Nová česká úprava navazuje na evropskou směrnici NIS2, ale má vlastní konstrukci. Pracuje s pojmem regulované služby, rozděluje poskytovatele do režimů vyšších a nižších povinností a podrobně stanovuje bezpečnostní opatření ve třech prováděcích vyhláškách: vyhlášce č. 408/2025 Sb. o regulovaných službách, vyhlášce č. 409/2025 Sb. pro režim vyšších povinností a vyhlášce č. 410/2025 Sb. pro režim nižších povinností. Regulace se nově dotýká významně širšího okruhu subjektů než dosavadní kyberbezpečnostní rámec, včetně energetiky, zdravotnictví, dopravy, digitální infrastruktury, výroby, potravinářství, výzkumu, veřejné správy nebo dalších služeb důležitých pro fungování státu a ekonomiky.
Neregulují se firmy, ale jejich konkrétní služby
První praktickou změnou je, že organizace nemá začínat otázkou, „zda je povinnou osobou“. Správná otázka zní: poskytujeme regulovanou službu podle nové české úpravy? A pokud ano, v jakém režimu povinností?
Tento rozdíl je podstatný. Regulace se nevztahuje na firmu jako celek, ale na poskytování konkrétních regulovaných služeb. Pro manažery na úrovni CIO, CTO a CISO to znamená nutnost propojit právní klasifikaci služby s reálnou architekturou organizace. Jinými slovy: nestačí vědět, že společnost působí například v energetice, zdravotnictví nebo digitálních službách. Je třeba určit, které konkrétní služby jsou regulované. V praxi se mění i způsob, jakým se má dělat bezpečnostní analýza, nestačí seznam aplikací z centrální databáze (CMDB) ani obecná mapa infrastruktury.
Typickým příkladem je velká energetická společnost. Jiný význam bude mít kancelářská aplikace, jiný zákaznický portál, jiný systém pro správu měřicích dat a zcela jiný systém související s řízením provozní technologie. Všechny mohou být „IT systémy“, ale z hlediska regulované služby nemají stejnou kritičnost ani stejný bezpečnostní dopad.
„V nové verzi zákona zcela přirozeně spadáme do kategorie vyšších povinností. Naše služby jsou pro chod státu klíčové – hlas, data, SMS, DNS či cloudové služby jsou jím regulovány již dlouhodobě. Bezpečnostní opatření, která zákon vyžaduje, by přitom měla být samozřejmostí pro každou organizaci, která to s bezpečností myslí vážně – bez ohledu na regulaci,“ zdůrazňuje ředitel korporátní bezpečnosti T-Mobile Jakub Ludvík.
Dvě rychlosti, ale pro nikoho jízda načerno
Česká úprava rozlišuje režimy vyšších a nižších povinností. Tento model je někdy popisován jako dvourychlostní kyberbezpečnost. V zásadě platí, že významnější poskytovatelé regulovaných služeb spadají do přísnějšího režimu.
Nižší režim však neznamená formální nebo „light“ compliance. Rozdíl je především v míře detailu, formalizaci a důkazní náročnosti. Vyšší režim se blíží plnohodnotnému systému řízení bezpečnosti informací. Nižší režim je přiměřenější, ale stále vyžaduje skutečný program bezpečnostních opatření, průběžné vyhodnocování a prokazatelnou implementaci.
Co musí organizace udělat jako první?
Vyhodnotit, zda poskytuje regulovanou službu, podle jakého kritéria, v jakém odvětví a v jakém režimu povinností. Toto posouzení by mělo být dokumentované, opřené o konkrétní fakta a srozumitelné i pro osoby mimo úzký bezpečnostní tým.
Pokud organizace zjistí, že pod regulaci spadá, musí provést ohlášení vůči úřadu NÚKIB. Tím však compliance nekončí. Následuje registrace a poté období, ve kterém musí poskytovatel zavést příslušná bezpečnostní opatření. Přiložené podklady upozorňují, že nová regulace neznamená jen rozšíření okruhu povinných subjektů, ale také výrazně přísnější požadavky na řízení rizik, odpovědnost vedení, hlášení incidentů a bezpečnost dodavatelského řetězce.
Praktický postup by měl mít několik kroků: Nejprve právní a věcnou klasifikaci regulovaných služeb. Poté mapování aktiv, procesů, systémů, dat, identit a dodavatelů. Následně gap analýzu vůči požadavkům příslušné vyhlášky. A teprve poté návrh cílového stavu, rozpočet, harmonogram, odpovědnosti a implementační program.
Častou chybou bude snaha začít psaním směrnic. Dokumentace je samozřejmě nezbytná, ale sama o sobě bezpečnost nevytvoří. Správný postup je opačný: nejprve pochopit regulovanou službu, její závislosti a rizika, poté navrhnout opatření a až následně je promítnout do politik, procesů, smluv a technických standardů.
Kyberbezpečnost není jen „IT projekt“
Nová regulace zasahuje do celé organizace, není to izolovaný „IT projekt“. Bezpečnostní opatření se týkají governance, řízení rizik, aktiv, lidských zdrojů, přístupů, dodavatelů, změn, vývoje, incidentů, kontinuity, auditu i technických opatření.
Pro CIO a CTO je zásadní zejména dopad na architekturu systémů, bezpečný vývoj, správu identit, řízení změn, integraci, monitoring, logování a dostupnost služeb. Pro CISO jde o posílení řízení rizik a bezpečnostních politik, detekci incidentů, dodavatelský dohled a schopnost poskytovat managementu srozumitelné informace o stavu bezpečnosti. Právní a compliance týmy se musí zaměřit na smluvní požadavky, odpovědnost, reporting, interní pravidla a důkazní připravenost.
Praktickou výzvou je nastavení reportování incidentů. Organizace musí být schopna incident nejen technicky detekovat, ale také právně a provozně vyhodnotit. Potřebuje vědět, zda incident podléhá hlášení, kdo o tom rozhoduje, kdo komunikuje s NÚKIB, kdo připravuje technické podklady a jak se koordinuje komunikace s vedením, zákazníky, dodavateli či dalšími regulátory. Pokud tento proces vznikne až v reakci na útok, bude pozdě.
Stejně důležité je řízení kontinuity. Kybernetická bezpečnost není jen ochrana před průnikem do systému. Je to také schopnost udržet nebo obnovit poskytování služby, pracovat se zálohami, testovat obnovu, znát kritické závislosti a mít realistické scénáře pro krizové situace. Ransomware, kompromitace identity, selhání dodavatele nebo výpadek cloudové služby nejsou akademické scénáře, ale běžná provozní rizika.
Dodavatelský řetězec jako Achillova pata
Jedním z nejcitlivějších témat nové úpravy je řízení dodavatelů. Služby moderních organizací stojí například na cloudových službách, servisních partnerech či složitém subdodavatelském řetězci. Nová regulace vyžaduje, aby organizace aktivně řídily bezpečnost dodavatelů. Nestačí mít obecné NDA nebo smluvní větu o dodržování právních předpisů. Poskytovatel regulované služby musí vědět, jaká rizika přinášejí, jaké mají přístupy, jak hlásí incidenty, jak pracují se subdodavateli či jak se řeší ukončení smlouvy.
Dodavatelské smlouvy často vznikaly v době, kdy kybernetická bezpečnost nebyla klíčovým tématem. Řízení vztahů s nimi tak může být náročnější než zavedení interní bezpečnostní dokumentace.
Odpovědnost za kyberbezpečnost je na vedení organizace
Je důležité pamatovat na přesun odpovědnosti na vrcholové vedení a povinnost statutárních orgánů zabývat se kybernetickou bezpečností, schvalovat bezpečnostní politiky a absolvovat odpovídající školení. Vedení tedy musí určit odpovědnosti, zajistit zdroje a přiměřenou strategii a umět reagovat na zásadní rizika. Většina zásadních bezpečnostních rozhodnutí totiž není čistě technických. Jde o rozhodnutí o rozpočtu, prioritách, dodavatelích, provozní kontinuitě či personálním zajištění. Tato rozhodnutí patří na úroveň vedení.
Pro statutární orgány proto bude důležité zejména pravidelné reportování. CISO a CIO by měli umět vedení předkládat informace nikoli v podobě technických detailů, ale formou srozumitelného manažerského obrazu: jaké regulované služby poskytujeme, jaká jsou hlavní rizika, jaký je stav implementace opatření, jaká rizika nesou dodavatelé, jak jsme připraveni na incident a kde potřebujeme rozhodnutí nebo zdroje.
Nejde o goldplating, ale o reakci na realitu
Nová regulace bude pro řadu organizací náročná. Není proto překvapivé, že se o ní mluví jako o administrativní zátěži či goldplatingu. Takové hodnocení je ale zjednodušující. Digitální provoz organizací je stále závislejší na externích dodavatelích či propojených systémech. Útok na jednoho dodavatele může zasáhnout desítky zákazníků. A ransomware už dávno není problém pouze nepozorných uživatelů, ale běžné podnikové a provozní riziko.
Proto dává smysl, že stát vyžaduje minimální úroveň řízení kybernetické bezpečnosti u organizací, jejichž služby jsou důležité pro ekonomiku, veřejnou správu, infrastrukturu nebo každodenní život. „K implementaci doporučujeme přistupovat především jako k příležitosti – zvýšit a dlouhodobě udržet skutečnou úroveň bezpečnosti firmy, nikoli jen splnit zákonnou povinnost. Klíčové je, aby bezpečnost byla prioritou vedení a vlastníků firem. Bezpečnost si nelze jednoduše koupit – je třeba ji umět řídit, věnovat jí strategickou pozornost a dávat jí odpovídající prioritu. Pokud se tak nestane, stává se z ní jen další nákladový proces bez skutečného efektu,“ uzavírá Ludvík.
Jindřich Kalíšek je CEO české firmy regfor, která vyvíjí intuitivní nástroj pro efektivní a přehlednou správu legislativních a regulatorních požadavků, řízení rizik a podnikové compliance, management dodavatelského řetězce, automatizaci auditů, správu incidentů a vzdělávání v digitálních kompetencích. Působí též jako advokát se specializací na právo informačních a nových technologií, regulatoriku a compliance, především v oblastech ochrany informací a osobních údajů, kybernetické bezpečnosti, digitální provozní odolnosti finančních institucí, vývoje a ochrany software a poskytování IT služeb. O kybernetické bezpečnosti a ochraně osobních údajů přednáší na Právnické fakultě UK v Praze i odborných konferencích a vzdělávacích akcích.