Přeskočit na hlavní obsah

Od NIS2 k zákonu: Nový zákon o kybernetické bezpečnosti

Náš tým zaměřený na kybernetickou bezpečnost, regulatoriku a právo vás provede kompletním posouzením připravenosti ve vztahu k požadavkům vyplývajících z nového zákona o kybernetické bezpečnosti vyhlášeného ve Sbírce zákonů a mezinárodních smluv pod č. 264/2025 Sb. Tento zákon, který transponuje směrnici NIS2 do vnitrostátní legislativy a vstoupí v účinnost od listopadu 2025, představuje zásadní změnu v oblasti kybernetické bezpečnosti v České republice a zavádí nové povinnosti pro široké spektrum organizací.

Kontaktujte nás
Stáhnout PDF

Nový zákon o kybernetické bezpečnosti jako vnitrostátní předpis provádějící NIS2

NIS2 je evropská směrnice, která stanovuje pravidla a požadavky na kybernetickou bezpečnost a systémy a sítě ICT. V návaznosti na dříve platnou směrnici NIS zlepšuje stav kybernetické bezpečnosti v celé Evropské unii prostřednictvím harmonizace bezpečnostních požadavků a oznamovacích povinností. Rozšiřuje předmět úpravy na další oblasti zájmu, jako jsou vztahy dodavatelského řetězce, řízení zranitelností a kybernetická hygiena, a posiluje spolupráci a sdílení znalostí mezi členskými státy EU. Vedle nařízení o digitální provozní odolnosti (DORA) a směrnice o odolnosti kritických subjektů (CER) je NIS2 dalším legislativním nástrojem Evropské unie se zaměřením na zvýšení digitální provozní odolnosti a kybernetické bezpečnosti všech relevantních subjektů působících v EU. Přestože je NIS2 na evropské úrovni platná již od začátku roku 2023, na jednotlivé subjekty v České republice její požadavky dopadají až v podobě zákona o kybernetické bezpečnosti, účinného od listopadu 2025. 

Co zákon o kybernetické bezpečnosti přináší?

Konečná podoba směrnice NIS2 byla v Úředním věstníku EU zveřejněna v prosinci 2022 ve všech úředních jazycích a členské státy měly danou lhůtu do 17. října 2024 na implementaci daných požadavků do svých právních předpisů. Tento termín nebyl v České republice dodržen. Finální znění zákona o kybernetické bezpečnosti bylo ve Sbírce zákonů a mezinárodních smluv zveřejněno 4. srpna 2025 a podepsáno prezidentem až 26. června 2025. Níže je přehled nových pravidel, která zákon přináší.

Zákon se vztahuje na širší okruh subjektů než dříve, zejména na poskytovatele regulovaných služeb v klíčových odvětvích jako je energetika, zdravotnictví, doprava a digitální služby. Toto rozšíření souvisí se změnami v samotné směrnici, kdy NIS2 rozlišuje dvě kategorie subjektů – vysoce kritické subjekty působící v odvětvích, jako je veřejná správa, digitální infrastruktura, energetika, finance, doprava, a další kritické subjekty poskytující služby například v oblasti nakládání s odpady, výzkumu, výroby. Celkem má NIS2 dopad na více než 18 odvětví a přidává další pravidla a povinnosti pro podniky ve čtyřech základních oblastech, včetně řízení rizik, odpovědnosti podniků, kontinuity provozu a oznamování. V samotném zákonu se pak dotčené subjekty setkají s dvěma režimy plnění požadavků – režim nižších a vyšší povinností. Kategorizace do režimů je dána především velikostí těchto subjektů ale také oblastí podnikání.

Subjekty, na které požadavky zákona o kybernetické bezpečnosti dopadnou, budou povinny zavést opatření k řešení konkrétních forem kybernetických hrozeb a minimalizovat jejich dopady; zajistit, aby jejich vrcholové orgány dohlížely na oblast kybernetické bezpečnosti a byly v ní mimo jiné řádně proškoleny; nastavit procesy pro oznamování bezpečnostních incidentů s významným dopadem na poskytování služeb nebo jejich příjemce; a také vypracovat komplexní plán řízení kontinuity provozu pro případy závažných kybernetických incidentů. Dodržování základních požadavků vyplývajících z NIS2 a konkretizovaných v zákoně o kybernetické bezpečnosti si v kontextu vaší společnosti můžete otestovat pomocí Deloitte nástroje NIS2 Self-Assessment Tool.

Jak můžeme pomoci?

V Deloitte nabízíme právní i konzultační služby související s novou legislativou. Pomůžeme vám i s řízením kybernetických rizik.

Právní pomoc

Zjistěte více

Konzultační služby

Zjistěte více

Řízení kybernetických rizk

Zjistěte více

S čím můžeme pomoci?

Pro dotčené subjekty je nezbytné zahájit cestu k dosažení souladu se zákonnými požadavky co nejdříve, přičemž je třeba mít na paměti, že procesy zajišťování souladu, včetně posouzení celkového stavu kybernetické bezpečnosti, auditu, konzultací a implementace nástrojů, trvají několik měsíců a jsou poměrně náročné. I samotné určení režimu může představovat výzvu vzhledem k odlišným podmínkám v jednotlivých sektorech.

Náš tým odborníků na kybernetickou bezpečnost, regulatorní compliance a právo, řízení rizik a implementaci bezpečnostních prvků vám pomůže se splněním všech požadavků vyplývajících ze zákona o kybernetické bezpečnosti skrze právní i konzultační služby.

Naše podpora zahrnuje komplexní přístup k řízení kybernetických rizik a zajištění shody, včetně:

  • Celkové analýzy prostředí vaší organizace a zařazení do režimu plnění povinností.
  • Posouzení připravenosti a identifikace mezer v rámci plnění požadavků vyplývajících ze zákona.
  • Návrhu nápravných opatření a jejich prioritizace.
  • Přenastavením smluv v rámci dodavatelských řetězců pro zajištění souladu.
  • Komunikace s regulátorem a provedením nutných úkonů před úřadem.
  • Poskytování podpory při implementaci bezpečnostních opatření.
  • Poskytování podpory při přípravě na audit, například v rámci příprav potřebné dokumentace.
  • Vypracování plánů kontinuity podnikání, řízení zranitelností a zavádění bezpečnostních požadavků do dodavatelského řetězce a hodnocení třetích stran.

Pokud chcete mít jistotu, že je vaše organizace připravena na souladu s požadavky zákona, neváhejte se na nás obrátit. Rádi pro vás vypracujeme gap analýzu, připravíme akční plán a poskytneme podporu při implementaci opatření.

Přehled služeb dle oblasti naleznete níže.

Jako obecně závazný právní předpis má zákon o kybernetické bezpečnosti nebývalý dopad na právní postavení regulovaných osob oproti předchozí regulaci. Postavení regulované osoby je potřeba reflektovat jak interně, uvnitř vaší organizace ve vztahu k vašim zaměstnancům a právním procesům, tak i navenek při jednání s regulátorem a vašimi dodavateli nebo smluvními partnery.

Z pohledu právních služeb je klíčové, aby veškeré snahy o compliance se zákonem po formální stránce odpovídaly požadavkům zákona. Zároveň se do hry dostává i péče řádného hospodáře a povinnost vrcholových orgánů ji dodržovat. Nesplnění požadavků vyplývajících ze zákona o kybernetické bezpečnosti může být považováno za její porušení. Organizace mohou mít zajištěné sebelepší procesy, ale pokud neodpovídají formě předpokládané zákonem, mohou být pro regulátora bezpředmětné. Proto při přípravě klientů na zákon o kybernetické bezpečnosti a implementaci procesů vždy úzce spolupracujeme s  odborníky na kybernetickou bezpečnost, aby všechny požadavky odpovídaly náležitostem vyžadovaným právem. Mezi naše právní služby patří:

  • Právní analýza dopadů: Posoudíme, zda a jak zákon o kybernetické bezpečnosti ovlivní vaše podnikání, a poradíme vám, jaké kroky podniknout, aby se vaše organizace rychle a efektivně přizpůsobila novým požadavkům na kybernetickou bezpečnost.
  • Právní poradenství: Poskytneme vám právní poradenství související se zákonem o kybernetické bezpečnosti, včetně pokrytí základních požadavků, které se vás týkají, a navrhneme postup pro jejich splnění.
  • Právní asistence při řešení kybernetických bezpečnostních incidentů: Poskytneme okamžitou právní podporu v případě kybernetického útoku nebo jiného bezpečnostního incidentu. Pomůžeme vám minimalizovat právní rizika a zajistit soulad s regulatorními požadavky během krizové situace.
  • Dotační poradenství: Posoudíme možnosti využití finančních prostředků poskytovaných na podporu opatření ke zvýšení kybernetické bezpečnosti v rámci EU nebo na národní úrovni, včetně právních služeb v oblasti posouzení poskytnutých prostředků z pohledu předpisů o veřejné podpoře a přípravy a podání žádosti o finanční podporu.
  • Smluvní dokumentace: Vytvoříme nebo aktualizujeme vaše smlouvy s dodavateli, zákazníky a partnery tak, aby reflektovaly nové požadavky na kybernetickou bezpečnost. Připravíme nezbytnou smluvní dokumentaci, která je nutná k ochraně kritických informačních infrastruktur a splnění požadavků vyplývajících ze zákona o kybernetické bezpečnosti. Bude se jednat se o podobný postup jako při uzavírání zpracovatelských smluv (DPA) po účinnosti GDPR.
  • Školení a compliance: Navrhneme a zrealizujeme komplexní vzdělávací programy o kybernetické bezpečnosti pro vaše zaměstnance, management i statutární orgány. Zaměříme se na praktické aspekty nového zákona a jejich aplikaci ve vaší organizaci.
  • Právní podpora při vývoji bezpečnostních produktů a služeb: Pro společnosti vyvíjející bezpečnostní řešení poskytneme právní podporu v oblasti certifikace kybernetické bezpečnosti.
  • Zastupování před NÚKIB a dalšími orgány: V případě kontrol, správního řízení nebo jiných interakcí s NÚKIB či jinými regulačními orgány vás budeme zastupovat a hájit vaše zájmy. Pomůžeme vám navigovat složitými regulatorními procesy a minimalizovat potenciální sankce.

Zavedení nových zákonných požadavků do podnikové praxe často znamená sladění předpisů s podnikovými procesy, organizační strukturou, personálním zabezpečením a také technologickou základnou. V praxi se nám při obdobných implementacích velmi osvědčil níže uvedený přístup. V rámci analýz používáme vlastní osvědčené nástroje, které nám umožňují efektivně identifikovat mezery a prioritizovat jednotlivé kroky. Příkladem je Deloitte NIS2 Maturity Assessment Tool i ZoKB Maturity Assessment Tool specialovaný přímo na zákon o kybernetické bezpečnosti, který našim klientům v rámci poskytovaných služeb nabízíme.

  • Analýza existujících procesů: Provedeme analýzu existujících procesů, aplikací a personálního zabezpečení v kontextu požadavků zákona o kybernetické bezpečnosti.
  • Technologie: Provedeme IT, business a finanční posouzení zvažovaných variant.
  • Změny v rámci společnosti: Navrhneme konkrétní změny na úrovni celku, jednotlivých domén a společně s vámi návrhy zvalidujeme.
  • Implementační roadmapa: Navrhneme konkrétní implementační plán, který zohlední technologickou, procesní a organizační připravenost vaší společnosti. V technologické rovině často doporučujeme využití cloudových služeb v kombinaci s tradičním podnikových ICT (např. kombinace AWS, MS Azure, M365 s on-premise infrastrukturou).

Po přípravě implementační plánu obvykle pomáháme i při implementaci a integraci on-premise a cloud technologií. Právě cloud technologie chápeme jako výrazný akcelerátor zavedení požadavků zákona o kybernetické bezpečnosti do společnosti. Máme praktické zkušenosti z malých i rozsáhlých implementací cloudových služeb M365, Azure, AWS, GCP a řady dalších SaaS cloudových služeb v doméně kybernetické bezpečnosti i při projektech, které výrazně akcentují synergii bezpečnosti a IT s business procesy.

Společně naplánujeme podobu a hloubku našeho zapojení podle vašich potřeb a očekávání – zmapujeme vaši organizaci, důvody pro zavádění zákonných požadavků na kybernetickou bezpečnosti a personální, finanční a technický kontext, a dle toho finálně určíme rozsah naší činnosti a očekávané výstupy.

  • Sběr informací: Shromáždíme informace o kybernetické bezpečnosti ve vaší společnosti, konkrétně o ICT aktivech, souvisejících hrozbách, pracovních rolích a postupech a dalších proměnných.
  • Rizika bezpečnosti: Identifikujeme rizika kybernetické bezpečnosti vztažená na vaši společnost.
  • Gap analýza: Provedeme gap analýzu, při níž porovnáme stav kybernetické bezpečnosti s požadovaným cílovým stavem, v tomto případě v plném souladu se zákonem o kybernetické bezpečnosti.
  • Bezpečnostní opatření: Navrhneme a společně s vámi zavedeme bezpečnostní opatření v oblasti kybernetické bezpečnosti, abychom zmírnili identifikovaná rizika.
  • Pravidelný kontakt: Opatření doladíme a zpětně zachytíme získané zkušenosti. Ujistíme se, že jsou zavedená opatření udržitelná a budou procházet pravidelným přezkumem.

Kontaktujte nás

Jakub Höll

Jakub Höll

Director
+420 734 353 815
Jaroslava Kračúnová

Jaroslava Kračúnová

Partner | Attorney at Law
+420 724 705 824
Pavol Szabo

Pavol Szabo

Senior Managing Associate