Nový zákon o kybernetické bezpečnosti: Jaké změny přináší?

Posted on 13. 6. 2025

Nový zákon o kybernetické bezpečnosti byl schválen Poslaneckou sněmovnou a předán Senátu. Tento zákon implementuje evropskou směrnici NIS2 a přináší významné změny v požadavcích na kybernetickou bezpečnost i v okruhu povinných subjektů.

Na koho zákon dopadá

Nový zákon rozšiřuje okruh regulovaných subjektů. Dopadne na všechny organizace, které poskytují tzv. „regulované služby“. Jedná se o služby, které jsou důležité pro zabezpečení důležitých ekonomických nebo společenských činností pro bezpečnost České republiky. Zákon vyjmenovává i jednotlivá odvětví, která spadají pod tuto definici. Patří sem například potravinářský a chemický průmysl, digitální infrastruktura či zdravotnictví, do nějž spadá například výroba a výzkum léčivých přípravků nebo výroba zdravotnických prostředků.

Klíčovým kritériem je velikost organizace a význam poskytovaných služeb. Zákon zavádí dvourychlostní režim:

  • Vyšší režim povinností pro velké podniky a organizace s klíčovým dopadem na společnost (např. i velké nemocnice).
  • Nižší režim povinností pro střední podniky, nebo podniky, které poskytují důležité, ale méně strategické služby.

Hlavní rozdíly mezi režimy se týkají zejména rozsahu a intenzity bezpečnostních opatření, rozsahu hlášení o kybernetických incidentech a výše či druhu sankcí za nedodržení zákonných požadavků.

Zákon také zavádí pojem „strategicky významné služby“, tedy regulované služby, jejichž narušení by mohlo mít závažný dopad na bezpečnost České republiky, a které musí fungovat za všech okolností. Seznam těchto regulovaných odvětví je upřesněn v nařízení vlády, které je v současné době v legislativním procesu. Jedná se o některé služby v odvětvích veřejné správy, energetiky, dopravy a digitální infrastruktury. Dále se také jedná o poskytování služby cloud computingu pro stát, který je zařazený do nejvyšší bezpečnostní úrovně.

Jaké budou nové povinnosti?

V režimu vyšších i nižších povinností je nutné splnit zákonem předepsané povinnosti. Nejprve je v tzv. režimu samoregulace třeba regulovanou službu nahlásit u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), a to do 60 dnů ode dne naplnění podmínek pro registraci. Po doručení rozhodnutí o registraci od NÚKIB je následně nutné do 30 dní nahlásit prostřednictvím Portálu NÚKIB kontaktní údaje. 

Dále je třeba implementovat bezpečnostní opatření v rozsahu odpovídajícím příslušnému režimu podle vyhlášek, které budou schváleny velmi brzy po účinnosti zákona. Je také stanovena povinnost hlásit kyberbezpečnostní incidenty do 24 hodin prostřednictvím Portálu NÚKIB, přičemž nový zákon zpřesňuje rozsah a formu hlášení.

K plnění některých povinností, jako například zavádění bezpečnostních opatření, zákon stanovuje po registraci regulované služby roční přechodnou lhůtu. Organizace musí začít s implementací všech povinných opatření, které musí zavést nejpozději po uplynutí 1 roku od doručení rozhodnutí o registraci.

Jak se na změny připravit?

1. Zjistěte, co od Vás zákon vyžaduje

Za posouzení, zda organizace spadá pod regulované služby a případně jaký režim povinností se na ni vztahuje, odpovídá každá organizace sama. Pro alespoň orientační zařazení lze využít kalkulačku na stránkách NÚKIB.

2. Vytvořte tým pro kybernetickou bezpečnost

  • Jmenujte manažera kybernetické bezpečnosti, který bude koordinovat všechny aktivity – od školení zaměstnanců po komunikaci s úřady.
  • Spolupracujte s IT architekty na zabezpečení citlivých systémů, obzvlášť těch, které obsahují citlivé osobní údaje o zdravotním stavu.
  • Nechte si pravidelně provádět nezávislé audity, které odhalí slabá místa.

3. Připravte se na krizové situace

  • Vytvořte plán reakce na incidenty.
  • Nastavte pravidla pro hlášení útoků – u kritických subjektů musíte nahlásit incident do 24 hodin NÚKIB.
  • Uchovávejte offline zálohy důležitých dat– ransomware útok tak s větší pravděpodobností nezpůsobí výpadek služeb a ztrátu velmi cenných dat.

4. Spolupracujte s dodavateli

  • Ověřujte, zda partneři (např. dodavatelé) splňují kyberbezpečnostní standardy.
  • Do smluv přidejte klauzule o pravidelných bezpečnostních auditech a sankcích za porušení podmínek.

Proč to neodkládat?

Nové pokuty mohou dosáhnout až 250 milionů Kč nebo 2 % z celosvětového obratu, ale větší riziko představuje narušení provozu nebo únik citlivých dat pacientů, které sebou mohou nést další sankce. Navíc, vrcholný management organizace bude odpovídat za kyberbezpečnost v organizaci. Využijte přechodné období k postupným úpravám. Včasná příprava umožní hladký přechod na nová, často komplexní bezpečnostní opatření a pomůže snížit riziko případných sankcí.

Máte k novému zákonu dotazy?

Rádi s Vámi projdeme konkrétní dopady změn. Neváhejte se na nás kdykoli obrátit.

Barbora Dubanska

+420 777 061 580

bdubanska@dubanska.com

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

VÍTEJTE
Vítejte na blog magazínu Digital Health, kde se zaměřujeme na digitální inovace v oblasti zdravotnictví. Sdílíme novinky, rozhovory, trendy a události týkající se telemedicíny, umělé inteligence ve zdravotnictví a dalších digitálních nástrojů.

O NÁS
Cílem našeho blogu je podělit se se čtenáři o informace z transformace zdravotní péče pomocí moderních technologií. Přidejte se k nám, abyste objevili, jak digitální revoluce mění budoucnost zdravotnictví a zlepšuje péči o naše zdraví.

KONTAKTY
Petr Moláček
petr.molacek(at)digitalhealth.cz

Martin Doležal
martin.dolezal(at)digitalhealth.cz

©2024 digitalhealth.cz