Přeskočit na obsah
EN

Nový zákon o kybernetické bezpečnosti

Co přináší zákon č. 264/2025 Sb. a transpozice směrnice NIS2 do českého právního řádu?

Co se změnilo

Česká republika dokončila transpozici evropské směrnice NIS2 přijetím nového zákona o kybernetické bezpečnosti - zákona č. 264/2025 Sb. Nový zákon nabyl účinnosti 1. listopadu 2025 a nahrazuje původní zákon č. 181/2014 Sb.

Nejedná se o dílčí novelu, ale o kompletní rekodifikaci. Rozšiřuje se okruh regulovaných subjektů, mění se režimy povinností, posiluje se odpovědnost vedení a zavádí se nové sankce.

Dohledovým a metodickým orgánem zůstává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který vydává prováděcí vyhlášky a provozuje portál pro registraci a komunikaci s regulovanými subjekty.

Dva režimy povinností

Zákon rozlišuje firmy podle významnosti služeb, které poskytují. Do kterého režimu patříte zjistíte v oficiální kalkulačce NÚKIB.

Režim vyšších povinností

Pro poskytovatele kritických služeb a velké subjekty v regulovaných sektorech.

  • Povinné samostatné role: manažer KB, architekt KB, auditor KB
  • Komplexní systém řízení bezpečnosti informací
  • Pravidelná analýza rizik a její údržba
  • Plně dokumentovaná bezpečnostní opatření dle vyhlášky 409/2025 Sb.
  • Pravidelné audity a testy
  • Posuzování významných dodavatelů
  • Hlášení incidentů ve zkrácených termínech
Režim nižších povinností

Pro střední podniky v regulovaných sektorech a poskytovatele některých digitálních služeb.

  • Osoba odpovědná za KB (nemusí být samostatná role)
  • Základní bezpečnostní opatření dle vyhlášky 410/2025 Sb.
  • Analýza rizik (zjednodušená)
  • Bezpečnostní politika a klíčové směrnice
  • Plán reakce na incidenty
  • Hlášení incidentů NÚKIB

Role architekta KB

Architekt kybernetické bezpečnosti je v režimu vyšších povinností povinná samostatná role. Odpovídá za technický návrh bezpečnostních opatření a celkovou bezpečnostní architekturu organizace - od síťové infrastruktury přes IAM až po aplikační bezpečnost.

Vyhláška 409/2025 Sb. stanovuje požadavky na odbornou způsobilost: minimálně 3 roky relevantní praxe, případně doložitelné kvalifikace prostřednictvím akreditovaných certifikací.

Role architekta musí být oddělena od role auditora KB - nezávislost je formální i praktická. Zákon přitom nestanovuje, že role musí být obsazena interním zaměstnancem. Externí osoba je plnohodnotnou variantou.

Co architekt typicky dělá

  • Navrhuje a udržuje bezpečnostní architekturu organizace
  • Připravuje bezpečnostní standardy a referenční vzory
  • Schvaluje bezpečnostní řešení nových projektů
  • Spolupracuje s manažerem KB na řízení rizik
  • Připravuje technické podklady pro vedení
  • Komunikuje s dodavateli a externími experty

Klíčové termíny

  1. 1 1. 11. 2025

    Účinnost zákona

    Zákon č. 264/2025 Sb. nabývá účinnosti.

  2. 2 do 60 dnů

    Registrace u NÚKIB

    Od okamžiku, kdy firma splní kritéria pro regulaci, má 60 dnů na registraci přes portál NÚKIB. Pro firmy regulované od 1. 11. 2025 je termín do 31. 12. 2025.

  3. 3 do 1 roku

    Zavedení opatření

    Po registraci má firma jeden rok na zavedení všech povinných organizačních a technických opatření.

Oficiální zdroje

home.finalCta.title

Bezplatná 30minutová konzultace. Zhodnotíme váš současný stav a navrhneme konkrétní kroky k dosažení cílového stavu.

Nezávazná konzultace