Směrnice NIS2 a zákon o kybernetické bezpečnosti: nové povinnosti, nová odpovědnost
Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti.
Týkají se nové povinnosti i vaší firmy? Co konkrétně budete muset zavést a jaké důsledky může mít porušení pravidel pro management? V článku si to srozumitelně projdeme.
Co směrnice NIS2 a český zákon o kybernetické bezpečnosti přináší
Směrnice NIS2 nastavuje evropský rámec pro kybernetickou odolnost. Sama o sobě ale přímo společnostem povinnosti neukládá. Ty vyplývají až z české implementace této směrnice, tj. zákona č. 264/2025 Sb., o kybernetické bezpečnosti, a souvisejících vyhlášek.
Dohled pak vykonává český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Nejzásadnější změny, které tyto předpisy přináší, spočívají v:
- rozšíření okruhu regulovaných subjektů,
- povinné registraci těchto subjektů,
- přísnějším režimu řízení rizik,
- zahrnutí managementu do odpovědnosti za kybernetickou bezpečnost společnosti.
Jak zjistit, zda moje firma spadá pod NIS2 a zákon o kybernetické bezpečnosti?
Základem je odpovědět na následující 3 otázky:
- Poskytujete službu, která spadá pod regulované služby podle zákona a souvisejících vyhlášek?
- Jak významná je tato služba pro společnost nebo ekonomiku?
- Splňujete velikostní parametry alespoň středního podniku?
Pokud jste si na všechny výše položené otázky odpověděli „ANO“ a dosud jste povinnostem v oblasti kyberbezpečnosti nevěnovali pozornost, pak doporučujeme raději urychleně vyhledat právní pomoc.
Tzv. regulované subjekty, na které dopadá zákon o kybernetické bezpečnosti, se nacházejí nejčastěji ve finančním sektoru, energetice, zdravotnictví, výrobním průmyslu, IT službách nebo v oblasti digitální infrastruktury.
Pokud jste na výše uvedené otázky odpověděli „NE“, nové povinnosti na vás i tak mohou dopadat. A to zejména, jste-li významným dodavatelem jiného regulovaného subjektu. V takovém případě totiž můžete být k určitým bezpečnostním požadavkům zavázaní smluvně, neboť regulované subjekty mají povinnost zajistit dodržování bezpečnostních požadavků v dodavatelském řetězci.
Registrace do evidence regulovaných subjektů NÚKIB
Pokud společnost splní zákonné podmínky, vzniká jí povinnost provést registraci do evidence regulovaných subjektů NÚKIB.
Nejde přitom o formalitu. Registrace je výchozím bodem pro další dohledové pravomoci a kontrolní mechanismy.
Společnosti, které splňovaly potřebná kritéria, měly povinnost registrovat se u NÚKIB do 31. 12. 2025. Těm, které tak neučinily, nyní hrozí pokuta až do výše 10 milionů korun nebo 2 % jejich celosvětového ročního obratu.
Povinnosti podle nového zákona o kybernetické bezpečnosti
Zákonem stanovené povinnosti jsou postavené zejména na principu řízení rizik. Svým rozsahem se pak liší podle toho, zda regulovaný subjekt spadá pod vyšší, nebo nižší režim povinností. V obou případech byste však měli minimálně:
- identifikovat svá klíčová aktiva a informační systému,
- provést analýzu rizik,
- přijmout technická a organizační opatření,
- nastavit proces hlášení incidentů,
- řídit bezpečnost dodavatelského řetězce,
- vést odpovídající dokumentaci.
Bezpečnostní opatření by však samozřejmě měla odpovídat a být přiměřená povaze a rozsahu podnikání. Jinými slovy, jako menší regionální firma nemusíte nutně mít zabezpečení na úrovni nadnárodní banky.
Právní odpovědnost statutárních orgánů v IT
Jednou z nejdůležitějších novinek, kterou právní úprava přináší, je důraz na právní odpovědnost statutárních orgánů v IT oblasti. Kybernetická bezpečnost se stala přímo součástí péče řádného hospodáře.
Co to v praxi znamená? Mimo jiné to, že už nebude možné, aby se členové statutárního orgánu v případě vzniku škody na straně společnosti z důvodu porušení jeho povinností v oblasti kyberbezpečnosti bránili tím, že se spoléhali na specialisty z IT oboru, protože oni sami znalostmi z oboru kyberbezpečnosti nedisponují.
Členové statutárního orgánu nesou odpovědnost zejména za schválení bezpečnostních opatření, dohled nad jejich plněním, hodnocením rizik a včasným a řádným hlášením incidentů. Krajní osobní sankcí přímo pro člena statutárního orgánu je možnost NÚKIB ho dočasně odstavit z výkonu funkce. Ignorování těchto povinností a rezignace na tuto oblast odpovědnosti tak může mít pro statutáry (a taktéž pro společnost) celkem citelné důsledky.
Co hrozí za nesplnění směrnice NIS2 a zákona o kybernetické bezpečnosti?
Rizika při nesplnění povinností mohou být různá:
- vysoké správní pokuty,
- uložení nápravných opatření ze strany NÚKIB,
- odpovědnost za škodu vůči třetím osobám,
- reputační dopad,
- odpovědnost statutárních orgánů z důvodu porušení péče řádného hospodáře,
- dočasné pozastavení výkonu funkce statutárního orgánu ze strany NÚKIB.
Vedle zákonných sankcí je však třeba také počítat i s určitými obchodními riziky, například nemožností účastnit se veřejných zakázek. Dá se předpokládat, že požadavky na kybernetickou bezpečnost budou stále častěji vídány jako jeden z kvalifikačních požadavků anebo kritérium výběru.
Digitální imunita firmy jako strategická výhoda
Digitální imunitou není pouze odškrtnutí splnění minimálních zákonných povinností. Jde o schopnost dlouhodobě odolávat kybernetickým hrozbám, včas zachytit bezpečnostní incidenty, minimalizovat jejich dopady a rychle obnovit provoz bez zásadního narušení vašeho byznysu. V praxi pak to, jak dobře budete na incident reagovat, může hrát větší roli než samotná skutečnost, že k němu došlo.
Digitální imunita společností stojí na kombinaci správně nastavené právní odpovědnosti, kvalitní smluvní dokumentace, funkčních bezpečnostních procesů a informovaného managementu, který kybernetická rizika aktivně řídí. Toto nastavení pak může i na velmi konkurenčním trhu takové společnosti přinést reálnou konkurenční výhodu.
Nevíte, jak začít? Právní audit kyberbezpečnosti vám napoví
Pokud si nejste jistí, do jakého režimu povinností spadáte, jaké povinnosti se na vás vztahují nebo případně zda vůbec jste regulovaným subjektem, je pro vás nejefektivnějším prvním krokem právní audit od advokáta specializujícího se na kyberbezpečnost.
Právní audit vám
- vyhodnotí, zda vaše firma patří mezi regulované subjekty,
- určí rozsah povinností, které musíte plnit,
- identifikuje slabá místa ve smlouvách a interních firemních předpisech.
A co říct na závěr?
Směrnice NIS2 a zákon o kybernetické bezpečnosti představují zásadní změnu v oblasti řízení rizik. Nejde jen o technickou ochranu systémů, ale o právní odpovědnost, compliance a strategické řízení.
Kybernetická bezpečnost firem dnes už může například ovlivnit i jejich hodnotu, zejména z hlediska její (ne)důvěryhodnosti vůči obchodním partnerům, případně zákazníkům. A právě proto by žádný firemní management neměl otázku kyberbezpečnosti přehlížet.
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
