Zákon o kyberbezpečnosti

Současná právní úprava kybernetické bezpečnosti v České republice je založena na zákoně č. 181/2014 Sb., o kybernetické bezpečnosti. Tento zákon vstoupil v platnost 1. ledna 2015 a jeho hlavním cílem je zajistit bezpečnost informací v informačních systémech a dostupnost a spolehlivost služeb a sítí elektronických komunikací v kybernetickém prostoru. Zákon mimo jiné definuje kritickou informační infrastrukturu a kybernetický prostor.

---

• Pojmy a vymezení: Zákon definuje základní pojmy, jako je kybernetický bezpečnostní incident, kritická informační infrastruktura a významný informační systém.
• Povinnosti: Ukládá povinnosti orgánům státní správy, obcím, krajům a vybraným soukromým subjektům (tzv. provozovatelům základních služeb) v oblasti kybernetické bezpečnosti. Tyto povinnosti zahrnují:
  • Zavádění bezpečnostních opatření: Stanovení pravidel pro ochranu informačních systémů.
  • Detekce a hlášení incidentů: Povinnost detekovat a hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
  • Řešení incidentů: Zavedení systému opatření pro reakce na kybernetické bezpečnostní incidenty.
  • Dokumentace: Povinnost vést specifickou dokumentaci k zabezpečení systémů.
• Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB): Zákon zavedl NÚKIB jako ústřední správní úřad pro oblast kybernetické bezpečnosti. NÚKIB je klíčový pro dohled nad dodržováním zákona, řešení incidentů a rozvoj kybernetické bezpečnosti v ČR.
• Mezinárodní spolupráce: Zákon reflektuje a provádí transpozice evropských směrnic, zejména směrnice NIS (a nově i NIS2), což zajišťuje harmonizace s evropským právem v oblasti kybernetické bezpečnosti.

---

V současné době (červenec 2025) dochází k zásadní aktualizace české legislativy v oblasti kybernetické bezpečnosti. Poslanecká sněmovna schválila návrh nového zákona o kybernetické bezpečnosti, který implementuje novou evropskou směrnici NIS2. Tento nový zákon byl prezidentem podepsán 26. června 2025 a jeho účinnost se předpokládá k 1. listopadu 2025.

1. 1. 1. Co přináší nový zákon?

• Rozšíření okruhu regulovaných subjektů: Nový zákon výrazně rozšiřuje počet organizací, na které se budou vztahovat povinnosti v oblasti kybernetické bezpečnosti. Půjde o mnohem širší spektrum odvětví a služeb, než tomu bylo doposud. To zahrnuje například energetika, doprava, zdravotnictví, digitální infrastruktura, bankovnictví a finance, pitná voda, ale nově i sektory jako poštovní služby, nakládání s odpady, potravinářský průmysl a další.
• Odpovědnost vedení: Zdůrazňuje se přímá odpovědnost vrcholového vedení organizací za dodržování kybernetické bezpečnosti. To znamená, že manažeři budou mít větší motivace aktivně se podílet na zabezpečení svých systémů.
• Přísnější sankce: Nový zákon zavádí výrazně přísnější sankce za nedodržení povinností, což má zvýšit disciplína a zodpovědnost v oblasti kybernetické bezpečnosti.
• Nový systém kategorií: Místo dosavadních kategorií (kritická informační infrastruktura, významné informační systémy) zavádí zákon dva hlavní režimy – základní a důležitou službu. Tyto režimy jsou definovány na základě velikosti a významu dané organizace a rozsahu jejího dopadu na společnost a ekonomiku.
• Zpřesnění požadavků na zabezpečení: Zákon detailněji specifikuje technické a organizační opatření, která musí organizace zavést k zajištění kybernetické bezpečnosti.
• Reakce na incidenty: Klade se větší důraz na efektivní reakce na kybernetické bezpečnostní incidenty, včetně povinnosti rychlého hlášení a spolupráce s NÚKIBem.
• Důraz na řízení rizik: Požadavky na řízení rizik jsou rozpracovány detailněji, což má vést k systématičtějšímu přístupu k identifikace, analýza a mitigaci rizik v kybernetickém prostoru.

---

Představte si, že Zákon o kybernetické bezpečnosti je takový "bezpečnostní předpis" pro internet a počítače v České republice. Jeho úkolem je zajistit, aby naše digitální svět fungoval bezpečně a spolehlivě.

Starý zákon (z roku 2014) říkal hlavně velkým firmám a státním institucím, co musí dělat, aby se bránily proti útokům hackerů. Určil také NÚKIB jako "policii pro kybernetickou bezpečnost", která dohlíží a pomáhá.

Nový zákon (který začne platit od 1. listopadu 2025) je jako vylepšená verze. Proč?

• Více firem: Dotkne se mnohem více firem a organizací než dříve – už nejenom banky nebo energetiky, ale třeba i velké nemocnice, pošty, firmy s pitnou vodou a mnoho dalších.
• Šéfové odpovídají: Ředitelé a šéfové firem teď budou mít větší odpovědnost za to, že jejich firma je v bezpečí. Už to není jen úkol IT oddělení.
• Vyšší pokuty: Pokud firmy pravidla nedodrží, hrozí jim mnohem větší pokuty.
• Jasnější pravidla: Zákon přesněji řekne, jaká bezpečnostní opatření se mají dělat, a bude chtít po firmách, aby se lépe připravily na to, co dělat, když je někdo napadne.

Cílem je, aby byl náš digitální svět bezpečnější a abychom se mohli spolehnout, že naše data jsou v bezpečí a důležité online služby budou vždy fungovat.

---

• Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB): Nový zákon o kybernetické bezpečnosti – Informace o aktuálním legislativním procesu a znění nového zákona.
• Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB): Zákon č. 181/2014 Sb. – Znění stávajícího zákona o kybernetické bezpečnosti.
• Směrnice NIS2 (EU 2022/2555) – Evropská směrnice, kterou nový český zákon implementuje.
• Informace o projednávání nového zákona v Poslanecké sněmovně – Detaily o legislativním procesu.