Je to zásadní změna pro vedení více než 6 tisíc firem v Česku. Jak souvisí NIS2 a nový zákon o kybernetické bezpečnosti? Týká se i vás? Jaké povinnosti musíte splnit a jaké sankce vám mohou hrozit?
O čem je NIS2 a nový zákon o kybernetické bezpečnosti?
V první řadě o bezpečnosti firem napříč státy EU, o což se má postarat směrnice Evropské unie NIS2 a u nás v Česku konkrétně nový Zákon o kybernetické bezpečnosti (nZKB). Cílem je sjednotit pravidla napříč Evropskou unií a zvednout úroveň ochrany evropských firem před kybernetickými útoky. Důvodem jsou stále častější a sofistikovanější útoky, které mají citelné dopady na fungování evropských firem i každodenní život občanů.
Kdy začíná novela platit?
Novela zákona o kybernetické bezpečnosti (nZKB) je účinná od 1. listopadu a otevírá novou kapitolu v ochraně firem před kybernetickými útoky. Povinná kybernetická bezpečnost už nebude záležitostí pouze firem z kritické infrastruktury jako doposud, ale bude se týkat širokého okruhu firem z různých odvětví.
Které firmy se budou muset přizpůsobit?
Současný zákon o kybernetické bezpečnosti se týkal necelých 500 firem. Novela přinese povinnosti pro více než 6000 firem z různých sektorů – od výrobního nebo chemického průmyslu přes digitální infrastrukturu až po odpadní vody. Zákon se týká firem, které poskytují služby v regulovaných odvětvích a mají padesát a více zaměstnanců nebo roční obrat přes 250 milionů korun.
Tyto firmy musí kromě své kyberbezpečnosti také zajistit, aby i jejich dodavatelé dodržovali bezpečnostní standardy a nepředstavovali slabý článek v případě kybernetického útoku. Změny se tak dotknou i menších podniků, které jsou součástí dodavatelského řetězce regulovaných firem. Firmy mohou doložit, že bezpečnostní standardy splňují například pomocí certifikátu ISO 27001.
Jaké povinnosti musí firmy nově splnit?
Firmy, na které se nZKB vztahuje, budou muset prokázat, že mají funkční systém, který dokáže včas rozpoznat a omezit dopady kybernetických útoků. To zahrnuje nastavení vnitřních procesů a zavedení technických i organizačních opatření.
V praxi to znamená například:
- Mít určenou osobu, která má bezpečnost na starost
- Pravidelně identifikovat, hodnotit a přezkoumávat bezpečnostní rizika
- Pravidelně zálohovat data a testovat jejich obnovu
- Školit a testovat zaměstnance
- Mít zavedený bezpečnostní monitoring, aby mohly včas poznat a reagovat na bezpečnostní incidenty
Jaká je zásadní změna pro vedení firem?
Nový zákon přenáší odpovědnost za kybernetickou bezpečnost na vedení firem, které musí zajistit, že firma má systém řízení rizik, jasně stanovené postupy pro ochranu dat a že zaměstnanci vědí, jak postupovat při incidentu. Kybernetická bezpečnost se tak přesouvá z IT oddělení do strategické roviny řízení firmy. Pokud vedení tyto povinnosti zanedbá, nese za to odpovědnost.
Důležitou součástí povinností je také oznamování závažných bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který je kontrolním orgánem.
Jaké hrozí sankce?
Pokud se na vaši firmu zákon vztahuje, máte ohlašovací povinnost vůči NÚKIBu, jestli tak neučiníte, čekají vás první vysoké sankce. Dále pak hrozí sankce v případech, kdy organizace nesplní povinnost zavést přiměřená opatření nebo neoznámí bezpečnostní incident. U firem, které spadají do nižšího režimu povinností, mohou pokuty dosahovat až 175 milionů Kč (nebo 1,4% celosvětového obratu), těch ve vyšším režimu 250 milionů Kč (nebo 2% obratu). Kromě finančních postihů může NÚKIB uložit také další správní sankce, například dočasný zákaz výkonu funkce členů vedení.
Jak v tuto chvíli postupovat?
Nejprve je nutné ověřit, zda daná firma spadá do působnosti novely zákona o kybernetické bezpečnosti. To zjistíte na portálu NÚKIBu. Pokud ano, je nutné zaregistrovat se na stránkách NÚKIBu do 60 dnů od začátku platnosti zákona (1.11.2025), tzn. do 31.12.2025. Poté vám do 30 dnů NÚKIB doručí rozhodnutí o registraci a finální potvrzení, že organizace spadá pod nZKB. Do 30 dnů od doručení rozhodnutí je potřeba nahlásit kontaktní údaje či doplnit dodatečné informace. Nejpozději do 1 roku od doručení rozhodnutí o registraci pak musíte začít hlásit kybernetické bezpečnostní incidenty a zavést bezpečnostní opatření, a to dle vyššího či nižšího režimu povinností.
Pokud vás zajímají podrobnosti, obraťte se na nás – www.bruselskycednik.cz.
Disclaimer: Tento článek má pouze informativní charakter. Za případné chyby v textu nebo v datech nenesou společnosti Roklen Holding a.s. ani Roklen360 a.s. zodpovědnost.
