Nový zákon o kybernetické bezpečnosti: co čeká firmy

Nový zákon posiluje ochranu kritické infrastruktury

Česká republika se v posledních letech potýká s rostoucím tlakem na zabezpečení svých digitálních systémů a infrastruktury, která je klíčová pro fungování státu i soukromého sektoru. Nový zákon o kybernetické bezpečnosti představuje zásadní krok vpřed v ochraně kritické infrastruktury, přičemž jeho přijetí bylo z velké části motivováno potřebou transponovat evropskou směrnici NIS2 do českého právního řádu. Tato směrnice výrazně rozšiřuje okruh subjektů, na které se povinnosti v oblasti kybernetické bezpečnosti vztahují, a zároveň zpřísňuje požadavky na jejich plnění.

Zákon o kybernetické bezpečnosti v nové podobě přináší celou řadu změn, které se dotýkají jak státních institucí, tak soukromých podniků. Kritická infrastruktura, tedy souhrn systémů a zařízení, jejichž narušení by mělo závažné dopady na fungování společnosti, je nyní chráněna přísněji než kdykoli předtím. Mezi tyto systémy patří energetika, doprava, vodní hospodářství, zdravotnictví, bankovní sektor či digitální infrastruktura. Všechny tyto oblasti jsou nyní pod přísnějším dohledem Národního úřadu pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, který dostává nové pravomoci a nástroje k prosazování zákona.

Jednou z nejvýznamnějších novinek je rozšíření kategorie povinných subjektů. Zatímco dosavadní právní úprava se zaměřovala především na velké podniky a státní organizace, nový zákon zahrnuje i středně velké firmy působící v klíčových odvětvích. Tyto subjekty jsou nyní povinny zavést celou řadu bezpečnostních opatření, provádět pravidelné audity, hlásit kybernetické incidenty a udržovat aktuální plány pro zvládání krizových situací. Nedodržení těchto povinností může vést k citelným finančním sankcím, které mohou dosáhnout až desítek milionů korun, a v případě opakovaného porušení i k dalším správním postihům.

Zákon rovněž klade důraz na bezpečnost dodavatelského řetězce, což je oblast, která se v posledních letech ukázala jako mimořádně zranitelná. Kybernetické útoky totiž stále častěji necílí přímo na chráněné systémy, ale na jejich dodavatele a subdodavatele, kteří mohou být méně chráněni. Nová právní úprava proto ukládá povinným subjektům, aby pečlivě prověřovaly své dodavatele a zajistily, že i oni splňují přiměřené bezpečnostní standardy. Tato povinnost se týká zejména dodavatelů technologií, softwaru a cloudových služeb.

Důležitou součástí zákona je také povinnost hlásit kybernetické incidenty v předem stanovených lhůtách. Subjekty jsou povinny oznámit závažný incident NÚKIB do 24 hodin od jeho zjištění, přičemž následná podrobná zpráva musí být předložena do 72 hodin. Tato opatření mají umožnit rychlou reakci státních orgánů a minimalizovat škody způsobené případnými útoky. Zkušenosti z jiných zemí ukazují, že včasné sdílení informací o incidentech výrazně přispívá k ochraně dalších potenciálně ohrožených subjektů.

Zákon o kybernetické bezpečnosti také nově upravuje oblast řízení rizik, přičemž od povinných subjektů vyžaduje systematický přístup k identifikaci, hodnocení a zvládání kybernetických hrozeb. Nestačí tedy pouze reagovat na již vzniklé problémy, ale je nutné aktivně předvídat možná rizika a přijímat preventivní opatření. Tento přístup vyžaduje nejen technická řešení, ale také odpovídající organizační struktury a proškolený personál. Zákon proto klade důraz i na vzdělávání a zvyšování povědomí o kybernetické bezpečnosti na všech úrovních organizace.

Nelze opomenout ani skutečnost, že nová legislativa přináší posílení spolupráce mezi veřejným a soukromým sektorem. NÚKIB dostává nové nástroje pro sdílení informací o hrozbách a zranitelnostech, přičemž tato výměna informací probíhá v obou směrech. Podniky tak mohou získávat aktuální zpravodajství o kybernetických hrozbách, zatímco státní orgány mají lepší přehled o situaci v jednotlivých odvětvích. Tato synergie je klíčová pro budování odolné kybernetické obrany na celostátní úrovni.

Implementace nového zákona o kybernetické bezpečnosti představuje pro mnoho organizací značnou výzvu, a to jak z hlediska finančních nákladů, tak z hlediska organizačních změn. Odborníci odhadují, že zejména menší subjekty, které nově spadají pod působnost zákona, budou muset investovat značné prostředky do budování svých bezpečnostních kapacit. Přesto převažuje názor, že náklady na zajištění kybernetické bezpečnosti jsou nesrovnatelně nižší než potenciální škody způsobené úspěšným kybernetickým útokem na kritickou infrastrukturu.

Povinnosti firem při hlášení kybernetických incidentů

V rámci nového zákona o kybernetické bezpečnosti, který představuje zásadní legislativní posun v oblasti ochrany digitální infrastruktury České republiky, jsou firmy a organizace postaveny před celou řadu konkrétních povinností, jež se týkají hlášení kybernetických incidentů. Tyto povinnosti nejsou pouhou formalitou – jejich smyslem je zajistit, aby příslušné státní orgány, zejména Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), měly včasný přehled o hrozbách a mohly koordinovat odpovídající reakci na celostátní úrovni.

Zákon o kybernetické bezpečnosti rozlišuje různé kategorie subjektů, přičemž každá z nich nese odlišnou míru odpovědnosti. Provozovatelé základních služeb a poskytovatelé digitálních služeb jsou povinni zavést mechanismy pro detekci bezpečnostních událostí a zároveň tyto události řádně dokumentovat a v případě naplnění zákonných kritérií bezodkladně oznamovat. Kritéria pro povinné hlášení jsou přitom definována tak, aby zachytila incidenty s potenciálně závažným dopadem na kontinuitu poskytovaných služeb nebo na bezpečnost dat.

Lhůty pro hlášení kybernetických incidentů jsou přísně stanoveny a jejich nedodržení může mít pro firmu vážné právní i finanční důsledky. Zákon rozlišuje mezi tzv. předběžným hlášením, které musí být podáno zpravidla do 24 hodin od zjištění incidentu, a podrobným hlášením, jež následuje v delším časovém horizontu a obsahuje technické detaily, rozsah škod a přijatá opatření. Toto dvoustupňové hlášení umožňuje NÚKIB reagovat operativně i tehdy, když firma ještě nemá k dispozici kompletní analýzu události.

Firmy jsou rovněž povinny uchovávat záznamy o bezpečnostních událostech po stanovenou dobu, a to způsobem, který umožní jejich pozdější analýzu a případné využití při vyšetřování. Nedostatečná dokumentace nebo záměrné zkreslení hlášených informací je zákonem klasifikováno jako závažné porušení povinností, za něž hrozí sankce v řádu milionů korun. Regulátor přitom klade důraz nejen na formální splnění oznamovací povinnosti, ale také na věcnou správnost a úplnost předávaných informací.

Důležitou součástí celého systému je také povinnost informovat o incidentu dotčené osoby nebo zákazníky, pokud incident zahrnuje narušení ochrany osobních údajů nebo pokud by mohlo dojít k poškození jejich zájmů. Tato povinnost se prolíná s požadavky obecného nařízení o ochraně osobních údajů, tedy GDPR, a firmy musí obě regulatorní rámce koordinovat tak, aby nevznikaly zbytečné konflikty ani mezery v ochraně.

Zákon také výslovně ukládá povinnost spolupracovat s NÚKIB při šetření incidentů. To v praxi znamená, že firmy nemohou odmítnout poskytnout součinnost, pokud si ji úřad vyžádá, a musí zpřístupnit relevantní technické podklady, logy a další dokumentaci. Tato povinnost spolupráce je jedním z nejdůležitějších nástrojů, které zákon zavádí, protože bez ní by centrální koordinace kybernetické bezpečnosti na národní úrovni postrádala smysl.

V neposlední řadě je třeba zmínit, že zákon pamatuje i na situace, kdy firma sama o sobě není přímým cílem útoku, ale stane se součástí širšího řetězce kompromitovaných systémů. I v takovém případě nastupuje oznamovací povinnost, jakmile firma zjistí nebo má důvodné podezření, že její infrastruktura byla zneužita jako prostředek k útoku na třetí strany. Tato ustanovení reflektují moderní realitu kybernetických hrozeb, kde útočníci běžně využívají napadené systémy jako odrazové můstky.

Role Národního úřadu pro kybernetickou bezpečnost

Národní úřad pro kybernetickou bezpečnost, zkráceně NÚKIB, představuje klíčovou instituci v celém systému ochrany českého kyberprostoru. Jeho postavení vychází přímo ze zákona o kybernetické bezpečnosti, který mu svěřuje rozsáhlé pravomoci a zároveň ukládá konkrétní povinnosti vůči státu, veřejné správě i soukromému sektoru. NÚKIB funguje jako ústřední správní orgán pro kybernetickou bezpečnost v České republice, a to včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů.

Zákon o kybernetické bezpečnosti přesně vymezuje, jakým způsobem NÚKIB vykonává svou dozorovou a regulační funkci. Úřad má pravomoc vydávat závazná opatření, provádět kontroly u povinných subjektů a v případě zjištěných nedostatků ukládat nápravná opatření. Právě tato kombinace regulační, dozorové a metodické role dělá z NÚKIB instituci, která nemá v českém právním prostředí srovnatelnou paralelu v jiném odvětví. Úřad totiž není pouze pasivním pozorovatelem, ale aktivně vstupuje do procesů řízení kybernetické bezpečnosti u subjektů, které zákon označuje jako provozovatele základních služeb nebo poskytovatele digitálních služeb.

V rámci zákona o kybernetické bezpečnosti NÚKIB spravuje a průběžně aktualizuje seznam povinných subjektů. Tento seznam není statický, neboť se technologické prostředí neustále mění a s ním i okruh organizací, které jsou považovány za kriticky důležité pro fungování státu. Zařazení do tohoto seznamu s sebou nese povinnost zavést bezpečnostní opatření technického i organizačního charakteru, hlásit kybernetické bezpečnostní incidenty a spolupracovat s NÚKIB při jejich řešení.

Hlášení incidentů je přitom jednou z nejdůležitějších součástí celého systému. Zákon stanoví, že povinné subjekty musí bez zbytečného odkladu informovat NÚKIB o každém kybernetickém bezpečnostním incidentu, který by mohl mít dopad na jejich služby nebo na bezpečnost informací. NÚKIB tyto hlášení vyhodnocuje, koordinuje reakci na incidenty a v případě potřeby vydává varování nebo reaktivní opatření, která jsou závazná pro celý okruh dotčených subjektů. Tato funkce je naprosto zásadní, protože umožňuje rychlou a koordinovanou odpověď na hrozby, které mohou mít systémový charakter.

Úřad rovněž plní roli národního CERT, tedy Computer Emergency Response Teamu, prostřednictvím vládního CERT, který je organizačně součástí NÚKIB. Tato složka zajišťuje technickou podporu při řešení incidentů, sdílí informace o hrozbách a udržuje kontakty se zahraničními partnery v rámci evropské sítě ENISA i dalších mezinárodních struktur. Mezinárodní spolupráce je přitom nepostradatelnou součástí efektivní kybernetické obrany, protože kybernetické hrozby nepodléhají státním hranicím a jejich zdrojem jsou velmi často aktéři působící ze zahraničí.

Zákon o kybernetické bezpečnosti také NÚKIB zmocňuje k vydávání prováděcích předpisů, konkrétně vyhlášek, které blíže specifikují technické a organizační požadavky na zabezpečení informačních systémů. Tyto vyhlášky jsou pro povinné subjekty závazné a jejich nedodržení může vést k uložení správní sankce. Sankční mechanismus je přitom konstruován tak, aby byl dostatečně odstrašující, ale zároveň proporcionální k závažnosti zjištěného porušení.

Kromě výše zmíněných funkcí se NÚKIB věnuje také osvětové a vzdělávací činnosti. Vydává metodické materiály, doporučení a bezpečnostní standardy, které mohou využívat nejen povinné subjekty, ale i organizace, na které se zákon přímo nevztahuje. Tato preventivní a vzdělávací role je z dlouhodobého hlediska stejně důležitá jako přímý výkon dozoru, protože zvyšuje celkovou odolnost českého kyberprostoru a přispívá k budování kultury kybernetické bezpečnosti napříč veřejným i soukromým sektorem.

Sankce za nedodržení bezpečnostních standardů

Zákon o kybernetické bezpečnosti, který v České republice prošel v posledních letech výraznou proměnou, přináší s sebou i jasně definovaný systém sankcí pro ty, kteří stanovené bezpečnostní standardy nedodržují. Nejde přitom o pouhé formální ustanovení, ale o reálný nástroj, jehož prostřednictvím stát vynucuje dodržování pravidel v oblasti ochrany informačních a komunikačních systémů. Povinné subjekty, které nesplní své závazky vyplývající ze zákona, se vystavují značným finančním postihům, ale i dalším formám správních opatření.

Základním předpisem, o který se celý systém sankcí opírá, je zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, a jeho prováděcí vyhlášky. Tento zákon ukládá povinnosti zejména správcům a provozovatelům kritické informační infrastruktury, provozovatelům základních služeb, správcům informačních systémů veřejné správy a dalším subjektům, které jsou do systému regulace zahrnuty. Pokud tyto subjekty neplní povinnosti stanovené zákonem, může Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, přistoupit k uložení sankcí.

Výše pokut se liší v závislosti na závažnosti porušení a na kategorii subjektu, jehož se porušení týká. Za nejzávažnější porušení povinností může být uložena pokuta až do výše 100 milionů korun. Takto vysoké sankce jsou vyhrazeny pro případy, kdy správce nebo provozovatel kritické informační infrastruktury opakovaně nebo závažným způsobem poruší povinnosti v oblasti bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů nebo spolupráce s NÚKIB. Jde o signál, že zákonodárce nebere ochranu kritické infrastruktury na lehkou váhu a je připraven vymáhat dodržování pravidel i prostřednictvím citelných finančních postihů.

Méně závažná porušení jsou sankcionována nižšími částkami, přičemž zákon rozlišuje různé skutkové podstaty přestupků. Například nesplnění povinnosti zavést bezpečnostní opatření, neprovádění pravidelných bezpečnostních auditů nebo zanedbání povinnosti hlásit kybernetické bezpečnostní incidenty v zákonem stanovené lhůtě mohou vést k pokutám v řádu desítek milionů korun. Přitom je třeba zdůraznit, že zákon nezohledňuje pouze to, zda k reálnému bezpečnostnímu incidentu došlo, ale hodnotí samotné porušení procesních a organizačních povinností.

Velmi důležitou součástí sankčního mechanismu je i možnost NÚKIB vydávat reaktivní opatření, ochranná opatření nebo varování, jejichž nedodržení může být rovněž sankcionováno. Pokud povinný subjekt ignoruje reaktivní opatření vydané NÚKIB v reakci na probíhající kybernetický bezpečnostní incident, vystavuje se tím dalšímu postihu, který může být kumulován s ostatními sankcemi. Tento přístup reflektuje skutečnost, že v krizových situacích je rychlá a koordinovaná reakce naprosto zásadní a jakékoli prodlení může mít fatální důsledky pro celé sektory ekonomiky nebo veřejné správy.

Nová evropská směrnice NIS2, která byla do českého právního řádu transponována prostřednictvím nového zákona o kybernetické bezpečnosti, ještě více zpřísňuje podmínky a rozšiřuje okruh povinných subjektů. S tím přichází i rozšíření sankčního rámce, přičemž pro subjekty označované jako „essential entities, tedy základní subjekty, mohou pokuty dosáhnout až 10 milionů eur nebo 2 % celkového ročního obratu, podle toho, která částka je vyšší. Pro tzv. „important entities, tedy důležité subjekty, jsou limity stanoveny na 7 milionů eur nebo 1,4 % ročního obratu. Tato úprava výrazně posiluje preventivní funkci sankcí a motivuje organizace k tomu, aby bezpečnostní standardy nebraly jako pouhou administrativní zátěž, ale jako skutečnou prioritu.

Důležité je rovněž to, že zákon pamatuje i na osobní odpovědnost statutárních orgánů a vedoucích pracovníků povinných subjektů. Vedení organizace tak nemůže jednoduše přenést veškerou odpovědnost na IT oddělení nebo externího dodavatele bezpečnostních služeb. Zákon vyžaduje, aby management aktivně dohlížel na plnění bezpečnostních povinností, schvaloval bezpečnostní politiky a zajišťoval dostatečné zdroje pro jejich realizaci. Pokud se prokáže, že vedení organizace vědomě zanedbalo své povinnosti nebo bránilo plnění zákonných požadavků, může to mít přímé důsledky pro konkrétní fyzické osoby v čele organizace.

Sankční řízení vedené NÚKIB se řídí obecnými principy správního trestání a povinný subjekt má samozřejmě právo na obhajobu, možnost vyjádřit se k podkladům rozhodnutí a v případě nesouhlasu se rozhodnutí bránit prostřednictvím správního soudu. Přesto je třeba si uvědomit, že samotné zahájení řízení a případné zveřejnění informace o porušení povinností může mít pro dotčenou organizaci závažné reputační důsledky, které mnohdy přesahují finanční dopad samotné pokuty. V prostředí, kde důvěra klientů a partnerů hraje klíčovou roli, může být pouhé veřejné upozornění na bezpečnostní selhání devastující.

Zákon reaguje na evropskou směrnici NIS2

Nový zákon o kybernetické bezpečnosti, který vstoupil v platnost a jehož implementace probíhá v návaznosti na požadavky evropské legislativy, představuje zásadní posun v přístupu České republiky k ochraně digitální infrastruktury. Zákon přímo reaguje na evropskou směrnici NIS2, která nahradila původní směrnici NIS z roku 2016 a výrazně rozšiřuje okruh subjektů, jež musí splňovat přísné bezpečnostní požadavky. Česká republika byla povinna tuto směrnici transponovat do svého právního řádu, a právě proto vznikl aktualizovaný zákon o kybernetické bezpečnosti, který zásadním způsobem mění pravidla hry pro tisíce organizací napříč různými odvětvími.

Srovnání zákonů o kybernetické bezpečnosti: Česká republika vs. EU

Parametr	Zákon č. 181/2014 Sb. (ČR)	Zákon č. 205/2017 Sb. – novela (ČR)	Směrnice NIS (EU 2016/1148)	Směrnice NIS2 (EU 2022/2555)
Rok přijetí	2014	2017	2016	2022
Platnost / účinnost	1. ledna 2015	1. srpna 2017	8. srpna 2016	16. ledna 2023
Gestor / správce	NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost)	NÚKIB	ENISA (Agentura EU pro kybernetickou bezpečnost)	ENISA
Počet regulovaných subjektů (ČR)	cca 300 subjektů	cca 400 subjektů	členské státy EU (28)	odhadem 6 000+ subjektů v ČR
Povinnost hlásit incidenty	Ano – do 72 hodin	Ano – do 72 hodin	Ano – bez pevné lhůty	Ano – do 24 hodin (první hlášení)
Maximální sankce	100 000 Kč (fyzická osoba)	10 000 000 Kč (právnická osoba)	stanovují členské státy	10 000 000 EUR nebo 2 % obratu
Kategorie povinných subjektů	Kritická informační infrastruktura, významné IS	Kritická informační infrastruktura, významné IS, cloud	Provozovatelé základních služeb, poskytovatelé DSP	Základní a důležité subjekty (rozšířené sektory)
Počet dotčených sektorů	7 sektorů	9 sektorů	7 sektorů	18 sektorů
Bezpečnostní audit	Povinný každé 3 roky	Povinný každé 2 roky	Doporučený	Povinný pravidelně
Implementace do národního práva	Národní zákon	Novela národního zákona	Transponováno do 9. května 2018	Transponováno do 17. října 2024
Zahrnutí dodavatelského řetězce	Ne	Částečně	Ne	Ano – povinně
Certifikace kybernetické bezpečnosti	Dobrovolná	Dobrovolná	Dobrovolná	Povinná pro vybrané produkty

Směrnice NIS2 byla přijata Evropským parlamentem a Radou Evropské unie v listopadu 2022 a členské státy měly povinnost ji transponovat do svého národního práva do října 2024. Česká republika tak musela přizpůsobit svůj právní rámec novým evropským standardům, přičemž zákon o kybernetické bezpečnosti prošel rozsáhlou revizí. Oproti předchozí úpravě se výrazně rozrostl seznam povinných subjektů, které musí dodržovat stanovená bezpečnostní opatření. Zatímco původní zákon se zaměřoval převážně na provozovatele základních služeb a poskytovatele digitálních služeb, nová právní úprava zahrnuje mnohem širší spektrum organizací z nejrůznějších sektorů hospodářství.

Mezi klíčové změny, které zákon přináší v reakci na NIS2, patří rozdělení regulovaných subjektů do dvou kategorií — na tzv. základní subjekty a důležité subjekty. Toto rozdělení není jen formální, neboť s sebou nese odlišné povinnosti, různou intenzitu dohledu ze strany Národního úřadu pro kybernetickou a informační bezpečnost a také rozdílnou výši sankcí v případě porušení stanovených povinností. Základní subjekty podléhají přísnějšímu režimu a aktivnějšímu dozoru, zatímco důležité subjekty mají poněkud mírnější povinnosti, avšak ani ony nemohou kybernetickou bezpečnost podceňovat.

Zákon také nově upravuje povinnosti v oblasti řízení rizik, přičemž organizace musí přijmout technická, provozní a organizační opatření k řízení rizik ohrožujících bezpečnost jejich sítí a informačních systémů. Nestačí tedy pouze formálně splnit administrativní požadavky — organizace musí skutečně implementovat funkční bezpečnostní procesy, pravidelně provádět hodnocení rizik a zajistit, aby jejich bezpečnostní opatření odpovídala aktuálním hrozbám. Zákon klade důraz na proaktivní přístup k bezpečnosti, nikoliv pouze na reaktivní řešení incidentů poté, co k nim dojde.

Důležitou součástí nové právní úpravy je také posílení povinností v oblasti hlášení bezpečnostních incidentů. Regulované subjekty jsou povinny hlásit závažné incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost ve stanovených lhůtách, přičemž zákon rozlišuje mezi různými typy hlášení v závislosti na závažnosti a dopadu incidentu. Tato povinnost hlášení je přímým důsledkem požadavků směrnice NIS2, která klade velký důraz na sdílení informací o hrozbách a incidentech mezi členskými státy i mezi samotnými organizacemi.

Zákon rovněž přináší nové požadavky na bezpečnost dodavatelského řetězce, což je oblast, které evropská legislativa věnuje stále větší pozornost. Organizace musí hodnotit a řídit kybernetická rizika spojená se svými dodavateli a poskytovateli služeb, neboť mnoho závažných kybernetických útoků v posledních letech bylo vedeno právě prostřednictvím kompromitace dodavatelů. Tento požadavek výrazně rozšiřuje záběr bezpečnostních povinností a nutí organizace přemýšlet o bezpečnosti v mnohem širším kontextu, než tomu bylo doposud.

Sankce za nedodržení povinností stanovených zákonem jsou výrazně přísnější než v předchozí právní úpravě, a to opět v souladu s požadavky směrnice NIS2. Maximální výše pokut může dosáhnout až desítek milionů korun, přičemž zákon pamatuje i na osobní odpovědnost vedoucích pracovníků organizací. Tím zákonodárce jasně signalizuje, že kybernetická bezpečnost musí být vnímána jako strategická priorita na nejvyšší úrovni řízení organizace, nikoliv jako čistě technická záležitost svěřená IT oddělení.

Rozšíření okruhu povinných subjektů a organizací

Nový zákon o kybernetické bezpečnosti přináší zásadní změnu v tom, na koho se jeho povinnosti vlastně vztahují. Dosavadní právní úprava pokrývala relativně úzký okruh subjektů, přičemž se zaměřovala především na provozovatele základních služeb a poskytovatele digitálních služeb. Jenže digitální hrozby se za poslední roky dramaticky proměnily a rozšířily, a proto bylo nevyhnutelné, aby zákon reagoval na novou realitu a zahrnul pod svůj ochranný i regulační rámec podstatně širší spektrum organizací a institucí.

Rozšíření okruhu povinných subjektů představuje jeden z nejvýznamnějších prvků celé legislativní reformy. Nově se zákon dotýká nejen tradičních sektorů, jako jsou energetika, doprava nebo finanční sektor, ale jeho působnost se rozrůstá i do oblastí, které dříve stály mimo hlavní zájem regulátorů. Patří sem například poskytovatelé zdravotní péče, vzdělávací instituce, výzkumné organizace nebo subjekty působící v oblasti veřejné správy na různých úrovních. Právě tato rozmanitost nově zahrnutých subjektů ukazuje, jak komplexní a provázaná je moderní digitální infrastruktura.

Zákon kybernetická bezpečnost nově rozlišuje mezi takzvanými základními a důležitými subjekty, přičemž každá z těchto kategorií nese odlišnou míru povinností a odpovědnosti. Základní subjekty jsou ty, jejichž výpadek nebo kompromitace by mohla mít závažné dopady na fungování společnosti, ekonomiky nebo bezpečnosti státu. Důležité subjekty pak tvoří širší skupinu organizací, u nichž jsou sice dopady potenciálního incidentu méně katastrofické, ale stále dostatečně závažné na to, aby si vyžadovaly systematickou regulaci a dohled.

Kritéria pro zařazení do jednotlivých kategorií jsou stanovena s ohledem na velikost organizace, její roli v daném sektoru a míru závislosti ostatních subjektů na jejích službách. Velké podniky s více než dvěma sty padesáti zaměstnanci nebo s ročním obratem přesahujícím padesát milionů eur se automaticky ocitají v zorném poli regulátora, ale zákon pamatuje i na menší subjekty, pokud jejich činnost má strategický nebo kritický charakter.

Zvláštní pozornost si zaslouží skutečnost, že zákon nově zahrnuje i dodavatele a poskytovatele služeb v rámci dodavatelského řetězce. Tato změna reflektuje zkušenosti z reálných kybernetických útoků, při nichž útočníci pronikli do cílové organizace právě skrze méně zabezpečené dodavatele. Takzvaný supply chain attack se stal jedním z nejrozšířenějších vektorů hrozeb, a zákon proto logicky reaguje tím, že povinnosti nekončí na hranici jedné organizace, ale prostupují celým ekosystémem vzájemně propojených subjektů.

Orgány veřejné moci a státní instituce procházejí rovněž zásadní proměnou ve svém postavení vůči zákonu. Dosud platilo, že mnohé z nich stály mimo přísnou regulaci, nebo se na ně vztahovaly pouze obecné požadavky. Nová právní úprava to mění a zavádí pro veřejný sektor srovnatelné povinnosti, jaké platí pro soukromé subjekty. To je krok, který byl odbornou komunitou dlouho požadován, protože veřejné instituce spravují enormní množství citlivých dat a jejich kybernetická odolnost přímo ovlivňuje důvěru občanů ve stát.

Implementace nových povinností nebude pro mnohé organizace jednoduchá. Subjekty, které se dosud pohybovaly mimo regulatorní rámec, budou muset investovat do bezpečnostních opatření, vybudovat interní kapacity nebo si zajistit odbornou pomoc zvenčí. Zákon jim na to poskytuje přechodné období, které by mělo umožnit postupné přizpůsobení bez toho, aby docházelo k náhlým a neúnosným nákladům. Přesto je zřejmé, že zejména menší organizace mohou mít s naplněním požadavků zákona značné potíže a bude záležet na přístupu Národního úřadu pro kybernetickou a informační bezpečnost, jak metodicky a osvětově podpoří jejich přechod do nového režimu.

Celkově vzato, rozšíření okruhu povinných subjektů je krokem správným směrem, který odráží skutečný stav digitální závislosti moderní společnosti. Čím více organizací bude mít povinnost pečovat o svou kybernetickou bezpečnost systematicky a prokazatelně, tím odolnější bude celý ekosystém vůči hrozbám, které se s každým rokem stávají sofistikovanějšími a nebezpečnějšími.

Technická opatření a bezpečnostní certifikace systémů

Zákon o kybernetické bezpečnosti klade na organizace, které spadají pod jeho působnost, poměrně náročné požadavky v oblasti technických opatření. Nejde přitom o pouhé doporučení nebo nezávazné směrnice – jedná se o závazné povinnosti, jejichž nedodržení může mít pro dotčené subjekty velmi vážné právní i finanční důsledky. Technická opatření tvoří páteř celého systému kybernetické bezpečnosti a bez jejich řádného zavedení nelze hovořit o skutečné ochraně informačních a komunikačních systémů.

Zákon rozlišuje mezi různými kategoriemi povinných osob, přičemž pro každou z nich stanoví odlišný rozsah povinností. Provozovatelé základních služeb a poskytovatelé digitálních služeb musí zajistit, aby jejich systémy splňovaly přísná technická kritéria, která zahrnují jak hardwarové, tak softwarové aspekty zabezpečení. Jde zejména o ochranu před neoprávněným přístupem, zajištění dostupnosti systémů, integritu přenášených dat a důvěrnost zpracovávaných informací. Tato čtyři základní pilíře bezpečnosti nejsou jen teorií – jejich praktická implementace vyžaduje konkrétní technologická řešení a pravidelnou kontrolu jejich funkčnosti.

V rámci technických opatření zákon výslovně počítá s povinností zavést systémy pro detekci a prevenci průniků, tzv. IDS a IPS systémy. Tyto nástroje musí být schopny v reálném čase identifikovat podezřelou aktivitu a reagovat na ni způsobem, který minimalizuje potenciální škody. Nestačí pouze mít takový systém nainstalovaný – musí být také pravidelně aktualizován, konfigurován a jeho výstupy musí být aktivně monitorovány kvalifikovaným personálem. Praxe bohužel ukazuje, že mnohé organizace sice splňují formální požadavky na existenci těchto nástrojů, ale jejich skutečná funkčnost bývá zanedbána.

Bezpečnostní certifikace systémů představuje další klíčovou oblast, které zákon o kybernetické bezpečnosti věnuje zvláštní pozornost. Certifikace slouží jako objektivní potvrzení toho, že daný systém nebo produkt splňuje stanovené bezpečnostní standardy a byl podroben nezávislému ověření. V evropském kontextu se stále více prosazuje rámec EUCC, tedy evropské schéma certifikace kybernetické bezpečnosti pro produkty IKT, které vychází z nařízení o kybernetické bezpečnosti, tzv. Cyber Security Act. Tento rámec přináší harmonizaci certifikačních procesů napříč členskými státy Evropské unie a umožňuje vzájemné uznávání certifikátů.

Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, hraje v celém procesu certifikace nezastupitelnou roli. Jako národní orgán pro certifikaci kybernetické bezpečnosti dohlíží na to, aby certifikační procesy probíhaly v souladu s platnou legislativou a aby vydávané certifikáty skutečně odrážely reálnou úroveň bezpečnosti certifikovaných produktů a systémů. NÚKIB také vydává metodické pokyny a doporučení, která organizacím pomáhají orientovat se v poměrně složité problematice technických požadavků.

Zákon o kybernetické bezpečnosti ve svém aktuálním znění, které reflektuje transpozici evropské směrnice NIS2, rozšiřuje okruh povinných subjektů a zároveň zpřísňuje požadavky na technická opatření. Nově jsou do systému zařazeny subjekty z dalších odvětví, jako jsou poštovní služby, zpracování odpadů nebo výroba kritických produktů, a všechny tyto organizace musí v relativně krátkém čase implementovat odpovídající technická opatření. Pro mnohé z nich jde o zcela novou zkušenost, protože dosud nebyly povinny systematicky řešit kybernetickou bezpečnost na takto formalizované úrovni.

Kryptografická ochrana dat patří mezi technická opatření, která zákon považuje za zcela zásadní. Šifrování přenášených i uložených dat musí odpovídat aktuálnímu stavu techniky, přičemž použití zastaralých nebo kompromitovaných kryptografických algoritmů je nepřípustné a může být považováno za porušení zákonných povinností. Organizace jsou povinny průběžně sledovat vývoj v oblasti kryptografie a včas reagovat na případné zranitelnosti používaných algoritmů nebo protokolů.

Řízení přístupu k systémům a datům tvoří další nezbytnou součást technického zabezpečení. Princip nejmenšího oprávnění, tedy přidělování pouze těch přístupových práv, která jsou nezbytně nutná pro výkon konkrétní pracovní role, musí být v organizacích důsledně uplatňován. Vícefaktorová autentizace se stává standardem pro přístup k citlivým systémům a zákon o kybernetické bezpečnosti její zavedení de facto vyžaduje u všech kriticky důležitých aplikací a infrastruktur. Pravidelné přezkoumávání přístupových práv a okamžité odebírání oprávnění při změně pracovního zařazení nebo ukončení pracovního poměru jsou povinnosti, které nelze podceňovat.

Zálohovací politika a plány obnovy po havárii musí být rovněž součástí technických opatření implementovaných v souladu se zákonem. Pravidelné zálohování dat, testování obnovy ze zálohy a udržování aktuálních plánů pro případ kybernetického incidentu jsou podmínkou pro zajištění kontinuity provozu. Organizace, které zanedbávají tuto oblast, riskují nejen sankce ze strany NÚKIB, ale především reálné provozní problémy v případě úspěšného kybernetického útoku.

V digitálním světě, kde každý bit dat může být zbraní i štítem zároveň, zákon o kybernetické bezpečnosti není pouhým právním dokumentem – je to živý organismus, který musí neustále reagovat na měnící se hrozby, chránit infrastrukturu státu, soukromí občanů i integritu institucí, a právě proto jeho důsledná aplikace a pravidelná aktualizace představují jeden z nejdůležitějších úkolů moderní společnosti.

Radovan Štefánek

Lhůty pro implementaci nových bezpečnostních pravidel

Zákon o kybernetické bezpečnosti přináší celou řadu povinností, které musejí dotčené subjekty splnit v přesně stanovených časových horizontech. Tyto lhůty nejsou nastaveny náhodně – vycházejí z reálných potřeb trhu, z kapacitních možností firem i z požadavků evropské směrnice NIS2, která tvoří páteř celé legislativní reformy. Pochopení těchto termínů je naprosto klíčové pro každou organizaci, která spadá do rozsahu zákona, protože jejich nedodržení může mít velmi závažné právní i finanční důsledky.

Základní lhůta pro registraci povinných subjektů je stanovena na 90 dní od okamžiku, kdy subjekt zjistí nebo by měl zjistit, že splňuje kritéria pro zařazení do regulovaného prostředí. Tato povinnost se týká jak tzv. základních subjektů, tak subjektů důležitých, přičemž obě kategorie mají odlišný rozsah povinností, ale shodný výchozí registrační termín. Praxe ukazuje, že mnoho organizací tuto lhůtu podceňuje a odkládá zahájení registračního procesu, což je chyba, která se může velmi prodražit.

Po provedení registrace nastupuje další fáze, a to implementace konkrétních bezpečnostních opatření. Zákon o kybernetické bezpečnosti v tomto ohledu nestanoví jednotnou lhůtu pro všechna opatření, ale rozlišuje mezi různými typy požadavků. Organizační opatření, jako je například zavedení systému řízení bezpečnosti informací nebo jmenování osoby odpovědné za kybernetickou bezpečnost, musejí být zpravidla zavedena do jednoho roku od registrace. Technická opatření, která jsou náročnější na implementaci a vyžadují investice do infrastruktury, mohou mít lhůtu delší, avšak i zde platí, že průtahy nejsou tolerovány.

Zvláštní pozornost si zaslouží lhůty spojené s hlášením kybernetických bezpečnostních incidentů. Zákon jasně stanoví, že závažný incident musí být nahlášen Národnímu úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIB, do 24 hodin od jeho zjištění. Tato lhůta je velmi krátká a vyžaduje, aby organizace měly předem připravené postupy a kontaktní osoby, které jsou schopny reagovat okamžitě. Následné podrobné hlášení pak musí být doručeno do 72 hodin, a závěrečná zpráva o incidentu do jednoho měsíce. Tento třífázový systém hlášení je přímou transpozicí požadavků směrnice NIS2 a jeho dodržení je jednou z nejpřísněji kontrolovaných povinností.

Pro subjekty, které byly do regulovaného prostředí zařazeny nově v důsledku rozšíření rozsahu zákona, platí přechodná ustanovení. Tyto přechodné lhůty jsou zpravidla stanoveny na 12 až 24 měsíců od nabytí účinnosti příslušné části zákona nebo od okamžiku zařazení subjektu do příslušné kategorie. Přechodné období však neznamená, že organizace mohou zcela ignorovat bezpečnostní požadavky – i během tohoto období jsou povinny přijímat přiměřená opatření odpovídající jejich aktuálním možnostem a míře rizika.

Důležitým aspektem celé problematiky je skutečnost, že NÚKIB má pravomoc v odůvodněných případech lhůty individuálně upravit, a to jak zkrátit v případě naléhavé potřeby, tak i prodloužit, pokud subjekt prokáže, že objektivně nemůže splnit stanovené termíny z důvodů, které nemohl předvídat ani ovlivnit. Tato flexibilita je důležitá zejména pro menší organizace, které nemají dostatečné kapacity pro rychlou implementaci komplexních bezpečnostních systémů.

Velkou výzvou pro mnohé organizace je také skutečnost, že lhůty pro různá opatření se překrývají a navzájem na sebe navazují. Bez kvalitního projektového řízení a jasně stanoveného harmonogramu implementace je prakticky nemožné splnit všechny požadavky ve stanovených termínech. Zkušenosti z jiných evropských zemí, kde NIS2 nabyla účinnosti dříve, ukazují, že organizace, které zahájily přípravu s předstihem a systematicky postupovaly podle plánu, zvládly implementaci bez větších problémů, zatímco ty, které čekaly na poslední chvíli, se ocitly v časové tísni a musely přijímat nákladná nouzová řešení.

Sankce za nedodržení lhůt mohou dosáhnout až desítek milionů korun, přičemž výše pokuty závisí na závažnosti porušení, délce prodlení a na tom, zda subjekt prokazatelně vyvíjel úsilí k nápravě. Zákon rozlišuje mezi přestupky a správními delikty, přičemž pro obě kategorie jsou stanoveny různé sazby. Opakované nebo úmyslné porušení povinností může vést k výrazně vyšším sankcím a v krajních případech i k dočasnému omezení činnosti organizace.

Spolupráce státu a soukromého sektoru

Nový zákon o kybernetické bezpečnosti přináší zásadní změny v tom, jak stát přistupuje k ochraně digitální infrastruktury země, a jedním z nejdůležitějších aspektů celé legislativy je právě nastavení vztahu mezi veřejným a soukromým sektorem. Tento vztah byl v minulosti často charakterizován spíše jednostranným tokem informací, kdy stát vydával nařízení a soukromé firmy je plnily, aniž by docházelo k hlubší výměně zkušeností nebo sdílení odpovědnosti. Nový zákon se pokouší tento model zásadně přehodnotit.

Zákon o kybernetické bezpečnosti explicitně počítá s tím, že soukromé subjekty nejsou pouhými příjemci regulace, ale aktivními partnery při budování odolnosti celého systému. Firmy provozující kritickou infrastrukturu, ať už se jedná o energetické společnosti, telekomunikační operátory nebo poskytovatele cloudových služeb, jsou nově povinny nejen hlásit incidenty příslušným orgánům, ale také aktivně spolupracovat na jejich řešení a sdílet relevantní technické informace. Tato povinnost sdílení informací je přitom jedním z nejcitlivějších bodů celé legislativy, protože firmy přirozeně chrání své obchodní tajemství a nerady zveřejňují podrobnosti o svých bezpečnostních slabinách.

Zákonodárci si byli tohoto napětí vědomi a snažili se nastavit mechanismy, které by firmám poskytly dostatečné záruky. Informace sdílené v rámci zákonného oznamovacího systému nesmí být bez souhlasu dotčené firmy použity v jiných správních nebo trestních řízeních, což má motivovat subjekty k otevřenější komunikaci s Národním úřadem pro kybernetickou a informační bezpečnost, tedy NÚKIB. Praxe ukáže, zda tato pojistka skutečně funguje, nebo zda firmy budou i nadále přistupovat k oznamování incidentů s přílišnou opatrností.

Důležitou součástí spolupráce je také systém certifikací a auditů, který zákon zavádí. Soukromé subjekty budou moci získat certifikaci, která jim umožní podílet se na zakázkách spojených s kybernetickou bezpečností státu, přičemž samotný certifikační proces má probíhat za aktivní účasti jak státních orgánů, tak akreditovaných soukromých auditorů. Tím se otevírá prostor pro vznik nového trhu bezpečnostních služeb, který může být pro české technologické firmy zajímavou příležitostí.

Zákon rovněž předpokládá vznik formálních platforem pro výměnu informací mezi státem a průmyslem. Tyto platformy mají sloužit jako místo, kde budou zástupci firem, akademické obce a státní správy pravidelně diskutovat o aktuálních hrozbách, nových technologiích a potřebných legislativních úpravách. Podobné modely fungují například v Německu nebo Nizozemsku a jejich efektivita je v odborné komunitě hodnocena poměrně pozitivně. Česká republika se tak přihlašuje k evropskému trendu, který vnímá kybernetickou bezpečnost jako sdílenou odpovědnost celé společnosti, nikoli pouze jako záležitost státních bezpečnostních složek.

Kritici zákona nicméně upozorňují, že samotná existence zákonných povinností nestačí. Bez dostatečného financování, kvalifikovaných odborníků na straně státu a skutečné politické vůle k rovnocennému partnerství může celý systém fungovat pouze na papíře. Firmy, zejména ty menší, poukazují na to, že plnění nových požadavků je finančně i administrativně náročné a že stát zatím nenabídl odpovídající kompenzaci nebo metodickou podporu. NÚKIB na tuto kritiku reaguje rozvojem poradenských nástrojů a metodických dokumentů, jejichž cílem je usnadnit firmám orientaci v nových povinnostech.

Celkově lze říci, že zákon o kybernetické bezpečnosti představuje ambiciózní pokus o přenastavení vztahu mezi státem a soukromým sektorem v oblasti digitální bezpečnosti. Zda se tento pokus podaří, závisí na ochotě obou stran překročit stín vzájemné nedůvěry a přijmout skutečně partnerský přístup, který je pro efektivní obranu proti moderním kybernetickým hrozbám nezbytný.

Ochrana osobních dat v kybernetickém prostoru

Ochrana osobních dat v digitálním prostředí se stala jedním z nejpalčivějších témat současné doby, a to zejména v kontextu stále se zpřísňujících legislativních požadavků, které na organizace i jednotlivce klade moderní právní rámec. Zákon o kybernetické bezpečnosti, konkrétně zákon č. 181/2014 Sb., představuje základní pilíř, na němž stojí celá architektura ochrany digitálních dat v České republice. Tento zákon byl přijat s cílem zajistit bezpečnost informačních a komunikačních systémů, přičemž jeho dopady sahají daleko za hranice pouhé technické ochrany infrastruktury.

V praxi to znamená, že subjekty spadající pod působnost tohoto zákona musí přijmout celou řadu opatření, která chrání nejen samotné systémy, ale i osobní data, jež jsou v těchto systémech uložena nebo prostřednictvím nich zpracovávána. Propojení kybernetické bezpečnosti s ochranou osobních údajů je neoddělitelné, protože jakýkoliv bezpečnostní incident v kyberprostoru může mít přímý dopad na soukromí konkrétních lidí. Únik citlivých informací, neoprávněný přístup k databázím nebo ransomwarový útok na nemocniční systémy – to vše jsou scénáře, které jasně ukazují, jak úzce jsou tyto dvě oblasti propojeny.

Nová verze zákona o kybernetické bezpečnosti, která transponuje evropskou směrnici NIS2 do českého právního řádu, výrazně rozšiřuje okruh povinných subjektů a zpřísňuje požadavky na hlášení bezpečnostních incidentů. Zatímco původní zákon se vztahoval především na provozovatele kritické infrastruktury a poskytovatele základních služeb, nová legislativa zasahuje do mnohem širšího spektra odvětví. To s sebou přináší i zvýšené nároky na ochranu osobních dat, protože více organizací bude muset prokázat, že jejich bezpečnostní opatření jsou dostatečná k tomu, aby zabránila neoprávněnému přístupu k osobním informacím.

Jedním z klíčových aspektů, který zákon o kybernetické bezpečnosti zdůrazňuje, je povinnost zavést systém řízení bezpečnosti informací, takzvaný ISMS. Tento systém musí zahrnovat nejen technická opatření, jako jsou firewally, šifrování nebo pravidelné zálohy, ale také organizační procesy, školení zaměstnanců a jasně definované postupy pro případ bezpečnostního incidentu. Právě lidský faktor je přitom v oblasti ochrany dat stále největší slabinou – phishingové útoky, slabá hesla nebo nedbalé zacházení s citlivými informacemi způsobují více škod než sofistikované technické útoky.

Ve vztahu k ochraně osobních dat hraje zásadní roli také Úřad pro ochranu osobních údajů a Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB. Tyto instituce spolupracují na vytváření metodických pokynů a doporučení, která organizacím pomáhají orientovat se v komplexním prostředí právních povinností. NÚKIB vydává pravidelné zprávy o stavu kybernetické bezpečnosti v České republice, přičemž tyto dokumenty slouží nejen jako informační zdroj, ale také jako varování před aktuálními hrozbami, které mohou ohrozit osobní data milionů občanů.

Důležitým prvkem celého systému je také princip odpovědnosti, který zákon o kybernetické bezpečnosti zavádí. Organizace nemohou jednoduše přenést odpovědnost za ochranu dat na své dodavatele nebo technologické partnery. Každý subjekt musí aktivně řídit rizika spojená s kybernetickými hrozbami a pravidelně vyhodnocovat, zda přijatá opatření odpovídají aktuálnímu stavu hrozeb. To zahrnuje i pravidelné bezpečnostní audity, penetrační testování a analýzu zranitelností, které mohou odhalit slabá místa dříve, než je zneužijí útočníci.

Zvláštní pozornost si zaslouží také oblast cloudových služeb a zpracování dat u třetích stran. S rostoucí popularitou cloudových řešení se stále více osobních dat přesouvá mimo přímou kontrolu organizací, které jsou za tato data odpovědné. Zákon o kybernetické bezpečnosti v tomto kontextu klade důraz na důkladné prověřování dodavatelů a smluvní zajištění bezpečnostních standardů. Organizace musí zajistit, že jejich cloudoví poskytovatelé splňují stejné nebo vyšší bezpečnostní požadavky, jaké jsou kladeny na ně samotné.

Nelze opomenout ani mezinárodní rozměr celé problematiky. Kybernetické hrozby nepřicházejí pouze z domácího prostředí – státem sponzorované útoky, organizovaný kyberzločin nebo hacktivistické skupiny operují napříč hranicemi a jejich cílem jsou data bez ohledu na to, kde se fyzicky nacházejí. Česká republika jako členský stát Evropské unie musí harmonizovat svou legislativu s evropskými standardy, přičemž nařízení GDPR a směrnice NIS2 tvoří společný základ pro ochranu osobních dat v celém digitálním prostoru Unie. Tato harmonizace přináší výhody v podobě jednotných pravidel, ale také výzvy spojené s implementací komplexních požadavků do praxe.

Budoucnost ochrany osobních dat v kyberprostoru bude nepochybně formována dalším vývojem technologií, jako je umělá inteligence, internet věcí nebo kvantová výpočetní technika. Tyto inovace přinášejí nové příležitosti, ale také zcela nové kategorie rizik, na které musí zákon o kybernetické bezpečnosti reagovat. Schopnost české legislativy adaptovat se na rychle se měnící technologické prostředí bude klíčovým faktorem pro to, zda se podaří osobní data občanů v digitálním světě skutečně chránit.

Dopady zákona na malé a střední podniky

Nový zákon o kybernetické bezpečnosti přináší celou řadu povinností, které dopadají nejen na velké korporace a státní instituce, ale v nezanedbatelné míře také na malé a střední podniky. Právě tato skupina podnikatelských subjektů se ocitá v poněkud složité situaci, protože na jedné straně musí splnit zákonné požadavky, na druhé straně disponuje podstatně omezenějšími zdroji než velké organizace. Zákon o kybernetické bezpečnosti totiž rozšiřuje okruh povinných subjektů a nově zahrnuje i firmy, které by se dříve vůbec nemusely problematikou kybernetické ochrany systematicky zabývat.

Jedním z klíčových aspektů, který malé a střední podniky trápí nejvíce, jsou finanční náklady spojené s implementací požadovaných bezpečnostních opatření. Zavedení odpovídajících technických a organizačních mechanismů vyžaduje investice do softwaru, hardwaru, ale také do školení zaměstnanců a případně do náboru odborníků na kybernetickou bezpečnost. Pro firmu s deseti nebo dvaceti zaměstnanci může taková investice představovat zásadní zátěž pro roční rozpočet. Odhaduje se, že náklady na prvotní implementaci potřebných opatření se mohou pohybovat v řádu statisíců korun, přičemž následná průběžná správa a udržování bezpečnostního systému přidává další pravidelné výdaje.

Zákon přitom nijak zvlášť nerozlišuje mezi tím, zda je povinný subjekt velká nadnárodní společnost, nebo rodinná firma se třemi pobočkami. Povinnosti jsou v zásadě nastaveny plošně a jejich splnění je vymáháno bez ohledu na velikost podniku. To je bod, který podnikatelská sdružení opakovaně kritizují a poukazují na to, že přiměřenost požadavků vůči kapacitám malých firem by měla být lépe zohledněna v prováděcích předpisech nebo metodických pokynech vydávaných Národním úřadem pro kybernetickou a informační bezpečnost, tedy NÚKIB.

Dalším problémem je nedostatek kvalifikovaných odborníků na trhu práce. Zatímco velká firma si může dovolit vytvořit celé oddělení kybernetické bezpečnosti, malý podnik musí hledat jiná řešení. Velmi často se proto firmy obracejí na externí poskytovatele bezpečnostních služeb, tzv. MSSP neboli Managed Security Service Providers. Tato cesta je sice funkční, ale přináší s sebou vlastní rizika, zejména závislost na třetí straně a nutnost pečlivě prověřovat smluvní podmínky tak, aby samotný zákon o kybernetické bezpečnosti byl skutečně dodržen i prostřednictvím outsourcovaných služeb.

Zákon rovněž ukládá povinnost hlásit kybernetické bezpečnostní incidenty, a to ve stanovených lhůtách a formátech. Pro malé podniky, které nemají dedikovaný tým bezpečnostních analytiků, může být detekce incidentu samotná výzvou, natož pak jeho správné vyhodnocení a včasné nahlášení příslušnému orgánu. Nesplnění oznamovací povinnosti přitom může vést k uložení citelných sankcí, což je pro menší firmy existenčně závažná hrozba.

Pozitivním signálem je, že NÚKIB postupně vydává metodické materiály a doporučení, která mají firmám pomoci zorientovat se v zákonných požadavcích. Některé z těchto materiálů jsou přímo zaměřeny na menší subjekty a snaží se nabídnout praktický návod, jak postupovat při zavádění bezpečnostních opatření s omezenými prostředky. Přesto zůstává propast mezi teorií a praxí poměrně hluboká a mnoho podnikatelů přiznává, že se v celé problematice stále obtížně orientují.

Neméně důležitá je otázka dodavatelského řetězce. Zákon o kybernetické bezpečnosti totiž implicitně vyžaduje, aby povinné subjekty prověřovaly také bezpečnostní úroveň svých dodavatelů a partnerů. To znamená, že i malá firma, která sama o sobě nespadá do kategorie povinných subjektů, může být nepřímo dotčena tím, že její odběratel — větší firma nebo veřejná instituce — bude vyžadovat splnění určitých bezpečnostních standardů jako podmínku pro pokračování obchodního vztahu. Tento efekt kaskádování povinností přes dodavatelský řetězec je jedním z nejméně diskutovaných, ale prakticky velmi významných dopadů zákona na podnikatelské prostředí v České republice.

Budoucnost kybernetické bezpečnosti v České republice

Česká republika stojí na prahu zásadní proměny v oblasti digitální bezpečnosti, přičemž zákon o kybernetické bezpečnosti představuje klíčový pilíř této transformace. Legislativní rámec, který byl postupně budován v průběhu posledních let, dnes tvoří základ pro ochranu kritické infrastruktury státu, soukromých podniků i jednotlivých občanů. Otázka, jak bude tato oblast vypadat v horizontu příštích desetiletí, je přitom nanejvýš aktuální a dotýká se prakticky každého aspektu moderní společnosti.

Nová evropská směrnice NIS2, která se přímo promítá do českého právního prostředí, přináší výrazné rozšíření okruhu subjektů povinných dodržovat přísná bezpečnostní pravidla. Zatímco dříve se zákon o kybernetické bezpečnosti vztahoval primárně na provozovatele základních služeb a poskytovatele digitálních služeb, nová právní úprava zahrnuje tisíce dalších organizací napříč různými sektory. Energetika, zdravotnictví, doprava, bankovnictví nebo veřejná správa — to jsou oblasti, kde bude implementace nových požadavků nejintenzivnější a zároveň nejnáročnější.

Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, hraje v tomto procesu nezastupitelnou roli. Právě tento úřad je zodpovědný za koordinaci celonárodní strategie kybernetické bezpečnosti, za vydávání závazných opatření a za dohled nad tím, zda dotčené subjekty plní své zákonné povinnosti. V budoucnu lze očekávat, že pravomoci NÚKIB budou dále posilovány, a to zejména v oblasti reakce na závažné kybernetické incidenty, které mohou ohrozit chod státu jako celku.

Jedním z nejdůležitějších aspektů budoucího vývoje je otázka financování kybernetické bezpečnosti. Mnohé organizace, zejména menší obce a příspěvkové organizace, dosud nedisponovaly dostatečnými prostředky na zajištění odpovídající úrovně ochrany svých systémů. Zákon o kybernetické bezpečnosti jim sice ukládá povinnosti, ale bez adekvátní finanční podpory ze strany státu nebo evropských fondů bude jejich naplnění velmi obtížné. Diskuse o tom, jak spravedlivě rozdělit náklady spojené s implementací nových požadavků, bude bezpochyby jedním z klíčových témat nadcházejících let.

Technologický vývoj přitom nepočká. Umělá inteligence, kvantové počítače, internet věcí nebo cloudové služby — to vše přináší nové příležitosti, ale zároveň i nová bezpečnostní rizika. Zákon o kybernetické bezpečnosti musí být dostatečně flexibilní, aby dokázal reagovat na hrozby, které dnes ještě ani neexistují. Právní předpisy mají přirozenou tendenci zaostávat za technologickým vývojem, a proto je nezbytné, aby byl legislativní rámec průběžně aktualizován a přizpůsobován měnícím se podmínkám.

Vzdělávání a osvěta jsou dalšími oblastmi, kde má Česká republika co dohánět. Nedostatek kvalifikovaných odborníků v oblasti kybernetické bezpečnosti je problémem, který se v příštích letech ještě prohloubí, pokud nebudou přijata systémová opatření. Spolupráce mezi státem, akademickou sférou a soukromým sektorem je v tomto ohledu naprosto zásadní. Vysoké školy musí připravovat absolventy, kteří budou schopni čelit sofistikovaným útokům, a firmy musí být ochotny investovat do jejich dalšího rozvoje.

Mezinárodní spolupráce tvoří další neodmyslitelnou součást budoucnosti kybernetické bezpečnosti v České republice. Jako členský stát Evropské unie a NATO je Česká republika součástí širší sítě spojenců, kteří sdílejí informace o hrozbách a koordinují svou obranu. Tato spolupráce nabývá na důležitosti zejména v kontextu geopolitického napětí, kdy kybernetické útoky ze strany státních aktérů představují stále vážnější hrozbu pro národní bezpečnost. Zákon o kybernetické bezpečnosti musí být v souladu s mezinárodními závazky České republiky a zároveň musí chránit národní zájmy.

Do budoucna bude rovněž klíčové, jak se Česká republika vypořádá s problematikou kybernetické odolnosti kritické infrastruktury. Elektrárny, vodárny, nemocnice nebo telekomunikační sítě jsou cíle, jejichž výpadek by měl katastrofální důsledky pro celou společnost. Zákon o kybernetické bezpečnosti proto klade zvláštní důraz na ochranu těchto systémů, a v budoucnu lze očekávat ještě přísnější požadavky na jejich zabezpečení. Pravidelné bezpečnostní audity, penetrační testy a cvičení simulující kybernetické útoky se stanou standardní součástí provozu těchto organizací.

Celkově vzato, budoucnost kybernetické bezpečnosti v České republice závisí na schopnosti všech zúčastněných stran — státu, soukromého sektoru i občanů — přijmout odpovědnost za ochranu digitálního prostoru. Zákon o kybernetické bezpečnosti poskytuje nezbytný právní rámec, ale sám o sobě nestačí. Je třeba budovat kulturu bezpečnosti, investovat do technologií a lidských zdrojů a udržovat krok s neustále se vyvíjejícím prostředím kybernetických hrozeb. Jen tak může Česká republika obstát v digitálním světě 21. století.