Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, který nabyl účinnosti v listopadu 2025, je českou implementací evropské směrnice NIS2. Přináší zásadní změny — rozšiřuje okruh povinných subjektů a zpřísňuje požadavky na kybernetickou bezpečnost. Odhaduje se, že v ČR se zákon dotkne přes 6 000 organizací.
Jak ale zjistit, zda se zákon vztahuje právě na vaši firmu?
Dva druhy regulovaných subjektů
Zákon rozlišuje dva typy povinných subjektů: základní subjekty (ZS) a důležité subjekty (DS). Klíčová jsou dvě kritéria: odvětví, ve kterém firma působí, a velikost firmy.
Základní subjekty (ZS)
Jsou to velké organizace v klíčových odvětvích. Zákon na ně klade přísnější požadavky a NÚKIB je může aktivně auditovat. Patří sem firmy s více než 250 zaměstnanci nebo ročním obratem nad 50 milionů eur v odvětvích:
- Energetika (elektřina, plyn, ropa, teplo)
- Doprava (letecká, železniční, vodní, silniční)
- Bankovnictví a finanční infrastruktura
- Zdravotnictví (nemocnice, laboratoře, výzkum)
- Digitální infrastruktura (DNS, cloud, datová centra)
- Veřejná správa (státní orgány, krajské úřady)
- Vesmír
Důležité subjekty (DS)
Střední firmy ve stejných nebo rozšířených odvětvích. Požadavky jsou obdobné jako pro ZS, ale kontrolní mechanismus je méně intenzivní. Patří sem firmy s více než 50 zaměstnanci nebo obratem nad 10 milionů eur v odvětvích jako:
- Poštovní a kurýrní služby
- Nakládání s odpady
- Výroba (chemikálie, potraviny, zdravotnické prostředky, elektronika, strojírenství)
- Digitální poskytovatelé (vyhledávače, online trhy, sociální sítě)
- Věda a výzkum
Důležité: Zákon se může vztahovat i na menší firmy, pokud jsou kritické z hlediska dopadu na společnost nebo hospodářství — bez ohledu na jejich velikost. NÚKIB může takovou firmu klasifikovat jako povinný subjekt individuálně.
Povinnost registrace u NÚKIB
Pokud vaše firma splňuje výše uvedená kritéria, máte povinnost se zaregistrovat u NÚKIB prostřednictvím portálu portal.nukib.gov.cz. Termín pro registraci byl stanoven na 17. července 2025.
Po registraci vám vznikají povinnosti, které musí být splněny do 12 měsíců od registrace:
- Jmenování manažera kybernetické bezpečnosti (MKB)
- Provedení hodnocení rizik
- Zavedení bezpečnostních opatření dle vyhlášky 409/2025 Sb.
- Příprava dokumentace (ZHR, POA, politiky)
- Nastavení systému hlášení kybernetických incidentů
Nevím, zda moje firma patří pod zákon — co dělat?
Zákon je komplexní a výklad není vždy jednoznačný. Doporučuji tři kroky:
- Ověřte odvětví. Prověřte, zda vaše hlavní činnost spadá pod regulovaná odvětví dle přílohy zákona.
- Ověřte velikost. Spočítejte počet zaměstnanců a obrat za poslední ukončené účetní období.
- Konzultujte s odborníkem. I pokud si myslíte, že zákon na vás nedopadá, doporučuji ověření — riziko pokuty za neregistraci je vysoké.
Nejste si jisti, zda se zákon vztahuje na vaši firmu?
Nabízím bezplatnou 30minutovou konzultaci, kde váš případ posoudím konkrétně a zdarma.
Konzultace zdarmaZávěr
Zákon č. 264/2025 Sb. je nejrozsáhlejší legislativní změnou v oblasti kybernetické bezpečnosti v ČR za posledních 10 let. Firmy, které nesplní povinnosti, čelí pokutám až 10 milionů Kč nebo 2 % ročního obratu — a navíc osobní odpovědnosti statutárního orgánu.
Pokud máte pochybnosti o tom, zda se zákon na vás vztahuje, nebo kde začít s implementací, kontaktujte mě. Jako certifikovaný manažer KB dle vyhlášky 409/2025 Sb. a ENISA ECSF vám poradím konkrétně a bez zbytečného žargonu.