Forlex. Buďte v právu. Kdykoliv. Kdekoliv.

Dne 26. 6. 2025 prezident podepsal nový zákon o kybernetické bezpečnosti, kterým jsou reflektovány základní body směrnice NIS 2. V souladu s dodržením závazku plynoucích ze směrnice je v rámci nového zákona primárně kladen důraz na posílení kybernetické bezpečnosti organizací, které poskytují klíčové služby pro veřejnost.

Nový zákon o kybernetické bezpečnosti a povinnost registrace se dle § 4 vztahuje na poskytovatele služeb, kteří působí v regulovaném odvětví, poskytují regulované služby a tyto služby jsou dostatečně významné. Jedním z hlavních bodů novely je pak rozšíření výčtu těchto regulovaných odvětví – kromě energetiky, bankovnictví nebo zdravotnictví tak nyní přibydou například odvětví jako potravinářství, poštovní služby, chemický průmysl nebo odpadové hospodářství.

Posouzení naplnění výše uvedených podmínek pro registraci budou muset organizace provádět zpravidla samostatně, nicméně zákon taktéž umožňuje, aby ze strany NÚKIB došlo k zahájení správního řízení, v rámci kterého bude posuzováno, zda organizace nesplňuje některou z podmínek uvedených v § 5 (např. v případě poskytování služby, jejíž narušení může způsobit závažný zásah do schopnosti poskytovat jinou regulovanou službu poskytovatele nebo poskytování služeb, jejíž narušení může závažně ovlivnit život více než 125 000 lidí apod.)

Zákon nově počítá s režimem povinností hned ve dvou rovinách, a to primárně v závislosti na velikosti podniku případně i jiných faktorech. Pokud budou splněny podmínky pro zařazení mezi regulované subjekty, bude poskytovatel zařazen buď do režimu vyšších, nebo nižších povinností v návaznosti na ekonomický, společenský nebo bezpečnostní význam pro ČR. U každé organizace však může platit pouze jeden režim, tedy v případě, že organizace poskytuje více služeb a jedna ze služeb splňuje podmínky pro zařazení do režimu vyšších povinností, uplatní se tento režim i pro ostatní poskytované služby.

Bez ohledu na zařazení do režimu vyšších nebo nižších povinností stanovuje zákon pro regulované subjekty soubor základních povinností, mezi které patří zejména ohlášení poskytované regulované služby, stanovení rozsahu řízení kybernetické bezpečnosti, hlášení kontaktních údajů osob oprávněných jednat za poskytovatele, zavedení přiměřených bezpečnostních opatření a povinnost hlášení kybernetických bezpečnostních incidentů prostřednictvím portálu NÚKIB.

Novela taktéž přináší změny v oblasti sankcí, kdy nově bude možné uložit pokuty v nižším režimu až do výše 175 mil. Kč a ve vyšším režimu až do výše 250 mil. Kč. Zavádí se taktéž možnost omezit nebo zakázat používání konkrétní technologie, či dodavatele, pokud by jejich využití mohlo představovat závažné bezpečnostní riziko.

Účinnost zákona by měla být dána k 1. listopadu letošního roku. Od tohoto momentu pak poběží hned několik přechodných lhůt ke splnění jednotlivých povinností, například ohlášení regulované služby 60 dnů.