Nový zákon o kybernetické bezpečnosti je účinný. Do konce roku proveďte samoidentifikaci

K 1. listopadu 2025 nabyl účinnosti zákon č. 264/2025 Sb., o kybernetické bezpečnosti. Jde o klíčovou transpozici NIS2, která rozšiřuje okruh regulovaných odvětví a dopadne na výrazně větší počet organizací než dosud.

Co to znamená pro organizace

Nový zákon zavádí povinnost tzv. samoidentifikace – každá organizace musí sama posoudit, zda poskytuje regulovanou službu a v jakém režimu pod zákon spadá. Na ohlášení regulované služby prostřednictvím Portálu NÚKIB má 60 dnů, tedy do konce roku 2025.

Jak postupovat hned teď

1. Samoidentifikace: posuďte, zda poskytujete regulovanou službu dle § 4 zákona a do jaké kategorie spadáte. Dokumentujte kritéria a závěr.
2. Ohlášení na Portálu NÚKIB do 60 dnů od vzniku povinnosti (typicky od 1. 11. 2025).
3. Gap-analýza a plán opatření: prověřte rámec řízení rizik, role a odpovědnosti, nastavte politiky, podívejte se na dodavatelský řetězec.
4. Důkazy o souladu: připravte evidenci, která obhájí vaše rozhodnutím, stanovte rozsah řízení kybernetické bezpečnosti.
5. Komunikace s vedením: průběžně informujte statutární orgán – jde o rozhodování s dopadem na povinnosti a odpovědnost členů statutárního orgánu.

S čím vám pomůžeme

• Právní samoidentifikace a stanovisko k tomu, zda a v jakém režimu pod zákon spadáte.
• Ohlášení regulované služby – příprava podkladů a procesů pro Portál NÚKIB.
• Smluvní a governance rámec: úprava smluv s dodavateli, interní směrnice, pověření a odpovědnosti.
• Due diligence dodavatelů pro klíčové služby.
• Školení vedení.

Autor:

Mgr. David Mareš, Ph.D., LL.M.