Obsah článku:

• Co je směrnice NIS2 a jak souvisí s novým zákonem o kyberbezpečnosti v ČR?
• Koho se týká nový zákon o kybernetické bezpečnosti podle směrnice NIS2?
• Režimy povinností dle nZKB — vyšší a nižší, jak to s nimi je?
• Povinnosti, které nZKB dle NIS2 přináší nehledě na režim firmy
• Podcast, kde shrnujeme to nejzásadnější o novém kyberzákoně
• Je potřeba mít do roka po účinnosti zavedena úplně všechna opatření?
• Kdy bude účinný nový zákon o kybernetické bezpečnosti podle NIS2?
• Jak se připravit na nový zákon o kybernetické bezpečnosti dle směrnice NIS2?

Co je směrnice NIS2 a jak souvisí s novým zákonem o kyberbezpečnosti v ČR?

​Směrnice NIS2 (Network and Information Security Directive 2) je aktualizovaná směrnice EU, která byla v roce 2022 přijata s cílem posílit kybernetickou bezpečnost členských států EU. NIS2 a navazující česká legislativa chtějí, aby organizace poskytující důležité služby pro stát i veřejnost měly kyberbezpečnost jako běžnou součást řízení firmy, ne jako něco navíc.

Do právního řádu ČR jsou požadavky směrnice NIS2 implementovány prostřednictvím nového zákona č. 264/2025 Sb. o kybernetické bezpečnosti (nZKB) a souvisejících vyhlášek:

• Vyhláška č. 334/2025 Sb. o Portálu NÚKIB
• Vyhláška č. 408/2025 Sb. o regulovaných službách
• Vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
• Vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
• Vyhláška č. 411/2025 Sb. o bezpečnostních úrovních informačních systémů veřejné správy
• Vyhláška č. 412/2025 Sb.o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu
• Prováděcí nařízení Komise (EU) 2024/2690, určené poskytovatelům regulovaných služeb v digitálním odvětví

To vše nahradilo „starou” legislativu (ZoKb/VoKB).

Celý proces i agendu s ním spojenou má na starost NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost).

Koho se týká nový zákon o kybernetické bezpečnosti podle směrnice NIS2?

Odhaduje se:

• přímo 6000 – 9000+ firem, ale v dodavatelských řetězcích nepřímo další vyšší tisíce,
• 22 odvětví ekonomiky (dle nZKB, NIS2 jich pokrývá 18),
• 100+ regulovaných služeb.

Jde převážně o střední a velké organizace, ale v digitálním odvětví i malé a mikro podniky. 

Patří sem i vaše firma? To zjistíte v naší příručce, nebo na Portálu NÚKIB pomocí aplikace.

Případně si přečtěte článek, kde popisujeme, jak to přesně zjistit a kdy ještě může být firma regulována.

Jsou 2 režimy povinností — vyšší a nižší — vyšší vždy bere!

Režimy vycházejí ze směrnice NIS2 a pracuje s nimi také nový zákon o kybernetické bezpečnosti. 

Určují přísnost a počet opatření, které musí regulovaná firma řešit, ale také třeba to, komu bude hlásit případné incidenty.

Opatření dělíme na organizační (školení, procesy, dokumentace) a technická (firewall, SIEM a tak dále).

Vyšší režim má celkem 25 bezpečnostních opatření, nižší 13.

Pokud má regulovaná firma jednu službu v nižším režimu a druhou ve vyšším, pro obě se vždy řídí vyšším režimem.

Povinnosti, které nZKB dle NIS2 přináší nehledě na režim firmy:

1️⃣ Samoidentifikace — organizace musí sama posoudit, jestli se jí legislativa přímo týká.

2️⃣ Do 31. 12. 2025 (pro firmy regulované od listopadové účinnosti), či do 60 dní od doby, kdy firma naplní podmínky pro regulaci, musí zaregistrovat své regulované služby přes portál NÚKIB. Jak to udělat zjistíte tady.

3️⃣ Do 30 dnů od potvrzení registrace NÚKIB pak nahlásit kontaktní údaje (Kontaktní osoby, IP rozsahy služeb atd).

4️⃣ Stanovit rozsah řízení kyberbezpečnosti určením aktiv regulovaných služeb. / Nestanovit ho, ale zavádět opatření na celou firmu (všechna aktiva).

5️⃣ Začít zavádět opatření do 1 roku od doručení rozhodnutí o registraci od NÚKIB.

6️⃣ Hlásit incidenty — vyšší režim hlásí NÚKIBu, nižší Národnímu CERT, obojí přes Portál NÚKIB.

7️⃣ Pokud je to vhodné, informovat své klienty o probíhajících incidentech a hrozbách.

8️⃣ Hlásit přes portál provedení výstrah, varování a protiopatření vydaných z NÚKIB.

A další dvě pro strategicky významné služby (spadá-li sem firma, zjistí to z chystaného nařízení vlády):

〰️ Mechanismus BDŘ = prověřovat bezpečnostně významné dodavatele.

〰️ Zajišťovat dostupnost služby v rozsahu, kvalitě a stanoveném čase z území ČR.

#Tip → Poslechněte si podcast, kde shrnujeme to nejzásadnější o novém zákoně:

Je potřeba mít do roka po účinnosti zavedena úplně všechna opatření?

To záleží na kontextu každé firmy.

Pro vyšší režim v legislativě neexistuje nutné minimum, ale začíná-li se prokazatelně od nuly, je dobré během prvního roku stihnout alespoň:

〰️ Zmapovat a evidovat všechna aktiva v rozsahu regulované služby.

〰️ Udělat Business Impact a GAP analýzu.

〰️ Udělat analýzu a plán zvládání rizik.

〰️ Mít prohlášení o aplikovatelnosti a krizový plán.

Důležité je se snažit. Zbytek jde dodělat postupně v rámci přehledu bezpečnostních opatření.

Nižší režim má nutné minimum ve vyhlášce:

§ 3 — Zajišťování minimální úrovně kyberbezpečnosti (odstavec 2 až 6).

§ 4 — Požadavky na vrcholné vedení (= angažování se ve firemní kyberbezpečnosti).

§ 5 — Bezpečnost lidských zdrojů (= školení vedení, manažerů i zaměstnanců).

§ 6 Řízení kontinuity činností (= krizové plány, sledování rizik, protiopatření atd.)

§ 10 — Řešení kybernetických bezpečnostních incidentů (= posuzovat je a hlásit).

Dá se tu navíc uplatnit princip přiměřenosti, ke kterému je od NÚKIB vydaný materiál.

Od kdy je účinný nový zákon o kybernetické bezpečnosti?

nZKB je účinný od 1. listopadu 2025 a pro regulované firmy v roce 2026 platí povinnosti v plném rozsahu.

Po účinnosti zákona bylo prioritní zaregistrovat se přes portál NÚKIB.

Obecně je na to čas do 60 dní od data, kdy firma naplnila podmínky pro regulaci.

Pro většinu firem, na které se zákon vztahoval od listopadové účinnosti, byl termín do 31. prosince 2025.

Kdo to dosud nestihnul, riskuje zbytečné průšvihy s legislativou.

Jak ovládat Portál NÚKIB a splnit první povinnosti zjistíte zde.

Je důvod panikařit?

Není! Důležité je projevit snahu.

I kdyby šlo jen o report z GAP analýzy, kde je naplánováno, kdy a jak budete řešit mezery v souladu a bezpečnostní rizika.

Pamatujte, že kontrola je sekundární povinností státu a sankce až poslední možnost.

Kybernetická bezpečnost je proces zahrnující neustálé zlepšování, ne jednorázový úkol.

NÚKIB není proti vám. Všichni společně stojíme proti kyber zločincům.

Jde zkrátka o přiměřenost, a s tou vám rádi pomůžeme — #UmimeNIS2, kontaktujte nás.

Jak se připravit na nový zákon o kyberbezpečnosti dle NIS2?

Pokud se chystáte připravovat, začněte tzv. samoidentifikací, tím si ověříte, jestli na vás zákon vůbec dopadá.

Pomůže vám s tím naše příručka zde. Případně si také přečtěte další článek, ve kterém detailně radíme, jak si určit, zda nZKB dopadá na vaši firmu.

Pokud ve firmě máte systém řízení bezpečnosti informací podle ISO 27001 či TISAX®, přečtěte si tento článek. Zjistíte, jak standardy pokrývají povinnosti ze zákona.

Pokud na vás zákon dopadá, startovním bodem implementace pro vás bude GAP analýza.

Díky ní zjistíte, co vám chybí ke splnění zákona a jak docílit souladu a lepší kyberbezpečnosti s maximálním využitím toho, co už vám dobře funguje.

Předejdete dvojení práce, papírů i nákladů.

Pro další informace a vývoj ohledně nové právní úpravy zamiřte i na portál NÚKIB, nebo odebírejte náš newsletter a mějte je každý měsíc ve své schránce.

---

Využité zdroje:

• VeKLEP – Nařízení vlády o regulovaných službách, které splňují podmínky strategicky významné služby
• VeKLEP – Nařízení vlády o nepominutelných funkcích stanoveného rozsahu
• Vyhláška č. 334/2025 Sb. o Portálu NÚKIB
• Vyhláška č. 408/2025 Sb. o regulovaných službách
• Vyhláška č. 409/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
• Vyhláška č. 410/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
• Vyhláška č. 411/2025 Sb. o bezpečnostních úrovních informačních systémů veřejné správy
• Vyhláška č. 412/2025 Sb.o bezpečnostních pravidlech pro orgány veřejné správy využívající služby poskytovatelů cloud computingu
• Prováděcí nařízení Komise (EU) 2024/2690, určené poskytovatelům regulovaných služeb v digitálním odvětví
• Portál NÚKIB