Tvrdý dopad kyberzákona

autor: | Zář 4, 2025

Zákon č. 264/2025 Sb., zveřejněný 4. srpna ve Sbírce zákonů a účinný od 1. listopadu 2025, zásadně mění pravidla pro tisíce firem v Česku. Zavádí povinný self-assessment, registraci u NÚKIB, úpravy interních procesů a smluv, povinnost školení vedení i osobní odpovědnost statutárních orgánů – včetně možnosti zákazu výkonu funkce. Sankce dosahují až 250 milionů korun nebo 2 % obratu, a to i u firem, které dosud o kybernetické regulaci sotva slyšely.

Koho se zákon týká?

První otázka zní: spadá vaše společnost pod nový režim? Pokud podnikáte v energetice, zdravotnictví, dopravě, ICT, financích, potravinářství nebo dalších klíčových odvětvích a jste středním či velkým podnikem, pak pravděpodobně ano. Nejde o doporučení, ale o zákonnou povinnost – do tří měsíců od účinnosti je nutné provést registraci u NÚKIB.

Ta zahrnuje vyplnění elektronického formuláře a zařazení do kategorie „essential entity“ (vyšší dohled) nebo „important entity“ (nižší dohled). Chyby nebo zkreslení dat mohou vést k milionovým sankcím.

Self-assessment není formalita. Firma musí vyhodnotit, jaké služby poskytuje, jaké má dodavatelské vazby a jak je chráněna její digitální infrastruktura. Bez toho nelze správně nastavit interní předpisy, které tvoří druhý pilíř nové povinnosti: zavedení politiky kybernetické bezpečnosti, evidence aktiv, revize smluv s dodavateli a procesů řízení rizik. Nestačí mít antivirový program a IT administrátora. Stát očekává robustní systém řízení kybernetických hrozeb, pravidelné audity jeho účinnosti a školení vedení i zaměstnanců.

Odpovědnost vedení a reputační riziko

Největší pozornost přitahuje osobní odpovědnost vedení. NÚKIB může zakázat členovi statutárního orgánu vykonávat funkci minimálně na šest měsíců. Nejde o symbolický trest – zákaz je zveřejněn v obchodním rejstříku i na webu NÚKIB, což představuje okamžitou profesní stopku a pro firmu značné reputační riziko. V praxi stačí, aby vedení ignorovalo doporučená opatření, nedodrželo předepsané postupy při incidentu nebo nepřijalo včas bezpečnostní kroky.

Časový rámec je neúprosný. Od 1. listopadu běží lhůty, které nelze ignorovat. Firmy by měly okamžitě spustit interní analýzu dopadu, zapojit právníky, compliance specialisty a IT bezpečnostní experty. Vyplatí se sestavit projektový tým, který rozdělí úkoly: od self-assessmentu přes registraci až po revizi smluv s dodavateli.

Dopad na investory a sektor mimo IT

Pro investory a zahraniční manažery působící v Česku má zákon přímý význam. Hodnota firmy může být během několika měsíců ohrožena nejen pokutou, ale i veřejnou ostudou. Banka, která nesplní požadavky, ztratí důvěru klientů. Potravinářská firma může čelit nejen sankci, ale i riziku zastavení dodávek. Statistiky ukazují, že každý druhý kybernetický útok v EU zasáhne subjekty mimo IT sektor – typicky logistiku či zdravotnictví. NIS2 proto cílí právě na tyto firmy.

Náklady versus prevence

Je fér dodat, že stát tímto krokem přenáší náklady na soukromý sektor. Úpravy systémů, právní podpora a školení nejsou levné. Alternativou je však chaos, právní dopady a reputační újma, které se násobí. Pokuta 250 milionů korun nebo 2 % obratu může pro střední podnik znamenat existenční konec. Proto je lepší investovat do prevence, než později vysvětlovat bankám, investorům či zákazníkům, proč firma selhala.

Nový zákon o kybernetické bezpečnosti není akademická debata, ale realita, která se dotkne přímo vašeho podnikání. Vyplatí se proto konat okamžitě – provést self-assessment, registrovat se u NÚKIB, nastavit procesy a školit vedení. A především: od listopadu už nejde jen o IT oddělení, ale o osobní odpovědnost vedení a budoucnost celé firmy.

The views expressed in this article are not to be construed as personal advice. Therefore, you should contact a qualified, and ideally, regulated adviser in order to obtain up-to-date personal advice with regard to your own personal circumstances. Consequently, if you do not, then you are acting under your own authority and deemed “execution only”. The author does not accept any liability for people acting without personalised advice, who base a decision on views expressed in this generic article. Importantly, where this article is dated then it is based on legislation as of the date. Legislation changes but articles are rarely updated, although sometimes a new article is written; so, please check for later articles or changes in legislation on official government websites, as this article should not be relied on in isolation.

Vyjádřené názory v tomto článku nelze považovat za osobní poradenství. Vždy se proto obraťte na kvalifikovaného, ideálně regulovaného poradce, který vám poskytne aktuální, osobní doporučení šitá na míru vaší konkrétní situaci. Pokud se rozhodnete jednat bez takového poradenství, činíte tak na vlastní odpovědnost a vaše jednání spadá pod režim „execution only“ (pouhá realizace pokynu bez poradenství). Autor nepřijímá žádnou odpovědnost za rozhodnutí osob, které se spoléhají na názory uvedené v tomto obecném článku bez personalizovaného poradenství. Je důležité si uvědomit, že pokud je článek datován, vychází z právních předpisů platných k uvedenému datu. Právní předpisy se mohou měnit a články jsou aktualizovány jen zřídka. Doporučujeme proto vždy ověřit případné novější články nebo změny legislativy na oficiálních vládních stránkách, protože na tento článek nelze spoléhat izolovaně.

Follow us on Social Media

Post written by:
Autorem článku je:

Monika Škubalová

Monika působí v oblasti compliance a prevence finanční kriminality, kde se specializuje na nastavování vnitřních pravidel a kontrolních mechanismů chránících firmu před finančními a regulatorními riziky. Má zkušenosti s poskytováním odborného poradenství a zaváděním procesů v souladu s legislativou. Aktivně se podílí na vzdělávání interního týmu a podporuje firemní kulturu odpovědnosti a transparentnosti.

Aisa International is the only financial advice service company specialising in advice for expats that is regulated as a Securities Trader in the Czech Republic, USA, and UK.