Nelze však vyloučit, že skutečný počet dotčených organizací může být vyšší. Některé firmy se totiž mohly nepřihlásit, protože například nevědí, že se registrovat mají, nebo si nejsou jisté, zda na ně zákon dopadá. NÚKIB na svých webových stránkách poskytuje kalkulačku pro samoidentifikaci, která má firmám pomoci určit, zda spadají pod novou regulaci.

Nový zákon č. 264/2025 Sb. přináší zásadní změny v oblasti kybernetické bezpečnosti v České republice:

Implementace NIS2 – Zákon transponuje evropskou směrnici NIS2 (Directive 2022/2555), která zvyšuje společnou úroveň ambicí EU v oblasti kybernetické bezpečnosti. Rozšiřuje počet regulovaných sektorů a zavádí jasnější pravidla a silnější nástroje dohledu.

Mechanismus bezpečnosti dodavatelského řetězce – Po dlouhých diskusích a kompromisech zákon zavádí mechanismus, který umožňuje vyloučit potenciálně nebezpečné dodavatele ze systémů důležitých pro chod státu. Konečná podoba stanoví, že o vyloučení dodavatele rozhoduje vláda, nikoliv pouze NÚKIB.

Dvoustupňový systém – Zákon rozlišuje mezi "regulovanými subjekty s vysokým dopadem" (dříve označované jako subjekty s vyššími povinnostmi) a "regulovanými subjekty se středním dopadem". Toto rozdělení odpovídá evropské kategorizaci na "essential" a "important" entities.

Odpovědnost managementu – Zákon výslovně stanoví odpovědnost vedení organizací za kybernetickou bezpečnost, což má zajistit, že se toto téma dostane do boardroomů a nebude pouze záležitostí IT oddělení.

Hlášení incidentů – Subjekty mají povinnost hlásit významné kybernetické bezpečnostní incidenty NÚKIBu ve stanovených lhůtách.

Sankce – Za neplnění povinností hrozí organizacím vysoké pokuty, u subjektů s vysokým dopadem až 10 milionů Kč nebo 2 % celosvětového ročního obratu, u subjektů se středním dopadem až 7 milionů Kč nebo 1,4 % obratu.

Subjekty, které spadají pod nový zákon, mají na splnění všech povinností přechodné období jednoho roku od začátku účinnosti zákona. To znamená, že většina opatření musí být implementována do konce října 2026.

NÚKIB na svém specializovaném portálu poskytuje řadu informací a nástrojů:

• Kalkulačku pro samoidentifikaci
• Návody, jak se připravit na povinnosti
• Časté dotazy a odpovědi
• Kontakty pro konzultace

Nový zákon je součástí širší legislativní vlny reagující na rostoucí kybernetické hrozby. Současně s ním byl přijat také zákon o odolnosti subjektů kritické infrastruktury (zákon o kritické infrastruktuře). Obě regulace spolu úzce souvisejí a vytvářejí komplexní rámec pro ochranu kritické infrastruktury a klíčových služeb v České republice.

Evropská unie jako celek zvyšuje nároky na kybernetickou bezpečnost v reakci na geopolitickou situaci, rostoucí sofistikovanost útoků a zvyšující se závislost ekonomiky a společnosti na digitálních technologiích. Česká republika tak pouze plní své závazky vyplývající z členství v EU.

Přechod na nový režim představuje pro mnoho organizací významnou výzvu. Odhady nákladů se liší, ale německá vláda například odhaduje jednorázové implementační náklady na zhruba 2,2 miliardy EUR a roční náklady na compliance na dalších 2,3 miliardy EUR. I když české ekonomiky jsou podstatně menší, proporcionálně podobné náklady lze očekávat i zde.

Organizace budou muset investovat do:

• Technických opatření (segmentace sítí, monitoring, backup systémy)
• Organizačních opatření (politiky, procedury, řízení rizik)
• Lidských zdrojů (školení, nábor specialistů)
• Externího poradenství a auditů

Pro malé a střední podniky může být tato zátěž značná, proto se v průběhu legislativního procesu objevovaly hlasy volající po úlevách nebo postupném zavádění. Konečná podoba zákona však poskytuje jen limitované výjimky.

NÚKIB bude v následujících měsících vydávat další prováděcí předpisy a metodiky, které upřesní konkrétní požadavky v jednotlivých oblastech. Organizace by měly aktivně sledovat tyto materiály a zahájit implementaci potřebných opatření s dostatečným předstihem před koncem přechodného období.

Úřad také připravuje kontrolní a auditní mechanismy, které budou ověřovat plnění povinností. První kontroly lze očekávat v průběhu roku 2026, s důrazem na subjekty s vysokým dopadem.