Nový zákon o kybernetické bezpečnosti vstoupil v platnost

04.11.2025 10:51 | Komerční článek

autor: Komerční článek

Firmy musejí zásadně změnit přístup k řízení rizik. Nový zákon přenáší odpovědnost za kybernetickou bezpečnost přímo na management.

Foto: Archiv Gordic
Popisek: Nový zákon o kybernetické bezpečnosti vstoupil v platnost

Od 1. listopadu 2025 začal v České republice platit nový zákon o kybernetické bezpečnosti, který přináší zásadní změnu v tom, jak musejí firmy, instituce i veřejné organizace přistupovat k ochraně svých informačních systémů. Nová legislativa, která do českého právního rámce převádí evropskou směrnici NIS2, se dotkla tisíců organizací napříč sektory – od poskytovatelů digitální infrastruktury přes energetiku a vodohospodářství až po zdravotnická zařízení či dopravní podniky.

Zákon dopadá na tisíce firem napříč obory

Na rozdíl od dosavadního zákona, který se vztahoval pouze na úzký okruh provozovatelů kritické infrastruktury, se nová legislativní úprava dotýká mnohem širšího spektra subjektů. Do skupiny regulovaných organizací nově spadají střední a velké podniky s více než 50 zaměstnanci nebo obratem nad 10 milionů eur, které působí v odvětvích považovaných za zásadní pro fungování společnosti a ekonomiky. Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) tak povinnost řídit kybernetickou bezpečnost přibyla přibližně šesti tisícům českých organizací.

Nové povinnosti a vyšší odpovědnost managementu

Zákon přináší důraz na proaktivní řízení kybernetické bezpečnosti, nikoli jen na reakci na incidenty. Organizace musejí provádět systematickou analýzu rizik, v jejímž rámci identifikují a evidují svá aktiva, hrozby a zranitelnosti, a zároveň zavádět adekvátní technická i organizační opatření. Součástí jejich povinností je také vedení záznamů o incidentech a jejich hlášení v krátkých lhůtách, zajištění plánů obnovy a pravidelných školení zaměstnanců. Každá regulovaná organizace navíc musí určit manažera kybernetické bezpečnosti, který bude za celý proces odpovědný.

Novinkou je rovněž zvýšená osobní odpovědnost vedení organizace za zajištění bezpečnosti. Manažeři tak nesou přímou odpovědnost za to, že jejich organizace dodržuje stanovené bezpečnostní standardy, průběžně vyhodnocuje úroveň ochrany a přijímá účinná opatření k minimalizaci rizik.

Změna, která přináší i příležitost

Ačkoli nové povinnosti mohou působit administrativně náročně, pro většinu organizací představují především příležitost. Zpracování analýzy rizik umožňuje lépe pochopit hodnotu a zranitelnost klíčových aktiv, a tím pádem i efektivněji investovat do bezpečnostních opatření. Zkušenosti ukazují, že tam, kde je kybernetická bezpečnost řízena systematicky, dochází nejen ke snížení rizika útoků, ale i k úsporám času a nákladů při řešení mimořádných událostí.

Pomocnou ruku nabízí digitalizované nástroje

Vzhledem k tomu, že většina dotčených organizací nemá vlastní tým kyberbezpečnostních specialistů, kteří by požadavky nového zákona naplnili, stává se klíčovým faktorem volba správných nástrojů a metodik. Jedním z řešení, které v praxi pomáhá zvládnout nové povinnosti bez zbytečné zátěže, je aplikace Cyber Security Audit (CSA) od společnosti Gordic. Tento certifikovaný nástroj umožňuje řídit celý proces kybernetické bezpečnosti z jednoho místa, což výrazně šetří čas i kapacity organizace. CSA umožňuje zpracovat analýzu rizik podle požadavků nového zákona i evropské směrnice NIS2, identifikovat a evidovat aktiva, vyhodnocovat hrozby a slabá místa, automaticky navrhovat opatření a generovat potřebné výstupy pro audity či kontroly. Díky přehlednému prostředí a metodické podpoře specialistů na kyberbezpečnostní operace dokáže CSA výrazně zjednodušit implementaci nových požadavků, a pomáhá tak organizacím naplnit nejen literu zákona, ale i skutečný cíl – zvýšit odolnost vůči kybernetickým hrozbám.

Nový zákon o kybernetické bezpečnosti přináší jasné pravidlo: Kybernetická bezpečnost už není pouze dílčím úkolem IT oddělení, ale strategickým tématem celé organizace.