Kyberbezpečnost nově: tisíce firem čekají nové povinnosti. Iniciativa je plně na podnikateli.
Od 1. listopadu 2025 čeká tisíce firem v České republice napříč různými odvětvími zásadní změna v oblasti kybernetické regulace. Nový zákon o kybernetické bezpečnosti spolu s řadou doprovodných právních předpisů totiž výrazně rozšiřuje okruh subjektů, na které bude dopadat. Cílem regulace je zvýšit odolnost technické infrastruktury vůči kybernetickým hrozbám. Místo úzkého okruhu pouze klíčových institucí se nová pravidla budou vztahovat na široké spektrum firem a organizací, které poskytují tzv. regulované služby. Jde o služby zásadní pro fungování společnosti a státu, jejichž narušení či výpadek by mohly mít negativní dopady na bezpečnost státu, ekonomickou stabilitu a každodenní chod společnosti.
Zvýšenou pozornost musí nové právní regulaci věnovat společnosti, které působí v některém z následujících odvětví: digitální infrastruktura a služby, drážní doprava, energetika (elektřina, plynárenství, ropná a ropné produkty, teplárenství, vodík), finanční trh, chemický průmysl, letecká doprava, odpadové hospodářství, poštovní a kurýrní služby, potravinářský průmysl, silniční doprava, věda, výzkum a vzdělávání, veřejná správa a výkon veřejné moci, vesmírný průmysl, vodní doprava, vodní hospodářství, vojenský průmysl, výrobní průmysl a zdravotnictví.
Prvním krokem, který zákon od regulovaných subjektů vyžaduje, je tzv. sebeidentifikace. Každá společnost působící v některém z výše uvedených odvětví je povinna sama vyhodnotit, zda poskytuje regulovanou službu ve smyslu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Pokud dospěje k závěru, že ano, musí tuto skutečnost do 31. prosince 2025 oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zákon přitom až na výjimky nepředpokládá, že by k identifikaci subjektů docházelo z iniciativy státu. Nebude tedy docházet k žádnému úřednímu vyrozumění ani výzvě. Odpovědnost za posouzení i oznámení bude plně spočívat na podnikatelském subjektu či organizaci.
Sebeidentifikace přitom není formální cvičení. Správné a včasné posouzení může mít zásadní dopad na právní postavení daného subjektu, neboť právě od něj se odvíjí rozsah kyberbezpečnostních povinností, které bude povinen plnit (nižší či vyšší). Posouzení vyžaduje nejen detailní znalost poskytovaných služeb a využívaných technických aktiv, ale i přehled o vnitřní organizační struktuře, zaměstnaneckých poměrech či finančních údajích. Tento krok proto není vhodné podcenit. Chybné vyhodnocení, stejně jako opomenutí ohlášení, může vést k porušení zákona a následným sankcím. Pravidla mohou na první pohled působit jednoduše, avšak správné provedení sebeidentifikace je náročný a komplexní proces. Vyžaduje spolupráci často několika oddělení a někdy i více společností v rámci skupiny, stejně jako pečlivé odborné posouzení.
Co je tedy třeba prověřit a zvážit? Především je nutné analyzovat prahové hodnoty ročního obratu, bilanční sumy rozvahy a počtu zaměstnanců za poslední tři roky. Dále je potřeba zohlednit propojené a partnerské osoby, které mohou sdílet technická aktiva používaná při poskytování regulovaných služeb. Nezbytné je také identifikovat všechny poskytované regulované služby a posoudit, zda jejich technická kritéria a význam odpovídají zákonným požadavkům. Na základě těchto kroků se určuje režim povinností – nižší či vyšší. Pokud existují pochybnosti o tom, zda se nový režim vztahuje právě na konkrétní subjekt, je nejvyšší čas tuto otázku vyřešit. Zákon nabývá účinnosti již 1. listopadu 2025 a lhůta pro oznámení končí 31. prosince tohoto roku.
Nový zákon o kybernetické bezpečnosti představuje zásadní posun v ochraně klíčových služeb a infrastruktury v digitálním prostoru. Rozšíření okruhu povinných subjektů a jasné vymezení jejich odpovědnosti klade na firmy i organizace nové nároky. Sebeidentifikace je proto nejen formální povinností, ale i prvním nezbytným krokem k naplnění nových požadavků. Firmy, které ji provedou včas a správně, budou lépe připraveny čelit kybernetickým rizikům a předejdou možným sankcím. Nyní je tedy nejvhodnější čas zahájit interní procesy, které zajistí, že zákonné povinnosti budou splněny bez komplikací.
Autorka: JUDr. Petra Mirovská
advokátka Kocián Šolc Balaštík, advokátní kancelář, s.r.o.
Další články
KŠB asistovala společnosti Seyfor při prodloužení financování od Raiffeisenbank, Tatra banky a nově také Slovenskej sporiteľne
Tým KŠB poskytl právní poradenství svému dlouholetému klientovi, společnosti Seyfor, v souvislosti s pokračováním a rozšířením jejího syndikovaného financování. Dosavadní financující banky Raiffeisenbank Česká republika a Tatra banka se rozhodly v podpoře růstu Seyforu pokračovat, nově se k nim připojila také Slovenská sporiteľňa.
Evidence skutečných majitelů: Co přinese znepřístupnění od 17. prosince 2025?
Letošní rozhodnutí Nejvyššího soudu a Nejvyššího správního soudu navázala na rozsudky Soudního dvora Evropské unie, a, s platností i pro Českou republiku, konstatovala, že zveřejňování údajů v rámci evidence skutečných majitelů představuje nepřiměřený zásah do základních práv majitelů na soukromí a ochranu osobních údajů. Důležitým aspektem těchto rozhodnutí byl závěr, že sankce, které postihují povinné subjekty jako reakce na nesplnění jejich povinnosti zápisu do evidence skutečných majitelů, není možné vymáhat, dokud je evidence veřejná. Tato situace se změní 17. prosince 2025, kdy ministerstvo znepřístupní evidenci skutečných majitelů; povinným subjektům tak budou opět hrozit závažné sankce.
30. Adventní koncert pro Výbor dobré vůle - Nadaci Olgy Havlové
I letos se v čase předvánočním uskutečnil Adventní koncert dobré vůle, který od roku 1995 pořádá advokátní kancelář Kocián Šolc Balaštík ve prospěch Výboru dobré vůle – Nadace Olgy Havlové. Tentokrát šlo již o jubilejní 30. ročník a výjimečný byl i tím, že jsme jej poprvé pořádali společně s naším partnerem, Smetanovou Litomyšlí, v rámci širší vzájemné spolupráce. Koncert se jako vždy konal v koncertní síni kostela sv. Šimona a Judy na Starém Městě v Praze.
