Kyberbezpečnost nově: tisíce firem čekají nové povinnosti. Iniciativa je plně na podnikateli.
Od 1. listopadu 2025 čeká tisíce firem v České republice napříč různými odvětvími zásadní změna v oblasti kybernetické regulace. Nový zákon o kybernetické bezpečnosti spolu s řadou doprovodných právních předpisů totiž výrazně rozšiřuje okruh subjektů, na které bude dopadat. Cílem regulace je zvýšit odolnost technické infrastruktury vůči kybernetickým hrozbám. Místo úzkého okruhu pouze klíčových institucí se nová pravidla budou vztahovat na široké spektrum firem a organizací, které poskytují tzv. regulované služby. Jde o služby zásadní pro fungování společnosti a státu, jejichž narušení či výpadek by mohly mít negativní dopady na bezpečnost státu, ekonomickou stabilitu a každodenní chod společnosti.
Zvýšenou pozornost musí nové právní regulaci věnovat společnosti, které působí v některém z následujících odvětví: digitální infrastruktura a služby, drážní doprava, energetika (elektřina, plynárenství, ropná a ropné produkty, teplárenství, vodík), finanční trh, chemický průmysl, letecká doprava, odpadové hospodářství, poštovní a kurýrní služby, potravinářský průmysl, silniční doprava, věda, výzkum a vzdělávání, veřejná správa a výkon veřejné moci, vesmírný průmysl, vodní doprava, vodní hospodářství, vojenský průmysl, výrobní průmysl a zdravotnictví.
Prvním krokem, který zákon od regulovaných subjektů vyžaduje, je tzv. sebeidentifikace. Každá společnost působící v některém z výše uvedených odvětví je povinna sama vyhodnotit, zda poskytuje regulovanou službu ve smyslu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Pokud dospěje k závěru, že ano, musí tuto skutečnost do 31. prosince 2025 oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Zákon přitom až na výjimky nepředpokládá, že by k identifikaci subjektů docházelo z iniciativy státu. Nebude tedy docházet k žádnému úřednímu vyrozumění ani výzvě. Odpovědnost za posouzení i oznámení bude plně spočívat na podnikatelském subjektu či organizaci.
Sebeidentifikace přitom není formální cvičení. Správné a včasné posouzení může mít zásadní dopad na právní postavení daného subjektu, neboť právě od něj se odvíjí rozsah kyberbezpečnostních povinností, které bude povinen plnit (nižší či vyšší). Posouzení vyžaduje nejen detailní znalost poskytovaných služeb a využívaných technických aktiv, ale i přehled o vnitřní organizační struktuře, zaměstnaneckých poměrech či finančních údajích. Tento krok proto není vhodné podcenit. Chybné vyhodnocení, stejně jako opomenutí ohlášení, může vést k porušení zákona a následným sankcím. Pravidla mohou na první pohled působit jednoduše, avšak správné provedení sebeidentifikace je náročný a komplexní proces. Vyžaduje spolupráci často několika oddělení a někdy i více společností v rámci skupiny, stejně jako pečlivé odborné posouzení.
Co je tedy třeba prověřit a zvážit? Především je nutné analyzovat prahové hodnoty ročního obratu, bilanční sumy rozvahy a počtu zaměstnanců za poslední tři roky. Dále je potřeba zohlednit propojené a partnerské osoby, které mohou sdílet technická aktiva používaná při poskytování regulovaných služeb. Nezbytné je také identifikovat všechny poskytované regulované služby a posoudit, zda jejich technická kritéria a význam odpovídají zákonným požadavkům. Na základě těchto kroků se určuje režim povinností – nižší či vyšší. Pokud existují pochybnosti o tom, zda se nový režim vztahuje právě na konkrétní subjekt, je nejvyšší čas tuto otázku vyřešit. Zákon nabývá účinnosti již 1. listopadu 2025 a lhůta pro oznámení končí 31. prosince tohoto roku.
Nový zákon o kybernetické bezpečnosti představuje zásadní posun v ochraně klíčových služeb a infrastruktury v digitálním prostoru. Rozšíření okruhu povinných subjektů a jasné vymezení jejich odpovědnosti klade na firmy i organizace nové nároky. Sebeidentifikace je proto nejen formální povinností, ale i prvním nezbytným krokem k naplnění nových požadavků. Firmy, které ji provedou včas a správně, budou lépe připraveny čelit kybernetickým rizikům a předejdou možným sankcím. Nyní je tedy nejvhodnější čas zahájit interní procesy, které zajistí, že zákonné povinnosti budou splněny bez komplikací.
Autorka: JUDr. Petra Mirovská
advokátka Kocián Šolc Balaštík, advokátní kancelář, s.r.o.
Other articles
KŠB assisted Seyfor with the extension of its financing provided by Raiffeisenbank, Tatra banka and, newly, Slovenská sporiteľňa.
The KŠB team provided legal advice to its long-standing client Seyfor in connection with the continuation and expansion of its syndicated financing. The existing lending banks, Raiffeisenbank Czech Republic and Tatra banka, decided to continue supporting Seyfor’s growth, with Slovenská sporiteľňa joining the financing as a new lender.
Evidence skutečných majitelů: Co přinese znepřístupnění od 17. prosince 2025?
Letošní rozhodnutí Nejvyššího soudu a Nejvyššího správního soudu navázala na rozsudky Soudního dvora Evropské unie, a, s platností i pro Českou republiku, konstatovala, že zveřejňování údajů v rámci evidence skutečných majitelů představuje nepřiměřený zásah do základních práv majitelů na soukromí a ochranu osobních údajů. Důležitým aspektem těchto rozhodnutí byl závěr, že sankce, které postihují povinné subjekty jako reakce na nesplnění jejich povinnosti zápisu do evidence skutečných majitelů, není možné vymáhat, dokud je evidence veřejná. Tato situace se změní 17. prosince 2025, kdy ministerstvo znepřístupní evidenci skutečných majitelů; povinným subjektům tak budou opět hrozit závažné sankce.
30th Advent Concert for the Committee of Good Will – Olga Havlová Foundation
This year again, during the pre-Christmas season, the Advent Concert of Good Will took place. Since 1995, it has been organised by the law firm Kocián Šolc Balaštík in support of the Committee of Good Will – Olga Havlová Foundation. This was already the 30th anniversary edition, made exceptional by the fact that we organised it for the first time together with our partner, Smetanova Litomyšl, as part of a broader mutual cooperation. As always, the concert was held in the concert hall of the Church of Sts. Simon and Jude in Prague’s Old Town.
