Od 1. listopadu 2025 je v Česku účinný nový zákon č. 264/2025 Sb. o kybernetické bezpečnosti a s ním související prováděcí vyhlášky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Nejde jen o další technickou normu pro IT oddělení. Jde o právní rámec, který výrazně rozšiřuje okruh regulovaných organizací, zavádí nové povinnosti a přesouvá odpovědnost za kybernetickou bezpečnost k vrcholovému vedení. Český zákon přitom navazuje na evropskou směrnici NIS2 a spolu s prováděcími vyhláškami vytváří nový standard toho, co stát považuje za minimálně přijatelnou úroveň digitální odolnosti.
Úroveň kybernetické bezpečnosti se přitom v českém prostředí posouvá jen pomalu. Podle studie PwC Digital Trust Insights 2025 chce 60 % firem ve světě v příštích 12 měsících zvýšit investice do boje s kyber riziky, ale v Česku je to jen 42 %. Zároveň 19 % českých firem říká, že v oblasti kyberbezpečnosti neplánuje žádné zásadní změny. Průzkum proběhl mezi více než 3 900 manažery v 72 zemích.
Jenže realita stále závažnějších hrozeb nikam nezmizela. Vedle toho NÚKIB evidoval v lednu 2026 celkem 32 kybernetických bezpečnostních incidentů, což byla nejvyšší hodnota za posledních 12 měsíců, a v únoru pak 23 incidentů, z toho dva významné.
Podle únorového průzkumu Ipsos pro APPSEC čelila v posledním roce kybernetickému útoku více než pětina českých firem; pro většinu z nich to znamenalo škodu do 50 tisíc korun, ale téměř 2 % zasažených firem hlásila škodu nad pět milionů. Ochromení institucí či podniků je stále nejčastější hrozbou a nebezpečí přichází nejčastěji ze zahraničí, více o tomto tématu jsme psali zde.
Kyberbezpečnost dopadne minimálně na šest tisíc organizací v Česku
Nejčastější chybou je myslet si, že nový zákon dopadá jen na „obvyklé oblasti“ – energetiku, nemocnice nebo ústřední státní úřady. Ve skutečnosti NÚKIB dlouhodobě odhadoval, že pod nový zákon se zařadí nejméně 6 000 organizací. K 8. únoru 2026 se jich ohlásilo 4 825. Kritéria, podle nichž se pozná, zda organizace poskytuje regulovanou službu, stanoví vyhláška č. 408/2025 Sb.. Může se týkat firem, úřadů, krajů, obcí i dalších subjektů.
Prakticky to znamená, že řada středních a velkých firem se nově musí ptát nikoli „zda jsme kritická infrastruktura“, ale spíš „zda neposkytujeme službu, kterou stát považuje za regulovanou“. A to je pro byznys zásadní změna. Regulace už nesleduje jen několik vybraných „strategických“ hráčů, ale mnohem širší ekosystém organizací, jejich technologií, vazeb a celých dodavatelských řetězců.
Není nač čekat, lhůty už běží. Jak se mám jako firma registrovat?
První krok je administrativně jednoduchý, ale věcně dost podstatný: správně se „sebeidentifikovat“ podle vyhlášky 408/2025 Sb. a ohlásit regulovanou službu přes Portál NÚKIB. Organizace, které splňovaly kritéria k 1. listopadu 2025, měly povinnost se ohlásit do konce roku 2025.
Po registraci má firma povinnost oznámit kontaktní a doplňující údaje. Následně musí nejpozději do jednoho roku od doručení rozhodnutí úřadu o registraci zavést bezpečnostní opatření a být schopna hlásit kybernetické incidenty.
To zní stručně, ale obsahově je to velká změna. U organizací ve vyšším režimu povinností nejde jen o „nějaký firewall a směrnici“. Vyhláška č. 409/2025 Sb. počítá se systémem řízení bezpečnosti informací, řízením rizik, řízením dodavatelů, kontinuity činností, auditů i s přímými požadavky na vrcholové vedení – to musí být prokazatelně školeno. V rámci vyššího režimu zřizuje také výbor pro řízení kybernetické bezpečnosti, v němž má mít své zastoupení.
Kde mají firmy v praxi největší problém?
První problém je mentální: část trhu si pořád myslí, že jde hlavně o další právní formalitu. Jenže kyberbezpečnost není papír navíc, ale schopnost firmy fungovat i ve chvíli, kdy přijde útok, výpadek nebo kompromitace dodavatele. Když 19 % českých firem říká, že v příštím roce neplánuje v této oblasti zásadní změny, je to spíše varovný signál než doklad stability.
Druhý problém je praktický: firmy často nevědí, kde začít. Hledají univerzální šablonu, hotovou dokumentaci nebo jedno technické řešení, které „vyřeší NIS2“. Jenže nový zákon není o koupi jednoho produktu. Je o tom, zda organizace rozumí svým aktivům, ví, co je pro ni kritické, má jasno v odpovědnostech a dokáže sladit IT, právo, compliance i provoz.
Třetí problém je kapacitní. Už samotné ohlášení služby část firem odložila nebo nezvládla včas, přestože NÚKIB zvolil spíše podpůrný než represivní tón a otevřeně říkal, že jeho cílem je hlavně pomoci organizacím nové povinnosti zvládnout. Je však otázkou času, kdy se bude muset tato politika změnit – kyberbezpečnostní hrozby na to, „až bude čas“, nepočkají.
Kyberbezpečnost je strategické téma, které se dá se zvládnout rozumně
-
Prvním krokem není nákup technologie, ale poctivá mapa aktivit společnosti: jaké služby poskytuje, na jakých systémech stojí, jaká data zpracovává a co by se stalo, kdyby její klíčové procesy vypadly na den, na týden nebo natrvalo.
-
Druhým krokem je zapojit management. Nový zákon správně vychází z toho, že kybernetická bezpečnost je manažerské, nikoli čistě technické téma. Vedení má určovat priority, uvolňovat zdroje a dohlížet na to, že opatření nejsou jen na papíře. Když vedení téma nevlastní, organizace možná bude mít dokumentaci, ale nebude mít odolnost.
-
Třetím krokem je od počátku pracovat s přiměřeností. Ne každá firma potřebuje stejně složitý aparát. Každá ale potřebuje vědět, kdo je za bezpečnost odpovědný, jak se řídí přístupy, co se děje při incidentu, jak se pracuje s dodavateli a jak se chrání klíčová data a systémy. Zde dává smysl využít kvalitní externí odborníky nebo vhodný softwarový nástroj (typicky tzv. GRC platformu): ne kvůli „papírovému souladu“, ale kvůli tomu, aby se povinnosti propsaly do běžného fungování firmy.
Zákon o kyberbezpečnosti jako návod
Nový zákon o kybernetické bezpečnosti je dobré číst jako návod, co musí moderní organizace zvládat, pokud chce být důvěryhodná a odolná, než jako seznam povinností. Stát tím v zásadě říká: pokud poskytujete důležitou službu, nestačí být efektivní jen za ideálních podmínek. Musíte být připraveni i na problémy.
A to je nakonec pozitivní zpráva. Regulace sama o sobě firmu neochrání, ale může ji přimět udělat kroky, které by stejně dříve nebo později udělat musela. V době, kdy útoky míří nejen na velké instituce, ale i na běžné firmy v dodavatelských řetězcích, je digitální compliance nejen o „splnění předpisu“, ale hlavně o elementární podnikatelské odpovědnosti. Odolnější firma totiž není jen bezpečnější. Je také důvěryhodnější, stabilnější a ve výsledku konkurenceschopnější.
Jindřich Kalíšek je CEO české firmy regfor, která vyvíjí intuitivní nástroj pro efektivní a přehlednou správu legislativních a regulatorních požadavků, řízení rizik a podnikové compliance, management dodavatelského řetězce, automatizaci auditů, správu incidentů a vzdělávání v digitálních kompetencích. Působí též jako advokát se specializací na právo informačních a nových technologií, regulatoriku a compliance, především v oblastech ochrany informací a osobních údajů, kybernetické bezpečnosti, digitální provozní odolnosti finančních institucí, vývoje a ochrany software a poskytování IT služeb. O kybernetické bezpečnosti a ochraně osobních údajů přednáší na Právnické fakultě UK v Praze i odborných konferencích a vzdělávacích akcích.