Zákon č. 264/2025 Sb. o kybernetické bezpečnosti přinesl nejen nové povinnosti, ale také výrazně přísnější sankce za jejich nesplnění. Pokud vaše firma patří mezi regulované subjekty a nesplní zákonné požadavky, čelíte pokutám, které mohou existenčně ohrozit i velkou společnost.
Co přesně hrozí a jak se tomu vyhnout?
Výše pokut dle zákona 264/2025 Sb.
Zákon stanovuje sankce odstupňovaně podle závažnosti pochybení a typu subjektu:
Základní subjekty (ZS)
- Až 10 000 000 Kč nebo 2 % celkového ročního světového obratu (bere se vyšší z obou hodnot)
- Za nejzávažnější porušení — neregistraci, nesplnění bezpečnostních opatření, neohlášení incidentu
Důležité subjekty (DS)
- Až 7 000 000 Kč nebo 1,4 % celkového ročního světového obratu (bere se vyšší)
- Za stejné kategorie pochybení jako u ZS
Příklad: Firma s obratem 500 milionů Kč ročně by jako základní subjekt mohla čelit pokutě až 10 milionů Kč. Firma s obratem 1 miliardy Kč by mohla čelit pokutě až 20 milionů Kč (2 % obratu).
Osobní odpovědnost managementu — novinka v zákoně
Toto je zásadní novinka oproti předchozí právní úpravě: zákon 264/2025 Sb. zavedl přímou osobní odpovědnost statutárního orgánu za kybernetickou bezpečnost firmy.
Co to konkrétně znamená:
- Jednatel nebo člen představenstva může být osobně pokutován
- NÚKIB může vyžadovat, aby firma prokázala, že management byl dostatečně informován a schválil bezpečnostní strategii
- Nedostatečná angažovanost managementu je sama o sobě přitěžující okolností
- Management musí absolvovat školení kybernetické bezpečnosti
Zákon tedy kybernetickou bezpečnost přesunuje z IT oddělení přímo na stůl jednatele nebo CEO.
Za co konkrétně hrozí pokuta?
NÚKIB může zahájit řízení a uložit pokutu za:
- Neregistraci — pokud jste povinným subjektem a neregistrovali jste se u NÚKIB
- Nesplnění technických bezpečnostních opatření dle vyhlášky 409/2025 Sb.
- Neohlášení kybernetického incidentu v zákonné lhůtě (24 hodin pro první notifikaci)
- Neprovádění pravidelného hodnocení rizik
- Nedostatečnou dokumentaci — chybí ZHR, POA nebo bezpečnostní politiky
- Nemít jmenovaného manažera KB s odpovídající kvalifikací
- Nespolupráci při kontrole NÚKIB
Jak se pokutám vyhnout
Dobrou zprávou je, že NÚKIB preferuje nápravný přístup před represí. Pokud firma aktivně pracuje na souladu se zákonem, je postup NÚKIB podstatně benevolentnější.
Klíčové kroky:
- Ověřte, zda jste povinným subjektem — a pokud ano, zaregistrujte se co nejdříve
- Jmenujte manažera KB s certifikací dle vyhlášky 409/2025 Sb. a ENISA ECSF
- Proveďte GAP analýzu — zjistěte, kde stojíte a co chybí
- Sestavte plán nápravy s realistickými termíny
- Zapojte management — kybernetická bezpečnost musí být agenda boardu, ne jen IT
Nevíte, kde začít?
Bezplatná 30minutová konzultace — posoudím váš případ a řeknu vám konkrétní první kroky. Bez závazku.
Konzultace zdarmaZávěr
Sankce za nedodržení zákona 264/2025 Sb. jsou dostatečně vysoké, aby motivovaly i velké firmy k rychlé akci. Zároveň platí: čím dříve začnete, tím levněji vyjde implementace a tím menší je riziko pokuty.
Jako certifikovaný manažer kybernetické bezpečnosti dle vyhlášky 409/2025 Sb. a ENISA ECSF pomohu vaší firmě splnit zákonné povinnosti efektivně a bez zbytečných nákladů. Kontaktujte mě pro nezávaznou konzultaci.