Kybernetická bezpečnost podle NIS2: povinnosti, řízení rizik a dostupné dotace pro veřejný sektor

Od 1. listopadu 2025 vstoupil v účinnost nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb.), který představuje největší změnu v této oblasti za poslední roky. Česká legislativa jím reaguje na evropskou směrnici NIS2 a výrazně rozšiřuje nejen okruh regulovaných subjektů, ale i samotné požadavky na řízení kybernetické bezpečnosti.

Zatímco dříve se regulace týkala především provozovatelů kritické infrastruktury, dnes dopadá na mnohem širší spektrum organizací. Nově se povinnosti vztahují například na velkou část veřejné správy, zdravotnická zařízení, energetické a dopravní podniky, poskytovatele digitálních služeb i vybrané soukromé společnosti. Pro řadu organizací to znamená, že se s regulací kybernetické bezpečnosti setkávají vůbec poprvé. 

Od reakce k řízení rizik 

Jednou z nejzásadnějších změn, kterou nový zákon přináší, je posun od reaktivního přístupu k systematickému řízení rizik. Organizace už nemohou spoléhat pouze na řešení incidentů ve chvíli, kdy nastanou. Naopak musí aktivně identifikovat hrozby, vyhodnocovat jejich dopady a přijímat opatření, která jim předcházejí.  

S tím úzce souvisí i nově definovaná odpovědnost vedení organizací. Kybernetická bezpečnost se tak stává důležitým tématem, které nelze delegovat pouze na IT oddělení. Management nese přímou odpovědnost za nastavení procesů, alokaci zdrojů i celkovou úroveň zabezpečení. 

Dvoustupňový model povinností

Nový zákon zavádí přehlednější, ale zároveň přísnější regulační rámec. Organizace jsou nově rozděleny do dvou režimů - s nižšími a vyššími povinnosti – podle významnosti poskytovaných služeb a míry rizika.  

Na tuto strukturu navazují prováděcí vyhlášky: 

• 
  Vyhláška č. 408/2025 Sb. stanovuje, které služby spadají do regulace,
• č. 409/2025 Sb. definuje požadavky pro organizace ve vyšším režimu (např. pokročilé řízení bezpečnosti, monitoring nebo řízení dodavatelů),
• vyhláška č. 410/2025 Sb. upravuje povinnosti pro nižší režim,
• vyhláška č. 411/2025 Sb. se zaměřuje na informační systémy veřejné správy. 

Co to znamená v praxi?

Pro organizace nezačíná účinnost zákona pouze formální změnou. Naopak přináší konkrétní povinnosti, které je nutné splnit v poměrně krátkém čase.

Každá organizace musí nejprve provést tzv. sebeidentifikaci, tedy posoudit, zda do regulace spadá a v jakém režimu. Následně je nutná registrace u NÚKIB a implementace odpovídajících opatření.  

Ta zahrnují například:

• Zavedení systematického řízení rizik, 
• nastavení procesů pro detekci a řešení incidentů,
• nastavení procesů pro detekci a řešení incidentů,
• pravidelná školení zaměstnanců,
• zajištění bezpečnosti dodavatelského řetězce,
• dokumentaci a auditovatelnost přijatých opatření.

Zejména pro veřejné instituce a zdravotnická zařízení jde o důležitou změnu, která ovlivní každodenní fungování i dlouhodobé plánování. 

Vyšší nároky přináší i vyšší sankce 

S rostoucími požadavky přichází i přísnější dohled. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) získává silnější pravomoci a může ukládat výrazně vyšší sankce než doposud.

Podcenění přípravy tak může mít významné finanční dopady, nemluvě o riziku narušení provozu nebo ztráty důvěry ze strany klientů a partnerů.

Začněte s přípravou ještě dnes 

Nejste si jistí, zda se nový zákon týká právě vaší organizace? Nebo už víte, že ano, ale nevíte, kde začít? Využijte nezávazné konzultace, kdy vám náš tým poradí, jak využít dostupné dotace na kybernetickou bezpečnost.