovní služby,
  • nakládání s odpady,
  • výrobu, zpracování a distribuci chemikálií,
  • výrobu potravin,
  • výrobní průmysl (elektronika, stroje, zdravotnické prostředky, automobily),
  • poskytovatelé digitálních služeb (online tržiště, vyhledávače, sociální sítě),
  • výzkum.

Kritérium velikosti organizace

Aby na vás zákon dopadl, musíte splnit alespoň jedno z těchto kritérií:

    • Zaměstnanecké kritérium: 50 a více zaměstnanců.
    • Finanční kritérium: Roční obrat nebo bilanční suma alespoň 10 milionů EUR (zhruba 250 milionů Kč).
    • Pokud poskytujete více služeb a alespoň jedna spadá do režimu vyšších povinností, celá vaše organizace podléhá vyššímu režimu.
    • Existují i výjimky: Některé subjekty podléhají regulaci bez ohledu na velikost, například poskytovatelé služeb elektronické komunikace, služeb vytvářejících důvěru nebo DNS služeb.
NIS2 a zákon o kybernetické bezpečnosti

NIS2 a zákon o kybernetické bezpečnosti

Jaké povinnosti z NIS2 a zákona o kybernetické bezpečnosti plynou

Tady začíná ta podstatná část. Co konkrétně musíte udělat? Zákon definuje rozsáhlý seznam technických i organizačních opatření, které musíte zavést.

Základní povinnosti pro všechny regulované subjekty:

    • Systém řízení kybernetických rizik – musíte pravidelně provádět analýzu rizik, identifikovat aktiva (co všechno chráníte), hodnotit hrozby a zavádět protiopatření. Tohle není jednorázová záležitost, analýzu musíte pravidelně aktualizovat.
    • Hlášení bezpečnostních incidentů – pokud dojde k významnému kybernetickému incidentu, máte povinnost ho nahlásit NÚKIB do 24 hodin. Jde o trojstupňové hlášení: prvotní oznámení, průběžná aktualizace a závěrečná zpráva. Za nehlášení hrozí sankce.
    • Bezpečnost dodavatelského řetězce – musíte posoudit kybernetická rizika vyplývající z vašich dodavatelů a jejich subdodavatelů. Pokud využíváte cloudové služby nebo outsourcing IT, musíte mít smluvně ošetřené bezpečnostní požadavky a exit strategie.
    • Školení zaměstnanců – pravidelné vzdělávání v oblasti kybernetické bezpečnosti je povinné. Nejde jen o jednorázové proškolení – musíte mít plán vzdělávání, dokumentaci o absolvovaných školeních a průběžnou osvětu.
    • Odpovědnost vrcholového vedení – tady přichází velká změna oproti minulosti. Členové představenstva, jednatelé nebo ředitelé jsou osobně odpovědní za kybernetickou bezpečnost. Musí schvalovat bezpečnostní politiku, zajistit dostatečné zdroje a účastnit se pravidelných školení. Za opakované porušení povinností může být výkon jejich funkce pozastaven až na tři roky.

Dodatečné povinnosti pro režim vyšších povinností:

Pokud spadáte do vyššího režimu, máte navíc tyto povinnosti:

    • Jmenování odpovědných osob – musíte jmenovat manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti a auditora kybernetické bezpečnosti. Tyto role můžou být obsazené interně nebo externě, ale musí být jasně definované.
    • Pravidelné audity – musíte provádět nezávislé audity kybernetické bezpečnosti, které ověří, jestli vaše opatření skutečně fungují.
    • Rozšířená dokumentace – vyšší režim vyžaduje podrobnější evidenci aktiv, rizik, incidentů a bezpečnostních opatření.

Časový harmonogram – co a kdy musíte udělat

Zákon je účinný od 1. listopadu 2025 a od tohoto data běží konkrétní lhůty:

  • Do 31. prosince 2025 (60 dní od účinnosti) – musíte ohlásit poskytování regulované služby přes Portál NÚKIB. Jde o sebeidentifikaci – sami zjistíte, jestli na vás zákon dopadá, a nahlásíte se.
  • Do 30 dnů od doručení rozhodnutí o registraci – NÚKIB vám pošle rozhodnutí o registraci a vy musíte nahlásit kontaktní a doplňující údaje (kdo je odpovědná osoba, jak vás kontaktovat v případě incidentu).
  • Do 1 roku od rozhodnutí o registraci – musíte mít zavedená všechna požadovaná bezpečnostní opatření podle režimu, do kterého spadáte.
  • Průběžně – hlášení změn údajů do 14 dnů, hlášení incidentů do 24 hodin, pravidelné aktualizace analýzy rizik.
  • Pokud jste dosud regulovaným subjektem podle starého zákona, musíte se zaregistrovat znovu – registrace se nepřevádí automaticky.

Jaké sankce hrozí za nedodržení

Zákon nebere nedodržování povinností na lehkou váhu. Sankce jsou nastavené tak, aby skutečně motivovaly k dodržování pravidel.

    • Správní pokuty – za porušení povinností můžete dostat pokutu až 10 milionů Kč nebo 2 % z čistého ročního obratu (podle toho, co je vyšší). Evropská směrnice dokonce počítá s horní hranicí až 10 milionů EUR u subjektů s vyššími povinnostmi a 7 milionů EUR u nižších povinností.
    • Diskvalifikace vedení – za opakované či závažné porušení povinností může NÚKIB nařídit zákaz výkonu funkce členů vrcholového vedení až na tři roky. Tohle je vážná hrozba, která přímo dopadá na jednatele, ředitele a členy představenstev.
    • Nařízení nápravných opatření – NÚKIB může nařídit konkrétní opatření k odstranění zjištěných nedostatků a stanovit lhůtu pro jejich splnění.

Sankce nejsou jen teoretická hrozba. NÚKIB má pravomoc provádět kontroly a vyhodnocovat shodu s požadavky zákona. U režimu vyšších povinností jde o proaktivní dohled, u nižších povinností reaguje na podněty.

NIS2 a zákon o kybernetické bezpečnosti

NIS2 a zákon o kybernetické bezpečnosti

Jak penetrační testy a Red Team pomáhají splnit požadavky

Tady se dostáváme k praktické části. Zákon vyžaduje, abyste měli zavedená technická a organizační opatření. Jenže jak víte, jestli ta opatření skutečně fungují? 

Penetrační test je simulace kybernetického útoku prováděná etickými hackery. Tester se pokouší proniknout do vašich systémů stejnými metodami, jaké používají skuteční útočníci. Výsledkem je report se seznamem nalezených zranitelností, jejich závažností a doporučeními k nápravě.

Směrnice NIS2 a zákon o kybernetické bezpečnosti explicitně vyžadují pravidelné hodnocení odolnosti systémů vůči útokům. Penetrační testování je jedním z nejefektivnějších způsobů, jak tento požadavek splnit.

Pomůže vám:

  • identifikovat skutečné zranitelnosti dřív, než je najdou útočníci,
  • ověřit účinnost bezpečnostních opatření – můžete mít skvělé politiky, ale pokud je firewall špatně nakonfigurovaný, nic vám nepomůžou,
  • splnit požadavky na testování odolnosti podle zákona,
  • prioritizovat investice do bezpečnosti – když víte, kde jsou kritické díry, můžete je řešit jako první,
  • prokázat due diligence – v případě kontroly nebo incidentu máte důkaz, že jste bezpečnost brali vážně.

Red Team operace jdou ještě dál. Zatímco penetrační test má jasně definovaný rozsah, Red Team simuluje cílený útok na vaši organizaci a testuje nejen technickou, ale i lidskou a procesní stránku bezpečnosti. Může zahrnovat phishing kampaně, social engineering nebo fyzické pokusy o průnik do budov.

Pro organizace v režimu vyšších povinností je pravidelné penetrační testování prakticky nutností. Pomáhá splnit požadavky na audit a hodnocení bezpečnosti. Zároveň identifikuje problémy, které by při skutečném útoku mohly vést k narušení poskytování služeb – a to je přesně to, co zákon chce předcházet.

Přečtěte si také: Co to je penetrační test

Praktické kroky: Jak začít s přípravou na NIS2

Pokud jste dočetli až sem a uvědomujete si, že na vás zákon dopadá, pravděpodobně vás zajímá, co konkrétně máte udělat. Tady je praktický postup:

Krok 1: Zjistěte, jestli na vás zákon dopadá

Projděte si přílohu vyhlášky o regulovaných službách a ověřte, jestli poskytujete některou z uvedených služeb. Zkontrolujte velikostní kritéria (50+ zaměstnanců nebo 10+ milionů EUR obratu). Pokud si nejste jistí, můžete využít online nástroje, které nabízejí různé poradenské firmy, nebo se obrátit přímo na NÚKIB.

Krok 2: Proveďte gap analýzu

Zjistěte, co už máte splněno a co vám chybí. Pokud máte ISO 27001 nebo podobný standard, máte velkou část požadavků pokrytou. Gap analýza vám ukáže, kde máte mezery a co musíte doplnit.

Krok 3: Ohlaste se na Portálu NÚKIB

Do 31. prosince 2025 musíte ohlásit poskytování regulované služby. Připravte si potřebné údaje – identifikační informace o organizaci, popis poskytované služby, kontaktní osoby.

Krok 4: Vypracujte implementační plán

Máte rok na zavedení všech opatření. Vytvořte si realistický časový plán, alokujte rozpočet a definujte odpovědnosti. Prioritizujte podle závažnosti – kritická opatření řešte jako první.

Krok 5: Zajistěte školení a osvětu

Začněte školit zaměstnance už teď. Kybernetická bezpečnost není jen technická záležitost – největší slabinou bývají právě lidé. Phishingové kampaně, správa hesel, bezpečné používání firemních systémů – tohle všechno musí být součástí pravidelné osvěty.

Krok 6: Zaměřte se na dodavatele

Projděte si smlouvy s klíčovými dodavateli a doplňte bezpečnostní požadavky. Pokud využíváte cloudové služby nebo outsourcing, ujistěte se, že máte smluvně ošetřené otázky jako přístup k datům, hlášení incidentů nebo možnost auditu.

Krok 7: Naplánujte penetrační test

Jakmile máte základní opatření zavedená, nechte si provést penetrační test. Pomůže vám ověřit, jestli vaše zabezpečení skutečně funguje, a identifikovat zbývající slabá místa.

Kybernetická bezpečnost

Kybernetická bezpečnost

Chcete pomoct s implementací NIS2?

NIS2 a zákon o kybernetické bezpečnosti přinášejí komplexní změny, které ovlivní způsob, jak organizace přistupují ke kybernetické bezpečnosti. Není to jen formální povinnost, jde o reálné zvýšení odolnosti proti útokům, které se každým rokem stávají častějšími a sofistikovanějšími.

Pokud nevíte, kde začít, nebo chcete mít jistotu, že postupujete správně, objednejte si bezplatnou konzultaci.

Pomůžeme vám:

  • Zjistit, jestli a v jakém režimu na vás zákon dopadá.
  • Provést gap analýzu a identifikovat, co už máte splněno.
  • Navrhnout implementační plán přizpůsobený vaší organizaci.
  • Zajistit penetrační testy a Red Team operace pro ověření odolnosti systémů.
  • Připravit dokumentaci a procesy podle požadavků zákona,

Nezůstávejte sami na komplikované cestě k souladu s NIS2. Začněte teď a využijte zbývající čas efektivně.

TIP: Podvodné SMS a nejčastější podvody ve vánoční sezóně

Často kladené otázky

Týká se mě zákon, pokud mám míň než 50 zaměstnanců?

Většinou ne, pokud nesplňujete finanční kritérium (obrat nebo bilanční suma přes 10 milionů EUR). Existují ale výjimky – například poskytovatelé DNS služeb nebo registrů domén podléhají regulaci bez ohledu na velikost. Pokud jste důležitým dodavatelem pro regulovaný subjekt, může na vás dopadat povinnost dodržovat bezpečnostní požadavky smluvně.

Co se stane, když se neohlásím do 31. prosince 2025?

Pozdní ohlášení je porušení zákona a může vést k sankci. NÚKIB může uložit pokutu a nařídit dodatečné opatření. Pokud poskytujete regulovanou službu a víte o tom, máte povinnost se ohlásit – nevědomost nebo zapomenutí není obhajoba. Lepší je ohlásit se včas a případně se později ukáže, že jste nespadali do působnosti, než riskovat sankci za neohlášení.

Musím mít vlastní tým kybernetické bezpečnosti?

Ne nutně. V režimu vyšších povinností musíte jmenovat manažera, architekta a auditora kybernetické bezpečnosti, ale tyto role můžou být obsazené externě nebo kombinovaně (jedna osoba může mít více rolí, pokud to velikost organizace umožňuje). V nižším režimu máte větší flexibilitu. Důležité je, aby byla jasně definovaná odpovědnost a kompetence.

Jak často musím provádět penetrační testy?

Zákon nespecifikuje přesnou frekvenci, ale vyžaduje pravidelné hodnocení odolnosti systémů. Doporučená frekvence je alespoň jednou ročně nebo po významných změnách v IT infrastruktuře (nová aplikace, migrace do cloudu, změna architektury). Při výskytu bezpečnostního incidentu je vhodné provést mimořádný test k ověření, že všechny zranitelnosti byly opraveny.

Jaký je rozdíl mezi NIS2 a DORA?

Obě jsou evropské regulace v oblasti kybernetické bezpečnosti, ale mají jiný rozsah. NIS2 je směrnice (musí být transponována do národního práva) a týká se širokého spektra odvětví. DORA (Digital Operational Resilience Act) je nařízení (platí přímo) a týká se pouze finančního sektoru. Pokud jste finanční instituce, pravděpodobně musíte dodržovat obojí. DORA má některé přísnější požadavky specifické pro finance, ale principy řízení rizik a testování odolnosti jsou podobné.