epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • NÁZORY
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Partnerský program
    • Předplatné
    5. 6. 2025
    ID: 119627upozornění pro uživatele

    Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?

    Evropská směrnice NIS 2 přináší zásadní změny v oblasti kybernetické bezpečnosti a její transpozicí se mění i český právní rámec. Nový návrh zákona o kybernetické bezpečnosti zavádí dvoustupňovou regulaci poskytovatelů služeb, rozšiřuje okruh povinných osob a nově umožňuje státu hodnotit rizika v dodavatelském řetězci. Článek shrnuje, koho se nová pravidla týkají, jaké povinnosti firmám vzniknou a jaké dopady může mít nová úprava na jejich vnitřní fungování.

    Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022, známá jako NIS 2, představuje reakci Evropské Unie na rostoucí kybernetická rizika a roztříštěnost národních pravidel v oblasti ochrany sítí a informačních systémů, resp. kybernetické bezpečnosti jako celku. Jejím cílem je posílit odolnost evropské digitální infrastruktury, zavést přísnější a jednotnější bezpečnostní standardy napříč členskými státy a rozšířit rozsah regulace na další odvětví a organizace, které jsou klíčové pro fungování společnosti a ekonomiky. Česká republika na tuto směrnici reaguje návrhem zcela nového zákona o kybernetické bezpečnosti, který nahradí dosavadní zákon č. 181/2014 Sb. a přinese širší okruh povinných subjektů, zavedení dvou režimů povinností podle velikosti a významu organizace, nové povinnosti v oblasti bezpečnosti dodavatelského řetězce a zpřísněné požadavky na řízení rizik a hlášení incidentů. Nová pravidla se tak budou vztahovat i na organizace, které dosud regulovány nebyly, a ty budou muset zavést odpovídající bezpečnostní opatření a zajistit soulad se zákonnými požadavky.

     

    Na koho se nová pravidla budou vztahovat?

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Návrh zákona o kybernetické bezpečnosti stanoví, že se nová pravidla vztahují na poskytovatele regulovaných služeb. Těmi jsou organizace, které současně splňují tři podmínky: působí v regulovaném odvětví (například v energetice, zdravotnictví, dopravě nebo v oblasti digitálních služeb), poskytují konkrétní regulovanou službu uvedenou ve vyhlášce o regulovaných službách a zároveň splňují tzv. podmínky významnosti, a to zejména s ohledem na svou velikost a případná další kritéria uvedená v této vyhlášce. Posouzení toho, zda jsou tyto podmínky naplněny, budou muset organizace provádět zpravidla samostatně, nicméně novela taktéž umožňuje, aby v případě pochybností rozhodl o zařazení konkrétního subjektu do regulace Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve správním řízení. Pokud budou splněny podmínky pro zařazení mezi regulované subjekty, bude poskytovatel zařazen buď do režimu vyšších, nebo nižších povinností podle svého ekonomického, společenského nebo bezpečnostního významu pro Českou republiku.

    Jaké povinnosti novela kybernetického zákona přináší?

    Regulovaným subjektům vzniká podle návrhu zákona soubor základních povinností, které jsou společné bez ohledu na to, zda spadají do režimu vyšších nebo nižších povinností. Patří mezi ně zejména ohlášení poskytované regulované služby, oznámení kontaktních údajů odpovědných osob, stanovení rozsahu řízení kybernetické bezpečnosti, zavedení přiměřených bezpečnostních opatření a hlášení kybernetických incidentů prostřednictvím portálu NÚKIB. V případě vydání reaktivních opatření ze strany úřadu musí regulovaná organizace zajistit jejich včasné provedení. Pro zahájení hlášení incidentů a plnění povinností v oblasti bezpečnostních opatření platí přechodná lhůta v délce jednoho roku od doručení rozhodnutí o registraci regulované služby.

    Reklama
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    16.7.2026 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Nad rámec těchto základních povinností stanoví návrh zákona dva režimy regulace, a to režim vyšších povinností a režim nižších povinností. Rozsah a konkrétní podoba dalších povinností se mezi těmito režimy liší. Základním rozlišovacím kritériem, podle kterého je subjekt zařazen do jednoho z režimů, je zejména jeho velikost, přičemž platí, že pokud alespoň u jedné poskytované služby spadá do vyššího režimu, vztahuje se tento vyšší režim i na všechny ostatní regulované služby, které poskytuje. V režimu vyšších povinností se uplatňuje podrobnější katalog bezpečnostních opatření, incidenty se hlásí přímo NÚKIB a možné sankce zahrnují i opatření typu pozastavení certifikace nebo dočasného zákazu výkonu funkce člena statutárního orgánu. Subjekty v režimu nižších povinností mají mírnější rozsah požadavků a incidenty hlásí Národnímu CERT.

    Kontrola dodavatelů a nové sankce: co novela umožňuje státu?

    Vedle základních povinností přináší návrh zákona o kybernetické bezpečnosti také nová pravidla v oblasti bezpečnosti dodavatelského řetězce a posiluje pravomoci státu v oblasti dozoru a sankcí. Dodavatelský řetězec v oblasti kybernetické bezpečnosti zahrnuje zejména poskytovatele softwaru, hardwaru, cloudových služeb nebo jiných technologií, které regulovaná organizace používá pro provoz svých systémů. Poskytovatelé strategicky významných služeb budou nyní povinni aktivně posuzovat rizika u svých klíčových dodavatelů, vést o těchto dodavatelích evidenci a zajistit, že i jejich subdodavatelský řetězec splňuje požadavky zákona. Novinkou je i možnost státu (konkrétně NÚKIB nebo vlády) rozhodnout o omezení nebo zákazu používání konkrétní technologie, či dodavatele, pokud by jejich využití mohlo představovat závažné bezpečnostní riziko. Tyto zásahy se tak mohou dotknout i dříve běžných obchodních rozhodnutí soukromých firem. Zákon rovněž rozšiřuje systém dozoru, přičemž NÚKIB bude oprávněn provádět kontroly, ukládat nápravná opatření a v krajním případě i donucující opatření. Výše pokut se bude odvíjet od závažnosti porušení a režimu, do kterého regulovaný subjekt spadá. Ve vyšším režimu mohou sankce dosáhnout až 250 milionů Kč nebo 2 % z celosvětového ročního obratu, přičemž tímto obratem se rozumí součet tržeb všech propojených společností v rámci jednoho podniku. Sankce hrozí například za nezavedení bezpečnostních opatření, nehlášení incidentů nebo nesplnění rozhodnutí NÚKIB. Ani firmy v nižším režimu však nejsou mimo kontrolní rámec. I jim může být uložena pokuta až 175 milionů Kč nebo 1,4 % z celosvětového obratu, a to například za nesplnění základních oznamovacích povinností nebo neposkytnutí součinnosti při zvládání incidentů.

    Jak správně zahájit přípravu na novou regulaci?

    Po účinnosti zákona je na každé organizaci, aby samostatně posoudila, zda na ni dopadá nová právní úprava v oblasti kybernetické bezpečnosti. Pokud organizace zjistí, že splňuje podmínky regulovaného subjektu, měla by bez zbytečného odkladu podniknout první kroky k nastavení vnitřního systému řízení kybernetické bezpečnosti. Klíčové je v první fázi ohlásit regulovanou službu prostřednictvím Portálu NÚKIB, nahlásit kontaktní údaje odpovědných osob a stanovit rozsah řízení kybernetické bezpečnosti, tedy vymezit, jakých částí infrastruktury a činností se regulace týká. Pokud organizace tento rozsah nestanoví, má se za to, že se zákon vztahuje na celou její strukturu. Následně je třeba zahájit implementaci bezpečnostních opatření dle vyhlášky příslušné pro režim, do něhož je organizace zařazena, provést školení zaměstnanců, přizpůsobit interní dokumentaci a nastavit vnitřní systém oznamování a evidence incidentů. Ačkoliv samotná povinnost hlášení incidentů a implementace bezpečnostních opatření nabývá účinnosti až po uplynutí přechodné lhůty jednoho roku od doručení rozhodnutí o registraci regulované služby, je na místě s jejich přípravou začít co nejdříve. Vzhledem k rozsahu a komplexnosti nové právní úpravy je proto včasné zahájení přípravy na plnění zákonných povinností nezbytné pro všechny regulované subjekty bez ohledu na zařazení do konkrétního režimu.

    Compliance v kybernetické bezpečnosti jako konkurenční výhoda?

    Zavedením nové právní úpravy kybernetické bezpečnosti se řízení kybernetických rizik stává zákonnou povinností pro širší okruh subjektů a zároveň i klíčovým prvkem důvěryhodnosti každé organizace, která spadá do rozsahu regulace. Regulované subjekty budou muset prokázat schopnost řídit kybernetická rizika, včas reagovat na incidenty a systematicky chránit svou digitální infrastrukturu. V praxi tak může správně nastavený systém kybernetické bezpečnosti fungovat jako konkurenční výhoda, a to jednak v očích zákazníků a obchodních partnerů, ale také i při účasti ve veřejných zakázkách, či při navazování nové obchodní spolupráce.

    Závěrem lze říci, že novela zákona o kybernetické bezpečnosti nepřináší pouze nové povinnosti, ale představuje také jednu ze zásadních změn v řízení organizace. Veřejné i soukromé organizace spadající do rozsahu regulace tak budou muset kybernetickou bezpečnost začlenit do svých procesů s maximální vážností a odpovědností.

    Mgr. Daniel Půlpán,
    právník

     
    Advokátní kancelář JELÍNEK & Partneři s.r.o.
     
    Pardubice - Dražkovice 181
    533 33  Pardubice - Dražkovice
     
    Truhlářská 1108/3
    110 00  Praha 1
     
    Tel.:        +420 466 310 691
    e-mail:    advokati@advokatijelinek.cz

     


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Daniel Půlpán (JELÍNEK & Partneři)
    5. 6. 2025

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Nový zákon o veřejných dražbách, aukce a obálkové metody
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25
    • Kupní smlouva bez přesného určení kupní ceny
    • Byznys a paragrafy, díl 36.: Doložka o mlčenlivosti
    • Detekce podezřelého obchodu v kontextu hazardních her
    • AI omnibus

    Novinky v eshopu

    Aktuální akce

    • 16.07.2026AI-bezpečné právní psaní 2.0 (online - živé vysílání) - 16.7.2026
    • 22.07.2026Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 22.7.2026
    • 29.07.2026Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 29.7.2026
    • 11.08.2026Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 11.8.2026
    • 12.08.2026ChatGPT od A do Z v právní praxi 2026 (online - živé vysílání) - 12.8.2026

    Online kurzy

    • Vnosy ze SJM a vnosy do SJM a jejich valorizace v aktuální judikatuře Nejvyššího soudu a Ústavního soudu
    • Výpověď z pracovního poměru z důvodu neomluveného zameškání jedné směny
    • Nová „tlačítková povinnost“ pro e-shopy
    • Změna cenových ujednání ve smlouvách v energetice
    • Černé stavby
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 01.10.2026Trestní právo daňové - 1.10.2026
    • 02.10.2026Daňové právo 2026 - 2.10.2026
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Nový zákon o veřejných dražbách, aukce a obálkové metody
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Evropská unie mění pravidla plateb: více odpovědnosti, intenzivnější zpracování dat, více kontrol
    • Koupě nemovité věci
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Holdingové struktury a odpovědnost mateřské společnosti
    • Odpovědnost zaměstnavatele a zaměstnance v souvislosti s využitím umělé inteligence
    • Souhlas s veřejným užíváním pozemku jako překážka nároku na bezdůvodné obohacení – nález Ústavního soudu sp. zn. I. ÚS 2541/25
    • Kupní smlouva o převodu nemovitosti bez uvedení výše kupní ceny
    • Pohled přes hranice – natáčení pornografických klipů jako důvod výpovědi z nájmu bytu
    • Druhá „tlačítková novela": povinné tlačítko pro odstoupení od smlouvy
    • Nový návrh zákona o platformové práci – 2. díl: Redefinice závislé práce
    • Nařízení EU o umělé inteligenci a jeho dopady na využití jazykových modelů v advokátní praxi
    • Revize zájezdové směrnice: co přináší, co hrozilo a co to znamená pro praxi
    • Holdingové struktury a odpovědnost mateřské společnosti
    • Systémová podjatost ve správním řízení aneb požadavek na překročení nadkritické míry rizika systémové podjatosti
    • Přičitatelnost jednání třetích osob dlužníkovi pro účely posouzení neúčinnosti: ano nebo ne?
    • Byznys a paragrafy, díl 35: Ručení za dluhy z podnikání u OSVČ a s.r.o.
    • Platformová práce
    • Dokazování negativních skutečností ve sporném řízení
    • Pacht závodu a zákaz přenechání věci třetí osobě
    • Několik poznámek z pera Nejvyššího soudu k nemocem z povolání a důkazní nouzi

    Soudní rozhodnutí

    Koupě nemovité věci

    Je-li u koupě nemovité věci v písemné smlouvě výslovně projevena vůle stran uzavřít úplatnou kupní smlouvu bez určení kupní ceny, uplatní se podle § 2131 o. z. přiměřeně § 2085...

    Nesprávný úřední postup (exkluzivně pro předplatitele)

    Rovněž nesprávný závazný právní názor nadřízeného orgánu, který negativně ovlivnil délku odškodněného řízení, vylučuje na základě § 16 odst. 4 (s přihlédnutím k...

    Platební neschopnost (exkluzivně pro předplatitele)

    Účinky vyvrácení domněnky platební neschopnosti dlužníka dle § 3 odst. 2 písm. b/ insolvenčního zákona má výkaz stavu likvidity sestavený podle § 3 odst. 3 insolvenčního zákona...

    Předkupní právo (exkluzivně pro předplatitele)

    Pojem „neoddělitelnost věcí“ ve smyslu § 2149 odst. 2 o. z. zákon blíže nedefinuje. Jde zde o právní normu s tzv. relativně neurčitou hypotézou, tj. normu, jejíž hypotéza není...

    Přerušení řízení (exkluzivně pro předplatitele)

    Smyslem § 109 odst. 2 písm. c/ o. s. ř. je zajistit hospodárnost řízení; proto by měl soud posoudit, zda vyčkání výsledku vedlejšího řízení bude i z hlediska délky původního...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2026, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu "Taktika jednání o smlouvách".

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.