Nový zákon o kybernetické bezpečnosti vstoupil v platnost
2. listopadu 2025 14:25
Přidejte si nás na domovskou Na rozdíl od dosavadního zákona, který se vztahoval pouze na úzký okruh provozovatelů kritické infrastruktury, se nová legislativní úprava dotkne mnohem širšího spektra subjektů. Do skupiny regulovaných organizací nově spadají střední a velké podniky s více než 50 zaměstnanci nebo obratem nad 10 milionů eur, které působí v odvětvích považovaných za zásadní pro fungování společnosti a ekonomiky.
Podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) tak povinnost řídit kybernetickou bezpečnost přibude přibližně šesti tisícům českých organizací.
Nové povinnosti a vyšší odpovědnost managementu
Zákon přináší důraz na proaktivní řízení kybernetické bezpečnosti, nikoli jen na reakci na incidenty. Organizace budou muset provádět systematickou analýzu rizik, v jejímž rámci identifikují a evidují svá aktiva, hrozby a zranitelnosti, a zároveň zavádět adekvátní technická i organizační opatření.
Součástí jejich povinností bude také vedení záznamů o incidentech a jejich hlášení v krátkých lhůtách, zajištění plánů obnovy a pravidelných školení zaměstnanců. Každá regulovaná organizace navíc musí určit manažera kybernetické bezpečnosti, který bude za celý proces odpovědný.
Novinkou je rovněž zvýšená osobní odpovědnost vedení organizace za zajištění bezpečnosti. Manažeři tak ponesou přímou odpovědnost za to, že jejich organizace dodržuje stanovené bezpečnostní standardy, průběžně vyhodnocuje úroveň ochrany a přijímá účinná opatření k minimalizaci rizik.
Změna, která přináší i příležitost
Ačkoli nové povinnosti mohou působit administrativně náročně, pro většinu organizací představují především příležitost. Zpracování analýzy rizik umožňuje lépe pochopit hodnotu a zranitelnost klíčových aktiv, a tím pádem i efektivněji investovat do bezpečnostních opatření. Zkušenosti ukazují, že tam, kde je kybernetická bezpečnost řízena systematicky, dochází nejen ke snížení rizika útoků, ale i k úsporám času a nákladů při řešení mimořádných událostí.
Vzhledem k tomu, že většina dotčených organizací nemá vlastní tým kyberbezpečnostních specialistů, kteří by požadavky nového zákona naplnili, stává se klíčovým faktorem volba správných nástrojů a metodik. Jedním z řešení je například aplikace Cyber Security Audit (CSA) od společnosti Gordic.
