Prezident ČR 26. června 2025 podepsal nový zákon o kybernetické bezpečnosti (NZKB), který vychází ze směrnice EU NIS2. Zákon má být zveřejněn ve Sbírce během srpna a účinnosti nabude na začátku listopadu 2025.
NZKB zásadně rozšiřuje okruh regulovaných subjektů – nově půjde o tisíce organizací napříč odvětvími (cca 5–6 tisíc v ČR), od energetiky a zdravotnictví až po veřejnou správu, potravinářství či IT služby. Povinnosti se budou vztahovat jak na tzv. essential entities (klíčové organizace), tak na important entities (středně velké podniky).
Hlavní povinnosti
Regulované subjekty budou muset:
- provést self-assesment a zapsat se do registru NÚKIB,
- mít formálně schválenou politiku kybernetické bezpečnosti a řízení rizik,
- zajistit pravidelné audity a doplnit smlouvy s dodavateli o požadavky na bezpečnost,
- hlásit incidenty v předepsaných lhůtách,
- plnit závazná protiopatření NÚKIB.
Sankce a odpovědnost vedení
Pokuty mohou dosáhnout až 250 mil. Kč nebo 2 % celosvětového obratu. Novinkou je také možnost dočasného zákazu výkonu funkce člena statutárního orgánu u essential entities, pokud vedení dlouhodobě zanedbá povinnosti.
Kyberbezpečnost se tak stává nejen IT otázkou, ale strategickým tématem pro vrcholový management, který bude muset absolvovat školení a nést osobní odpovědnost.