Od 1. listopadu 2025 začne v České republice platit nový Zákon o kybernetické bezpečnosti, který přináší významné změny pro tisíce organizací napříč různými sektory. Nahradí dosavadní předpis z roku 2014 a převádí do českého práva evropskou směrnici NIS2. Prezident zákon podepsal na konci června 2025.
Zákon zásadně rozšiřuje okruh povinných subjektů a týká se více než 18 odvětví. Nově budou muset pravidla kybernetické bezpečnosti dodržovat nejen například úřady, ale i vysoké školy a další klíčové či digitální služby. Pro mnohé půjde o vůbec první povinnost v oblasti kybernetické bezpečnosti danou zákonem.
Organizace budou muset splnit několik důležitých povinností v jasně daných termínech:
- Do 60 dnů od nabytí účinnosti zákona si musí zkontrolovat, zda na ně dopadá, a registrovat své služby přes Portál NÚKIB.
- Do 30 dnů po registraci mají oznámit kontaktní osoby a začít zavádět potřebná opatření.
- Do jednoho roku od registrace už budou muset mít veškeré požadavky zavedené v praxi, například připravenou dokumentaci, systém řízení rizik i proces hlášení incidentů.
Podle významu a rozsahu poskytovaných služeb budou organizace rozděleny do nižšího a vyššího režimu. V nižším režimu postačí základní opatření jako třeba dvoufaktorové ověřování, pravidelné školení a řízení přístupu. Vyšší režim znamená přísnější požadavky, například hlubší kontrolu dodavatelů, vedení auditních záznamů a přípravu krizových plánů pro mimořádné situace.
Za nedodržení zákona hrozí vysoké sankce – v krajním případě až 250 milionů korun nebo 2 % obratu. Všechny organizace by se proto měly včas připravit a začít zavádět bezpečnostní opatření.
Více o tématu kybernetické bezpečnosti pro spisovou službu se dozvíte na tradiční podzimní konferenci o spisové službě 20. 10. 2025!