Kybernetický zákon a jeho novelizace

Kompletní informace o českém kybernetickém zákoně a jeho změnách. NDC ICT Solutions s.r.o. vám pomůže s implementací požadavků od konzultací až po kompletní zajištění pověřence pro kybernetickou bezpečnost.

Naše služby Kontaktujte nás

O kybernetickém zákoně

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (tzv. kybernetický zákon) je základním právním předpisem v ČR, který upravuje povinnosti subjektů kritické infrastruktury a významných informačních systémů v oblasti kybernetické bezpečnosti.

Koho se zákon týká?

Zákon se vztahuje na tři kategorie subjektů:

Kategorie Příklady Povinnosti
Subjekty kritické infrastruktury Energetika, doprava, zdravotnictví, bankovnictví Nejpřísnější požadavky, včetně povinného certifikovaného zabezpečení
Provozovatelé základních služeb Vybrané společnosti v digitálních službách, energetice apod. Povinnost implementovat opatření podle zákona a hlásit incidenty
Provozovatelé významných informačních systémů Veřejná správa, samospráva, vybrané státní instituce Povinnost implementovat základní a rozšířená opatření

Režimy povinností podle vyhlášky

Vyhláška č. 316/2014 Sb. definuje dva režimy povinností:

Režim Aplikace Základní opatření Rozšířená opatření
Vyšší režim Subjekty kritické infrastruktury Povinná pro všechny systémy Povinná pro kritické systémy
Nižší režim Provozovatelé základních služeb a významných informačních systémů Povinná pro všechny systémy Doporučená

Hlavní povinnosti podle zákona

  • Zavedení organizačních a technických opatření kybernetické bezpečnosti
  • Jmenování pověřence pro kybernetickou bezpečnost
  • Ohlašování kybernetických incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
  • Provádění pravidelných auditů bezpečnosti
  • Zajištění kontinuity provozu kritických systémů

Více o kybernetickém zákoně

Novelizace kybernetického zákona

V roce 2023 začal proces významné novelizace kybernetického zákona, který přinese řadu změn v reakci na vývoj kybernetických hrozeb a evropskou směrnici NIS2.

Hlavní změny v novele:

  • Rozšíření okruhu subjektů - Nově se zákon vztahuje na více organizací, včetně malých a středních podniků v kritických sektorech. Odhadem 6000 nových firem
  • Zvýšení odpovědnosti managementu - Vedení společností bude osobně odpovědné za dodržování požadavků
  • Přísnější požadavky na reporting - Kratší lhůty pro hlášení incidentů a více podrobností
  • Zavedení risk-based přístupu a požadavků na prevenci
  • Nové povinnosti v dodavatelském řetězci - Vyšší nároky na bezpečnost partnerů a dodavatelů
  • Vyšší sankce - Maximální pokuty až do výše 10 milionů Kč
  • Povinné školení zaměstnanců - Pravidelné vzdělávání v oblasti kybernetické bezpečnosti

Směrnice NIS2 a její implementace

Novelizace kybernetického zákona implementuje evropskou směrnici NIS2 (Directive on measures for a high common level of cybersecurity across the Union), která výrazně posiluje kybernetickou bezpečnost v EU. Hlavní změny:

  • Rozšíření sektorů - Nově zahrnuje 18 odvětví včetně potravinářství, výroby, veřejné správy a digitálních služeb
  • Harmonizace pravidel - Vytvoření společného bezpečnostního rámce v celé EU
  • Posílení spolupráce - Lepší koordinace mezi členskými státy a EU institucemi
  • Větší odpovědnost managementu - Statutární orgány osobně odpovědné za dodržování

Časový harmonogram novelizace

17. 10. 2024

Povinná implementace NIS2 pro členské státy EU do národní legislativy

25. 4. 2025

Schválení novely Poslaneckou sněmovnou

3Q/2025

Předpokládané schválení parlamentem ČR

leden/2026

Předpokládaná účinnost novelizace KZ a aktualizace vyhlášky

Více o novelizaci

Jak vám můžeme pomoci?

Analýza dopadů

Zjistíme, zda se na vás kybernetický zákon vztahuje a jaké konkrétní povinnosti z něj pro vás vyplývají.

Více informací

Gap analýza

Porovnáme současný stav vaší kybernetické bezpečnosti s požadavky zákona a identifikujeme mezery.

Více informací

Implementace požadavků

Pomůžeme vám implementovat všechny technické a organizační požadavky zákona.

Více informací

Pověřenec pro kybernetickou bezpečnost

Nabízíme služby pověřence pro kybernetickou bezpečnost (CISO as a Service).

Více informací

Školení a awareness

Připravíme školení pro management i zaměstnance o jejich povinnostech podle zákona.

Více informací

Průběžný audit a reporting

Zajistíme pravidelný audit a pomůžeme s plněním reportovacích povinností.

Více informací

Kontaktujte nás

Email

obchod@ndc.cz

Telefon

+420 515 536 220

Adresa

Vídeňská 149/125A

619 00 Brno - Přízřenice

Potřebujete poradit s kybernetickým zákonem a jeho novelizací? Obraťte se na odborníky z NDC ICT Solutions s.r.o.

Kontaktní formulář

Podrobné informace o kybernetickém zákoně

Zpět na hlavní stránku

Zákon o kybernetické bezpečnosti č. 181/2014 Sb.

Kybernetický zákon je základním právním předpisem v ČR, který upravuje povinnosti subjektů kritické infrastruktury a významných informačních systémů v oblasti kybernetické bezpečnosti. Zákon vstoupil v platnost 1. ledna 2015.

Hlavní cíle zákona

  • Zajistit bezpečnost kritických informačních infrastruktur státu
  • Stanovit povinnosti pro subjekty kritické infrastruktury
  • Vytvořit systém prevence, detekce a reakce na kybernetické incidenty
  • Zajistit spolupráci mezi soukromým a veřejným sektorem v kybernetické bezpečnosti
  • Implementovat relevantní evropské předpisy do českého právního řádu

Klíčové pojmy

Kritická informační infrastruktura: Informační systém, jehož narušení by mělo závažný dopad na bezpečnost státu, základní životní potřeby obyvatel, zdraví osob nebo ekonomiku státu.

Kybernetický incident: Narušení kybernetické bezpečnosti, které má nebo by mohlo mít nepříznivý dopad na bezpečnost sítí a informačních systémů.

Pověřenec pro kybernetickou bezpečnost: Osoba odpovědná za plnění povinností podle zákona v daném subjektu.

Povinnosti podle zákona

Pro subjekty kritické infrastruktury:

  • Zavedení základních a rozšířených opatření kybernetické bezpečnosti
  • Jmenování pověřence pro kybernetickou bezpečnost
  • Ohlašování kybernetických incidentů NÚKIB
  • Provádění pravidelných auditů bezpečnosti
  • Zajištění kontinuity provozu kritických systémů

Pro provozovatele základních služeb:

  • Zavedení základních opatření kybernetické bezpečnosti
  • Ohlašování závažných incidentů
  • Spolupráce s NÚKIB

Vyhláška č. 316/2014 Sb. a režimy povinností

Vyhláška č. 316/2014 Sb. o stupních povinných opatření definuje konkrétní technická a organizační opatření, která musí subjekty podle zákona o kybernetické bezpečnosti zavést. Vyhláška rozlišuje dva režimy povinností:

Vyšší režim povinností

Aplikuje se na subjekty kritické infrastruktury. Zahrnuje:

  • Základní opatření - povinná pro všechny systémy
  • Rozšířená opatření - povinná pro kritické systémy

Příklady rozšířených opatření:

  • Šifrování citlivých dat
  • Redundance kritických systémů
  • Certifikované bezpečnostní prvky
  • Fyzická bezpečnost datových center
  • Kontinuální monitoring a detekce hrozeb

Nižší režim povinností

Aplikuje se na provozovatele základních služeb a významných informačních systémů. Zahrnuje:

  • Základní opatření - povinná pro všechny systémy
  • Rozšířená opatření - doporučená, ale nepovinná

Příklady základních opatření:

  • Pravidelná aktualizace systémů a aplikací
  • Zálohování dat a testování obnovy
  • Autentizace a autorizace přístupů
  • Záznamy o činnostech a auditech
  • Školení zaměstnanců v bezpečnosti

Sankce za nedodržení

Za porušení povinností podle zákona mohou být uděleny pokuty až do výše 5.000.000 Kč

Připravovaná novelizace zvýšila maximální pokuty až na 10 000 000 Kč.

Role NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je centrálním orgánem státní správy pro kybernetickou bezpečnost. Mezi jeho hlavní úkoly patří:

  • Dohled nad plněním povinností podle zákona
  • Příjem a vyhodnocování hlášení o kybernetických incidentech
  • Metodická podpora subjektů kritické infrastruktury
  • Vydávání certifikací podle zákona
  • Koordinace národního systému kybernetické bezpečnosti

Evropský kontext: Směrnice NIS2

Český kybernetický zákon je v souladu s evropskou směrnicí NIS, a připravovaná novelizace KZ zapracovává její novou aktuální verzi NIS2, která stanovuje:

  • Minimální požadavky na kybernetickou bezpečnost v EU
  • Povinnost členských států zřídit národní autority
  • Pravidla pro spolupráci mezi členskými státy
  • Společný rámec pro řešení rozsáhlých kybernetických incidentů

Vztah mezi českým právem a evropskou legislativou:

2014

Schválení českého kybernetického zákona a vyhlášky č. 316/2014 Sb.

2016

Původní směrnice NIS - implementována do českého zákona č. 181/2014 Sb.

16. 1. 2023

Vstup v platnost směrnice NIS2

17. 10. 2024

Lhůta pro implementaci NIS2 do národních právních řádů

3Q/2025

Plánované schválení české novelizace implementující NIS2

leden/2026

Plánovaná účinnost české novelizace implementující NIS2

Kontaktujte nás pro konzultaci

Novelizace kybernetického zákona 2023

Zpět na hlavní stránku

Novelizace kybernetického zákona přináší významné změny v reakci na vývoj kybernetických hrozeb a potřebu transpozice evropské směrnice NIS2. Novela byla schválena v dubnu 2025 poslaneckou směnovnou. V současné době se čeká na schválení senátem ČR.

Hlavní důvody novelizace

  • Transpozice evropské směrnice NIS2 do českého práva
  • Reakce na rostoucí kybernetické hrozby a sofistikované útoky
  • Potřeba větší harmonizace pravidel v rámci EU
  • Posílení odolnosti kritické infrastruktury
  • Zvýšení odpovědnosti vedení společností

Implementace směrnice NIS2

Směrnice NIS2 (2022/2555) nahrazuje původní směrnici NIS z roku 2016 a přináší zásadní změny:

Klíčové rozdíly mezi NIS a NIS2

Parametr Původní NIS NIS2
Počet sektorů 7 sektorů 18 sektorů
Rozsah subjektů ~600 subjektů v ČR ~6000 subjektů v ČR
Sankce Až 5 mil. Kč Až 10 mil. Kč nebo 2% globálního obratu
Odpovědnost managementu Ne Ano, osobní odpovědnost
Režimy povinností Dva režimy (vyhláška 316/2014) Upřesněné režimy s novými požadavky

Hlavní cíle NIS2

  • Vytvořit společný vysoký standard kybernetické bezpečnosti v EU
  • Zlepšit odolnost kritické infrastruktury napříč členskými státy
  • Posílit schopnost prevence, detekce a reakce na kybernetické incidenty
  • Zavést efektivní systém výměny informací mezi členskými státy

Vztah NIS2 a českého kybernetického zákona

Novelizovaný kybernetický zákon plně transponuje požadavky směrnice NIS2 do českého právního řádu. Hlavní změny:

  1. Rozšíření okruhu povinných subjektů na nové sektory
  2. Zavedení principu "řízení kybernetických rizik" (risk-based approach)
  3. Posílení pravomocí NÚKIB v dohledu a vymáhání pravidel
  4. Zavedení povinného hodnocení kybernetické bezpečnosti dodavatelů
  5. Nové požadavky na kontinuitu provozu a zotavení po incidentech

Změny v režimech povinností

Novelizace přináší úpravy v režimech povinností definovaných vyhláškou č. 316/2014 Sb.:

Nové požadavky ve vyšším režimu

  • Povinnost zavedení systému detekce a prevence průniků (IDPS)
  • Kontinuální monitoring a analýza bezpečnostních událostí
  • Povinné simulované útoky (red teaming) alespoň 1x ročně
  • Zavedení systémů pro automatizovanou reakci na incidenty
  • Povinnost certifikace kritických systémů podle mezinárodních standardů

Nové požadavky v nižším režimu

  • Zavedení základního monitoringu bezpečnostních událostí
  • Pravidelné penetrační testy alespoň 1x za 2 roky
  • Dokumentace dodavatelského řetězce a jeho bezpečnosti
  • Povinnost základního školení všech zaměstnanců
  • Zavedení základního systému správy identit a přístupů (IAM)

Klíčové změny

1. Rozšíření okruhu subjektů

Novelizace rozšiřuje okruh subjektů, na které se zákon vztahuje. Nově zahrnuje:

  • Více odvětví (např. výroba potravin, chemický průmysl, odpadové hospodářství)
  • Více digitálních služeb (online tržiště, cloud computing, sociální sítě)
  • Menší subjekty v kritických odvětvích (snížení hranic pro zařazení)

2. Posílení odpovědnosti managementu

  • Vedení společností bude osobně odpovědné za dodržování požadavků zákona
  • Povinnost prokázat přijetí "všech přiměřených opatření" k zajištění bezpečnosti
  • Možnost sankcí pro členny statutárních orgánů za závažná pochybení

3. Přísnější požadavky na reporting

  • Kratší lhůty pro hlášení incidentů (24 hodin pro počáteční hlášení)
  • Více podrobností v hlášeních (včetně dopadů a přijatých opatření)
  • Povinnost hlásit i potenciální incidenty s významným dopadem

4. Nové povinnosti v dodavatelském řetězci

  • Vyšší nároky na bezpečnost partnerů a dodavatelů
  • Povinnost hodnotit kybernetickou bezpečnost dodavatelů kritických komponent
  • Možnost požadovat certifikace a audity u dodavatelů

5. Vyšší sankce

Maximální pokuty byly zvýšeny:

  • Až 10 000 000 Kč pro právnické osoby (dříve 5 000 000 Kč)

6. Povinné školení zaměstnanců

  • Pravidelné vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti
  • Povinné školení pro pověřence pro kybernetickou bezpečnost
  • Dokumentace provedených školení

Jak se připravit na novelizaci?

NDC ICT Solutions s.r.o. nabízí komplexní služby pro přípravu na změny:

  1. Analýza dopadů novelizace na vaši organizaci
  2. Aktualizace stávajících politik a procesů
  3. Školení managementu a zaměstnanců
  4. Revize smluv s dodavateli
  5. Služba pověřence/manažera kybernetické bezpečnosti
  6. Implementace nových reportovacích procesů
  7. A další služby dle vašich požadavků a potřeb

Kontaktujte nás pro konzultaci

Naše služby pro kybernetickou bezpečnost

Zpět na hlavní stránku

Komplexní řešení kybernetické bezpečnosti

NDC ICT Solutions s.r.o. nabízí široké spektrum služeb v oblasti kybernetické bezpečnosti, které vám pomohou splnit požadavky kybernetického zákona a jeho novelizace. Naše služby jsou navrženy tak, aby pokryly všechny aspekty kybernetické bezpečnosti vaší organizace.

Analýza dopadů

Zjistíme, zda se na vás kybernetický zákon vztahuje a jaké konkrétní povinnosti z něj pro vás vyplývají. Naše služby zahrnují i přípravu na nové požadavky směrnice NIS2.

Výstupy: Právní analýza, klasifikace subjektu, přehled povinností

Gap analýza

Porovnáme současný stav vaší kybernetické bezpečnosti s požadavky zákona a identifikujeme mezery. Zahrnuje i kontrolu souladu s NIS2.

Výstupy: Zpráva o stavu, doporučení k nápravě, akční plán

Implementace požadavků

Pomůžeme vám implementovat všechny technické a organizační požadavky zákona včetně novinek z novelizace a NIS2.

Výstupy: Implementovaná opatření, dokumentace, školení

Pověřenec pro kybernetickou bezpečnost

Nabízíme služby pověřence pro kybernetickou bezpečnost (CISO as a Service) v souladu s požadavky KZ a NIS2.

Výhody: Odborník s dlouholetou praxí a certifikací, úspora nákladů, garance kvality

Školení a awareness

Připravíme školení pro management i zaměstnance o jejich povinnostech podle zákona, včetně změn z NIS2.

Formáty: Prezenční, online, e-learning, simulované útoky

Průběžný audit a reporting

Zajistíme pravidelný audit a pomůžeme s plněním reportovacích povinností včetně nových požadavků NIS2.

Výstupy: Auditní zprávy, reporty pro NÚKIB, doporučení

Proč si vybrat nás?

  • Odborníci s certifikacemi - Náš tým disponuje potřebnými certifikacemi a zkušenostmi
  • Komplexní přístup - Pokrýváme všechny aspekty kybernetické bezpečnosti včetně NIS2
  • Individuální řešení - Přizpůsobíme se potřebám vaší organizace
  • Transparentní ceny - Žádné skryté poplatky, jasné cenové struktury
  • Dlouhodobá podpora - Nejsme jen jednorázoví konzultanti, ale dlouhodobí partneři

Nezávazná poptávka

Kontaktujte naše odborníky

Zpět na hlavní stránku

Kontaktní informace

NDC ICT Solutions s.r.o.

Vídeňská 149/125A

619 00 Brno - Přízřenice

obchod@ndc.cz

+420 515 536 220

www.ndc.cz

Provozní doba

Po-Pá: 8:00 - 17:00

So-Ne: Zavřeno

Najdete nás také na mapě