Kyberbezpečnost nově: tisíce firem čekají nové povinnosti. Iniciativa je plně na podnikateli.
Od 1. listopadu 2025 čeká tisíce firem v České republice napříč různými odvětvími zásadní změna v oblasti kybernetické regulace. Nový zákon o kybernetické bezpečnosti spolu s řadou doprovodných právních předpisů totiž výrazně rozšiřuje okruh subjektů, na které bude dopadat. Cílem regulace je zvýšit odolnost technické infrastruktury vůči kybernetickým hrozbám. Místo úzkého okruhu pouze klíčových institucí se nová pravidla budou vztahovat na široké spektrum firem a organizací, které poskytují tzv. regulované služby. Jde o služby zásadní pro fungování společnosti a státu, jejichž narušení či výpadek by mohly mít negativní dopady na bezpečnost státu, ekonomickou stabilitu a každodenní chod společnosti.
Zvýšenou pozornost musí nové právní regulaci věnovat společnosti, které působí v některém z následujících odvětví: digitální infrastruktura a služby, drážní doprava, energetika (elektřina, plynárenství, ropná a ropné produkty, teplárenství, vodík), finanční trh, chemický průmysl, letecká doprava, odpadové hospodářství, poštovní a kurýrní služby, potravinářský průmysl, silniční doprava, věda, výzkum a vzdělávání, veřejná správa a výkon veřejné moci, vesmírný průmysl, vodní doprava, vodní hospodářství, vojenský průmysl, výrobní průmysl a zdravotnictví.
Prvním krokem, který zákon od regulovaných subjektů vyžaduje, je tzv. sebeidentifikace. Každá společnost působící v některém z výše uvedených odvětví je povinna sama vyhodnotit, zda poskytuje regulovanou službu ve smyslu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Pokud dospěje k závěru, že ano, musí tuto skutečnost do 31. prosince 2025 oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zákon přitom až na výjimky nepředpokládá, že by k identifikaci subjektů docházelo z iniciativy státu. Nebude tedy docházet k žádnému úřednímu vyrozumění ani výzvě. Odpovědnost za posouzení i oznámení bude plně spočívat na podnikatelském subjektu či organizaci.
Sebeidentifikace přitom není formální cvičení. Správné a včasné posouzení může mít zásadní dopad na právní postavení daného subjektu, neboť právě od něj se odvíjí rozsah kyberbezpečnostních povinností, které bude povinen plnit (nižší či vyšší). Posouzení vyžaduje nejen detailní znalost poskytovaných služeb a využívaných technických aktiv, ale i přehled o vnitřní organizační struktuře, zaměstnaneckých poměrech či finančních údajích. Tento krok proto není vhodné podcenit. Chybné vyhodnocení, stejně jako opomenutí ohlášení, může vést k porušení zákona a následným sankcím. Pravidla mohou na první pohled působit jednoduše, avšak správné provedení sebeidentifikace je náročný a komplexní proces. Vyžaduje spolupráci často několika oddělení a někdy i více společností v rámci skupiny, stejně jako pečlivé odborné posouzení.
Co je tedy třeba prověřit a zvážit? Především je nutné analyzovat prahové hodnoty ročního obratu, bilanční sumy rozvahy a počtu zaměstnanců za poslední tři roky. Dále je potřeba zohlednit propojené a partnerské osoby, které mohou sdílet technická aktiva používaná při poskytování regulovaných služeb. Nezbytné je také identifikovat všechny poskytované regulované služby a posoudit, zda jejich technická kritéria a význam odpovídají zákonným požadavkům. Na základě těchto kroků se určuje režim povinností – nižší či vyšší. Pokud existují pochybnosti o tom, zda se nový režim vztahuje právě na konkrétní subjekt, je nejvyšší čas tuto otázku vyřešit. Zákon nabývá účinnosti již 1. listopadu 2025 a lhůta pro oznámení končí 31. prosince tohoto roku.
Nový zákon o kybernetické bezpečnosti představuje zásadní posun v ochraně klíčových služeb a infrastruktury v digitálním prostoru. Rozšíření okruhu povinných subjektů a jasné vymezení jejich odpovědnosti klade na firmy i organizace nové nároky. Sebeidentifikace je proto nejen formální povinností, ale i prvním nezbytným krokem k naplnění nových požadavků. Firmy, které ji provedou včas a správně, budou lépe připraveny čelit kybernetickým rizikům a předejdou možným sankcím. Nyní je tedy nejvhodnější čas zahájit interní procesy, které zajistí, že zákonné povinnosti budou splněny bez komplikací.
Autorka: JUDr. Petra Mirovská
advokátka Kocián Šolc Balaštík, advokátní kancelář, s.r.o.
Other articles
KŠB Assisted with the Refinancing of the BigBoard Group, a leading player in the premium outdoor advertising market
Our team provided legal advice to BigBoard Praha, a leading player in the premium outdoor advertising market in the Czech Republic, in connection with its refinancing. Founded in 1993, the BigBoard Group is the largest provider of premium outdoor advertising in the Czech Republic, with an approximately 70% market share and annual turnover of around CZK 2 billion. Its advertising media cover key locations across the country, including the Prague metro and major transport hubs.
KŠB Assisted Sandberg Capital with a Majority Investment in HotelTime Solutions
The KŠB team provided legal advice to the investment group Sandberg Capital on the completion of a majority investment in HotelTime Solutions, one of the leading providers of cloud-based software for hotel operations management.
KŠB assisted Seyfor with the extension of its financing provided by Raiffeisenbank, Tatra banka and, newly, Slovenská sporiteľňa.
The KŠB team provided legal advice to its long-standing client Seyfor in connection with the continuation and expansion of its syndicated financing. The existing lending banks, Raiffeisenbank Czech Republic and Tatra banka, decided to continue supporting Seyfor’s growth, with Slovenská sporiteľňa joining the financing as a new lender.
