Zákon č. 264/2025 Sb., zveřejněný 4. srpna ve Sbírce zákonů a účinný od 1. listopadu 2025, zásadně mění pravidla pro tisíce firem v Česku. Zavádí povinný self-assessment, registraci u NÚKIB, úpravy interních procesů a smluv, povinnost školení vedení i osobní odpovědnost statutárních orgánů – včetně možnosti zákazu výkonu funkce. Sankce dosahují až 250 milionů korun nebo 2 % obratu, a to i u firem, které dosud o kybernetické regulaci sotva slyšely.
Koho se zákon týká?
První otázka zní: spadá vaše společnost pod nový režim? Pokud podnikáte v energetice, zdravotnictví, dopravě, ICT, financích, potravinářství nebo dalších klíčových odvětvích a jste středním či velkým podnikem, pak pravděpodobně ano. Nejde o doporučení, ale o zákonnou povinnost – do tří měsíců od účinnosti je nutné provést registraci u NÚKIB.
Ta zahrnuje vyplnění elektronického formuláře a zařazení do kategorie „essential entity“ (vyšší dohled) nebo „important entity“ (nižší dohled). Chyby nebo zkreslení dat mohou vést k milionovým sankcím.
Self-assessment není formalita. Firma musí vyhodnotit, jaké služby poskytuje, jaké má dodavatelské vazby a jak je chráněna její digitální infrastruktura. Bez toho nelze správně nastavit interní předpisy, které tvoří druhý pilíř nové povinnosti: zavedení politiky kybernetické bezpečnosti, evidence aktiv, revize smluv s dodavateli a procesů řízení rizik. Nestačí mít antivirový program a IT administrátora. Stát očekává robustní systém řízení kybernetických hrozeb, pravidelné audity jeho účinnosti a školení vedení i zaměstnanců.
Odpovědnost vedení a reputační riziko
Největší pozornost přitahuje osobní odpovědnost vedení. NÚKIB může zakázat členovi statutárního orgánu vykonávat funkci minimálně na šest měsíců. Nejde o symbolický trest – zákaz je zveřejněn v obchodním rejstříku i na webu NÚKIB, což představuje okamžitou profesní stopku a pro firmu značné reputační riziko. V praxi stačí, aby vedení ignorovalo doporučená opatření, nedodrželo předepsané postupy při incidentu nebo nepřijalo včas bezpečnostní kroky.
Časový rámec je neúprosný. Od 1. listopadu běží lhůty, které nelze ignorovat. Firmy by měly okamžitě spustit interní analýzu dopadu, zapojit právníky, compliance specialisty a IT bezpečnostní experty. Vyplatí se sestavit projektový tým, který rozdělí úkoly: od self-assessmentu přes registraci až po revizi smluv s dodavateli.
Dopad na investory a sektor mimo IT
Pro investory a zahraniční manažery působící v Česku má zákon přímý význam. Hodnota firmy může být během několika měsíců ohrožena nejen pokutou, ale i veřejnou ostudou. Banka, která nesplní požadavky, ztratí důvěru klientů. Potravinářská firma může čelit nejen sankci, ale i riziku zastavení dodávek. Statistiky ukazují, že každý druhý kybernetický útok v EU zasáhne subjekty mimo IT sektor – typicky logistiku či zdravotnictví. NIS2 proto cílí právě na tyto firmy.
Náklady versus prevence
Je fér dodat, že stát tímto krokem přenáší náklady na soukromý sektor. Úpravy systémů, právní podpora a školení nejsou levné. Alternativou je však chaos, právní dopady a reputační újma, které se násobí. Pokuta 250 milionů korun nebo 2 % obratu může pro střední podnik znamenat existenční konec. Proto je lepší investovat do prevence, než později vysvětlovat bankám, investorům či zákazníkům, proč firma selhala.
Nový zákon o kybernetické bezpečnosti není akademická debata, ale realita, která se dotkne přímo vašeho podnikání. Vyplatí se proto konat okamžitě – provést self-assessment, registrovat se u NÚKIB, nastavit procesy a školit vedení. A především: od listopadu už nejde jen o IT oddělení, ale o osobní odpovědnost vedení a budoucnost celé firmy.

