Nový zákon o kybernetické bezpečnosti začne platit v listopadu

Kybernetický útok se dnes nezastaví na IT oddělení. Může vést k ochromení výroby, zablokování státní správy nebo zneužití citlivých dat milionů lidí. Zamezit tomu má nový zákon, jehož cílem je posílit úroveň kybernetické bezpečnosti v celém Česku a který implementuje evropskou směrnici NIS2 do českého právního řádu. V platnost vstoupí již 1. listopadu 2025.

Co představuje nový český zákon o kybernetické bezpečnosti pro firmy

O směrnici NIS2 jste toho mohli v uplynulém roce slyšet už hodně. Právě nový český kyberzákon z jejích požadavků vychází a v den nabytí jeho účinnosti (od prvního listopadu 2025) se stanou závaznými v České republice. Pokud jste ještě nový kyberzákon a jeho kritéria ve firmě neřešili, je nejvyšší čas seznámit se s tím, jaká bezpečnostní opatření se od vás budou vyžadovat.

Mezi nejvýznamnější změny v povinnostech, které nový zákon přináší, patří:

• zodpovědnost vrcholného managementu za řízení kybernetické bezpečnosti,
• nutnost kontinuálního zvyšování povědomí o bezpečnosti mezi zaměstnanci,
• potřeba identifikovat a evidovat aktiva (u vyššího režimu pak ještě povinnost
  identifikovat a hodnotit rizika),
• zavedení minimálních (smluvních i bezpečnostních) požadavků na dodavatele.

Zákon se vztahuje primárně na společnosti, které poskytují regulované služby v definovaných odvětvích, a zároveň jde o střední či velký podnik. Až na malé výjimky se zákon nedotkne mikro a malých podniků, pro které by představoval příliš velkou administrativní zátěž. Je také méně pravděpodobné, že by případný incident u těchto firem měl zásadní dopad na ekonomické nebo společenské činnosti v ČR.

Podle typu služby, kterou v rámci daného odvětví nabízíte, budete následně spadat do
režimu nižších nebo vyšších povinností. Každá firma je povinna si sama určit, pod jakou
úroveň ochrany spadá. Detailní tabulku pro jednotlivé služby a podmínky definující jejich
významnost najdete ve vyhlášce.

Potřebuje ČR nový zákon o kybernetické bezpečnosti?

Kybernetické hrozby se bohužel týkají i České republiky. Příkladem mohou být medializované útoky na česká ministerstva a další instituce. V českém prostředí pozorujeme například útoky ransomwarem, setkat se ale můžeme i s útoky APT skupin, což jsou kyberkriminální uskupení útočící s využitím pokročilejších technologií. Jejich cílem je provádět kybernetickou špionáž, a to zpravidla za podpory některého státu (například Ruska nebo Číny). Výjimkou v našem prostředí nejsou ani DDoS útoky, jejichž cílem je vyřadit z chodu webové stránky se službami nějaké instituce či služby.

Účinná obrana vůči kybernetickým hrozbám a snížení kybernetických rizik tkví v celkovém posílení kybernetické odolnosti daných institucí a organizací. Jedná se o komplexní preventivní přístup s cílem včas se připravit na možné incidenty, a to jak po stránce obraných technologií, tak vzděláváním zaměstnanců, procesem zálohování a testováním záloh či přípravou krizových scénářů. Úkolem nového zákona o kybernetické bezpečnosti je tak svým způsobem přimět firmy a instituce, aby braly kybernetickou bezpečnost a řízení informační bezpečnosti v daném rozsahu vážně.

Kybernetické hrozby v číslech

• V roce 2024 NÚKIB evidoval 268 incidentů, což je dosud nejvyšší registrovaná hodnota.
• Průměrné škody u ransomwarových útoků se pohybují v desítkách milionů korun.
• Cílem jsou stále častěji i společnosti ze sektoru SMB.

Ukládá nový kyberzákon sankce za neplnění?

Nový zákon výrazně zvyšuje sankce. Pokuty jsou odstupňovány podle závažnosti porušení a typu regulovaného subjektu. Nově také NÚKIB může zakázat konkrétním členům managementu činnost až na 6 měsíců, pokud se prokáže, že opakovaně nebo závažně nedbali na zákonné povinnosti.

Zákon definuje pokuty za přestupky, které se mohou pohybovat ve výši až 250 milionů Kč. Dále také počítá s pořádkovými či donucovacími pokutami.

Nedokážete se v požadavcích nového zákona o kybernetické bezpečnosti zorientovat? Nevíte, jaké kroky podniknout jako první, abyste byli s novým zákonem v souladu? Stáhněte si naši novou příručku: