Hospodářské noviny

2 minuty čtení

Co se děje?

V České republice vstupuje v platnost nová legislativa zaměřená na kybernetickou bezpečnost, která podstatně rozšiřuje regulaci na tisíce subjektů včetně jejich dodavatelů. Nové povinnosti zahrnují odpovědnost za kyberbezpečnost jak vlastních systémů, tak systémů dodavatelů. Firmám, které nesplní tyto požadavky, hrozí pokuty v procentech jejich obratu nebo odebrání funkce jednatele^[1].

Podle expertů mnohé státní i soukromé organizace nemají dostatečná opatření v oblasti kybernetické bezpečnosti a základní opatření lze navíc implementovat relativně rychle. Primární hrozbu představují kybernetické útoky zaměřené na slabší firmy, kde jsou ransomwarové útoky běžné^[1].

Nejnovější legislativa, včetně Nařízení o kybernetické bezpečnosti (nZoKB) a NIS2, vyžaduje od podniků systematickou analýzu rizik^[2].

Kybernetická bezpečnost se stala strategickou prioritou vedení firem a vyžaduje komplexní přístup zahrnující technická, procesní i lidská opatření^[3]. Firmy často podceňují přípravu na kybernetické útoky a spoléhají pouze na technologie, místo aby budovaly komplexní bezpečnostní strategii^[4].

Zdroje:

Nejnovější

Michal Trtil ze společnosti ANECT popisuje zákulisí boje s kybernetickými hrozbami a roli Security Operation Center.

26. 6. 2025: Firmy často podceňují přípravu na kybernetické útoky a spoléhají pouze na technologie, místo aby budovaly komplexní bezpečnostní strategii.

Nejčastější chyby firem

Řeklo se...

Přehled citací

                    
                      1
                    
                      Střední dopad
                    
                    26. června 2025
                  
                    Předpisová základna tohoto zákona je opravdu rozsáhlá, zahrnuje více než 35 politik a směrnic, které firmy musí sepsat.
                    
                      Vlad Cohen
                    
                      ředitel platformy AuditMaster
                    
                      Velká administrativní zátěž

                    
                      2
                    
                      Vysoký dopad
                    
                    3. prosince 2024
                  
                    Pokud své nové povinnosti nebudou plnit, nejednají s péčí řádného hospodáře a může se stát, že třeba výkupné v případě ransomwaru budou platit ze své kapsy.
                    
                      Ondřej Koutský
                    
                      jednatel Bit Servis
                    
                      Osobní finanční odpovědnost vedení

                    
                      3
                    
                      Vysoký dopad
                    
                    11. března 2024
                  
                    Připravenost firem, kterých se bude regulace nově týkat, je v průměru naprosto tristní. Většina z nich vůbec neví, že něco takového existuje a jaké povinnosti jim vzniknou.
                    
                      Michaela Koletová
                    
                      zástupkyně ředitele CEBRE
                    
                      Ostrá kritika připravenosti firem

Vytvořeno 28. 9. 2025 0:02

Dopady

Kdo si polepší, kdo tratí?

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)

Získává rozšířené pravomoci pro transpozici NIS2 a pro kontrolu dodavatelských řetězců, čímž posílí roli centrálního dozoru nad kybernetickou bezpečností v ČR. To mu dá výraznou exekuční moc při stanovování bezpečnostních pravidel a vymáhání sankcí.

Velmi silný pozitivní dopad

Malé a střední podniky (MSP)

Velká část MSP není na rozšířenou regulaci dle NIS2 připravena; hrozí jim vysoké náklady, administrativní zátěž a riziko sankcí či obchodních omezení. Implementace vyžaduje nové procesy, školení a často outsourcing.

Velmi silný negativní dopad

Nemocnice / zdravotnické subjekty

Zdravotnická zařízení jsou identifikována jako obzvlášť zranitelná (slabé zabezpečení, kritická data) a nová regulace je bude nově silněji zavazovat k opatřením, což vyžaduje investice a změnu řízení bezpečnosti.

Velmi silný negativní dopad

Mobilní operátoři

Budou pod tlakem regulace upravující prověrky dodavatelů a mohou čelit nákladným požadavkům na výměnu částí infrastruktury či omezení některých dodavatelů (např. z Číny). To zvyšuje investiční nejistotu a provozní náklady.

Silný negativní dopad

Dodavatelé ICT a IT služeb

Posílení NIS2 a souvisejících pravidel přenáší požadavky i na dodavatele ICT; tito dodavatelé tak budou častěji auditováni a mohou být vyloučeni z řetězců, což ohrožuje jejich kontrakty a obchodní příležitosti.

Silný negativní dopad

Vláda a ministerstva

Stát/ministrstva budou zodpovědná za legislativní rámec, rozhodnutí o rozsahu regulace a případné kompenzace; úspěch implementace zvýší bezpečnost, ale vláda čelí politickým sporům a riziku nesplnění termínů.

Silný smíšený dopad

Odborníci na kybernetickou bezpečnost / pracovní trh

Rozšířená regulace zvýší poptávku po bezpečnostních odbornících (více pracovních míst a příležitostí), současně ale prohloubí problém nedostatku kvalifikovaných lidí na trhu a tlačí na outsourcing a vzdělávání.

Silný smíšený dopad

Dodavatelé bezpečnostních řešení a poradenské firmy

Rozšíření regulace a potřeba compliance zvyšuje poptávku po konzultačních a bezpečnostních službách; dodavatelé řešení a poradci získají nové projekty a tržní příležitosti. Vyžadována je ale i vyšší kapacita a kvalita služeb.

Střední pozitivní dopad

Občané / spotřebitelé

Cílem regulace je zvýšit odolnost veřejných i soukromých služeb, čímž by měla růst ochrana osobních dat a kontinuita služeb — přínos pro uživatele a veřejnost, byť může znamenat zvýšení nákladů provozovatelů.

Střední pozitivní dopad

Vytvořeno 28. 9. 2025 0:03

Kontext

Dříve jsme psali...

Firmy čelí novým kybernetickým hrozbám a přísnější legislativě o kybernetické bezpečnosti

Kybernetická bezpečnost je dnes strategickou prioritou vedení firem a vyžaduje komplexní přístup zahrnující technická, procesní i lidská opatření. Praktické tipy a chyby

Vojtěch Hvězda z Gordic vysvětluje, jak firmy zvládnou novou legislativu NIS2 a nZoKB

Nová legislativa rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na tisíce českých organizací a vyžaduje systematickou analýzu rizik. Praktické tipy pro firmy

Nový zákon o kybernetické bezpečnosti rozšíří povinnosti tisícům firem v Česku za několik měsíců.

Firmy v Česku čekají nové povinnosti v oblasti kybernetické bezpečnosti, které se budou týkat i jejich dodavatelů a za nesplnění hrozí vysoké pokuty. Praktické rady i varování

Fakta

Vytvořeno 28. 9. 2025 0:02

Události

Co a kdy?

Vytvořeno 28. 9. 2025 0:01

Související

Příbuzná témata

Co to znamená

Co se děje

Transpozice NIS2: regulace kyberbezpečnosti zasáhne tisíce firem

Srovnání před a po

🏢 Rozsah regulace

PŘED

Dopadala na několik stovek (převážně velkých/provozovatelů kritických služeb)

PO

Rozšiřuje se na několik tisíc subjektů včetně středních firem a dodavatelů v řetězcích (např. pekárny, logistika)

📋 Požadavky na řízení bezpečnosti

PŘED

Mnoho firem nemělo systematickou analýzu rizik ani řadu organizačních opatření

PO

Povinnost provádět systematickou analýzu aktiv a rizik, zálohování, šifrování, 2FA, segmentaci sítě, školení a hlášení incidentů (nástroje jako CSA ulehčí proces)

⚖️ Dohled a postihy

PŘED

Dohled existoval, ale na menší počet regulovaných subjektů

PO

Dohled a vymáhání rozšíří NÚKIB na několik tisíc subjektů; sankce zahrnují pokuty v procentech obratu a možnost odebrání výkonu funkce jednatele

Klíčové postavy

🏛️

Evropská unie (směrnice NIS2)

Zdroj nových pravidel, které se transponují do českého zákona

🏛️

NÚKIB

Dohledový úřad, který bude regulaci v Česku vymáhat

👤

Jaromír Řezáč (Gordic)

Zakladatel firmy, poskytl aplikaci CSA pro vedení analýzy rizik a self‑auditu; doporučuje včasnou přípravu

Vytvořeno 28. 9. 2025 0:03

Ještě není...

International Comparison

Řeklo se...

Přehled citací

Vlad Cohen

spoluzakladatel a ředitel platformy AuditMaster

"Předpisová základna tohoto zákona je opravdu rozsáhlá, zahrnuje více než 35 politik a směrnic, které firmy musí sepsat,"

O tom, jaké dokumenty a politiky budou firmy muset mít podle nové novely zákona o kyberbezpečnosti (NIS2). 26. 6. 2025

Komentář

Jan Dobrý

technický ředitel společnosti Bit Servis

"Zákon stanovuje povinnosti i pro klíčové dodavatele povinných subjektů,"

Upozornění, že nová pravidla NIS2 postihnou i dodavatele povinných subjektů. 16. 6. 2025

Komentář

Libor Šrám

odborník na kyberbezpečnost (BDO)

"Firmy, které se domnívají, že se jich NIS2 netýká, by si měly pečlivě zanalyzovat nejen své hlavní podnikatelské činnosti, ale i vedlejší či doplňkové aktivity. Regulace se totiž může vztahovat nejen na primární sektor jejich podnikání, ale také na související činnosti, které zasahují do regulovaných oblastí,"

Varování firmám, aby prověřily i vedlejší aktivity vzhledem k možnému dopadu NIS2. 10. 4. 2025

Komentář

Ondřej Koutský

jednatel a spolumajitel Bit Servisu

"Pokud své nové povinnosti nebudou plnit, nejednají s péčí řádného hospodáře a může se stát, že třeba výkupné v případě ransomwaru budou platit ze své kapsy. To je výrazný posun proti stávající situaci, kdy kyberbezpečnost není zákonem stanovená,"

Varování, že nový zákon zvyšuje odpovědnost jednatelů a členů představenstev. 3. 12. 2024

Klíčový výrok

Jakub Ludvík

ředitel korporátní bezpečnosti (T-Mobile)

"Hlavní přínos vidím primárně ve standardizaci prostředí, ve kterém se odehrávají bezpečnostní hrozby. Vnikne tak určitá kompatibilita mezi organizacemi, která může usnadnit řešení závažnějších kybernetických incidentů,"

Komentář k očekávaným přínosům nového zákona o kybernetické bezpečnosti a transpozice NIS2. 11. 11. 2024

Komentář

Jiří Císek

managing partner advokátní kanceláře Cisek

"Transpozice evropské směrnice měla proběhnout do 18. října letošního roku a NÚKIB odvedl s návrhem příslušného zákona velmi dobrou práci. A přestože v legislativním procesu dochází ke zpoždění, bude Česko stále jednou z prvních zemí EU, která bude mít směrnici NIS2 transponovanou,"

Hodnocení transpozice směrnice NIS2 do českého práva a postupu NÚKIB. 10. 6. 2024

Komentář

Aleš Špidla

"Existuje bohužel stále hodně firem, které nemají pud sebezáchovy a kyberbezpečnost systematicky neřeší. NÚKIB přitom na svých stránkách poskytuje pomůcku pro audit kybernetické bezpečnosti, se kterou si může každá firma zjistit, jak si v tomto ohledu stojí,"

Komentář k tomu, že mnoho firem kyberbezpečnost neřeší systematicky a NÚKIB nabízí nástroje pro audit. 10. 6. 2024

Komentář

Michaela Koletová

zástupkyně ředitele CEBRE

"Připravenost firem, kterých se bude regulace nově týkat, je v průměru naprosto tristní. Většina z nich vůbec neví, že něco takového existuje a jaké povinnosti jim vzniknou,"

Komentář k připravenosti českých firem na nová pravidla NIS2. 11. 3. 2024

Klíčový výrok

Lukáš Kintr

ředitel NÚKIB

"Dosud šlo buď o přesně vyjmenované subjekty, anebo bylo těžké dokázat, na koho se požadavek na kybernetické zabezpečení vztahuje. Nově to bude jednoduché, rozhodující bude velikost firmy,"

Vysvětlení, proč NIS2 změní definici povinných subjektů a jak se bude určovat jejich rozsah. 3. 9. 2022

Klíčový výrok

Vytvořeno 28. 9. 2025 0:03

Jak šel čas

Historický kontext

🏛️

říjen 2011

Národní bezpečnostní úřad (NBÚ) byl určen gestorem problematiky kybernetické bezpečnosti a vzniklo Národní centrum kybernetické bezpečnosti / Rada pro kybernetickou bezpečnost.

Uvedeno v historických článcích o vzniku české kybernetické legislativy jako počáteční institucionální krok.

Vytvoření státního rámce a koordinační autority pro další legislativní a organizační kroky v oblasti kyberbezpečnosti.

📜

srpen 2014

Zákon o kybernetické bezpečnosti č. 181/2014 byl podepsán prezidentem a vyhlášen.

Podle textů byl v létě 2014 schválen návrh zákona o kybernetické bezpečnosti a podepsán prezidentem.

Zahájení právního rámce pro povinnosti subjektů spravujících významné informační systémy.

✅

leden 2015

Zákon o kybernetické bezpečnosti nabyl účinnosti.

Historické zprávy uvádějí, že zákon z roku 2014 nabyl účinnosti počátkem roku 2015 a doprovodné prováděcí předpisy byly vydány.

Subjekty identifikované zákonem dostaly lhůty pro implementaci opatření; vznikly vládní a národní CERT/CSIRT struktury.

🇪🇺

rok 2016

Evropská směrnice NIS (první verze) byla přijata.

Články konstatují, že NIS z roku 2016 je předchůdcem současného NIS2 a zakládá povinnost transpozice do vnitrostátních řádů.

Vznikla unijní povinnost zvyšovat kybernetickou odolnost klíčových sektorů a harmonizovat požadavky v ČR i jinde v EU.

🌍

rok 2020

Evropa představila strategii EU Cyber Security Strategy for the Digital Decade (na konci roku 2020).

Texty uvádějí, že na konci roku 2020 EU představila strategii, která urychlila další regulace včetně NIS2 a dalších nařízení.

Impuls pro další vlnu unijních právních aktů zvyšujících požadavky na kybernetickou bezpečnost.

⏳

18. října 2024

Lhůta požadovaná EU pro transpozici směrnice NIS2 (termín k zajištění účinnosti vnitrostátních právních úprav).

V řadě článků je uvedeno, že NIS2 stanovila povinnost transponovat požadavky do národních řádů nejpozději k 18. říjnu 2024.

Vyvolala tlak na členské státy, včetně ČR, aby připravily nové nebo novelizované zákony o kybernetické bezpečnosti.

V článcích je NIS2 přirovnávána k zásadnímu rozšíření působnosti v oblasti kyberbezpečnosti podobně jako GDPR v oblasti ochrany dat.

🚨

říjen 2024

NÚKIB zaznamenal 47 incidentů za měsíc (včetně devíti ransomwarových) – v textech uváděno jako rekordní měsíční hodnota.

V kontextových článcích je říjen 2024 zmíněn jako měsíc s rekordním počtem nahlášených incidentů podle NÚKIB.

Ilustrovalo prudký nárůst incidentů a sloužilo jako argument pro přísnější legislativní opatření.

Uvedeno jako nejvyšší měsíční počet incidentů v datech NÚKIB.

🏦

leden 2025

Nařízení DORA mělo být účinné od poloviny ledna 2025 (uváděno v textech jako termín účinnosti tohoto unijního nařízení).

V článcích je DORA zmíněna jako příklad unijního nařízení pro finanční sektor, text uvádí účinnost od poloviny ledna 2025.

Zavádí povinnosti pro kybernetickou odolnost finančního sektoru a tlačí na provázání bezpečnosti i u dodavatelů IT služeb.

✅📜

červen 2025

Senát schválil novelu českého zákona o kybernetické bezpečnosti implementující NIS2; návrh čekal na podpis prezidenta (červen 2025).

Červnové články zmiňují, že novela prošla legislativním procesem (včetně schválení v Senátu) a čekala na konečné vyhlášení.

Právní krok směrem k novému režimu povinností pro tisíce českých subjektů; v textech se uváděly lhůty pro sebeidentifikaci a implementaci opatření po vyhlášení zákona.

🔔

1. listopadu 2025

Podle uvedených zdrojů měl nový zákon (implementující NIS2) nabýt účinnosti k 1. listopadu 2025.

Pozdější články v kontextu uvádějí, že novela vstoupila v platnost v srpnu a měla účinnost od 1. listopadu 2025.

Dotčené organizace budou muset hlásit incidenty, provádět systematické analýzy rizik a zavádět předepsaná bezpečnostní opatření; v textech se upozorňovalo na možnost vysokých sankcí při porušení povinností.

Vytvořeno 28. 9. 2025 0:08

Co to je?

Vysvětlení pojmů

Vytvořeno 28. 9. 2025 0:02

Zdroj dat: Wikipedia

Rozšíření regulace kybernetické bezpečnosti v Česku

Co se děje?

Michal Trtil ze společnosti ANECT popisuje zákulisí boje s kybernetickými hrozbami a roli Security Operation Center.

Přehled citací

Kdo si polepší, kdo tratí?

Velmi silný pozitivní dopad

Velmi silný negativní dopad

Velmi silný negativní dopad

Silný negativní dopad

Silný negativní dopad

Silný smíšený dopad

Silný smíšený dopad

Střední pozitivní dopad

Střední pozitivní dopad

Dříve jsme psali...

Firmy čelí novým kybernetickým hrozbám a přísnější legislativě o kybernetické bezpečnosti

Vojtěch Hvězda z Gordic vysvětluje, jak firmy zvládnou novou legislativu NIS2 a nZoKB

Nový zákon o kybernetické bezpečnosti rozšíří povinnosti tisícům firem v Česku za několik měsíců.

Co a kdy?

Příbuzná témata

Co se děje

Srovnání před a po

Klíčové postavy

International Comparison

Přehled citací

Vlad Cohen

Jan Dobrý

Libor Šrám

Ondřej Koutský

Jakub Ludvík

Jiří Císek

Aleš Špidla

Michaela Koletová

Lukáš Kintr

Historický kontext

Vysvětlení pojmů

Kvíz: Nová legislativa kybernetické bezpečnosti v ČR

Otázka 1

Kolik incidentů zaznamenal NÚKIB v říjnu 2024 (uvedeno jako rekordní měsíční hodnota)?

Správně!

Otázka 2

Kdy stanovila EU termín pro transpozici směrnice NIS2 do vnitrostátních právních řádů?

Správně!

Otázka 3

Kdo řekl: „Připravenost firem, kterých se bude regulace nově týkat, je v průměru naprosto tristní. Většina z nich vůbec neví, že něco takového existuje…“?

Správně!

Otázka 4

Které z následujících opatření je nová legislativa (nZoKB / NIS2) výslovně požaduje od podniků?

Správně!

Otázka 5

Která skupina byla v materiálech označena jako obzvlášť zranitelná a bude novou regulací nově silněji zavázána k opatřením?

Správně!

Kvíz dokončen!

4/5

Česko

Strojově generováno