nZKB - Nový zákon o kybernetické bezpečnosti 2025
Aktualizováno: 9.6.2025
Nový zákon o kybernetické bezpečnosti přináší zásadní změny v digitální ochraně českých organizací. Implementuje evropskou směrnici NIS2, rozšiřuje okruh regulovaných subjektů a zpřísňuje požadavky na kybernetickou bezpečnost. Tento článek vám poskytne přehled klíčových bodů zákona, jeho dopadu na různé sektory a časový harmonogram implementace.
Co je nový zákon o kybernetické bezpečnosti (nZKB)?
Nový zákon o kybernetické bezpečnosti je legislativní nástroj, který implementuje evropskou směrnici NIS2 do českého právního rámce. Tento zákon má za cíl posílit ochranu digitálního prostoru České republiky a reagovat na rostoucí kybernetické hrozby.
Co obsahuje nový zákon o kybernetické bezpečnosti:
- Větší počet regulovaných organizací (nové služby): Zákon rozšiřuje okruh subjektů, které musí dodržovat kybernetická bezpečnostní opatření. Nově se týká například poskytovatelů cloudových služeb nebo výrobců kritických produktů.
- Odpovědnost a povinnosti vedení: Vrcholové vedení organizací je nyní přímo odpovědné za dodržování kybernetické bezpečnosti. Musí schvalovat bezpečnostní politiky a zajistit dostatečné zdroje pro jejich implementaci.
- Pokuty: Zákon zavádí přísnější sankce za nedodržování stanovených povinností. Maximální výše pokut se výrazně zvyšuje, aby motivovala organizace k důslednému dodržování bezpečnostních opatření.
- Hlášení incidentů: Povinnost hlásit kybernetické bezpečnostní incidenty je rozšířena a zpřísněna. Organizace musí incidenty hlásit v kratších lhůtách a poskytovat podrobnější informace.
- Správa rizik: Zákon klade větší důraz na proaktivní přístup k řízení kybernetických rizik. Organizace musí pravidelně provádět analýzy rizik a implementovat odpovídající bezpečnostní opatření.
- Provádění protiopatření vydaných NÚKIB: Povinné subjekty musí implementovat bezpečnostní opatření a varování vydaná Národním úřadem pro kybernetickou a informační bezpečnost. Tím se posiluje schopnost rychle reagovat na aktuální hrozby.
- Bezpečnost dodavatelského řetězce: Zákon zavádí požadavky na zabezpečení celého dodavatelského řetězce. Organizace musí zohledňovat kybernetickou bezpečnost při výběru dodavatelů a pravidelně hodnotit související rizika.
Na koho se nový zákon o kybernetické bezpečnosti vztahuje
Nový zákon o kybernetické bezpečnosti se typicky vztahuje na organizace, které naplňují zároveň dvě kritéria:
- Segment – Organizace poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice a zároveň
- Dopadové kritérium – pro dané segmenty jsou definovaná dopadové kritéria. Většinou se jedná o velikost podniku. Tzn. organizace je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK) případně je podnik důležitým dodavatelem služeb pro organizaci spadající do NIS2.
Detaily pro jednotlivé regulované oblasti:
- Veřejná správa
- Energetika – (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
- Výrobní průmysl
- Potravinářský průmysl
- Chemický průmysl
- Vodní hospodářství
- Odpadové hospodářství
- Doprava – (letecká, drážní, vodní, silniční)
- Zdravotnictví
- Věda, výzkum a vzdělávání
- Poštovní a kurýrní služby
- Vojenský průmysl
- Vesmírný průmysl
- Digitální infrastruktura a služby
- Finanční trh
Pokud si nejste jisti, zda se vaše organizace řadí mezi regulované subjekty, nabízíme online nástroj pro okamžité ověření.
Úroveň povinností v novém kybernetickém zákoně
Zákon definuje dvě úrovně povinností: nižší a vyšší. Vyšší povinnosti zahrnují všechny požadavky jako nižší, ale přidávají dodatečná organizační a technická opatření. Kritéria pro určení úrovně povinností jsou jasně stanovena a vycházejí z dopadové analýzy.
Platnost a termíny
Očekává se, že nový zákon vstoupí v platnost v polovině roku 2025. Legislativní proces a doporučené kroky pro zajištění souladu jsou zobrazeny v přiloženém diagramu. Včasné přijetí opatření je klíčové pro minimalizaci rizika sankcí.
Na horní části obrázku vidíte legislativní proces a na spodní části vidíte doporučené kroky k zajištění shody včas v požadovaném období.
Nutná bezpečnostní opatření pro splnění požadavků NIS2 a nového ZKB
Zde naleznete přehled hlavních povinností a opatření, které musí organizace splnit.
Nižší povinnosti nového zákona (platí pro všechny organizace)
- Menší a střední podniky: Týká se menších organizací a podniků, které neposkytují kriticky důležité služby.
- Služby s nižší kritičností: Organizace poskytující služby, které nejsou strategicky důležité.
- Mírnější bezpečnostní požadavky: Požadavky na bezpečnost jsou méně přísné než u organizací s vyššími povinnostmi.
- Méně časté audity: Audity a kontroly probíhají méně často a nejsou tak detailní.
- Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.
Organizační opatření:
- Zajišťování kybernetické bezpečnosti (přehled bezpečnostních opatření, zodpovědnost, bezpečnostní politika, bezpečnostní dokumentace, relevantní smlouvy s dodavateli)
- Bezpečnost lidských zdrojů (směrnice, školení kybernetické bezpečnosti uživatelů)
- Řízení přístupu (jedinečná identifikace, pravidla hesel, omezení administrátorských a privilegovaných přístupů)
- Řešení kybernetických bezpečnostních incidentů (oznamování a vyhodnocování)
- Řízení kontinuity (postup obnovy primárních aktiv, odpovědnosti, zálohování)
- Řízení identit a jejich oprávnění (správa identit, MFA)
- Bezpečnost komunikačních sítí (segmentace, zajištění perimetru, používání VPN)
- Detekce a zaznamenávání kybernetických bezpečnostních událostí
- Aplikační bezpečnost (patch management, test zranitelnosti)
Technická opatření:
- Bezpečnost komunikačních sítí
- Řízení komunikace
- Zajištění důvěrnosti a integrity pomocí kryptografických algoritmů
- Využití nástroje pro ochranu integrity sítě
- Správa a ověřování identit
- Řízení přístupových oprávnění
- Zaznamenávání událostí
- Zajišťování dostupnosti regulované služby
Vyšší povinnosti nového zákona
- Kritická infrastruktura: Týká se organizací, které provozují kritickou infrastrukturu (např. energetika, vodohospodářství, zdravotnictví, doprava).
- Strategické služby: Zahrnuje organizace poskytující strategické služby, jako jsou telekomunikace, finanční služby, zdravotnické systémy atd.
- Přísné požadavky: Vyžadují implementaci přísnějších bezpečnostních opatření a pravidelné hodnocení rizik.
- Hloubkové audity: Organizace podléhají pravidelným a hloubkovým auditům a kontrolám ze strany státních orgánů.
- Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 24 hodin.
Organizační opatření:
- Systém řízení bezpečnosti informací (cíle, řízení rizik, bezpečnostní politika, vyhodnocení účinnosti systému řízení bezpečnosti informací, zpráva o přezkoumání, řízení změn)
- Bezpečnostní role
- Manažer kybernetické bezpečnosti
- Architekt kybernetické bezpečnosti
- Auditor kybernetické bezpečnosti
- Řízení bezpečnostní politiky a bezpečnostní dokumentace
- Řízení dodavatelů
- Řízení změn
- Akvizice, vývoj a údržba
- Audit kybernetické bezpečnosti
Technická opatření:důs
- Řízení privilegovaných účtů
- Nasazení SIEM systému
- Pravidelný test zranitelnosti
- Penetrační testování